安全事件周报 2023-10-16 第42周

原创
2023/10/23 19:08
阅读数 29


赶紧点击上方话题进行订阅吧!

报告编号:CERT-R-2023-477

报告来源:360CERT

报告作者:360CERT

更新日期:2023-10-23


1
 事件导览



本周收录安全热点58项,话题集中在恶意软件网络攻击安全漏洞,主要涉及的实体有:谷歌(Google)微软(Microsoft)亚马逊(Amazon )等,主要涉及的黑客组织有:Diamond SleetOnyx SleetOilRig (APT34)等。360CERT建议使用360安全卫士进行病毒检测,并做好资产自查以及预防工作,以免遭受黑客攻击。


2
 事件目录



恶意软件
Steam 强制执行短信验证以遏制恶意软件
女性政治领袖峰会成为 RomCom 恶意软件网络钓鱼的目标
美联储:谨防 AvosLocker 勒索软件对关键基础设施的攻击
DarkGate 恶意软件通过受损的 Skype 帐户传播
DARKGATE 恶意软件活动滥用 SKYPE 和 TEAMS
以色列的盗版“RedAlert”火箭警报应用程序安装 Android 间谍软件
攻击者滥用 Discord 服务器攻击关键基础设施
含有恶意软件的“REDALERT – ROCKET ALERTS”应用程序针对以色列用户
SpyNote Android 恶意软件通过盗版火山喷发警报服务传播
恶意 Notepad++ Google 广告逃避检测数月
MATA 恶意软件框架利用 EDR 攻击东欧国防公司
MATA恶意软件框架利用EDR攻击国防公司
假冒 KeePass 网站使用 Google Ads 和 Punycode 推送恶意软件
数据安全
ALPHV 勒索软件团伙从莫里森社区医院窃取了 5TB 数据
D-Link 确认员工网络钓鱼攻击后数据泄露
黑客再次泄露了数百万新的 23andMe 基因数据档案
卡西欧披露数据泄露影响了 149 个国家的客户
网络攻击
AI算法检测对无人军用车辆的MitM攻击
新的网络钓鱼活动滥用 LinkedIn 智能链接进行全面攻击
Sticky Werewolf攻击俄罗斯和白俄罗斯的公共组织
黑客攻击行动在以色列与哈马斯冲突中日益猖獗
自 5 月以来,俄罗斯 Sandworm 黑客入侵了 11 家乌克兰电信公司
MICROSOFT DEFENDER 阻止了Storm-1567勒索软件攻击活动
CERT-UA 报告:11 家乌克兰电信提供商遭受网络攻击
长期网络间谍活动TetrisPhantom针对亚太地区政府
乌克兰活动分子攻击 Trigona 勒索软件团伙的服务器
Qubitstrike 恶意软件攻击 Rootkit Jupyter Linux 服务器以窃取凭证
安全漏洞
未修补的关键思科零日漏洞正在被积极利用
黑客利用 WordPress Royal Elementor 插件的严重漏洞
CISA、FBI 敦促立即修补 Atlassian Confluence服务器漏洞
超过 10,000 台思科设备在 IOS XE 零日攻击中遭到黑客攻击
专家警告 Milesight 路由器和 Titan SFTP 服务器存在严重漏洞
朝鲜黑客利用 TeamCity 的关键漏洞发起供应链攻击
Citrix 警告严重漏洞CVE-2023-4966出现在野利用
朝鲜攻击者利用关键 CI/CD 漏洞
超过 40,000 台 Cisco IOS XE 设备感染了使用零日漏洞的后门
安全分析
APT28组织利用CVE-2023-38831进行凭据收集行动
Confucius近期针对巴基斯坦电信、能源、军事、政府和宗教等行业的攻击活动分析
针对亚太地区政府的持续间谍活动分析
超过 40,000 个管理门户帐户使用“admin”作为密码
22% 的网络钓鱼攻击使用二维码
行业动向
微软计划在 Windows 11 中取消 NTLM 身份验证
微软宣布人工智能漏洞赏金计划
亚马逊添加密钥支持作为新的无密码登录选项
Google Play Protect 增加实时扫描以对抗 Android 恶意软件
勒索攻击
勒索软件针对未打补丁的 WS_FTP 服务器
BlackCat 勒索软件使用新的“Munchkin”Linux 虚拟机进行秘密攻击
其他事件
APT组织DarkPink利用WinRAR 0day漏洞CVE-2023-38831攻击越南与马来西亚多个目标
Lazarus组织的Dream Magic攻击行动
美国基因检测提供商 23andMe 在大规模数据泄露后面临多起集体诉讼
Kimsuky的DarkHorse攻击行动
前海军 IT 主管因在暗网上出售人员数据而被判 5 年徒刑
FBI警告敲诈团伙针对医美行业发起网络钓鱼攻击
Lazarus利用TeamCity的CVE-2023-42793漏洞
伊朗黑客潜伏中东政府网络8个月
印度“Chakra-II”行动在全国范围内打击诈骗团伙
Ragnar Locker勒索软件的暗网勒索网站被警方查获
非法在线市场 E-Root 运营商因出售被盗 RDP、SSH 帐户而面临 20 年监禁

