安全事件周报 2023-09-11 第37周

原创
2023/09/18 18:10
阅读数 68
AI总结


赶紧点击上方话题进行订阅吧!

报告编号:CERT-R-2023-414

报告来源:360CERT

报告作者:360CERT

更新日期:2023-09-18


1
 事件导览



本周收录安全热点57项,话题集中在安全漏洞安全分析网络攻击,主要涉及的实体有:微软(Microsoft)Apple思科(Cisco)等,主要涉及的黑客组织有:Charming KittenLazarus GroupAPT28(Fancy Bear)等。360CERT建议使用360安全卫士进行病毒检测,并做好资产自查以及预防工作,以免遭受黑客攻击。


2
 事件目录



恶意软件
“邪恶电报”间谍软件活动感染60K+移动用户
“Steal-It”活动使用OnlyFans模型作为诱饵
数以百万计的Facebook商业账户被Python恶意软件攻击
攻击者部署全新的“3AM”恶意软件
俄罗斯记者的iPhone被PEGASUS间谍软件感染
攻击者假冒 Cisco Webex Google Ads 滥用跟踪模板传播恶意软件
研究人员发现 3AM 勒索软件变种
数据安全
RAGNAR LOCKER团伙泄露以色列医院数据
英国曼彻斯特警察数据在勒索软件攻击中暴露
网络攻击
伊朗APT通过ManageEngine,Fortinet漏洞袭击美国航空公司
红蝇集团破坏国家电网
Windows 系统成为多阶段恶意软件攻击的目标
国际救助儿童会受到网络攻击
美高梅度假村遭受网络攻击
REPOJACKING 攻击暴露了 4,000 多个 GITHUB 存储库
Charming Kitten利用新后门Sponsor攻击巴西、以色列和阿拉伯联合酋长国
APT36利用新恶意软件攻击印度政府
安全漏洞
苹果在飞马攻击中修补了两个被利用的零日漏洞
思科 BroadWorks 严重漏洞可导致其平台被接管
攻击者可利用Microsoft ID 安全漏洞窃取签名密钥
CISA警告发现攻击者正在利用Fortinet和Zoho中的安全漏洞
思科ASA和FTD中的零日漏洞在勒索软件攻击中被积极利用
ADOBE 修复了 ACROBAT 和 READER 中的零日漏洞
美国政府下令紧急修补苹果零日漏洞
微软补丁日修复2个0day
Microsoft因其云安全实践而受到审查
Kubernetes 管理员警告修补新的 RCE 漏洞
云漏洞一年内猛增200%
Kubernetes 漏洞可导致 WINDOWS 端点上的远程代码执行
安全分析
谷歌TAG揭露朝鲜针对安全研究人员的攻击活动
全球一些顶尖大学网站容易受到攻击
孔夫子组织移动端最新攻击活动分析
APT-C-26(Lazarus)组织使用EarlyRat的攻击活动分析
勒索团伙开始攻击美国医疗行业
微软发现针对企业员工的钓鱼活动
报告显示英国政府严重缺乏网络安全专家
新证据!网攻西工大的神秘黑客身份被锁定,“间谍软件”是关键
米高梅赌场的 ESXi 服务器据称在勒索软件攻击中被加密
境外APT团伙连续两年在攻防演练活动中浑水摸鱼
行业动向
五角大楼敦促美国组织在网络防御方面开展合作
英国ICO和NCSC将共享匿名威胁情报
CISA发布增强开源安全性的计划
美国提高对医疗设备网络安全的要求
勒索攻击
勒索软件攻击抹去了斯里兰卡政府四个月的数据
RHYSIDA 勒索软件团伙声称已经入侵了另外三家美国医院
Lazarus Group在供应链攻击中瞄准macOS
以色列医院遭受勒索软件攻击,1TB 数据被盗
奥克兰交通局遭受疑似勒索软件攻击
Caesars娱乐客户数据被盗并确认支付赎金
其他事件
英国监管机构将调查生育应用程序安全问题
俄罗斯男子因黑客计划被判处九年徒刑
SCARCRUFT利用福岛核废水排放话题进行攻击活动
攻击者滥用Google Looker Studio来规避DMARC
AKAMAI 阻止了针对美国金融公司的最大 DDOS 攻击
Charming Kitten瞄准以色列组织
“Anonymous Sudan”将目光投向DDoS攻击中的Telegram
伊朗黑客利用密码喷洒攻击破坏美国防御机构

3
 恶意软件



“邪恶电报”间谍软件活动感染60K+移动用户

日期: 2023-09-11
标签: 信息技术, 移动安全

在官方Google Play应用商店中伪装成一组合法的Telegram“mod”的危险间谍软件已被下载数万次。流行的消息传递客户端的修改应用程序(“mods”)是 Telegram 生态系统中众所周知的一部分。模组是具有官方客户端所有标准功能的应用程序,但它们具有额外的功能。根据卡巴斯基的研究,未知的威胁行为者正在利用官方接受Telegram模组的存在进行交易,为网络间谍活动创造一条新的途径,他们称之为“邪恶电报”。

详情

https://www.darkreading.com/attacks-breaches/evil-telegram-spyware-campaign-infects-60k-mobile-users

https://www.darkreading.com/attacks-breaches/evil-telegram-spyware-campaign-infects-60k-mobile-users

“Steal-It”活动使用OnlyFans模型作为诱饵

日期: 2023-09-12
标签: 信息技术, APT28(Fancy Bear), OnlyFans

一项复杂的网络活动正在使用OnlyFans模型和地理围栏的图像来针对澳大利亚,波兰和比利时的特定受害者,使用自定义PowerShell脚本窃取数据。根据Zscaler ThreatLabz最近的一份报告,这项名为“Steal-It”的活动可能是APT28(也称为Fancy Bear)在进行。在使用定制的PowerShell Nishang Start-CaptureServer脚本建立初始立足点后,Steal-It网络攻击滥用Mockbin API端点生成工具来泄露数据,包括NTLM哈希和命令输出。

详情

https://www.darkreading.com/application-security/steal-it-campaign-onlyfans-models-lures

https://www.darkreading.com/application-security/steal-it-campaign-onlyfans-models-lures

数以百万计的Facebook商业账户被Python恶意软件攻击

日期: 2023-09-13
标签: 文化传播, 信息技术, Meta(原Facebook), 僵尸网络, Python

攻击者通过Facebook Messenger从虚假和被劫持的个人Facebook帐户僵尸网络发送恶意消息,以数百万Facebook企业帐户为目标。据研究人员称,目标是传播一种可以拦截浏览会话和帐户cookie的信息窃取恶意软件,并且每周攻击100万个Facebook商业帐户。

详情

https://www.darkreading.com/endpoint/millions-facebook-business-accounts-python-malware

https://www.darkreading.com/endpoint/millions-facebook-business-accounts-python-malware

攻击者部署全新的“3AM”恶意软件

日期: 2023-09-14
标签: 信息技术, 3AM

在最近针对一家建筑公司的攻击中,有人观察到未能在目标网络中执行LockBit的黑客部署了第二个前所未有的勒索软件,该软件成功突破。这个新工具相当普通,它在锁定主机上的文件之前会屏蔽各种网络安全和备份相关软件。赛门铁克的研究人员描述了第一次观察到的3AM的使用——这是一次双重打击,其中LockBit勒索软件被阻止,但随后3AM在一台受损机器上勉强通过。赛门铁克威胁搜寻团队首席情报分析师迪克·奥布莱恩警告称:“这不是我们第一次看到攻击者使用多个勒索软件家族。组织应该预料到这种情况会发生。”

