安全事件周报 2023-09-18 第38周

原创
2023/09/25 16:27
阅读数 117


赶紧点击上方话题进行订阅吧!

报告编号:CERT-R-2023-429

报告来源:360CERT

报告作者:360CERT

更新日期:2023-09-25


1
 事件导览



本周收录安全热点54项,话题集中在安全分析安全漏洞数据安全,主要涉及的实体有:TikTok(抖音)微软(Microsoft)GitHub等,主要涉及的黑客组织有:BlackCat (ALPHV)BlackCat (ALPHV)Gold Melody等。360CERT建议使用360安全卫士进行病毒检测,并做好资产自查以及预防工作,以免遭受黑客攻击。


2
 事件目录



恶意软件
Bumblebee 恶意软件卷土重来
用于网络间谍攻击的新型 SprySOCKS Linux 恶意软件分析
黑客利用新的 HTTPSnoop 恶意软件对电信提供商进行后门攻击
P2PInfect 僵尸网络活动因恶意软件变体激增 600 倍
WinRAR漏洞的虚假PoC隐藏 VenomRAT 恶意软件
BBTok 银行木马冒充 40 多家银行劫持受害者账户
数据安全
泰国数字金融平台CardX遭受数据泄露
美国软件公司Retool遭受网络攻击后数据泄露
CLOP 团伙窃取美国北卡罗来纳州主要医院的数据
不安全的 Azure 存储泄露 38TB 私人数据
FBI 黑客 USDOD 泄露高度敏感的 TRANSUNION 数据
微软AI研究部门意外泄露38TB敏感数据
澳大利亚必胜客193,000 名顾客数据泄露
网络攻击
国际刑事法院(ICC)的系统被入侵
德国情报机构警告网络攻击可能针对液化天然气(LNG)终端
网络攻击导致高乐氏 (Clorox) 产品短缺
安全漏洞
数千台瞻博网络设备容易受到未经身份验证的 RCE 漏洞的影响
趋势科技修复了端点保护0day漏洞
GitLab 敦促用户安装针对关键管道漏洞的安全更新
卡塔尔网络负责人对 Mozilla RCE 漏洞发出警告
T-Mobile 应用程序漏洞能让用户查看其他人的帐户信息
趋势科技修补了 APEX ONE 中经常被利用的零日漏洞
苹果紧急更新修复在野利用的 3 个新的零日漏洞
海康威视对讲机存在窥探风险
安全分析
Konni APT 利用 WinRAR 漏洞(CVE-2023-38831)首次攻击数字货币行业
美国Airbus数据泄露可能源于盗版软件
APT33攻击卫星和国防部门
攻击者声称攻击米高梅度假村时利用了Okta 代理
APT36 国家黑客使用 YouTube 应用克隆感染 Android 设备
支付卡盗取活动针对北美网站
英国公民一年内因诈骗损失 93 亿美元
FBI、CISA 对“Snatch”勒索软件即服务发出联合警告
美国政府发出Snatch勒索软件警告
恶意机器人攻击每年造成的损失翻倍至 8600 万美元
行业动向
Telegram 整合加密钱包
Microsoft Edge 即将下线平板电脑友好的“Web Select”功能
Microsoft 将于 2026 年 10 月开始停用 Exchange Web 服务
Signal 在其 E2EE 消息传递协议中添加了抗量子加密
英国与美国确认个人数据传输协议
GitHub 密钥通常可用于无密码登录
思科以 28B 美元收购 Splunk 进军 SIEM
其他事件
TikTok出现大量以“埃隆·马斯克”为主题的加密货币赠品骗局
BlackCat 勒索软件利用 Sphynx 加密器攻击 Azure 存储
TIKTOK 因侵犯儿童隐私被爱尔兰 DPC 罚款 3.45 亿欧元
非法博彩团伙利用卫星技术来独家报道结果
LockBit 使用 RMM 传播勒索软件
诈骗团伙通过“宰猪”加密骗局在三周内窃取超过 100 万美元
TikTok 因儿童数据隐私违规被罚款 3.68 亿美元
Transparent Tribe利用CapraRAT模仿YouTube劫持Android手机
Celsius加密货币破产案的索赔人成为网络钓鱼攻击的目标
芬兰当局关停暗网毒品市场
SHROUDEDSNOOPER 黑客组织瞄准中东电信公司
APT-C-23(双尾蝎)持续对中东地区发起攻击
“Gold Melody”黑客组织分析

3
 恶意软件



Bumblebee 恶意软件卷土重来

日期: 2023-09-19
标签: 信息技术, Bumblebee, WebDAV

恶意软件加载程序“Bumblebee”发起了一场新的活动,该活动采用了滥用 4shared WebDAV 服务的新分发技术。WebDAV(Web 分布式创作和版本控制)是 HTTP 协议的扩展,使客户端能够执行远程创作操作,例如创建、访问、更新和删除 Web 服务器内容。Intel471 的研究人员报告称,Bumblebee 于 2023 年 9 月 7 日开始的最新活动滥用 4shared WebDAV 服务来分发加载程序、容纳攻击链并执行多项感染后操作。滥用合法且知名的文件托管服务提供商 4shared 平台可帮助 Bumblebee 运营商规避黑名单并享受高基础设施可用性。同时,WebDAV 协议为他们提供了多种绕过行为检测系统的方法,并具有简化分发、轻松负载切换等附加优势。

详情

https://www.bleepingcomputer.com/news/security/bumblebee-malware-returns-in-new-attacks-abusing-webdav-folders/

https://www.bleepingcomputer.com/news/security/bumblebee-malware-returns-in-new-attacks-abusing-webdav-folders/

用于网络间谍攻击的新型 SprySOCKS Linux 恶意软件分析

日期: 2023-09-19
标签: 信息技术, Earth Lusca, SprySOCKS, Linux 恶意软件

据观察,一名被追踪为“Earth Lusca”的黑客利用名为“SprySOCKS”的新 Linux 后门针对多个国家的政府机构。趋势科技 对新型后门的分析 表明,它源自 Trochilus 开源 Windows 恶意软件,其许多功能被移植到 Linux 系统上。然而,该恶意软件似乎是多种恶意软件的混合物,因为 SprySOCKS 的命令和控制服务器 (C2) 通信协议类似于 Windows 后门 RedLeaves。相比之下,交互式 shell 的实现似乎源自 Linux 恶意软件 Derusbi。

详情

https://www.bleepingcomputer.com/news/security/new-sprysocks-linux-malware-used-in-cyber-espionage-attacks/

https://www.bleepingcomputer.com/news/security/new-sprysocks-linux-malware-used-in-cyber-espionage-attacks/

黑客利用新的 HTTPSnoop 恶意软件对电信提供商进行后门攻击

日期: 2023-09-20
标签: 信息技术, HTTPSnoop, PipeSnoop, 中东电信服务

名为 HTTPSnoop 和 PipeSnoop 的新恶意软件用于针对中东电信服务提供商的网络攻击,允许攻击者在受感染的设备上远程执行命令。HTTPSnoop 恶意软件与 Windows HTTP 内核驱动程序和设备交互,根据特定的 HTTP(S) URL 在受感染端点上执行内容,并且 PipeSnoop 接受并执行来自命名管道的任意 shellcode。根据 Cisco Talos 的一份报告,这两个植入程序属于名为“ShroudedSnooper”的同一入侵集,但在渗透级别方面服务于不同的操作目标。这两个植入程序都伪装成 Palo Alto Networks Cortex XDR 产品的安全组件来逃避检测。