3
 恶意软件



Steam 强制执行短信验证以遏制恶意软件

日期: 2023-10-16
标签: 信息技术, Steam, Steamworks

Valve 宣布为在 Steam 上发布游戏的开发者实施额外的安全措施,包括基于短信的确认码。这是为了应对最近爆发的恶意更新,从受感染的发布者帐户推送恶意软件。Steamworks 是游戏/软件开发商和发行商用于在 Steam 平台上分发其产品的一组工具和服务。从 8 月下旬到 2023 年 9 月,有关 Steamworks 帐户遭到入侵以及攻击者上传恶意版本并用恶意软件感染玩家的报告数量不断增加。Valve 向游戏社区保证,这些攻击的影响仅限于几百名用户,他们通过公司发送的通知单独获悉潜在的违规行为。

详情

https://www.bleepingcomputer.com/news/security/steam-enforces-sms-verification-to-curb-malware-ridden-updates/

https://www.bleepingcomputer.com/news/security/steam-enforces-sms-verification-to-curb-malware-ridden-updates/

女性政治领袖峰会成为 RomCom 恶意软件网络钓鱼的目标

日期: 2023-10-16
标签: 政府部门, Void Rabisu, 网络钓鱼

针对布鲁塞尔女性政治领袖 (WPL) 峰会的攻击者部署了 RomCom 后门的一种新的轻量级变体,该峰会的重点是性别平等和女性参政。该活动使用模仿 WPL 官方门户的虚假网站来引诱寻求参加峰会或只是对峰会感兴趣的人们。趋势科技的一份 分析新变种的报告警告称,该变种的运营商(被该公司追踪为“Void Rabisu”)一直在 C2(命令和控制)通信中使用带有新 TLS 强制技术的隐秘后门,以增加发现难度。此外,最新的攻击巩固了该组织从先前归因于古巴勒索软件附属公司的机会主义勒索软件攻击 转向涉及利用 微软产品中的零日漏洞的 高级网络间谍活动 。

详情

https://www.bleepingcomputer.com/news/security/women-political-leaders-summit-targeted-in-romcom-malware-phishing/

https://www.bleepingcomputer.com/news/security/women-political-leaders-summit-targeted-in-romcom-malware-phishing/

美联储:谨防 AvosLocker 勒索软件对关键基础设施的攻击

日期: 2023-10-16
标签: 信息技术, 政府部门, AvosLocker, 关键基础设施

2023年10月上旬,美国当局发布警告,称勒索软件即服务 (RaaS) 操作 AvosLocker 可能对关键基础设施发起网络攻击。在一份联合安全咨询中,网络安全基础设施和安全局 (CISA) 和 FBI 警告称,AvosLocker 早在 5 月份就已针对美国多个关键行业,使用了多种策略、技术和程序 (TTP),包括双重攻击勒索以及使用受信任的本机和开源软件。AvosLocker 公告是在多个行业勒索软件攻击不断增加的背景下发布的。在10 月 13 日发布的一份报告中,网络保险公司 Corvus 发现勒索软件攻击比去年增加了近 80%,9 月份的活动环比增加了 5% 以上。

详情

https://www.darkreading.com/ics-ot/feds-beware-avoslocker-ransomware-attacks-critical-infrastructure

https://www.darkreading.com/ics-ot/feds-beware-avoslocker-ransomware-attacks-critical-infrastructure

DarkGate 恶意软件通过受损的 Skype 帐户传播

日期: 2023-10-16
标签: 信息技术, DarkGate, Skype

7 月至 9 月期间,DarkGate 恶意软件攻击利用受损的 Skype 帐户,通过包含 VBA 加载程序脚本附件的消息来感染目标。据发现这些攻击的趋势科技安全研究人员称,该脚本下载了第二阶段AutoIT脚本,旨在删除并执行最终的 DarkGate 恶意软件负载。趋势科技还观察到,DarkGate 操作员试图通过 Microsoft Teams 在组织中推送其恶意软件负载,而该服务被配置为接受来自外部用户的消息。

详情

https://www.bleepingcomputer.com/news/security/darkgate-malware-spreads-through-compromised-skype-accounts/

https://www.bleepingcomputer.com/news/security/darkgate-malware-spreads-through-compromised-skype-accounts/

DARKGATE 恶意软件活动滥用 SKYPE 和 TEAMS

日期: 2023-10-17
标签: 信息技术, 文化传播, Skype, Teams, DarkGate 活动

2023年 7 月到 9 月,趋势科技的研究人员观察到恶意活动 DarkGate 活动滥用即时消息平台向受害者提供 VBA 加载程序脚本。攻击者者滥用 Skype 和 Teams 等流行的消息传递平台来提供用作第二阶段有效负载加载程序的脚本,该脚本是包含 DarkGate 恶意软件的 AutoIT 脚本。研究人员推测,即时通讯应用程序的原始帐户因网络犯罪论坛上泄露的凭据而受到损害。

详情

https://securityaffairs.com/152513/cyber-crime/darkgate-campaign-messaging-platforms.html

https://securityaffairs.com/152513/cyber-crime/darkgate-campaign-messaging-platforms.html