详情

https://www.darkreading.com/attacks-breaches/when-lockbit-ransomware-fails-attackers-deploy-brand-new-3am

https://www.darkreading.com/attacks-breaches/when-lockbit-ransomware-fails-attackers-deploy-brand-new-3am

俄罗斯记者的iPhone被PEGASUS间谍软件感染

日期: 2023-09-15
标签: 信息技术, Apple, Pegasus(飞马间谍软件), 零点击漏洞, iPhone, Pegasus 间谍软件

俄罗斯记者 Galina Timchenko 的 iPhone 遭到 NSO Group 的Pegasus 间谍软件的攻击。Access Now 和 公民实验室进行的联合调查 显示,这名与俄罗斯政府不和的记者感染了监控软件。调查于 2023 年 6 月 22 日开始,当时Galina Timchenko收到苹果公司的通知,称国家支持的攻击者可能会针对她的 iPhone。随后 Meduza的首席技术官联系了 Access Now,调查该设备涉嫌感染的情况。Access Now 和 Citizen Lab 的研究人员分析了该设备并确认了 Pegasus 间谍软件感染。该设备的首次入侵发生在 2023 年 2 月 10 日左右,据专家称,感染可能持续数天到数周。攻击者使用了零点击漏洞,很可能是 PWNYOURHOME。该漏洞首先针对 HomeKit 进程,然后针对 iMessage 服务。

详情

https://securityaffairs.com/150816/intelligence/russian-journalists-iphone-pegasus-spyware.html

https://securityaffairs.com/150816/intelligence/russian-journalists-iphone-pegasus-spyware.html

攻击者假冒 Cisco Webex Google Ads 滥用跟踪模板传播恶意软件

日期: 2023-09-15
标签: 信息技术, 谷歌(Google), Cisco Webex Google Ads

攻击者利用 Google Ads 跟踪模板作为漏洞来创建令人信服的 Webex 软件搜索广告,将用户重定向到分发 BatLoader 恶意软件的网站。Webex 是一个视频会议和联络中心套件,是思科协作产品组合的一部分,被全球的公司和企业使用。Malwarebytes 报告 称,恶意广告活动已在 Google 搜索中活跃一周,攻击者似乎来自墨西哥。

详情

https://www.bleepingcomputer.com/news/security/fake-cisco-webex-google-ads-abuse-tracking-templates-to-push-malware/

https://www.bleepingcomputer.com/news/security/fake-cisco-webex-google-ads-abuse-tracking-templates-to-push-malware/

研究人员发现 3AM 勒索软件变种

日期: 2023-09-15
标签: 信息技术, LockBit, 3AM

安全研究人员发现了一种新的勒索软件变种,该变种是在受害组织网络上的 LockBit 被阻止后部署的。部署 3AM 的攻击者首先使用“gpresult”命令转储特定用户的策略设置。他们还执行了多个 Cobalt Strike 组件,并尝试使用 PsExec 升级计算机上的权限,然后运行侦察命令并尝试枚举其他服务器进行横向移动。

详情

https://www.infosecurity-magazine.com/news/3am-ransomware-variant-discovered/

https://www.infosecurity-magazine.com/news/3am-ransomware-variant-discovered/


4
 数据安全



RAGNAR LOCKER团伙泄露以色列医院数据

日期: 2023-09-11
标签: 以色列, 卫生行业, 医院数据, Ragnar Locker

Ragnar Locker勒索软件团伙声称对以色列Mayanei Hayeshua医院的袭击负责。该网络犯罪组织声称从医院窃取了1 TB的数据,并威胁要泄露这些数据。该团伙在其泄漏网站上发布的消息强调,他们没有加密数据以避免导致医院医疗设备出现故障。但是,勒索软件团伙在医院网络中发现了严重的漏洞,使他们能够下载数百 GB 的数据。被盗数据包括个人信息、内部电子邮件、财务、医疗卡和更多敏感信息。

详情

https://securityaffairs.com/150540/hacking/mayanei-hayeshua-hospital.html

https://securityaffairs.com/150540/hacking/mayanei-hayeshua-hospital.html

英国曼彻斯特警察数据在勒索软件攻击中暴露

日期: 2023-09-15
标签: 政府部门, 英国大曼彻斯特警察局 (GMP), 警察数据

2023年9月14日,英国大曼彻斯特警察局 (GMP) 表示,其部分员工的个人信息受到第三方供应商勒索软件攻击的影响。发布的声明中未提及受影响的组织,该组织是 GMP 和英国其他组织的服务供应商。GMP 认为被黑客入侵的系统上的数据不包含属于警察局员工的财务信息。

详情

https://www.bleepingcomputer.com/news/security/manchester-police-officers-data-exposed-in-ransomware-attack/

https://www.bleepingcomputer.com/news/security/manchester-police-officers-data-exposed-in-ransomware-attack/


5
 网络攻击



伊朗APT通过ManageEngine,Fortinet漏洞袭击美国航空公司

日期: 2023-09-12
标签: 美国, 交通运输, ManageEngine, Fortinet, CVE-2022-47966, 美国航空公司

国家资助的威胁行为者利用Zoho ManageEngine软件和Fortinet防火墙中的已知漏洞利用了美国航空组织。高级持续威胁(APT)攻击者利用ManageEngine中的CVE-2022-47966远程代码执行(RCE)漏洞,通过该组织面向公众的应用程序获得未经授权的访问,之后他们建立了持久性并在网络内横向移动。官员们在1月份发布了关于CVE-2022-47966的警告;如果启用或曾经启用单点登录,任何受影响的ManageEngine产品都可能容易受到攻击。

详情

https://www.darkreading.com/dr-global/iranian-apt-hits-us-aviation-org-via-manageengine-fortinet-bugs

https://www.darkreading.com/dr-global/iranian-apt-hits-us-aviation-org-via-manageengine-fortinet-bugs

红蝇集团破坏国家电网

日期: 2023-09-13
标签: 能源业, 网络间谍活动

2023年9月,安全研究人员揭示了一场新的网络间谍活动,其中威胁组织破坏了用于在一个未命名的亚洲国家运行国家电网的多台计算机。赛门铁克确定为“红蝇”的威胁组织不属于任何国家,但和两个相关的组织 - Blackfly和Greyfly密切相关。Redfly使用了流行的模块化远程访问木马(RAT)ShadowPad的定制版本。RAT将自己复制到多个位置的磁盘上,伪装成VMware文件和目录以保持隐藏状态。

详情

https://www.infosecurity-magazine.com/news/redfly-group-compromises-national/

https://www.infosecurity-magazine.com/news/redfly-group-compromises-national/

Windows 系统成为多阶段恶意软件攻击的目标

日期: 2023-09-13
标签: 信息技术, 微软(Microsoft), 网络钓鱼攻击, Windows

据Fortinet的安全研究人员称发现了一种多阶段恶意软件攻击,Windows系统是其主要目标。该活动于2023年8月发现,采用了一系列能够以多种方式危害组织的恶意策略。根据Fortinet安全专家Cara Lin发布的一篇技术博客文章,攻击始于网络钓鱼电子邮件,将恶意Word文档作为附件传递。此文档包含欺骗性图像和伪造的 reCAPTCHA,以引诱收件人点击。激活后,文档会触发嵌入式恶意链接,为攻击的进展奠定基础。