详情

https://www.bleepingcomputer.com/news/security/hackers-backdoor-telecom-providers-with-new-httpsnoop-malware/

https://www.bleepingcomputer.com/news/security/hackers-backdoor-telecom-providers-with-new-httpsnoop-malware/

P2PInfect 僵尸网络活动因恶意软件变体激增 600 倍

日期: 2023-09-21
标签: 信息技术, P2PInfect

P2PInfect 僵尸网络蠕虫从 8 月下旬开始经历一段活动量大幅增加的时期,然后在 2023 年 9 月再次回升。P2PInfect 于 2023 年 7 月首次被Unit 42记录为一种点对点恶意软件,该恶意软件利用暴露在互联网上的 Windows 和 Linux 系统上的远程代码执行缺陷来破坏 Redis 实例。 自 2023 年 7 月下旬以来一直关注该僵尸网络的 Cado 2023年9月20日,Security 研究人员报告称,发现了该僵尸网络的全球活动,其中大多数违规行为影响了中国、美国、德国、新加坡、香港、英国和日本的系统。此外,Cado 表示,最新的 P2PInfect 样本进行了添加和改进,使其更有能力传播到目标并展示恶意软件的持续开发。

详情

https://www.bleepingcomputer.com/news/security/p2pinfect-botnet-activity-surges-600x-with-stealthier-malware-variants/

https://www.bleepingcomputer.com/news/security/p2pinfect-botnet-activity-surges-600x-with-stealthier-malware-variants/

WinRAR漏洞的虚假PoC隐藏 VenomRAT 恶意软件

日期: 2023-09-21
标签: 信息技术, GitHub, VenomRAT, CVE-2023-40477

网络犯罪对木马化的倾向有了新的转变,一个攻击者最近抓住了一个“热门”漏洞披露,创建了一个隐藏 VenomRAT 恶意软件的虚假概念验证 (PoC) 漏洞。根据Palo Alto Networks 的研究,这名名为“whalersplonk”的网络攻击者利用了 8 月 17 日公开的 WinRAR 中一个远程代码执行 (RCE) 安全漏洞 (CVE-2023-40477)。攻击者很快就该漏洞收集了一个令人信服但虚假的 PoC,并在同一周将其推送到 GitHub 存储库。研究人员表示,该 PoC 是可信的,因为它基于一个公开可用的 PoC 脚本,该脚本针对名为 GeoServer 的应用程序中的 SQL 注入漏洞。事实上,一旦打开,它就会启动一条感染链,最终将 VenomRAT 有效负载安装在受害者计算机上。

详情

https://www.darkreading.com/application-security/fake-winrar-poc-exploit-conceals-venomrat-malware

https://www.darkreading.com/application-security/fake-winrar-poc-exploit-conceals-venomrat-malware

BBTok 银行木马冒充 40 多家银行劫持受害者账户

日期: 2023-09-22
标签: 信息技术, 金融业, 拉丁美洲, BBTok, 双因素身份验证 (2FA), 银行客户

2023年9月,攻击者利用现有银行木马的新变种瞄准了拉丁美洲的数百家银行客户,该变种复制了 40 多家墨西哥和巴西银行的界面。该活动旨在诱骗受感染的受害者放弃双因素身份验证 (2FA) 和/或支付卡详细信息,以便攻击者可以劫持他们的银行账户。Check Point Software 的研究人员在9 月 20 日的博客文章中透露,这一活跃活动(最初的感染媒介是网络钓鱼)旨在向墨西哥和巴西的受害者传播 BBTok 银行恶意软件的变种。

详情

https://www.darkreading.com/endpoint/bbtok-banking-trojan-impersonates-40-banks-to-hijack-victim-accounts

https://www.darkreading.com/endpoint/bbtok-banking-trojan-impersonates-40-banks-to-hijack-victim-accounts


4
 数据安全



泰国数字金融平台CardX遭受数据泄露

日期: 2023-09-18
标签: 金融业, CardX

据CardX官网9月15日发布的声明称,该公司经历了一次网络安全事件,泄露了与个人贷款和现金卡申请相关的个人信息。此信息包括客户的名字和姓氏、地址、电话号码和电子邮件。公司保证该信息不会用于金融交易。CardX建议客户警惕欺诈者,他们可能会通过电话、短信或欺诈性电子邮件与他们联系。

详情

https://securityaffairs.com/150939/data-breach/cardx-data-leak-thailand.html

https://securityaffairs.com/150939/data-breach/cardx-data-leak-thailand.html

美国软件公司Retool遭受网络攻击后数据泄露

日期: 2023-09-18
标签: 信息技术, Retool , 社会工程攻击

软件公司 Retool 表示,在一次有针对性的多阶段社会工程攻击后,27 名云客户的帐户遭到泄露。Retool 的开发平台被从初创公司到财富 500 强企业的各种公司用来构建商业软件,包括亚马逊、梅赛德斯-奔驰、DoorDash、NBC、Stripe 和 Lyft。所有被劫持的账户都属于加密货币行业的客户。该攻击发生在 8 月 27 日,攻击者利用短信网络钓鱼和社交工程绕过多个安全控制,入侵了一名 IT 员工的 Okta 帐户。该攻击使用了冒充 Retool 内部身份门户的 URL,并在之前宣布的登录迁移到 Okta 期间发起。

详情

https://www.bleepingcomputer.com/news/security/retool-blames-breach-on-google-authenticator-mfa-cloud-sync-feature/

https://www.bleepingcomputer.com/news/security/retool-blames-breach-on-google-authenticator-mfa-cloud-sync-feature/

CLOP 团伙窃取美国北卡罗来纳州主要医院的数据

日期: 2023-09-18
标签: 卫生行业, 信息技术, CLOP, CVE-2023-34362

微软旗下的医疗技术公司 Nuance 透露,作为Progress MOVEit Transfer 活动的一部分,Clop 勒索团伙窃取了北卡罗来纳州主要医院的个人数据。MOVEit Transfer 是一种托管文件传输,企业可以使用它通过 SFTP、SCP 和基于 HTTP 的上传来安全地传输文件。Microsoft 认为是 Clop 勒索软件团伙 (又名 Lace Tempest )发起了利用MOVEit Transfer平台中的 零日漏洞(编号为CVE-2023-34362 )的活动 。

详情

https://securityaffairs.com/150949/cyber-crime/north-carolina-hospitals-data-breach.html

https://securityaffairs.com/150949/cyber-crime/north-carolina-hospitals-data-breach.html

不安全的 Azure 存储泄露 38TB 私人数据

日期: 2023-09-19
标签: 信息技术, 微软(Microsoft), Azure, GitHub

从 2020 年 7 月开始,微软人工智能研究部门在向公共 GitHub 存储库贡献开源人工智能学习模型时意外泄露了数十 TB 的敏感数据。2023年8月,云安全公司 Wiz 发现了这一点,该公司的安全研究人员发现,一名 Microsoft 员工无意中共享了包含泄露信息的配置错误的 Azure Blob 存储桶的 URL。微软将数据泄露与使用过于宽松的共享访问签名(SAS)令牌联系起来,该令牌允许对共享文件进行完全控制。

详情

https://www.bleepingcomputer.com/news/microsoft/microsoft-leaks-38tb-of-private-data-via-unsecured-azure-storage/

https://www.bleepingcomputer.com/news/microsoft/microsoft-leaks-38tb-of-private-data-via-unsecured-azure-storage/