以色列的盗版“RedAlert”火箭警报应用程序安装 Android 间谍软件

日期: 2023-10-17
标签: 以色列, 信息技术, Android(安卓), RedAlert – Rocket Alerts

以色列 Android 用户成为“RedAlert – Rocket Alerts”应用程序恶意版本的目标,该应用程序虽然提供了承诺的功能,但在后台充当间谍软件。RedAlert – Rocket Alerts 是一款合法的开源应用程序,以色列公民使用它来接收针对该国的来袭火箭弹的通知。该应用程序非常受欢迎,在Google Play上的下载量超过一百万次 。自从哈马斯恐怖分子上周在以色列南部发动袭击,使用数千枚火箭弹以来,随着人们寻求有关其地区即将发生的空袭的及时警告,对该应用程序的兴趣激增。据 Cloudflare称,动机和来源不明的黑客正在利用人们对该应用程序日益浓厚的兴趣以及对攻击的恐惧来分发安装间谍软件的假版本。

详情

https://www.bleepingcomputer.com/news/security/fake-redalert-rocket-alert-app-for-israel-installs-android-spyware/

https://www.bleepingcomputer.com/news/security/fake-redalert-rocket-alert-app-for-israel-installs-android-spyware/

攻击者滥用 Discord 服务器攻击关键基础设施

日期: 2023-10-17
标签: 信息技术, Discord 服务器, 关键基础设施

Discord 仍然是黑客和现在的 APT 组织恶意活动的滋生地,它通常用于分发恶意软件、窃取数据,并成为攻击者窃取身份验证令牌的目标。Trellix 的一份新报告解释说,该平台现在也被 APT(高级持续威胁)黑客采用,他们滥用 Discord 来攻击关键基础设施。攻击者通过三种方式滥用 Discord:利用其内容交付网络 (CDN) 传播 恶意软件、 修改 Discord 客户端以窃取密码,以及 滥用 Discord Webhook 来窃取受害者系统中的数据。恶意软件系列将从受感染的系统收集凭据、浏览器 cookie、加密货币钱包和其他数据,然后使用 Webhooks 将它们上传到 Discord 服务器。 然后,控制此 Discord 服务器的攻击者可以收集被盗的数据包以用于其他攻击。

详情

https://www.bleepingcomputer.com/news/security/discord-still-a-hotbed-of-malware-activity-now-apts-join-the-fun/

https://www.bleepingcomputer.com/news/security/discord-still-a-hotbed-of-malware-activity-now-apts-join-the-fun/

含有恶意软件的“REDALERT – ROCKET ALERTS”应用程序针对以色列用户

日期: 2023-10-18
标签: 以色列, 居民服务, 信息技术, 间谍软件, 以色列-加沙冲突, RedAlert – Rocket Alerts

2023年10月中旬,Cloudflare 警告称,攻击者正在利用带有间谍软件的“RedAlert – Rocket Alerts”应用程序针对以色列 Android 用户。2023 年 10 月 13 日,Cloudflare 的 Cloudforce One Threat Operations 团队发现了一个网站,该网站托管包含恶意软件的 RedAlert – Rocket Alerts 应用程序版本。RedAlert – Rocket Alerts 是一款移动应用程序,提供有关以色列即将发生的火箭袭击的实时警报。该应用程序非常受欢迎,在 Google Play 上的下载量超过一百万次。以色列-加沙冲突之后,自 2023 年 10 月 7 日哈马斯开始袭击以来,已有 5,000 多枚火箭弹发射到以色列。因此,RedAlert – 火箭警报应用程序对以色列公民来说是一个宝贵的工具,因为它提供了他们对即将到来的空袭发出精确的警报。

详情

https://securityaffairs.com/152569/malware/redalert-rocket-alerts-spyware.html

https://securityaffairs.com/152569/malware/redalert-rocket-alerts-spyware.html

SpyNote Android 恶意软件通过盗版火山喷发警报服务传播

日期: 2023-10-18
标签: 意大利, 居民服务, 农林牧渔, SpyNote, Android(安卓)

2023年10月,D3Lab的研究人员在针对意大利的攻击中发现了 Android“SpyNote”恶意软件,该攻击使用虚假的“IT-alert”公共警报服务,使访问者感染了信息窃取恶意软件。IT-alert 是意大利政府(特别是民防部)运营的一项合法公共服务,旨在在即将发生或正在发生的灾难(例如野火、洪水、地震等)期间向民众提供紧急警报和指导。在伪造的“IT-alert”网站中,如果从 iOS 设备单击下载按钮,用户将被重定向到真正的 IT-alert 站点,但尝试下载该应用程序的 Android 用户会直接收到“IT-Alert.apk”。APK(Android 包)文件会在设备上安装 SpyNote 恶意软件,授予其使用辅助功能服务的权限,从而使攻击者能够在受感染的设备上执行各种危险和侵入性操作。

详情

https://www.bleepingcomputer.com/news/security/spynote-android-malware-spreads-via-fake-volcano-eruption-alerts/

https://www.bleepingcomputer.com/news/security/spynote-android-malware-spreads-via-fake-volcano-eruption-alerts/