详情

https://www.infosecurity-magazine.com/news/windows-targeted-multi-stage/

https://www.infosecurity-magazine.com/news/windows-targeted-multi-stage/

国际救助儿童会受到网络攻击

日期: 2023-09-13
标签: 居民服务, 数据泄露

2023年9月12日,慈善组织国际救助儿童会透露,它遭到了网络攻击。在勒索软件团伙 BianLian 在其 Tor 泄漏站点上列出该组织后,该公司披露了安全事件。BianLian勒索集团声称窃取了6,8 TB的文件,包括国际人力资源数据,国际个人数据。国际财务数据(超过800 GB),国际医疗和健康数据以及国际电子邮件通信。救助儿童会发言人告诉Recorded Future News,网络攻击对该组织的运营没有影响。该组织通知了执法机构,并正在与外部网络安全专家合作调查安全漏洞。

详情

https://securityaffairs.com/150750/cyber-crime/save-the-children-cyber-attack.html

https://securityaffairs.com/150750/cyber-crime/save-the-children-cyber-attack.html

美高梅度假村遭受网络攻击

日期: 2023-09-13
标签: 商务服务, 米高梅度假村(MGM Resorts)

2023年9月,美国酒店和娱乐公司米高梅度假村(MGM Resorts)遭到网络攻击,关闭了米高梅酒店和赌场的系统。该事件于2023年9月10日被发现,影响了美国的酒店预订系统以及运行赌场楼层的其他IT系统。

详情

https://securityaffairs.com/150701/hacking/mgm-resorts-cyber-attack.html

https://securityaffairs.com/150701/hacking/mgm-resorts-cyber-attack.html

REPOJACKING 攻击暴露了 4,000 多个 GITHUB 存储库

日期: 2023-09-13
标签: 信息技术, GitHub, RepoJacking 攻击

2023年9月,Checkmarx研究人员发现,GitHub中的一个新漏洞可能使4,000多个软件包受到重新劫持攻击。在 RepoJacking 攻击中,攻击者在合法创建者更改用户名后声称存储库的旧用户名,然后发布同名的流氓存储库以诱骗用户下载其内容。Checkmarx 发现攻击者可以利用在 GitHub 上创建存储库和重命名用户名的过程之间的竞争条件。成功利用此漏洞会影响开源社区,因为它可以劫持 Go、PHP 和 Swift 等语言的 4,000 多个代码包,以及 GitHub 操作。

详情

https://securityaffairs.com/150713/hacking/repojacking-attack-github-repositories.html

https://securityaffairs.com/150713/hacking/repojacking-attack-github-repositories.html

Charming Kitten利用新后门Sponsor攻击巴西、以色列和阿拉伯联合酋长国

日期: 2023-09-13
标签: 巴西, 以色列, 阿拉伯联合酋长国, 政府部门, Charming Kitten, APT舆情

ESET研究人员发现了Ballistic Bobcat组织针对巴西、以色列和阿拉伯联合酋长国的多个实体的攻击行动,在分析了2022年5月在以色列受害者系统上检测到的有趣样本并按国家/地区划分了受害者范围后,发现了Sponsor后门。经过检查,发现该样本是Ballistic Bobcat组织部署的新型后门。Ballistic Bobcat的攻击行动和Sponsor后门版本之间的重叠显示了相当清晰的工具开发和部署模式,攻击目标明确,每次行动的持续时间有限。

详情

https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/

https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/

APT36利用新恶意软件攻击印度政府

日期: 2023-09-14
标签: 政府部门, APT36, APT舆情

2023年7月,Zscaler ThreatLabz发现巴基斯坦高级持续威胁组织APT36持续进行的新恶意攻击行动。APT36是一个复杂的网络威胁组织,有在南亚开展针对性的间谍活动的历史。Zscaler ThreatLabz观察到APT36针对印度政府部门使用了以前未记录的Windows RAT、新的Linux网络间谍实用程序、新的分发机制以及针对Linux环境的新攻击向量。在本博客中,将研究APT36使用的最新工具,这些工具旨在针对Windows和Linux操作系统。

详情

https://www.zscaler.com/blogs/security-research/peek-apt36-s-updated-arsenal

https://www.zscaler.com/blogs/security-research/peek-apt36-s-updated-arsenal


6
 安全漏洞



苹果在飞马攻击中修补了两个被利用的零日漏洞

日期: 2023-09-11
标签: 信息技术, CVE-2023-41064, CVE-2023-41061

2023年9月初,苹果已经修补了两个关键的零日漏洞,这些漏洞在野外被利用,以提供来自商业间谍软件制造商的窃听恶意软件。非营利性公民实验室证实,在检查了“华盛顿特区民间社会组织雇用的一名拥有国际办事处的个人”的设备后,发现了“BlastPass”漏洞利用链。它向苹果报告了调查结果,苹果及时发布了两个与漏洞利用链相关的CVE:CVE-2023-41064和CVE-2023-41061。它现在已经在更新中修复了它们。公民实验室声称,这些漏洞被用来从被列入黑名单的以色列公司NSO Group提供Pegasus间谍软件。

详情

https://www.infosecurity-magazine.com/news/apple-patches-two-zerodays-pegasus/

https://www.infosecurity-magazine.com/news/apple-patches-two-zerodays-pegasus/

思科 BroadWorks 严重漏洞可导致其平台被接管

日期: 2023-09-11
标签: 信息技术, 思科(Cisco), CVE-2023-20238

思科BroadWorks统一协作和消息传递平台中的一个关键安全漏洞可能允许攻击者完全接管该平台以及窃取大量敏感数据。BroadWorks 是一个一体化统一通信即服务 (UCaaS) 平台,包括 VoIP 呼叫、即时消息、视频呼叫、WebEx 集成等。该漏洞 (CVE-2023-20238) 存在于 BroadWorks 应用程序交付平台的某些实现中,特别是 BroadWorks Xtended服务平台,在 CVSS 漏洞严重性等级上为 10 分(满分 10 分)。

详情

https://www.darkreading.com/vulnerabilities-threats/critical-security-bug-cisco-broadworks-complete-takeover

https://www.darkreading.com/vulnerabilities-threats/critical-security-bug-cisco-broadworks-complete-takeover

攻击者可利用Microsoft ID 安全漏洞窃取签名密钥

日期: 2023-09-11
标签: 信息技术, 微软(Microsoft), Storm-0558, Microsoft

Microsoft公司的调查显示,Microsoft的几个安全漏洞使攻击者能够伪造身份验证令牌。Microsoft跟踪的间谍组织Storm-0558的攻击值得注意,因为它们涉及攻击者使用Microsoft帐户(MSA)消费者签名密钥伪造Azure AD令牌以访问企业电子邮件帐户。MSA 使用者密钥通常用于以加密方式登录到Microsoft使用者应用程序或服务,例如 Outlook.com、OneDrive 和 Xbox Live。