FBI 黑客 USDOD 泄露高度敏感的 TRANSUNION 数据

日期: 2023-09-20
标签: 金融业, 信息技术, 美国消费者

TransUnion 是一家美国消费者信用报告机构。TransUnion 收集并汇总了 30 多个国家/地区超过 10 亿个人消费者的信息,其中包括“2 亿份文件,分析了美国几乎所有信用活跃的消费者”。一个绰号为“ USDoD ”的攻击者宣布泄露了据称从信用报告机构窃取的高度敏感数据。泄露的数据库大小超过 3GB,包含约 58,505 人的敏感 PII,遍布全球,包括美国和欧洲。据报告此次泄露的研究人员vx-underground称,该档案包含可追溯到 2022 年 3 月 2 日的数据,这可能是数据泄露的数据。

详情

https://securityaffairs.com/150968/data-breach/transunion-data-leak.html

https://securityaffairs.com/150968/data-breach/transunion-data-leak.html

微软AI研究部门意外泄露38TB敏感数据

日期: 2023-09-20
标签: 信息技术, 微软 AI 研究部门

网络安全公司 Wiz 发现,微软 AI 研究部门在 GitHub 上发布一桶开源训练数据时,意外泄露了 38TB 的敏感数据。暴露的数据暴露了两名员工工作站的磁盘备份,其中包含机密、私钥、密码和超过 30,000 条内部 Microsoft Teams 消息。 Wiz 研究团队在扫描互联网以查找暴露云托管数据的配置错误的存储容器时发现了该存储库。

详情

https://securityaffairs.com/151004/data-breach/microsoft-ai-data-leak.html

https://securityaffairs.com/151004/data-breach/microsoft-ai-data-leak.html

澳大利亚必胜客193,000 名顾客数据泄露

日期: 2023-09-22
标签: 澳大利亚, 居民服务, 批发零售, 住宿餐饮业, 必胜客, 数据泄露

2023年9月下旬,澳大利亚必胜客正在向客户发送数据泄露通知,警告网络攻击允许黑客访问他们的个人信息。该通知警告说,黑客未经授权访问了必胜客澳大利亚系统,该系统存储在线订单客户的敏感信息以及部分财务数据和加密帐户密码。已暴露给网络入侵者的信息包括:全名、邮寄地址、交货指示、电子邮件地址、电话号码、隐藏的信用卡数据、在线帐户的加密密码。

详情

https://www.bleepingcomputer.com/news/security/pizza-hut-australia-warns-193-000-customers-of-a-data-breach/

https://www.bleepingcomputer.com/news/security/pizza-hut-australia-warns-193-000-customers-of-a-data-breach/


5
 网络攻击



国际刑事法院(ICC)的系统被入侵

日期: 2023-09-20
标签: 信息技术, 国际刑事法院(ICC)

国际刑事法院(ICC)发现其系统遭到破坏后,于2023年9月12日披露了一起网络攻击事件。国际刑事法院表示:“上周末,国际刑事法院的服务部门检测到影响其信息系统的异常活动。 ”该公司表示目前正在荷兰当局的协助下调查这一事件。目前,还没有关于网络攻击的性质和对国际刑事法院系统的影响程度的信息,也没有关于犯罪者是否设法从其网络访问或窃取任何数据或文件的信息。

详情

https://www.bleepingcomputer.com/news/security/hackers-breached-international-criminal-courts-systems-last-week/

https://www.bleepingcomputer.com/news/security/hackers-breached-international-criminal-courts-systems-last-week/

德国情报机构警告网络攻击可能针对液化天然气(LNG)终端

日期: 2023-09-20
标签: 能源业, 德国情报机构

自 2016 年起担任联邦情报局局长的布鲁诺·卡尔 (Bruno Kahl) 警告称,国家支持的针对该国液化天然气 (LNG) 终端的攻击可能会发生。俄罗斯入侵乌克兰后,德国政府租用了三个 新的液化天然气接收站,以实现对莫斯科管道天然气的独立。由于其战略作用,液化天然气 (LNG) 终端代表了民族国家行为者实施网络攻击的战略目标。

详情

https://securityaffairs.com/150999/hacking/liquefied-natural-gas-lng-terminals-cyber-attacks.html

https://securityaffairs.com/150999/hacking/liquefied-natural-gas-lng-terminals-cyber-attacks.html

网络攻击导致高乐氏 (Clorox) 产品短缺

日期: 2023-09-21
标签: 批发零售, 高乐氏 (Clorox)

高乐氏公司是一家跨国消费品公司,专门生产和销售各种家用和专业清洁、健康和个人护理产品。这家清洁产品巨头于 8 月中旬宣布,它是网络安全事件的受害者,迫使其部分系统下线Clorox 公司已发现其某些信息技术 (IT) 系统上存在未经授权的活动。在意识到该活动后,该公司开始采取措施来停止和补救该活动,包括使某些系统离线。为了应对网络攻击,该公司已将部分系统关闭,同时实施额外的“保护和强化措施以进一步确保其安全”。高乐氏通知了执法部门,并聘请了领先的第三方网络安全专家来支持其调查并确定事件的范围。该公司没有透露此次攻击的细节,但对该事件的回应表明它是勒索软件攻击的受害者。目前,尚无敲诈勒索组织声称对高乐氏公司发动袭击。

详情

https://securityaffairs.com/151046/security/clorox-products-shortage.html

https://securityaffairs.com/151046/security/clorox-products-shortage.html


6
 安全漏洞



数千台瞻博网络设备容易受到未经身份验证的 RCE 漏洞的影响

日期: 2023-09-19
标签: 信息技术, 瞻博网络设备

估计有 12,000 个瞻博网络 SRX 防火墙和 EX 交换机容易受到无文件远程代码执行漏洞的攻击,攻击者无需身份验证即可利用该漏洞。8 月, Juniper 披露了 许多“PHP 环境变体操纵”(CVE-2023-36844/CVE-2023-36845) 和“关键功能缺少身份验证”(CVE-2023-36846/CVE-2023-36847) 漏洞,这些漏洞本身仅具有“中等”严重程度评级 5.3。然而,当这些漏洞链接在一起时,它们就成为严重的远程代码执行漏洞,评级为 9.8。

详情

https://www.bleepingcomputer.com/news/security/thousands-of-juniper-devices-vulnerable-to-unauthenticated-rce-flaw/

https://www.bleepingcomputer.com/news/security/thousands-of-juniper-devices-vulnerable-to-unauthenticated-rce-flaw/

趋势科技修复了端点保护0day漏洞

日期: 2023-09-20
标签: 信息技术, CVE-2023-41179, Apex One, 零日漏洞

趋势科技修复了趋势科技 Apex One 端点保护解决方案中的远程代码执行零日漏洞,该漏洞在攻击中被积极利用。Apex One 是一款适合各种规模企业的端点安全解决方案,“无忧企业安全”套件专为中小型企业设计。该任意代码执行漏洞被跟踪为 CVE-2023-41179,根据 CVSS v3,其严重程度评级为 9.1,将其归类为“严重”。该漏洞存在于安全软件附带的第三方卸载程序模块中。趋势科技观察到至少有一次针对此漏洞的潜在攻击活动 。

详情

https://www.bleepingcomputer.com/news/security/trend-micro-fixes-endpoint-protection-zero-day-used-in-attacks/

https://www.bleepingcomputer.com/news/security/trend-micro-fixes-endpoint-protection-zero-day-used-in-attacks/