恶意 Notepad++ Google 广告逃避检测数月

日期: 2023-10-18
标签: 信息技术, 文化传播, Cobalt Strike, Notepad++, Google 搜索

一项新的 Google 搜索恶意广告活动针对希望下载流行的 Notepad++ 文本编辑器的用户,采用先进技术来逃避检测和分析。攻击者越来越 多地在恶意广告活动中滥用 Google Ads ,宣传传播恶意软件的虚假软件网站。根据发现 Notepad++ 恶意广告活动的 Malwarebytes 的说法,该活动已经存在了几个月,但一直设法躲在雷达之下。最终交付给受害者的有效负载尚不清楚,但 Malwarebytes 表示最有可能是 Cobalt Strike,它通常先于极具破坏性的勒索软件部署。

详情

https://www.bleepingcomputer.com/news/security/malicious-notepad-plus-plus-google-ads-evade-detection-for-months/

https://www.bleepingcomputer.com/news/security/malicious-notepad-plus-plus-google-ads-evade-detection-for-months/

MATA 恶意软件框架利用 EDR 攻击东欧国防公司

日期: 2023-10-19
标签: 东欧, 能源业, 政府部门, MATA, CVE-2021-26411, Internet Explorer, 鱼叉式网络钓鱼

MATA 后门框架的更新版本在 2022 年 8 月至 2023 年 5 月期间针对东欧石油和天然气公司以及国防工业的攻击中被发现。这些攻击利用鱼叉式网络钓鱼电子邮件诱骗目标下载恶意可执行文件,这些可执行文件利用 Internet Explorer 中的 CVE-2021-26411 启动感染链。这些攻击中的 MATA 版本与朝鲜 Lazarus 黑客组织相关的先前版本类似,但具有更新的功能。网络安全研究人员在检查了两个与被破坏组织网络内的命令和控制服务器 (C2) 通信的 MATA 样本后,于 2022 年 9 月发现了该活动。

详情

https://www.bleepingcomputer.com/news/security/mata-malware-framework-exploits-edr-in-attacks-on-defense-firms/

https://www.bleepingcomputer.com/news/security/mata-malware-framework-exploits-edr-in-attacks-on-defense-firms/

MATA恶意软件框架利用EDR攻击国防公司

日期: 2023-10-20
标签: 政府部门, MATA, CVE-2021-26411, APT舆情

2022年9月上旬,卡巴斯基发现了多个属于MATA集群的新恶意软件样本。当收集和分析相关遥测数据时,意识到该活动于2022年8月中旬发起,针对东欧石油和天然气行业以及国防工业的十几家公司。攻击者使用鱼叉式网络钓鱼邮件来瞄准多名受害者,其中一些受害者通过互联网浏览器下载文件而感染了Windows可执行恶意软件。每个网络钓鱼文档都包含一个外部链接,用于获取包含CVE-2021-26411漏洞的远程页面。该活动在6个多月的时间里一直保持活跃,直到2023年5月。从MATA的第一个版本开始,卡巴斯基就对如何归属它产生了一些疑问。这种怀疑随着最新一代MATA的出现而加剧。一方面,有明显的论点将MATA家族与Lazarus联系在一起。与此同时,研究人员在最新的MATA中看到了更多类似五眼APT组织使用的技术。考虑到在过去几年中Lamberts和Equation组织的活动非常少,并且UMBRAGE集合在2017年的Vault7泄漏中被提及,它可能在近年来被用于假旗。这一定是一个足够富有的攻击者,允许自己在一次攻击中烧毁三个巨大的昂贵框架。

详情

https://securelist.com/updated-mata-attacks-industrial-companies-in-eastern-europe/110829/

https://securelist.com/updated-mata-attacks-industrial-companies-in-eastern-europe/110829/

假冒 KeePass 网站使用 Google Ads 和 Punycode 推送恶意软件

日期: 2023-10-20
标签: 文化传播, 信息技术, 谷歌(Google), Google Ads, KeePass

2023年10月中旬,Malwarebytes的研究人员发现 Google Ads 活动正在推广一个假冒的 KeePass 下载网站,该网站使用 Punycode 作为 KeePass 密码管理器的官方域来传播恶意软件。Google Ads 可能会被滥用,在广告中显示 Keepass 的合法域名 (https://www.keepass.info),这使得即使对于具有安全意识的用户来说也很难发现威胁。发现这一活动的 Malwarebytes 指出,滥用 Punycode 进行网络犯罪并不新鲜。然而,它与 Google Ads 滥用的结合可能预示着该领域的一种新的危险趋势。

详情

https://www.bleepingcomputer.com/news/security/fake-keepass-site-uses-google-ads-and-punycode-to-push-malware/

https://www.bleepingcomputer.com/news/security/fake-keepass-site-uses-google-ads-and-punycode-to-push-malware/


4
 数据安全



ALPHV 勒索软件团伙从莫里森社区医院窃取了 5TB 数据

日期: 2023-10-16
标签: 卫生行业, ALPHV 勒索软件

ALPHV/BlackCat 勒索软件组织声称入侵了莫里森社区医院,并将其添加到其暗网 Tor 泄露网站中。该组织声称窃取了 5TB 的患者和员工信息、备份、PII 文件等。该团伙还发布了一个样本作为数据被盗的证据。研究员 Brett Callow 表示,2023年到目前为止,美国 29 个卫生系统(包括 90 家医院)受到#勒索软件的影响,其中至少 23/29 的数据被盗。