详情

https://www.darkreading.com/attacks-breaches/microsoft-ids-security-gaps-that-let-threat-actor-steal-signing-key

https://www.darkreading.com/attacks-breaches/microsoft-ids-security-gaps-that-let-threat-actor-steal-signing-key

CISA警告发现攻击者正在利用Fortinet和Zoho中的安全漏洞

日期: 2023-09-11
标签: 信息技术, 政府部门, Fortinet, Zoho, CVE-2022-47966

美国网络安全和基础设施安全局(CISA)警告说,民族国家行为者正在利用Fortinet FortiOS SSL-VPN和Zoho ManageEngine ServiceDesk Plus中的安全漏洞。美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和网络国家任务部队(CNMF)早在2023年1月就在一个航空部门组织中发现了妥协指标(IOC)。国家资助的黑客利用了Zoho ManageEngine中的CVE-2022-47966 RCE漏洞。CVE-2022-47966漏洞是一个未经身份验证的远程代码执行漏洞,影响了在ManageEngine设置中启用了SAML SSO的多个Zoho产品。该问题还影响了过去启用了该功能的产品。该公司于2022年10月27日解决了该漏洞。

详情

https://securityaffairs.com/150508/hacking/fortinet-fortios-zoho-attacks.html

https://securityaffairs.com/150508/hacking/fortinet-fortios-zoho-attacks.html

思科ASA和FTD中的零日漏洞在勒索软件攻击中被积极利用

日期: 2023-09-11
标签: 信息技术, 思科(Cisco), CVE-2023-20269, 零日漏洞

思科警告说,勒索软件组织积极利用自适应安全设备 (ASA) 和思科火力威胁防御 (FTD) 中的零日漏洞 (CVE-2023-20269) 来获取对企业网络的初始访问权限。未经身份验证的远程攻击者可利用此漏洞进行暴力攻击,试图识别有效的用户名和密码组合,或利用经过身份验证的远程攻击者与未经授权的用户建立无客户端 SSL VPN 会话。

详情

https://securityaffairs.com/150516/hacking/cve-2023-20269-cisco-asa-e-ftd.html

https://securityaffairs.com/150516/hacking/cve-2023-20269-cisco-asa-e-ftd.html

ADOBE 修复了 ACROBAT 和 READER 中的零日漏洞

日期: 2023-09-13
标签: 信息技术, CVE-2023-26369, 零日漏洞

2023年9月11日,Adobe Patch Tuesday 安全更新 (APSB23-34) 解决了在对 Adobe Acrobat 和 Reader 产品的攻击中被积极利用的关键零日漏洞。该漏洞被跟踪为 CVE-2023-26369,是一个越界写入内存安全问题,可被利用来在易受攻击的安装上执行任意代码。

详情

https://securityaffairs.com/150733/security/adobe-zero-day-acrobat-reader.html

https://securityaffairs.com/150733/security/adobe-zero-day-acrobat-reader.html

美国政府下令紧急修补苹果零日漏洞

日期: 2023-09-13
标签: 信息技术, 政府部门, Apple, CVE-2023-41064, iOS, 零日漏洞

2023年9月,美国网络安全和基础设施安全局(CISA)给了联邦机构不到一个月的时间来更新其iOS,iPadOS和macOS设备,以降低间谍软件攻击的风险。CISA在其已知漏洞目录中添加了两个最近发现的苹果零日漏洞,称机构必须在10月2日之前通过官方供应商更新对其进行修补,否则将停止使用这些产品。CVE-2023-41064被描述为ImageIO中的缓冲区溢出漏洞,该漏洞在处理恶意制作的图像时发生,并可能导致代码执行。它与CVE-2023-41061链接,这是Apple Wallet中的一个验证问题,其中恶意制作的附件可能导致代码执行。

详情

https://www.infosecurity-magazine.com/news/us-government-ordered-patch-apple/

https://www.infosecurity-magazine.com/news/us-government-ordered-patch-apple/

微软补丁日修复2个0day

日期: 2023-09-14
标签: 信息技术, CVE-2023-36761, CVE-2023-36802, 微软补丁日

作为2023年9月补丁的一部分,微软修补了两个在野外被积极利用的零日漏洞。第一个是CVE-2023-36761:已公开披露的Microsoft Word信息泄露漏洞。微软早在3月份就在Outlook中修补了类似的漏洞。第二个零日漏洞是CVE-2023-36802:微软流媒体服务代理中的特权提升漏洞。这可以通过利用内核驱动程序向攻击者授予系统权限。

详情

https://www.infosecurity-magazine.com/news/fixes-two-zeroday-bugs-used-attacks/

https://www.infosecurity-magazine.com/news/fixes-two-zeroday-bugs-used-attacks/

Microsoft因其云安全实践而受到审查

日期: 2023-09-14
标签: 信息技术, 微软(Microsoft), 云安全

2023年9月,Microsoft因其云安全实践而受到审查,在Azure HDInsight(该软件巨头的托管大数据分析服务)的各种Apache服务中修补了多达八个严重漏洞。根据发现漏洞的Orca Security的研究人员的说法,发现这些漏洞所花费的努力相对较少,这引发了对服务整体安全性的质疑。所有发现的漏洞都是跨站点脚本 (XSS) 漏洞,对数据和用户隐私构成重大风险。安全供应商表示,攻击者可能利用这些漏洞劫持Web会话并将用户数据置于危险之中。

详情

https://www.darkreading.com/application-security/microsoft-azure-hdinsight-xss-vulnerabilities

https://www.darkreading.com/application-security/microsoft-azure-hdinsight-xss-vulnerabilities

Kubernetes 管理员警告修补新的 RCE 漏洞

日期: 2023-09-14
标签: 信息技术, Kubernetes, RCE

两个新的高严重性Kubernetes漏洞使未打补丁集群上的所有Windows端点对具有系统权限的远程代码执行(RCE)开放。Akamai发布了一份新报告,标记了两个Kubernetes漏洞,并敦促系统管理员立即采取措施缓解。根据Akamai的报告,这一发现是基于之前对去年7月报告的视窗节点漏洞CVE-2023-3676的研究。Akamai随后的分析发现,一旦网络攻击者利用视窗节点漏洞,他们就可以转向利用这些额外的命令注入漏洞,这些漏洞在CVE-2023-3893和2023-3955下进行跟踪。

详情

https://www.darkreading.com/vulnerabilities-threats/kubernetes-admins-warned-to-patch-clusters-against-new-rce-vulns

https://www.darkreading.com/vulnerabilities-threats/kubernetes-admins-warned-to-patch-clusters-against-new-rce-vulns

云漏洞一年内猛增200%

日期: 2023-09-15
标签: 信息技术, 云安全

根据 IBM 的一份新报告,2022 年 6 月至 2023 年 6 月期间,IBM 跟踪了 632 个新的云相关漏洞 (CVE),比上一年增加了 194%。最新一批新 CVE 使供应商跟踪的总数达到 3900 个,这一数字自 2019 年以来显然翻了一番。报告显示,在当前报告期内发现的 CVE 中,超过 40% 的 CVE 可能允许攻击者获取信息 (21%) 或获得访问权限 (20%)。然而,在此期间,云泄露的首要初始访问媒介是威胁行为者使用有效凭证。报告指出,现实世界中 36% 的云事件都发生过这种情况,凭证要么在攻击过程中被发现,要么在针对特定受害者之前被盗。