GitLab 敦促用户安装针对关键管道漏洞的安全更新

日期: 2023-09-20
标签: 信息技术, GitLab, CVE-2023-4998

2023年9月中旬,GitLab发布了安全更新,以解决一个严重的漏洞,该漏洞允许攻击者通过计划的安全扫描策略以其他用户的身份运行管道。GitLab 是一个流行的基于网络的开源软件项目管理和工作跟踪平台,提供免费和商业版本。该漏洞被指定为 CVE-2023-4998 (CVSS v3.1 评分:9.6),影响 GitLab 社区版 (CE) 和企业版 (EE) 版本 13.12 至 16.2.7 以及版本 16.3 至 16.3.4。该漏洞已于2023年8月修复。

详情

https://www.bleepingcomputer.com/news/security/gitlab-urges-users-to-install-security-updates-for-critical-pipeline-flaw/

https://www.bleepingcomputer.com/news/security/gitlab-urges-users-to-install-security-updates-for-critical-pipeline-flaw/

卡塔尔网络负责人对 Mozilla RCE 漏洞发出警告

日期: 2023-09-20
标签: 卡塔尔, 信息技术, 政府部门, CVE-2023-4863

在 Mozilla 的 Firefox 和 Thunderbird 漏洞曝光后,卡塔尔国家网络安全局警告 Adobe 用户紧急应用补丁,但没有提及其他受影响的浏览器。该漏洞(CVE-2023-4863,CVSS 8.8)是WebP库中的一个严重堆缓冲区溢出,允许远程执行代码,影响三个版本的Firefox和两个Thunderbird版本。支持该库的其他浏览器,包括 Google Chrome、Microsoft Edge、Mozilla Firefox 和 Apple Safari,也受到影响。谷歌上周警告说,该漏洞在修补之前已被作为零日漏洞利用。

详情

https://www.darkreading.com/dr-global/qatar-cyber-chiefs-warn-mozilla-rce-bugs

https://www.darkreading.com/dr-global/qatar-cyber-chiefs-warn-mozilla-rce-bugs

T-Mobile 应用程序漏洞能让用户查看其他人的帐户信息

日期: 2023-09-21
标签: 信息技术, T-Mobile

2023年9月20日,T-Mobile 客户表示,他们在登录该公司的官方移动应用程序后可以看到其他人的帐户和账单信息。根据社交媒体上的用户报告,暴露的信息包括客户的姓名、电话号码、地址、账户余额以及信用卡详细信息,例如到期日期和最后四位数字。T-Mobile 表示,此次事件并非网络攻击造成,其系统也没有遭到破坏。此外,尽管大量客户报告称他们受到了此问题的影响,但 T-Mobile 表示该事件的影响有限,仅影响不到 100 人。

详情

https://www.bleepingcomputer.com/news/security/t-mobile-app-glitch-let-users-see-other-peoples-account-info/

https://www.bleepingcomputer.com/news/security/t-mobile-app-glitch-let-users-see-other-peoples-account-info/

趋势科技修补了 APEX ONE 中经常被利用的零日漏洞

日期: 2023-09-21
标签: 信息技术, CVE-2023-41179, APEX ONE

趋势科技已发布安全更新来修补一个被主动利用的零日漏洞(编号为 CVE-2023-41179),影响端点安全产品,包括 Apex One、Apex One SaaS 和无忧企业安全产品。 据该安全公司称,该漏洞已被利用进行攻击。该漏洞与产品卸载第三方安全软件的能力有关。攻击者登录产品的管理控制台后即可触发此漏洞。 Apex One SaaS、Biz 和 VBBSS 代理卸载第三方安全产品的能力中发现了任意代码执行漏洞。要利用此漏洞,攻击者需要能够登录产品的管理控制台。由于攻击者需要提前窃取产品的管理控制台身份验证信息,因此他们无法仅利用此漏洞渗透目标网络。供应商建议客户尽快将其安装更新到最新版本。

详情

https://securityaffairs.com/151095/hacking/trend-micro-apex-one-zero-day-flaw.html

https://securityaffairs.com/151095/hacking/trend-micro-apex-one-zero-day-flaw.html

苹果紧急更新修复在野利用的 3 个新的零日漏洞

日期: 2023-09-22
标签: 信息技术, CVE-2023-41993, CVE-2023-41991, CVE-2023-41992, 零日漏洞

Apple 发布了紧急安全更新,以修复针对 iPhone 和 Mac 用户的攻击中利用的三个新的零日漏洞,今年总共修复了 16 个零日漏洞。WebKit 浏览器引擎 (CVE-2023-41993) 和安全框架 (CVE-2023-41991) 中发现了两个错误,使攻击者能够使用恶意应用程序绕过签名验证或通过恶意制作的网页获取任意代码执行权限。第三个是在内核框架中找到的,它提供 API 以及对内核扩展和内核驻留设备驱动程序的支持。本地攻击者可以利用此漏洞 (CVE-2023-41992) 来升级权限。Apple 通过解决证书验证漏洞和改进检查,修复了 macOS 12.7/13.6、iOS 16.7/17.0.1、iPadOS 16.7/17.0.1 和 watchOS 9.6.3/10.0.1 中的三个零日错误。

详情

https://www.bleepingcomputer.com/news/apple/apple-emergency-updates-fix-3-new-zero-days-exploited-in-attacks/

https://www.bleepingcomputer.com/news/apple/apple-emergency-updates-fix-3-new-zero-days-exploited-in-attacks/

海康威视对讲机存在窥探风险

日期: 2023-09-22
标签: 制造业, 居民服务, 海康威视, 物联网安全

一种令人担忧的物联网网络攻击媒介已经被发现——它可以将海康威视智能对讲机的相邻设备变成间谍设备。 Skylight Cyber 的研究人员警告说,此类设备用于间谍软件攻击的可能性应该引起企业和组织的关注,因为攻击者可能会进入个人的生活,从而剥夺他们的隐私。研究人员对海康威视两款对讲产品 DS-KH6210-L 和 DS-KH6320-WTE1 进行了测试;除其他外,他们测试了公寓内的设备,观察它们如何与普通建筑群中的其他设备(例如门控制器、摄像头和其他对讲机)进行交互。如果公寓楼或办公室使用海康威视设备,特别是其对讲机,并且有人有兴趣监视(窃听)租户,则攻击者需要从墙上拔下对讲机的以太网电缆,然后插入设备使用普通以太网电缆连接到笔记本电脑。此时,个人将拥有必要的网络访问权限来开始这种秘密破坏。

详情

https://www.darkreading.com/iot/hikvision-intercoms-snooping-neighbors

https://www.darkreading.com/iot/hikvision-intercoms-snooping-neighbors


7
 安全分析



Konni APT 利用 WinRAR 漏洞(CVE-2023-38831)首次攻击数字货币行业

日期: 2023-09-18
标签: 信息技术, 政府部门, CVE-2023-38831, APT舆情

众所周知,朝方APT组织早已将数字货币行业作为攻击目标,但是朝方针对加密货币/金融相关行业的攻击往往由Lazarus组织操作,本次的攻击活动也是首次发现朝方除Lazarus组织外还有其余组织针对加密货币行业进行攻击活动。同时发现本次攻击活动中Konni使用近期Group-IB披露的WinRAR漏洞(CVE-2023-38831),这也是首次发现有APT组织利用此漏洞进行攻击。