详情

https://securityaffairs.com/152486/cyber-crime/alphv-ransomware-morrison-community-hospital.html

https://securityaffairs.com/152486/cyber-crime/alphv-ransomware-morrison-community-hospital.html

D-Link 确认员工网络钓鱼攻击后数据泄露

日期: 2023-10-18
标签: 制造业, 信息技术, D-Link, 网络钓鱼攻击

2023年10月中旬,中国台湾网络设备制造商 D-Link 证实发生了一起数据泄露事件,该事件与从其网络中窃取的信息有关,并于2023年10月早些时候在 BreachForums 上出售。攻击者声称窃取了 D-Link 的 D-View 网络管理软件的源代码,以及数百万条包含客户和员工个人信息的条目,其中包括该公司首席执行官的详细信息。据称,被盗数据包括姓名、电子邮件、地址、电话号码、帐户注册日期和用户的上次登录日期。攻击者提供了 45 条被盗记录的样本,时间在 2012 年至 2013 年之间。

详情

https://www.bleepingcomputer.com/news/security/d-link-confirms-data-breach-after-employee-phishing-attack/

https://www.bleepingcomputer.com/news/security/d-link-confirms-data-breach-after-employee-phishing-attack/

黑客再次泄露了数百万新的 23andMe 基因数据档案

日期: 2023-10-19
标签: 英国, 德国, 居民服务, 科研服务, 卫生行业, 23andMe, 基因信息

2023年10月17日,名为“Golem”的攻击者(据称是 23andMe 攻击幕后黑手)在 BreachForums 黑客论坛上泄露了另外 410 万份英国和德国人的个人资料。这次额外的泄露包括居住在英国的人们的 4,011,607 行 23andMe 数据。2023年10月18日,同一黑客发布了另一个 CSV 文件,其中包含居住在德国的 139,172 人的 23andMe 数据。英国新泄露的一些数据已被证实与已知和公共的用户和基因信息相匹配。攻击者声称,被盗数据包括王室、罗斯柴尔德家族和洛克菲勒家族的遗传信息。

详情

https://www.bleepingcomputer.com/news/security/hacker-leaks-millions-of-new-23andme-genetic-data-profiles/

https://www.bleepingcomputer.com/news/security/hacker-leaks-millions-of-new-23andme-genetic-data-profiles/

卡西欧披露数据泄露影响了 149 个国家的客户

日期: 2023-10-20
标签: 制造业, 卡西欧 (Casio), 日本电子产品制造商卡西欧 (Casio), ClassPad, 数据泄露

2023年10月下旬,日本电子产品制造商卡西欧 (Casio) 披露,黑客侵入其 ClassPad 教育平台的服务器后,数据泄露,影响了来自 149 个国家/地区的客户。卡西欧于 10 月 11 日星期三检测到该事件,原因是该公司开发环境中的 ClassPad 数据库发生故障。有证据表明,攻击者在一天后(即 10 月 12 日)访问了客户的个人信息。暴露的数据包括客户姓名、电子邮件地址、居住国家、服务使用详细信息以及支付方式、许可证代码和订单详情等购买信息。卡西欧表示,信用卡信息并未存储在受损的数据库中。截至 10 月 18 日,攻击者获取了属于日本客户(包括个人和 1,108 名教育机构客户)的 91,921 条记录,以及属于日本以外 148 个国家和地区客户的 35,049 条记录。

详情

https://www.bleepingcomputer.com/news/security/casio-discloses-data-breach-impacting-customers-in-149-countries/

https://www.bleepingcomputer.com/news/security/casio-discloses-data-breach-impacting-customers-in-149-countries/


5
 网络攻击



AI算法检测对无人军用车辆的MitM攻击

日期: 2023-10-16
标签: 信息技术, 中间人(MitM)攻击, 无人驾驶车辆

南澳大利亚大学和查尔斯特大学的教授开发了一种算法来检测和拦截对无人军事机器人的中间人(MitM)攻击。MitM 攻击是一种网络攻击,其中两方(在本例中为机器人及其合法控制器)之间的数据流量被拦截,以窃听或在流中注入虚假数据。此类恶意攻击旨在中断无人驾驶车辆的运行,修改传输的指令,在某些情况下甚至夺取控制权,指示机器人采取危险行动。该算法在美国陆军 (TARDEC) 使用的 GVR-BOT 复制品中进行了测试,记录了 99% 的攻击预防成功率,只有不到 2% 的测试案例出现误报。

详情

https://www.bleepingcomputer.com/news/security/ai-algorithm-detects-mitm-attacks-on-unmanned-military-vehicles/

https://www.bleepingcomputer.com/news/security/ai-algorithm-detects-mitm-attacks-on-unmanned-military-vehicles/

新的网络钓鱼活动滥用 LinkedIn 智能链接进行全面攻击

日期: 2023-10-16
标签: 信息技术, LinkedIn 智能链接, LinkedIn

电子邮件安全提供商 Cofense 发现了一个新的网络钓鱼活动,其中包含 800 多封电子邮件,并使用 LinkedIn 智能链接。LinkedIn 智能链接(也称为 slink)由 LinkedIn 企业帐户用来通过 LinkedIn Sales Navigator 传递内容并跟踪用户内容参与度。该活动于 2023 年 7 月至 8 月期间活跃,涉及各种主题,例如金融、文档、安全和一般通知诱惑,到达多个行业的用户收件箱。金融、制造和能源行业是首要目标垂直行业。