详情

https://www.infosecurity-magazine.com/news/cloud-cves-surge-200-in-a-year/

https://www.infosecurity-magazine.com/news/cloud-cves-surge-200-in-a-year/

Kubernetes 漏洞可导致 WINDOWS 端点上的远程代码执行

日期: 2023-09-15
标签: 信息技术, CVE-2023-3893, CVE-2023-3955, Kubernetes

Akamai 研究人员最近在 Kubernetes 中发现了一个高严重性漏洞,编号为 CVE-2023-3676 (CVSS 8.8)。对该问题的识别导致发现了另外两个漏洞,分别为 CVE-2023-3893 和 CVE-2023-3955 (CVSS 8.8)。所有三个漏洞都是由不安全的函数调用和缺乏用户输入清理引起的。可利用该漏洞在 Kubernetes 集群内的所有 Windows 端点上以 SYSTEM 权限获取远程代码执行。攻击者可以通过在集群上应用恶意 YAML 文件来触发该问题。

详情

https://securityaffairs.com/150807/hacking/kubernetes-flaws-rce.html

https://securityaffairs.com/150807/hacking/kubernetes-flaws-rce.html


7
 安全分析



谷歌TAG揭露朝鲜针对安全研究人员的攻击活动

日期: 2023-09-11
标签: 朝鲜, 信息技术, 网络安全工作者

谷歌的威胁分析小组(TAG)揭示了一场源自朝鲜的网络活动,目标是从事漏洞研发的安全研究人员。 据报道,自2021年1月以来,TAG已经监控并挫败了这些朝鲜威胁行为者进行的多次活动。该团队在过去几周发现了至少一个零日漏洞的利用,促使TAG立即向受影响的供应商报告该问题,该供应商目前正在开发补丁。值得注意的是,谷歌尚未披露在这些攻击中利用的零日漏洞的详细信息以及易受攻击软件的名称,这可能是因为该供应商仍在修补该漏洞。

详情

https://www.infosecurity-magazine.com/news/north-korean-campaign-targets/

https://www.infosecurity-magazine.com/news/north-korean-campaign-targets/

全球一些顶尖大学网站容易受到攻击

日期: 2023-09-12
标签: 教育行业, 大学

Cybernews Research团队的一项调查显示,世界各地的许多大学,包括一些最负盛名的大学,都没有打补丁,有泄露敏感信息甚至被全面接管的风险。在发现的20个案例中,至少有六个网站属于全球前100名大学名单。Cybernews Research团队更详细地审查了20个网站,每月有数百万访问者。对来自互联网连接设备的索引信息的调查提供了网站安全性受到损害的大学列表。研究人员能够确认这些条目是准确的。

详情

https://securityaffairs.com/150596/security/top-universities-cybersecurity-failures.html

https://securityaffairs.com/150596/security/top-universities-cybersecurity-failures.html

孔夫子组织移动端最新攻击活动分析

日期: 2023-09-12
标签: 信息技术, APT舆情

安天威胁情报团队近期捕获到一批属于Confucius APT组织的移动端攻击样本,从代码结构和恶意功能上来看,属于2021年Lookout披露的该组织SunBird系列恶意载荷。此批样本仿冒Google更新框架,恶意行为包含:窃取用户照片、短信、通信录以及各个社交聊天软件记录等。经溯源发现同一ip上搭载了多个服务器后台,存在同批次分发的多个恶意载荷。通过攻击者使用的c2服务器日志登录时间,推测此次攻击活动最早始于2023年5月,目前已发现50+受害者信息,疑似出现政府和军方人员,主要受害地区为克什米尔及印度的其他区域。

详情

https://mp.weixin.qq.com/s/nMTQww-jHkdKBWFPYdfprA

https://mp.weixin.qq.com/s/nMTQww-jHkdKBWFPYdfprA

APT-C-26(Lazarus)组织使用EarlyRat的攻击活动分析

日期: 2023-09-14
标签: 信息技术, Lazarus Group, APT舆情

APT-C-26(Lazarus)是一个活跃的APT组织,其下的Andariel子组织自2009年以来一直活跃,主要对位于韩国的实体进行破坏性和以经济动机为驱动的网络攻击。近期,Kaspersky揭示了Andariel组织下新出现的恶意攻击组件——EarlyRat。为深入了解其行为模式,360高级威胁研究院对此进行了调查,并利用360安全大脑成功追踪到了EarlyRat的活动踪迹,进一步挖掘其与早期攻击活动的联系。

详情

https://mp.weixin.qq.com/s/Qr8lJrz9d7rgj9XH9vPCTg

https://mp.weixin.qq.com/s/Qr8lJrz9d7rgj9XH9vPCTg

勒索团伙开始攻击美国医疗行业

日期: 2023-09-14
标签: 卫生行业, Singing River

快速增长的Rhysidaransomware-as-a-service行动背后的威胁组织声称,8月19日的一次袭击削弱了密西西比州最大的医疗保健实体之一Singing River卫生系统的系统。2023年8月,加利福尼亚州的Prospect Medical Holdings遭到攻击,影响了全国16家医院和160多家诊所。该事件涉及面广,促使卫生部门网络安全协调中心向该行业的其他组织发出了警报。对Singing River的袭击影响了该系统的三家医院和大约10家诊所,并可能强化Rhysida作为美国医疗保健组织日益增长的威胁的信誉。这也提醒人们,勒索软件参与者对该行业的兴趣激增,尽管他们在2019年冠状病毒病大流行初期承诺远离攻击医院和其他医疗保健实体。

详情

https://www.darkreading.com/attacks-breaches/recent-rhysida-attacks-show-focus-on-healthcare-sector-by-ransomware-actors

https://www.darkreading.com/attacks-breaches/recent-rhysida-attacks-show-focus-on-healthcare-sector-by-ransomware-actors

微软发现针对企业员工的钓鱼活动

日期: 2023-09-14
标签: 信息技术, Storm-0324, 网络钓鱼

微软已经详细介绍了一个新的网络钓鱼活动,该活动主要针对企业员工。微软表示,此次活动是由出于经济动机的威胁组织 Storm-0324策划的。该组织充当网络犯罪社区的“分销商”,通过基于电子邮件的初始感染载体实现初始网络危害后,分销其他攻击者的有效载荷。根据微软的说法,自2019年以来,该组织主要发布了 JSSLoader,移交了对勒索软件组织 Sangria Tempest 的访问权。

详情

https://www.infosecurity-magazine.com/news/microsoft-teams-phishing-campaign/

https://www.infosecurity-magazine.com/news/microsoft-teams-phishing-campaign/

报告显示英国政府严重缺乏网络安全专家

日期: 2023-09-14
标签: 政府部门, 网络安全工作者

英国议会公共账户委员会的一份新报告发现,英国政府严重缺乏网络安全专家,使关键服务面临网络攻击的高风险。该委员会揭示了公务员队伍中严重的数字技能短缺,公务员队伍中的数字、数据和技术专业人员数量不到其所需数量的一半。目前,这些工人在政府中的比例约为4.5%,而同等行业平均水平在8%至12%之间。这些数字与英国政府2023年7月发布的《英国劳动力市场2023年网络安全技能报告》的调查结果一致,该报告发现50%的英国企业存在基本网络安全技能差距,33%的企业存在高级网络安全技能差距。