详情

https://paper.seebug.org/3032/

https://paper.seebug.org/3032/

美国Airbus数据泄露可能源于盗版软件

日期: 2023-09-18
标签: 交通运输, 航空航天

研究人员称,2023年9月披露的空客重大数据泄露事件源于可能隐藏在盗版微软软件中的 RedLine 信息窃取程序。这家欧洲航空航天巨头表示已对此事件展开调查。据网络情报公司 Hudson Rock 称,一个名为“USDoD”的威胁行为者自称是 Ransomed 勒索软件组织的一部分,并将泄露的数据发布到 BreachForums 网站上。与 Rockwell Collins 和 Thales Group 等 3200 家空客供应商相关的个人信息出现在数据转储中,包括姓名、地址、电话号码和电子邮件地址。

详情

https://www.infosecurity-magazine.com/news/pirated-software-cause-airbus/

https://www.infosecurity-magazine.com/news/pirated-software-cause-airbus/

APT33攻击卫星和国防部门

日期: 2023-09-18
标签: 信息技术, 卫生行业, 科研服务, Peach Sandstorm(HOLMIUM), APT舆情

自2023年2月以来,Microsoft观察到Peach Sandstorm(HOLMIUM)攻击者针对数千个组织实施的密码喷洒活动。Peach Sandstorm是伊朗民族国家威胁组织,最近在全球范围内攻击卫星、国防和制药领域的组织。根据目标受害者组织的概况和观察到的后续入侵活动,微软评估这一初始访问活动可能用于促进情报收集,以支持伊朗国家利益。

详情

https://www.microsoft.com/en-us/security/blog/2023/09/14/peach-sandstorm-password-spray-campaigns-enable-intelligence-collection-at-high-value-targets/

https://www.microsoft.com/en-us/security/blog/2023/09/14/peach-sandstorm-password-spray-campaigns-enable-intelligence-collection-at-high-value-targets/

攻击者声称攻击米高梅度假村时利用了Okta 代理

日期: 2023-09-18
标签: 居民服务, 米高梅度假村, BlackCat (ALPHV)

米高梅度假村和凯撒娱乐网络攻击背后的攻击者ALPHV表示,他们能够通过某种方式侵入该公司的 Okta 平台,特别是 Okta Agent(连接到组织的 Active Directory 的轻量级客户端)来破坏米高梅的系统。Okta 是流行的云身份和访问管理 (IAM) 提供商。ALPHV 声明补充说,在利用 Okta 窃取密码后,该威胁组织于 9 月 11 日对 1,000 多个 ESXi 虚拟机管理程序发起了勒索软件网络攻击。

详情

https://www.darkreading.com/application-security/okta-flaw-involved-mgm-resorts-breach-attackers-claim

https://www.darkreading.com/application-security/okta-flaw-involved-mgm-resorts-breach-attackers-claim

APT36 国家黑客使用 YouTube 应用克隆感染 Android 设备

日期: 2023-09-19
标签: 信息技术, YouTube, APT36, Android(安卓)

据观察,APT36 黑客组织(又名“透明部落”)使用至少三个模仿 YouTube 的 Android 应用程序,通过其签名远程访问木马 (RAT)“CapraRAT”感染设备。一旦恶意软件安装在受害者的设备上,它就可以收集数据、记录音频和视频或访问敏感通信信息,本质上就像间谍软件工具一样运行。APT36 是一个与巴基斯坦结盟的黑客组织,以使用恶意或带有恶意的 Android 应用程序攻击印度国防和政府实体、处理克什米尔地区事务的机构以及巴基斯坦的人权活动人士而闻名。SentinelLabs发现了这一最新活动,该活动警告与印度和巴基斯坦军事或外交相关的个人和组织对第三方网站上托管的 YouTube Android 应用保持高度警惕。

详情

https://www.bleepingcomputer.com/news/security/apt36-state-hackers-infect-android-devices-using-youtube-app-clones/

https://www.bleepingcomputer.com/news/security/apt36-state-hackers-infect-android-devices-using-youtube-app-clones/

支付卡盗取活动针对北美网站

日期: 2023-09-19
标签: 信息技术, 金融业, Silent Skimmer

一年多来,一个黑客组织一直在亚太地区的电子商务网站和销售点服务提供商处窃取信用卡号码,现在也开始瞄准北美和拉丁美洲的类似目标。在至少自 2023 年 5 月以来的一系列攻击中,攻击者利用 Web 应用程序中的漏洞(包括中国铪集团在网络间谍活动中使用的一个漏洞)来访问属于多个行业部门的组织的网站。这些攻击的主要目标是访问这些网站上的支付页面,并投放用于窃取在线购物用户卡号的恶意软件。黑莓的研究人员发现了该活动,并将其追踪为“Silent Skimmer”。

详情

https://www.darkreading.com/attacks-breaches/payment-card-skimming-campaign-now-targeting-websites-in-north-america

https://www.darkreading.com/attacks-breaches/payment-card-skimming-campaign-now-targeting-websites-in-north-america

英国公民一年内因诈骗损失 93 亿美元

日期: 2023-09-21
标签: 金融业, 信息技术, 诈骗

一份新报告显示,过去一年中,约 10% 的英国成年人因诈骗遭受损失,预计损失达 75 亿英镑(93 亿美元)。《2023 年英国诈骗状况》由行业机构全球反诈骗联盟 (GASA) 和非营利性反诈骗组织 Cifas编制,基于对 2000 名英国公民的采访。报告显示,62% 的受访者在过去一年中每月至少收到一次诈骗信息,超过一半 (53%) 声称观察到此类邮件“显着”增加。大多数人 (64%) 表示他们通过电子邮件收到欺诈信息,56% 的人通过手机收到欺诈信息。三分之二 (66%) 的受访者表示,他们没有向任何当局举报该骗局,但约三分之一 (31%) 的受访者向金融机构和执法部门寻求帮助。

详情

https://www.infosecurity-magazine.com/news/brits-lose-93bn-to-scams-in-a-year/

https://www.infosecurity-magazine.com/news/brits-lose-93bn-to-scams-in-a-year/

FBI、CISA 对“Snatch”勒索软件即服务发出联合警告

日期: 2023-09-21
标签: 信息技术, Snatch, 勒索软件即服务 (RaaS) 操作

美国联邦调查局 (FBI) 和美国网络安全与基础设施安全局 (CISA) 的网络安全咨询表示Snatch值得目标组织优先关注。“Snatch”是一种勒索软件即服务 (RaaS) 操作,至少自 2018 年以来一直活跃。该警报警告称,攻击者针对广泛的关键基础设施部门,包括 IT 部门、美国国防工业基地以及粮食和农业垂直领域,最近的攻击发生在 6 月份。

详情

https://www.darkreading.com/attacks-breaches/fbi-cisa-issue-joint-warning-on-snatch-ransomware-as-a-service

https://www.darkreading.com/attacks-breaches/fbi-cisa-issue-joint-warning-on-snatch-ransomware-as-a-service

美国政府发出Snatch勒索软件警告

日期: 2023-09-22
标签: 信息技术, Snatch, 双重勒索

2023年9月20日,美国当局发布了一份新的网络安全咨询,向组织通报 Snatch 勒索软件即服务 (RaaS) 组织使用的最新策略、技术和程序 (TTP)。美国网络安全和基础设施安全局 (CISA) 和 FBI 解释说,虽然 Snatch 于 2018 年首次出现,但自 2021 年以来一直在不断开发,借鉴了其他行动的技术。它使用了经典的双重勒索剧本,如果受害者未能付款,受害者的详细信息就会被发布到泄密网站上。据观察,Snatch 勒索组织从其他勒索软件变种购买了之前窃取的数据,试图进一步利用受害者支付赎金,以避免他们的数据在 Snatch 的勒索博客上发布。