详情

https://www.infosecurity-magazine.com/news/new-phishing-campaign-uses/

https://www.infosecurity-magazine.com/news/new-phishing-campaign-uses/

Sticky Werewolf攻击俄罗斯和白俄罗斯的公共组织

日期: 2023-10-17
标签: 政府部门, Sticky Werewolf, APT舆情

网络威胁情报专家发现了一个新组织,该组织可能使用合法软件来干扰政府组织。攻击者的一个典型特征是使用易于检测和阻止的流行工具。该组织的活动可以追溯到2023年4月,迄今为止至少发动了30次攻击。俄罗斯和白俄罗斯的公共组织是该组织的主要目标。

详情

https://bi-zone.medium.com/sticky-werewolf-attacks-public-organizations-in-russia-and-belarus-0a9bcf4cefd0

https://bi-zone.medium.com/sticky-werewolf-attacks-public-organizations-in-russia-and-belarus-0a9bcf4cefd0

黑客攻击行动在以色列与哈马斯冲突中日益猖獗

日期: 2023-10-17
标签: 政府部门, 文化传播, 信息技术, DDoS

以色列和哈马斯之间爆发冲突后,黑客活动人士声称通过 DDoS 和篡改攻击攻击了以色列网站。网络安全专家现在警告称,有迹象表明正在尝试更具影响力的攻击。Radware 的研究人员发现,以色列在 10 月 2 日至 10 日期间遭受了 143 次 DDoS 攻击,使其成为该时期最受攻击的民族国家。活动于 10 月 7 日星期六开始,当天哈马斯对以色列发动了冲击,引发了冲突。这一天,各组织声称对 30 起 DDoS 攻击负责。随后,10 月 9 日和 10 日均收到了 40 多起索赔。据 Radware 称,针对以色列政府机构的攻击占所有声称的 DDoS 尝试的 36%。其次是新闻和媒体(10%)以及旅游(9%)。声明主要由亲巴勒斯坦的黑客组织提出,包括印度尼西亚威胁组织 Garnesia_Team、摩洛哥黑色网络军和匿名苏丹组织。

详情

https://www.infosecurity-magazine.com/news/concern-hacktivism-israel-hamas/

https://www.infosecurity-magazine.com/news/concern-hacktivism-israel-hamas/

自 5 月以来,俄罗斯 Sandworm 黑客入侵了 11 家乌克兰电信公司

日期: 2023-10-17
标签: 信息技术, 政府部门, Sandworm, 俄乌战争

2023 年 5 月至 9 月期间,国家支持的俄罗斯黑客组织(被追踪为“Sandworm”)入侵了乌克兰的 11 家电信服务提供商。这是基于乌克兰计算机紧急响应小组 (CERT-UA) 的一份新报告,引用了“公共资源”和从一些违规提供商处检索到的信息。该机构表示,俄罗斯黑客“干扰”了该国 11 家电信公司的通信系统,导致服务中断和潜在的数据泄露。Sandworm 是一个非常活跃的间谍威胁组织,与俄罗斯 GRU(武装部队)有联系。攻击者在 2023 年将重点放在乌克兰,使用 网络钓鱼 诱饵、 Android 恶意软件和 数据擦除器。

详情

https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-breached-11-ukrainian-telcos-since-may/

https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-breached-11-ukrainian-telcos-since-may/

MICROSOFT DEFENDER 阻止了Storm-1567勒索软件攻击活动

日期: 2023-10-17
标签: 信息技术, Microsoft Defender, Storm-1567

微软宣布其 Microsoft Defender for Endpoint 帮助阻止Akira 勒索软件运营商实施的大规模黑客活动 (微软追踪为 Storm-1567)。此次攻击发生于 2023 年 6 月上旬,目标是一家工业工程组织。 Akira 勒索软件 自 2023 年 3 月以来一直活跃,该恶意软件背后的威胁行为者声称已经入侵了多个行业的多个组织,包括教育、金融和房地产。与其他勒索软件团伙一样,该组织开发了一款针对 VMware ESXi 服务器的 Linux 加密器。在这次攻击中,攻击者在大部分攻击阶段都利用了未加入 Microsoft Defender for Endpoint 的设备。Defender for Endpoint 仍然成功阻止了勒索软件阶段,保护组织中的所有内置设备免遭加密。

详情

https://securityaffairs.com/152501/malware/akira-ransomware-attack-blocked.html

https://securityaffairs.com/152501/malware/akira-ransomware-attack-blocked.html

CERT-UA 报告:11 家乌克兰电信提供商遭受网络攻击

日期: 2023-10-18
标签: 乌克兰, 政府部门, 信息技术, UAC-0165, UAC-0006, 网络钓鱼攻击, 电信服务提供商

2023年10月,乌克兰计算机紧急响应小组 (CERT-UA) 透露,2023 年 5 月至 9 月期间,攻击者“干扰”了该国至少 11 家电信服务提供商。该机构正在追踪名为 UAC-0165 的活动,并表示入侵导致客户服务中断。攻击的起点是侦察阶段,其中扫描电信公司的网络以识别暴露的 RDP 或 SSH 接口以及潜在的入口点。侦察和利用活动是通过之前受到损害的服务器进行的,特别是位于乌克兰互联网段的服务器。CERT-UA表示,在 2023 年 10 月的第一周,观察到由 UAC-0006 组织追踪的黑客组织使用SmokeLoader 恶意软件发起了四次网络钓鱼攻击。