详情

https://www.infosecurity-magazine.com/news/lack-cyber-experts-uk-government/

https://www.infosecurity-magazine.com/news/lack-cyber-experts-uk-government/

新证据!网攻西工大的神秘黑客身份被锁定,“间谍软件”是关键

日期: 2023-09-15
标签: 教育行业, APT舆情

近日,国家计算机病毒应急处理中心和360公司对名为“二次约会”(SecondDate)的“间谍”软件进行了技术分析,该“间谍”软件针对基于FreeBSD、Linux、Sun Solaris、Juniper JunOS等平台的路由器等网关设备平台,可实现网络流量窃听劫持、中间人攻击、插入恶意代码等恶意功能,从而与其它“间谍”软件配合完成复杂的网络“间谍”活动。在国家计算机病毒应急处理中心会同360公司配合侦办西北工业大学被美国国家安全局(NSA)网络攻击案过程中,成功提取了这款间谍软件的多个样本,并锁定了这起网络“间谍”行动背后美国国家安全局(NSA)工作人员的真实身份。

详情

https://mp.weixin.qq.com/s/q287vb0sC8xFCrmSoR-O7w

https://mp.weixin.qq.com/s/q287vb0sC8xFCrmSoR-O7w

米高梅赌场的 ESXi 服务器据称在勒索软件攻击中被加密

日期: 2023-09-15
标签: 旅游业, 米高梅度假村, BlackCat (ALPHV), BlackCat

BlackCat 勒索软件组织的一个附属机构(也称为 APLHV)是此次攻击的幕后黑手, 该攻击扰乱了米高梅度假村的运营,迫使该公司关闭 IT 系统。2023年8月13日,BlackCat 勒索软件组织在一份声明中声称,自周五以来,他们已经渗透到 MGM 的基础设施中,并在该公司摧毁了内部基础设施后对 100 多个 ESXi 虚拟机管理程序进行了加密。该团伙表示,他们从网络中窃取数据,并保持对米高梅部分基础设施的访问,并威胁称,除非达成协议支付赎金,否则他们将发动新的攻击。

详情

https://www.bleepingcomputer.com/news/security/mgm-casinos-esxi-servers-allegedly-encrypted-in-ransomware-attack/

https://www.bleepingcomputer.com/news/security/mgm-casinos-esxi-servers-allegedly-encrypted-in-ransomware-attack/

境外APT团伙连续两年在攻防演练活动中浑水摸鱼

日期: 2023-09-15
标签: 信息技术, APT-Q-77, APT舆情, 钓鱼邮件

奇安信威胁情报中心在最近的威胁狩猎中捕获到了一封极其抽象的钓鱼邮件,邮件标题为《奇安信HVV2023安全风险通告》,发件人伪造奇安信m-team运营团队向重点客户投递钓鱼邮件,邮件内容为海莲花组织木马的专杀工具和检测文档,后续经过溯源确认是APT-Q-77团伙所为。

详情

https://mp.weixin.qq.com/s/G9BHQ2OF0iXa9lzY-lPFeg

https://mp.weixin.qq.com/s/G9BHQ2OF0iXa9lzY-lPFeg


8
 行业动向



五角大楼敦促美国组织在网络防御方面开展合作

日期: 2023-09-12
标签: 政府部门, 网络安全

2023年9月7日,美国五角大楼首席副信息官莱斯利·A·比弗斯在华盛顿举行的FedTalks活动上进行了讨论。他强调,在应对新出现的网络威胁方面,合作的必要性十分迫切。比弗斯警告称,这些挑战不仅限于政府,还构成了更广泛的社会威胁。海狸强调了美国国防部因其广阔的攻击面而面临的脆弱性,强调了集体防御方法的必要性。她概述了国防部内部正在进行的努力,包括信息技术架构和用户体验的现代化举措。

详情

https://www.infosecurity-magazine.com/news/pentagon-urges-cyber-defense-collab/

https://www.infosecurity-magazine.com/news/pentagon-urges-cyber-defense-collab/

英国ICO和NCSC将共享匿名威胁情报

日期: 2023-09-14
标签: 政府部门, 情报共享

英国的数据保护监管机构及其领先的安全机构签署了一项协议,在网络事件方面进行更紧密的合作,以使该国成为世界上最安全的经商场所。信息专员办公室(ICO)和国家网络安全中心(NCSC)签署的谅解备忘录(MoU)表明在多个方面进行了更密切的合作。ICO表示,它将鼓励报告违规行为的组织与NCSC更紧密地接触,以加强事件响应。它还将寻找方法来展示与该机构的“有意义的接触”如何有助于减少潜在的监管罚款。

详情

https://www.infosecurity-magazine.com/news/ico-ncsc-share-anonymized-threat/

https://www.infosecurity-magazine.com/news/ico-ncsc-share-anonymized-threat/

CISA发布增强开源安全性的计划

日期: 2023-09-14
标签: 信息技术, 政府部门, 美国网络安全和基础设施安全局 (CISA), CISA

美国一家领先的安全机构发布了一项期待已久的计划,详细说明了它将如何增强联邦政府和整个生态系统的开源安全性。2023年9月12日,美国网络安全和基础设施安全局(CISA)开源软件安全路线图在安全开源峰会上发布。根据一项估计,解决开源软件中的网络风险是拜登政府的一个关键优先事项,因为 96% 的代码库包含开源代码。CISA警告了两个关键风险:Log4j等开源组件漏洞的“级联”影响,以及对开源存储库的供应链攻击,其中包括试图破坏开发人员帐户和/或将后门恶意软件滑入软件包的攻击者。

详情

https://www.infosecurity-magazine.com/news/cisa-plan-enhance-open-source/

https://www.infosecurity-magazine.com/news/cisa-plan-enhance-open-source/

美国提高对医疗设备网络安全的要求

日期: 2023-09-14
标签: 卫生行业, 制造业, 医疗设备

2023年上半年来,美国的医疗设备制造商不得不遵守旨在加强医疗设备抵御网络攻击的新网络安全法规,但美国食品和药物管理局迄今基本上没有使用其“拒绝接受”权力。 10月1日, FDA的宽限期将结束。FDA表示,在宽限期内,它将尽量不使用自己的能力,拒绝接受缺乏适当网络安全控制和上市后修补功能的医疗设备。医疗网络设备制造商现在必须提交监控和修补上市后网络安全漏洞的计划,制定设备安全设计和开发流程,并向FDA提供软件材料清单(SBOM)。

详情

https://www.darkreading.com/iot/federal-mandates-on-medical-device-cybersecurity-mandate-get-serious

https://www.darkreading.com/iot/federal-mandates-on-medical-device-cybersecurity-mandate-get-serious