详情

https://www.infosecurity-magazine.com/news/us-government-in-snatch-ransomware/

https://www.infosecurity-magazine.com/news/us-government-in-snatch-ransomware/

恶意机器人攻击每年造成的损失翻倍至 8600 万美元

日期: 2023-09-22
标签: 信息技术, 恶意机器人攻击

根据 Netacea 的一份新报告,美国和英国的典型企业每年都会因恶意机器人攻击而损失超过 4% 的在线收入。研究发现,平均公司每年因机器人攻击损失 8,560 万美元,而 2020 年每家企业损失 3,330 万美元。Netacea 认为,这远远高于平均赎金或 GDPR 罚款。大多数 (53%) 攻击来自俄罗斯或中国,近一半 (48%) 的受访者还看到来自越南端点的攻击,尽管这些威胁的来源可能是其他国家的攻击者。大多数 (65%) 针对移动设备,其次是网站 (63%) 和 API (40%)。

详情

https://www.infosecurity-magazine.com/news/bot-attack-costs-double-to-86m/

https://www.infosecurity-magazine.com/news/bot-attack-costs-double-to-86m/


8
 行业动向



Telegram 整合加密钱包

日期: 2023-09-18
标签: 信息技术, 金融业, Telegram

Telegram 是广泛使用的消息应用程序,推出了集成的加密钱包功能,使用户可以轻松访问他们持有的加密货币那些之前与 @wallet 机器人互动过的人会注意到他们的 Telegram 菜单中有一个新的专用加密钱包部分。这一消息是在 TOKEN2049 会议期间公布的,TON 基金会和 Telegram 公开宣布了他们的合作伙伴关系。通过将 @wallet 直接合并到应用程序的菜单中,Telegram 的目标是使其庞大的用户群(美国除外)实现加密货币访问的民主化。此次合作也标志着 Telegram 与 TON 基金会加强合作。

详情

https://www.bleepingcomputer.com/news/technology/whatsapp-rival-telegram-gets-crypto-wallet-integration/

https://www.bleepingcomputer.com/news/technology/whatsapp-rival-telegram-gets-crypto-wallet-integration/

Microsoft Edge 即将下线平板电脑友好的“Web Select”功能

日期: 2023-09-18
标签: 信息技术, 微软(Microsoft), Edge 浏览器

微软的 Edge 浏览器以其创新功能而闻名,正在放弃其最受好评的功能之一:Web Select。该工具允许用户捕获和复制网页内容,并保持其格式和功能。通过菜单或 Control+Shift+X 快捷方式访问,Web Select 比简单的屏幕截图工具具有优势。微软概述了其停用 Web Select 的决定,表明了增强整体用户体验的意图。此更改意味着 Web Select 将不再在 Web Capture 选项或其关联的键盘快捷键下可用。然而,这一举措并没有得到大部分 Edge 用户群的认可,尤其是那些依赖触摸或平板电脑界面的用户。

详情

https://www.bleepingcomputer.com/news/microsoft/microsoft-edge-is-losing-tablet-friendly-web-select-feature/

https://www.bleepingcomputer.com/news/microsoft/microsoft-edge-is-losing-tablet-friendly-web-select-feature/

Microsoft 将于 2026 年 10 月开始停用 Exchange Web 服务

日期: 2023-09-20
标签: 信息技术, 微软(Microsoft), Exchange Web

2023年9月19日,微软表示,用于 Exchange Online 和 Office 365 的 Exchange Web Services (EWS) API 将在大约三年内停用。EWS 是一个跨平台 API,可用于开发能够访问电子邮件、会议和联系人等邮箱项目的应用程序。 可以从各种来源检索这些资源,包括 Exchange Online、作为 Office 365 一部分的 Exchange Online 以及 Exchange 的本地版本(从 Exchange Server 2007 开始)。

详情

https://www.bleepingcomputer.com/news/microsoft/microsoft-to-start-retiring-exchange-web-services-in-october-2026/

https://www.bleepingcomputer.com/news/microsoft/microsoft-to-start-retiring-exchange-web-services-in-october-2026/

Signal 在其 E2EE 消息传递协议中添加了抗量子加密

日期: 2023-09-21
标签: 信息技术, Signal, 量子安全, E2EE 消息传递协议

2023年9月,Signal 宣布升级其端到端通信协议,以使用抗量子加密密钥来保护用户免受未来的攻击。使用量子位(0 和 1 的叠加)的量子计算机有可能比当前系统更强大、更快,使它们能够在短时间内执行通常需要数年时间的计算。对于 Signal 等使用端到端加密来保护两方之间通信的通信应用程序来说,令人担忧的是加密通信可能会被拦截和破译,从而暴露通信内容。Signal 强调,向 PQXDH 的过渡只是实现抗量子 E2EE 的第一步。未来几年,Signal将推出进一步的升级和调整,以填补数据安全漏洞或解决正在进行的研究中出现的新挑战。

详情

https://www.bleepingcomputer.com/news/security/signal-adds-quantum-resistant-encryption-to-its-e2ee-messaging-protocol/

https://www.bleepingcomputer.com/news/security/signal-adds-quantum-resistant-encryption-to-its-e2ee-messaging-protocol/

英国与美国确认个人数据传输协议

日期: 2023-09-22
标签: 信息技术, 政府部门, 个人数据传输

2023年9月下旬,英国政府宣布决定与美国建立数据桥梁,实现两个地区之间个人数据的自由流动。英国议会已于 2023 年 9 月 21 日制定了充分性法规,以实施该决定,该法规将于 10 月 12 日生效。此前,美国司法部长于 9 月 18 日根据第 14086 号行政命令将英国指定为“合格国家” 。这将允许所有个人数据已根据任何传输机制(包括根据英国 GDPR)传输到美国的英国个人访问如果他们认为美国当局出于国家安全目的非法访问他们的个人数据,则可以使用新建立的补救机制。这意味着从 10 月 12 日起,英国企业可以将个人数据传输到美国,无需其他机制,也无需完成传输影响评估和实施额外的传输保障措施。

详情

https://www.infosecurity-magazine.com/news/uk-us-data-bridge-confirmed/

https://www.infosecurity-magazine.com/news/uk-us-data-bridge-confirmed/

GitHub 密钥通常可用于无密码登录

日期: 2023-09-22
标签: 信息技术, GitHub, 无密码

2023年9月,GitHub 已在整个平台上普遍提供密钥,以保护帐户免遭网络钓鱼,并允许所有用户进行无密码登录。万能钥匙与特定设备(例如计算机、平板电脑或智能手机)相关联,通过提供针对网络钓鱼攻击的保护和阻止未经授权的访问尝试,在降低数据泄露风险方面发挥着至关重要的作用。它们通过个人识别方法(例如 PIN 或生物识别身份验证,包括指纹和面部识别)促进对应用程序和在线服务的访问。此外,万能钥匙还无需记住和管理每个网站和应用程序的不同密码,从而显着增强用户体验和安全性。

详情

https://www.bleepingcomputer.com/news/security/github-passkeys-generally-available-for-passwordless-sign-ins/

https://www.bleepingcomputer.com/news/security/github-passkeys-generally-available-for-passwordless-sign-ins/

思科以 28B 美元收购 Splunk 进军 SIEM

日期: 2023-09-22
标签: 信息技术, 思科(Cisco), 思科, 安全信息和事件管理 (SIEM)