详情

https://thehackernews.com/2023/10/cert-ua-reports-11-ukrainian-telecom.html

https://thehackernews.com/2023/10/cert-ua-reports-11-ukrainian-telecom.html

长期网络间谍活动TetrisPhantom针对亚太地区政府

日期: 2023-10-19
标签: 亚太, 政府部门, TetrisPhantom, 网络间谍活动, USB 驱动器

2023年10月中旬,卡巴斯基发布研究报告表示,名为TetrisPhantom的长期网络间谍活动针对亚太地区 (APAC) 地区的政府实体。攻击者利用特定类型的安全 USB 驱动器秘密监视并获取亚太地区政府实体的敏感数据,该驱动器受硬件加密保护,以确保计算机系统之间数据的安全存储和传输。这家俄罗斯网络安全公司于 2023 年初检测到这一持续活动,并表示 USB 驱动器提供硬件加密,并被世界各地的政府组织用来安全地存储和传输数据,这增加了攻击未来可能扩大到全球范围的可能性。

详情

https://thehackernews.com/2023/10/tetrisphantom-cyber-espionage-via.html

https://thehackernews.com/2023/10/tetrisphantom-cyber-espionage-via.html

乌克兰活动分子攻击 Trigona 勒索软件团伙的服务器

日期: 2023-10-19
标签: 信息技术, Confluence, CVE-2023-22515, Trigona, 乌克兰

乌克兰网络联盟旗下的一群网络活动分子入侵了 Trigona 勒索软件团伙的服务器,并在复制所有可用信息后将其清除。乌克兰 网络联盟 战士表示,他们从Trigona 勒索软件团伙的系统中窃取了所有数据,包括源代码和数据库记录,其中可能包括解密密钥。乌克兰网络联盟黑客通过 CVE-2023-22515 的公开漏洞获取了 Trigona 勒索软件基础设施的访问权限,CVE-2023-22515 是Confluence 数据中心和服务器中的一个关键漏洞,可远程利用该漏洞来提升权限。2023年10月上旬,乌克兰网络联盟(简称 UCA)首次攻破了 Trigona 勒索软件的 Confluence 服务器,建立了持久性,并在完全未被注意到的情况下绘制了网络犯罪分子的基础设施。

详情

https://www.bleepingcomputer.com/news/security/ukrainian-activists-hack-trigona-ransomware-gang-wipe-servers/

https://www.bleepingcomputer.com/news/security/ukrainian-activists-hack-trigona-ransomware-gang-wipe-servers/

Qubitstrike 恶意软件攻击 Rootkit Jupyter Linux 服务器以窃取凭证

日期: 2023-10-19
标签: 信息技术, PyLoose, Qubitstrike, Jupyter Notebook, Linux

2023年10月18日,Cado Research研究人员表示,黑客正在扫描暴露在互联网上的 Jupyter Notebook,以破坏服务器并部署由 Linux rootkit、加密矿工和密码窃取脚本组成的恶意软件混合物。Jupyter Notebooks 是用于数据分析、机器学习和科学研究的开源交互式计算环境。该平台最近成为另一个名为“ PyLoose ”的恶意软件的目标,也导致 XMRRig 矿工部署在底层容器中。在一项名为“Qubitstrike”的新活动中,攻击者下载恶意负载来劫持 Linux 服务器进行加密挖矿,并窃取 AWS 和 Google Cloud 等云服务的凭证。Qubitstrike 恶意软件有效负载托管在 codeberg.org 上,这标志着该平台首次被滥用于恶意软件分发。

详情

https://www.bleepingcomputer.com/news/security/qubitstrike-attacks-rootkit-jupyter-linux-servers-to-steal-credentials/

https://www.bleepingcomputer.com/news/security/qubitstrike-attacks-rootkit-jupyter-linux-servers-to-steal-credentials/


6
 安全漏洞



未修补的关键思科零日漏洞正在被积极利用

日期: 2023-10-17
标签: 信息技术, 思科(Cisco), CVE-2023-20198, Cisco IOS XE 设备, 零日漏洞

思科要求客户立即禁用所有面向互联网的 IOS XE 设备上的 HTTPS 服务器功能,以防止攻击者主动利用操作系统 Web 用户界面中的严重零日漏洞。 Cisco IOS XE 是思科用于其下一代企业网络设备的操作系统。该漏洞编号为 CVE-2023-20198,影响所有启用了 Web UI 功能的 Cisco IOS XE 设备。目前还没有针对该漏洞的补丁或其他解决方法,思科将其描述为可实现完全设备接管的权限升级问题。该漏洞允许未经身份验证的远程攻击者在受影响的系统上创建具有 15 级访问权限的帐户。然后攻击者可以使用该帐户来控制受影响的系统。Cisco IOS 系统上的权限级别 15 基本上意味着可以完全访问所有命令,包括重新加载系统和进行配置更改的命令。