9
 勒索攻击



勒索软件攻击抹去了斯里兰卡政府四个月的数据

日期: 2023-09-12
标签: 政府部门, 斯里兰卡政府

对影响斯里兰卡政府云系统的大规模勒索软件攻击的调查已经开始。调查由斯里兰卡计算机应急准备小组和协调中心(CERT|CC)进行。斯里兰卡信息和通信技术署(ICTA)于2023年9月11日向几家当地新闻媒体证实了这次袭击。攻击可能始于2023年8月26日,当时一位gov[dot]lk域用户表示他们在过去几周收到了可疑链接,并且可能有人点击了一个。LGC服务和备份系统被迅速加密。ICTA首席执行官Mahesh Perera估计,使用“gov[dot]lk”电子邮件域的所有5000个电子邮件地址,包括内阁办公室使用的电子邮件地址,都受到了影响。

详情

https://www.infosecurity-magazine.com/news/ransomware-sri-lanka-government/

https://www.infosecurity-magazine.com/news/ransomware-sri-lanka-government/

RHYSIDA 勒索软件团伙声称已经入侵了另外三家美国医院

日期: 2023-09-12
标签: 卫生行业, Rhysida

2023年9月初,Rhysida 勒索软件组织在 PROSPECT 医疗攻击后在其 Tor 泄漏站点的受害者名单中又增加了三家美国医院。2023年8月初,一场网络攻击破坏了Prospect Medical Holdings运营的多家医院的计算机系统,这些医院位于美国多个州,包括加利福尼亚州,德克萨斯州,康涅狄格州,罗德岛州和宾夕法尼亚州。几个州多家医院的一些急诊室被迫关闭,救护车由于网络受到攻击而改道。该组织声称窃取了一个包含500万个社会安全号码,公司文件和患者记录的数据库。

详情

https://securityaffairs.com/150585/cyber-crime/rhysida-ransomware-us-hospitals.html

https://securityaffairs.com/150585/cyber-crime/rhysida-ransomware-us-hospitals.html

Lazarus Group在供应链攻击中瞄准macOS

日期: 2023-09-12
标签: 信息技术, Apple, Lazarus Group, macOS

2023年9月,网络安全公司ESET检测到针对macOS设备的重大供应链攻击。据报道,以先进的网络操作而闻名的拉扎勒斯集团是此次违规的幕后黑手。该攻击始于2023年3月,涉及破坏X_TRADER软件和3CX手机系统应用程序,影响到视窗和苹果操作系统平台用户。虽然与视窗设备相比,苹果操作系统历来不太容易受到恶意软件的攻击,但ESET的遥测数据显示,在此事件发生后,检测到的恶意软件显著增加。2023年上半年,潜在有害应用程序(PUA)占所有苹果操作系统检测的近一半。

详情

https://www.infosecurity-magazine.com/news/lazarus-group-targets-macos-supply/

https://www.infosecurity-magazine.com/news/lazarus-group-targets-macos-supply/

以色列医院遭受勒索软件攻击,1TB 数据被盗

日期: 2023-09-13
标签: 卫生行业, Ragnar Locker, 以色列医院

2023年9月11日,袭击以色列医院的网络攻击者已经开始发布其在违规行为中收集的敏感数据。2023年8月初,Ragnar Locker团伙袭击了特拉维夫郊外Bnei Brak的Mayanei Hayeshua医疗中心。在最近关于X(以前称为Twitter)的帖子中,该组织声称它没有“运行任何加密以避免设备故障或必要的仪器”,因为受害者是一家医疗机构。该组织能够获取 1TB 的数据,其中包括一个完整的 SQL 数据库和大量带有内部通信的 .pst 文件。攻击者表示,他们正在发布从医院获取的第一批文件,其中包括“大量个人信息,内部电子邮件,财务,医疗卡”以及更多高度敏感的数据。

详情

https://www.darkreading.com/dr-global/israeli-hospital-hit-by-attackers-1tb-data-stolen

https://www.darkreading.com/dr-global/israeli-hospital-hit-by-attackers-1tb-data-stolen

奥克兰交通局遭受疑似勒索软件攻击

日期: 2023-09-15
标签: 奥克兰, 政府部门, 交通运输, 新西兰奥克兰交通局 (AT)

新西兰奥克兰交通局 (AT) 正在处理因网络事件造成的大范围停电,影响了广泛的客户服务。AT 是奥克兰地区政府拥有的地区交通管理局,负责渡轮、公共汽车和火车等公共交通,以及设计和建设道路和其他基础设施。2023年9月14日,该公司宣布,由于网络事件影响了部分网络,其 HOP 服务(集成票务和票价系统)遇到问题。

详情

https://www.bleepingcomputer.com/news/security/auckland-transport-authority-hit-by-suspected-ransomware-attack/

https://www.bleepingcomputer.com/news/security/auckland-transport-authority-hit-by-suspected-ransomware-attack/

Caesars娱乐客户数据被盗并确认支付赎金

日期: 2023-09-15
标签: 商务服务, 文化传播, 金融业, Caesars娱乐公司, 赌场数据

Caesars娱乐公司是美国最大的连锁赌场,拥有业内最广泛的忠诚度计划,该公司表示,它支付了赎金,以避免在最近的网络攻击中被盗的客户数据在线泄露。Caesars 于 9 月 7 日发现,攻击者窃取了其忠诚度计划数据库,该数据库存储了许多客户的驾驶执照号码和社会安全号码。Caesars娱乐仍在调查未经授权的行为者获取的文件中包含的任何其他个人或其他敏感信息的范围。迄今为止,没有证据表明未经授权的行为者获取了任何会员密码/PIN、银行账户信息或支付卡信息 (PCI)。

详情

https://www.bleepingcomputer.com/news/security/caesars-entertainment-confirms-ransom-payment-customer-data-theft/

https://www.bleepingcomputer.com/news/security/caesars-entertainment-confirms-ransom-payment-customer-data-theft/


10
 其他事件



英国监管机构将调查生育应用程序安全问题

日期: 2023-09-11
标签: 信息技术, 英国数据保护监管机构, APP, 移动安全

英国数据保护监管机构将审查经期和生育跟踪应用程序如何处理用户信息,此前透露许多女性有担忧。英国信息专员办公室(ICO)表示,它已联系了许多这些应用程序的开发人员以了解更多信息。监管机构声称,在最近的一项民意调查中,超过一半的女性表示,在选择应用程序时,使用数据(59%)和数据安全性(57%)的透明度比成本(55%)和易用性(55%)更大。此外,超过一半的应用程序用户声称,自注册以来,他们注意到与婴儿或生育相关的广告有所增加。根据ICO的数据,尽管有些人对这些广告持积极态度,但17%的人将其描述为“令人痛苦”。

详情

https://www.infosecurity-magazine.com/news/regulator-fertility-app-security/

https://www.infosecurity-magazine.com/news/regulator-fertility-app-security/

俄罗斯男子因黑客计划被判处九年徒刑

日期: 2023-09-11
标签: 信息技术, 企业黑客

美国一家法院判处一名俄罗斯攻击者九年监禁,罪名是一项精心策划的企业黑客计划,该计划诈骗了美国企业约9300万美元。来自俄罗斯莫斯科的42岁的Vladislav Klyushin也被勒令没收34,065,419美元并支付赔偿金,金额将由马萨诸塞州波士顿的联邦法院稍后确定。此前,克劳申于2023年2月被陪审团判定犯有证券欺诈、电汇欺诈、未经授权访问计算机以及共谋犯下这些罪行。陪审团发现,克柳辛侵入了两家美国申报代理的计算机网络,上市公司利用这些代理通过美国证券交易委员会(SEC)进行季度和年度申报。