2023年9月21日,思科表示打算通过以 280 亿美元收购 Splunk 的交易来重塑安全信息和事件管理 (SIEM)。这笔交易将是思科迄今为止最大的一笔交易。尽管2022 年初有传言称两家公司正在进行收购谈判,但最终没有达成任何交易。添加 Splunk 可以显着增强思科本已强大的网络安全保护产品组合。思科董事长兼首席执行官查克·罗宾斯在宣布该交易的投资者电话会议上表示:“我们的综合能力将创建一个端到端数据平台,以增强数字弹性。” 罗宾斯预计该交易将于 2024 年第三季度完成,尚待股东和监管机构批准。

详情

https://www.darkreading.com/operations/cisco-moves-into-siem-with-28b-deal-to-acquire-splunk

https://www.darkreading.com/operations/cisco-moves-into-siem-with-28b-deal-to-acquire-splunk


9
 其他事件



TikTok出现大量以“埃隆·马斯克”为主题的加密货币赠品骗局

日期: 2023-09-18
标签: 金融业, 文化传播, TikTok(抖音), TikTok, 加密货币

TikTok 上充斥着大量发布在视频共享平台上的虚假加密货币赠品,几乎所有视频都假装以埃隆·马斯克、特斯拉或 SpaceX 为主题。多年来,诈骗人员一直在 Instagram 和 Twitter 等社交媒体平台上制作虚假的加密货币赠品。这些骗局冒充名人、 加密货币交易所的赠品,更常见的 是冒充埃隆·马斯克或 SpaceX。诈骗人员建立了数百个冒充 加密货币交易所 或 赠品网站的网站 ,提示用户注册帐户以接收免费的加密货币。然而,正如预期的那样,这些骗局只是窃取任何存入的加密货币,而用户却得不到任何回报。

详情

https://www.bleepingcomputer.com/news/security/tiktok-flooded-by-elon-musk-cryptocurrency-giveaway-scams/

https://www.bleepingcomputer.com/news/security/tiktok-flooded-by-elon-musk-cryptocurrency-giveaway-scams/

BlackCat 勒索软件利用 Sphynx 加密器攻击 Azure 存储

日期: 2023-09-18
标签: 信息技术, BlackCat (ALPHV) , Azure 云存储

BlackCat (ALPHV) 勒索软件团伙现在使用被盗的 Microsoft 帐户和最近发现的 Sphynx 加密器来加密目标的 Azure 云存储。在调查最近的一次违规行为时,Sophos X-Ops 事件响应人员发现攻击者使用了新的 Sphynx 变体,并增加了对使用自定义凭据的支持。 使用被盗的一次性密码 (OTP) 获得对 Sophos Central 帐户的访问权限后,他们禁用了防篡改功能并修改了安全策略。使用 LastPass Chrome 扩展从受害者的 LastPass 金库窃取 OTP 后,可以执行这些操作。

详情

https://www.bleepingcomputer.com/news/security/blackcat-ransomware-hits-azure-storage-with-sphynx-encryptor/

https://www.bleepingcomputer.com/news/security/blackcat-ransomware-hits-azure-storage-with-sphynx-encryptor/

TIKTOK 因侵犯儿童隐私被爱尔兰 DPC 罚款 3.45 亿欧元

日期: 2023-09-18
标签: 爱尔兰, 文化传播, TikTok(抖音), TikTok

爱尔兰数据保护委员会 (DPC)因侵犯儿童隐私而对 TikTok 处以 3.45 亿欧元罚款。爱尔兰数据监管机构发现,这款流行的视频共享应用程序允许成年人向某些与他们没有家庭联系的青少年发送直接消息。DPC 进行的调查显示,TikTok 的“家庭配对”功能存在严重缺陷,可能会被滥用,将儿童账户与“未经验证”的成年人关联起来。由于默认帐户设置允许任何人查看他们发布的内容,13 岁以下的儿童面临严重风险。

详情

https://securityaffairs.com/150918/breaking-news/tiktok-fined-e345m-irish-dpc.html

https://securityaffairs.com/150918/breaking-news/tiktok-fined-e345m-irish-dpc.html

非法博彩团伙利用卫星技术来独家报道结果

日期: 2023-09-19
标签: 商务服务, 金融业, 非法投注

2023年9月,欧洲刑警组织捣毁了一个涉嫌非法投注团伙,该团伙利用先进技术在博彩公司面前查明比赛结果。调查早在 2020 年就开始了,当时西班牙警方发现了一个罗马尼亚和保加利亚犯罪网络,涉嫌对国际乒乓球赛事进行可疑投注。欧洲刑警组织表示,他们会贿赂相关运动员,其中包括几名为罗马尼亚足球队效力的运动员,然后对比赛结果进行大额押注。该组织犯罪团伙使用卫星技术接收来自比赛的实时直播,然后再将相同的内容发送给合法的博彩公司,犯罪团伙在知道结果的情况下就可以对比赛下注。

详情

https://www.infosecurity-magazine.com/news/illegal-betting-ring-used/

https://www.infosecurity-magazine.com/news/illegal-betting-ring-used/

LockBit 使用 RMM 传播勒索软件

日期: 2023-09-19
标签: 信息技术, LockBit, 远程监控和管理 (RMM) 软件

LockBit 勒索软件组织正在利用远程监控和管理 (RMM) 软件在目标网络中传播其立足点。总部位于加拿大的 eSentire 9 月 18 日发布的报告中描述的最近三起攻击遵循类似的轨迹:LockBit 附属机构要么利用暴露的 RMM 实例,要么将自己的 RMM 带到聚会中,以有序的方式生活在土地 (LotL)中。巩固其在受害者网络中的立足点。其中两起案件影响了制造商,其中一起涉及托管服务提供商 (MSP),使该组织能够进一步损害其一些下游客户。

详情

https://www.darkreading.com/threat-intelligence/lockbit-using-rmms-spread-ransomware

https://www.darkreading.com/threat-intelligence/lockbit-using-rmms-spread-ransomware

诈骗团伙通过“宰猪”加密骗局在三周内窃取超过 100 万美元

日期: 2023-09-19
标签: 信息技术, 金融业, “杀猪”加密货币骗局, 加密货币

Sophos 的研究人员发现,有诈骗团伙在短短三个月内就通过“杀猪”加密货币骗局窃取了超过 100 万美元。调查显示,这一高度复杂的操作总共使用了 14 个域名和数十个几乎相同的欺诈网站。攻击者利用去中心化金融 (DeFi) 交易应用程序中的虚假加密货币交易池来欺骗受害者,其中一人在一周内损失了 22,000 美元。这些包含各种类型加密货币的“流动性池”使用户能够通过从一种加密货币交易到另一种加密货币来获利。参与交易的人会收到交易时所支付费用的一定比例 - 另一个账户(通常是矿池的运营商)有权访问参与者的钱包以促进交易。

详情

https://www.infosecurity-magazine.com/news/fraudsters-million-three-weeks-pig/

https://www.infosecurity-magazine.com/news/fraudsters-million-three-weeks-pig/

TikTok 因儿童数据隐私违规被罚款 3.68 亿美元

日期: 2023-09-19
标签: 文化传播, TikTok(抖音), 儿童个人数据

爱尔兰数据保护监管机构发现 TikTok 在处理儿童用户信息方面违反了 GDPR,因此被处以数亿美元罚款。在对 TikTok 在 2020 年 7 月 31 日至 2020 年 12 月 31 日期间处理儿童个人数据的情况进行了长时间调查后,数据保护委员会 (DPC) 于2023年9月15日发布了对此案的最终决定。在意大利和柏林监管机构对其决定提出异议并随后由欧洲数据保护委员会 (EDPB) 作出裁决后,爱尔兰 DPC 裁定 TikTok 违反了第 5(1)(c) 条、第 5(1) 条GDPR 第 24(1)、25(1)、25(2)、12(1)、13(1)(e) 和 5(1)(a) 条。因此,Tik Tok不仅将被迫支付 3.45 亿欧元(3.68 亿美元)的罚款,而且还将在三个月内使其处理合规。