详情

https://www.infosecurity-magazine.com/news/russian-nine-year-sentence-hacking/

https://www.infosecurity-magazine.com/news/russian-nine-year-sentence-hacking/

SCARCRUFT利用福岛核废水排放话题进行攻击活动

日期: 2023-09-11
标签: 政府部门, 信息技术, APT舆情

近期,安恒猎影实验室再次捕获ScarCruft利用福岛核废水排放话题针对韩国用户的CHM攻击样本。此次,ScarCruft依然以CHM文件执行远程代码的方式进行钓鱼邮件攻击,后续下发Chinotto后门,后门主要功能依旧为窃取本机文件上传,对比上个版本新增了计划任务创建功能以及文件删除功能,具有更好的持久化驻留以及入侵痕迹清除能力。

详情

https://starmap.dbappsecurity.com.cn/blog/articles/2023/09/06/scarcruft-fukushima/

https://starmap.dbappsecurity.com.cn/blog/articles/2023/09/06/scarcruft-fukushima/

攻击者滥用Google Looker Studio来规避DMARC

日期: 2023-09-12
标签: 信息技术, 谷歌(Google), 加密货币, 网络钓鱼攻击, Looker Studio

攻击者正在滥用谷歌的Looker Studio数据可视化工具来提供网络钓鱼诱饵页面,最终窃取金钱和凭证。Google Looker Studio是一种基于网络的工具,可以将幻灯片、电子表格等信息转换为图表等可视化数据。Check Point的研究人员发现了商业电子邮件诈骗(BEC)活动,并在过去几周内活跃起来。该活动使用该工具在一次社会工程攻击中构建cryptocurrency-themed页面。攻击者发送的电子邮件似乎直接来自谷歌,其中包含据称提供加密货币投资策略的报告的链接,并鼓励用户点击链接登录他们的账户以获取更多信息。

详情

https://www.darkreading.com/endpoint/phishers-abuse-google-looker-studio-dmarc-email-security

https://www.darkreading.com/endpoint/phishers-abuse-google-looker-studio-dmarc-email-security

AKAMAI 阻止了针对美国金融公司的最大 DDOS 攻击

日期: 2023-09-12
标签: 金融业, 分布式拒绝服务 (DDoS) 攻击

2023年9月10日,网络安全公司 Akamai 表示成功识别并阻止了针对一家未具名的美国领先金融机构的大规模分布式拒绝服务 (DDoS) 攻击。攻击发生在2023年9月初,恶意流量达到每秒633.7千兆位的峰值。攻击持续了不到 2 分钟,并被Akamai公司主动缓解。攻击美国金融机构的十大恶意流量来源来自保加利亚、巴西、中国、印度、美国、泰国、俄罗斯、乌克兰、越南和日本。

详情

https://securityaffairs.com/150570/cyber-crime/largest-ddos-us-financial-company.html

https://securityaffairs.com/150570/cyber-crime/largest-ddos-us-financial-company.html

Charming Kitten瞄准以色列组织

日期: 2023-09-12
标签: 以色列, 政府部门, 信息技术, Charming Kitten, Microsoft Exchange服务器

在2022年和2023年里,一名伊朗国家支持的黑客组织已经入侵了32个运行未打补丁的Microsoft Exchange服务器的以色列组织,并在此过程中部署了一个新的后门。Charming Kitten——也被称为TA453, Phosphorus,和Ballistic Bobcat ——是由伊朗伊斯兰共和国赞助的一个有十多年历史的APT。在2023年9月的一次活动中,Charming Kitten采取了所谓的“扫描和利用”方法,对以色列似乎任何仍在运行未打补丁的微软交换服务器的组织(加上巴西的一个和阿联酋的另一个)部署了新的后门“赞助商”。

详情

https://www.darkreading.com/dr-global/irans-charming-kitten-israeli-exchange-servers

https://www.darkreading.com/dr-global/irans-charming-kitten-israeli-exchange-servers

“Anonymous Sudan”将目光投向DDoS攻击中的Telegram

日期: 2023-09-13
标签: 信息技术, Telegram, Anonymous Sudan

在免费、加密、基于云的消息服务电报发起暂停黑客组织匿名苏丹的主要账户后,该组织对该平台发起了分布式拒绝服务攻击。该组织自2023年初以来一直很活跃,但在对微软365发起DDoS攻击后声名鹊起,影响了微软Azure、Outlook和Teams等。过去,该组织还针对X(以前称为推特)进行DDoS攻击,试图向苏丹推出斯达领科服务施压。虽然尚不清楚该组织为何在Telegram上被禁止,但SOCRadar推测这可能与它对X的攻击或对机器人账户的使用有关。SOCRadar指出,该组织的主要动机是宗教和政治原因,但它对Telegram的攻击似乎只是一种报复行动。

详情

https://www.darkreading.com/attacks-breaches/anonymous-sudan-sets-sights-telegram-ddos-attack

https://www.darkreading.com/attacks-breaches/anonymous-sudan-sets-sights-telegram-ddos-attack

伊朗黑客利用密码喷洒攻击破坏美国防御机构

日期: 2023-09-15
标签: 伊朗, 美国, 国际组织, 政府部门, 金融业, 科研服务, APT33(又名 Peach Sandstorm、HOLMIUM 或 Refined Kitten), 密码喷洒攻击

微软表示,自 2023 年 2 月以来,一个伊朗支持的威胁组织已针对美国和世界各地的数千个组织发起了密码喷洒攻击。国家黑客还从国防、卫星和制药领域的有限数量的受害者那里窃取了敏感信息。该网络间谍组织被追踪为 APT33(又名 Peach Sandstorm、HOLMIUM 或 Refined Kitten),至少自 2013 年以来一直活跃,攻击美国各个垂直行业(包括政府、国防、研究、金融和工程)的实体。微软威胁情报团队表示:“2023 年 2 月至 7 月期间,Peach Sandstorm 发起了一波密码喷射攻击,试图对数千个环境进行身份验证。 ”

详情

https://www.bleepingcomputer.com/news/security/iranian-hackers-breach-defense-orgs-in-password-spray-attacks/

https://www.bleepingcomputer.com/news/security/iranian-hackers-breach-defense-orgs-in-password-spray-attacks/


11
 产品侧解决方案



若想了解更多信息或有相关业务需求,可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台(TIP)

360威胁情报平台(TIP)一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测;可以自动化识别报警中的重点事件;还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力,帮助组织全面应对数字时代的安全风险。


12
 时间线



2023-09-11 360CERT发布安全周报


13
 特制报告相关说明



一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT推出了安全通告特制版报告订阅服务,以便用户做资料留存、传阅研究与查询验证。

今后特制报告将不再提供公开下载,用户可扫描下方二维码进行服务订阅。


360CERT

https://cert.360.cn/

进入官网查看更多资讯

长按扫码关注我们


点击在看,进行分享

本文分享自微信公众号 - 三六零CERT(CERT-360)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
加载中
点击引领话题📣 发布并加入讨论🔥
0 评论
0 收藏
0
分享
AI总结
返回顶部
顶部