详情

https://www.infosecurity-magazine.com/news/tiktok-fined-368m-child-data-1/

https://www.infosecurity-magazine.com/news/tiktok-fined-368m-child-data-1/

Transparent Tribe利用CapraRAT模仿YouTube劫持Android手机

日期: 2023-09-20
标签: 巴基斯坦, 教育行业, Transparent Tribe, APT舆情, Android

Transparent Tribe是一名可疑的巴基斯坦攻击者,以针对印度和巴基斯坦的军事和外交人员为目标而闻名,最近又扩展到印度教育领域。SentinelLabs发现了三个与Transparent Tribe的CapraRAT移动远程访问木马相关的Android应用程序包。这些应用程序模仿YouTube的外观,但是它们的功能不如合法的原生Android YouTube应用程序齐全。CapraRAT是一种高度入侵性的工具,可让攻击者控制其感染的Android设备上的大部分数据。

详情

https://www.sentinelone.com/labs/capratube-transparent-tribes-caprarat-mimics-youtube-to-hijack-android-phones/

https://www.sentinelone.com/labs/capratube-transparent-tribes-caprarat-mimics-youtube-to-hijack-android-phones/

Celsius加密货币破产案的索赔人成为网络钓鱼攻击的目标

日期: 2023-09-20
标签: 金融业, 信息技术, 网络钓鱼, 加密货币

诈骗者冒充加密货币贷款机构Celsius的破产索赔代理人进行网络钓鱼攻击,试图从加密货币钱包中窃取资金。2022 年 7 月,加密货币贷款机构Celsius申请破产并冻结用户账户提款。此后,客户向该公司提出索赔,希望收回部分资金。2023年9月中旬, 人们报告说 收到了冒充来自Celsius破产程序索赔代理人 Stretto 的网络钓鱼电子邮件。该电子邮件称他们来自“Stretto Corporate Restructing”,使用的电子邮件地址为 no-reply@stretto.com。

详情

https://www.bleepingcomputer.com/news/security/claimants-in-celsius-crypto-bankruptcy-targeted-in-phishing-attack/

https://www.bleepingcomputer.com/news/security/claimants-in-celsius-crypto-bankruptcy-targeted-in-phishing-attack/

芬兰当局关停暗网毒品市场

日期: 2023-09-21
标签: 信息技术, Piilopuoti, 匿名犯罪活动, 暗网

2023年9月中旬,芬兰的调查人员查获并关闭了用于运营当地暗网市场的网络服务器。根据芬兰海关的一份简短声明,Piilopuoti 于 2022 年 5 月 18 日开业,其管理员试图通过仅在加密的 Tor 网络上运行来隐藏其存在。该网站已被用于匿名犯罪活动,例如毒品贸易。一般来说,该网站上出售的毒品是从国外走私到芬兰的。芬兰海关官员与德国和立陶宛的合作伙伴以及欧洲刑警组织、欧盟刑事司法合作机构(Eurojust)、芬兰警方和其他国家当局合作。

详情

https://www.infosecurity-magazine.com/news/finnish-shutter-dark-web-drugs/

https://www.infosecurity-magazine.com/news/finnish-shutter-dark-web-drugs/

SHROUDEDSNOOPER 黑客组织瞄准中东电信公司

日期: 2023-09-21
标签: 信息技术, ShroudedSnooper, HTTPSnoop

2023年9月下旬,思科 Talos 研究人员发现了一种名为 HTTPSnoop 的新型隐形植入物,该植入物被用于针对中东电信提供商的攻击。HTTPSnoop 后门支持与 Windows HTTP 内核驱动程序和设备交互的新技术,以侦听特定 HTTP(S) URL 的传入请求。恶意代码还使操作员能够在受感染的端点上执行任意代码。研究人员还发现了一个名为“PipeSnoop”的 HTTPSnoop 孪生植入程序,它可以接受来自命名管道的任意 shellcode 并在受感染的端点上执行。涉及 HTTPSnoop 和 PipeSnoop 的活动及其背后的攻击者的相关策略、技术和程序 (TTP) 与已知的威胁组织不匹配。思科 Talos 专家将攻击者追踪为“ShroudedSnooper”。

详情

https://securityaffairs.com/151055/apt/shroudedsnooper-targeting-telco-in-middle-east.html

https://securityaffairs.com/151055/apt/shroudedsnooper-targeting-telco-in-middle-east.html

APT-C-23(双尾蝎)持续对中东地区发起攻击

日期: 2023-09-22
标签: 教育行业, 政府部门, APT-C-23(双尾蝎), APT舆情

APT-C-23(双尾蝎)又被称为Arid Viper 、Micropsia、Frozen Cell、Desert Falcon,攻击范围主要为中东地区相关国家的教育机构、军事机构等重要领域,网络攻击行动以窃取敏感信息为主,具备针对Windows与Android双平台的攻击能力。自2023年4月被曝使用新工具集攻击巴勒斯坦地区以来,360高级威胁研究院陆续监测到2023年上半年APT-C-23(双尾蝎)投放Micropsia和Arid Gopher木马攻击以色列、巴勒斯坦等地区。

详情

https://mp.weixin.qq.com/s/-LYXJtjEhdwa8Km_Ri1cXg

https://mp.weixin.qq.com/s/-LYXJtjEhdwa8Km_Ri1cXg

“Gold Melody”黑客组织分析

日期: 2023-09-22
标签: 信息技术, Gold Melody

2020 年 7 月至 2022 年 7 月期间, Secureworks 发现了其追踪的“Gold Melody”组织(Mandiant 的 UNC961 和 CrowdStrike 的 Prophet Spider)的五次独立入侵。研究人员指出,每一次攻击都被提前消灭,部分归功于该组织广泛但可预测的策略、技术和程序 (TTP)。2020 年和 2021 年,CrowdStrike 观察到导致部署 Egregor 和 MountLocker 勒索软件的攻击。同样,Mandiant 观察到了一种妥协,使 Gold Melody 的合作伙伴能够安装 CryptoDefense 勒索软件。在所有这些案例中,勒索软件都是在 Gold Melody 的工作完成后几周到几个月内到达目标网络的。

详情

https://www.darkreading.com/threat-intelligence/-gold-melody-access-broker-unpatched-servers

https://www.darkreading.com/threat-intelligence/-gold-melody-access-broker-unpatched-servers


10
 产品侧解决方案



若想了解更多信息或有相关业务需求,可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台(TIP)

360威胁情报平台(TIP)一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测;可以自动化识别报警中的重点事件;还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力,帮助组织全面应对数字时代的安全风险。


11
 时间线



2023-09-18 360CERT发布安全周报


12
 特制报告相关说明



一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT推出了安全通告特制版报告订阅服务,以便用户做资料留存、传阅研究与查询验证。

今后特制报告将不再提供公开下载,用户可扫描下方二维码进行服务订阅。


360CERT

https://cert.360.cn/

进入官网查看更多资讯

长按扫码关注我们


点击在看,进行分享

本文分享自微信公众号 - 三六零CERT(CERT-360)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
加载中
点击引领话题📣 发布并加入讨论🔥
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部