详情

https://www.darkreading.com/vulnerabilities-threats/critical-unpatched-cisco-zero-day-bug-active-exploit

https://www.darkreading.com/vulnerabilities-threats/critical-unpatched-cisco-zero-day-bug-active-exploit

黑客利用 WordPress Royal Elementor 插件的严重漏洞

日期: 2023-10-17
标签: 信息技术, CVE-2023-5360, WordPress

据报道,两个 WordPress 安全团队正在积极利用影响 Royal Elementor 插件和模板(最高版本为 1.3.78)的严重漏洞。由于该漏洞是在供应商发布补丁之前发现的,因此该漏洞被黑客用作零日漏洞。“WP Royal”的 Royal Elementor 插件和模板是一个网站构建工具包,无需编码知识即可快速创建 Web 元素。据 WordPress.org 称,它的活跃安装量超过 200,000 次。影响该附加组件的漏洞被追踪为 CVE-2023-5360(CVSS v3.1:9.8“严重”),允许未经身份验证的攻击者在易受攻击的网站上执行任意文件上传。有关该漏洞的其他技术细节已被隐瞒,以防止广泛利用。

详情

https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-flaw-in-wordpress-royal-elementor-plugin/

https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-flaw-in-wordpress-royal-elementor-plugin/

CISA、FBI 敦促立即修补 Atlassian Confluence服务器漏洞

日期: 2023-10-17
标签: 信息技术, CVE-2023-22515

2023年10月16日,CISA、FBI 和 MS-ISAC 警告网络管理员立即修补其 Atlassian Confluence 服务器,以防止攻击中主动利用的最严重漏洞。这个严重的权限提升漏洞被追踪为 CVE-2023-22515,影响 Confluence Data Center 和 Server 8.0.0 及更高版本,并且可以在不需要用户交互的低复杂性攻击中远程利用。2023年10 月 4 日,Atlassian 发布安全更新时,建议客户 尽快将其 Confluence 实例升级 到固定版本之一(即 8.3.3 或更高版本、8.4.3 或更高版本、8.5.2 或更高版本):该漏洞已作为零日漏洞在野外被利用。

详情

https://www.bleepingcomputer.com/news/security/cisa-fbi-urge-admins-to-patch-atlassian-confluence-immediately/

https://www.bleepingcomputer.com/news/security/cisa-fbi-urge-admins-to-patch-atlassian-confluence-immediately/

超过 10,000 台思科设备在 IOS XE 零日攻击中遭到黑客攻击

日期: 2023-10-18
标签: 制造业, 信息技术, CVE-2023-20198, 思科设备, 零日漏洞, Cisco IOS XE 软件

2023年10月,攻击者利用才披露的严重零日漏洞,通过恶意植入来危害和感染超过 10,000 台 Cisco IOS XE 设备。运行 Cisco IOS XE 软件的产品列表包括企业交换机、汇聚和工业路由器、接入点、无线控制器等。据威胁情报公司 VulnCheck 称,最高严重性漏洞 (CVE-2023-20198) 已被广泛利用,针对启用了 Web 用户界面 (Web UI) 功能且还具有 HTTP 或 HTTPS 服务器功能的 Cisco IOS XE 系统的攻击已打开。VulnCheck 扫描了面向互联网的 Cisco IOS XE Web 界面,发现了数千台受感染的主机。

详情

https://www.bleepingcomputer.com/news/security/over-10-000-cisco-devices-hacked-in-ios-xe-zero-day-attacks/

https://www.bleepingcomputer.com/news/security/over-10-000-cisco-devices-hacked-in-ios-xe-zero-day-attacks/

专家警告 Milesight 路由器和 Titan SFTP 服务器存在严重漏洞

日期: 2023-10-18
标签: 信息技术, Milesight, CVE-2023-43261, Milesight 路由器, Titan SFTP 服务器, 欺诈风险

2023年10月中旬,VulnCheck 的新发现显示,影响Milesight工业蜂窝路由器的严重漏洞可能已在黑客攻击行动中被积极利用。该漏洞被追踪为 CVE-2023-43261(CVSS 评分:7.5),被描述为影响 35.3.0.7 版本之前的 UR5X、UR32L、UR32、UR35 和 UR41 路由器的信息泄露案例,可能使攻击者能够访问日志例如 httpd.log 以及其他敏感凭据。因此,这可能允许远程和未经身份验证的攻击者获得对 Web 界面的未经授权的访问,从而可以配置 VPN 服务器,甚至放弃防火墙保护。由于某些路由器允许发送和接收短信,因此该漏洞变得更加严重。攻击者可以利用此功能进行欺诈活动,可能给路由器所有者造成经济损失。

详情

https://thehackernews.com/2023/10/experts-warn-of-severe-flaws-affecting.html

https://thehackernews.com/2023/10/experts-warn-of-severe-flaws-affecting.html

朝鲜黑客利用 TeamCity 的关键漏洞发起供应链攻击

日期: 2023-10-19
标签: 信息技术, TeamCity, Lazarus Group, Andariel, CVE-2023-42793, 供应链攻击, Lazarus

2023年10月18日,微软表示,朝鲜 Lazarus 和 Andariel 黑客组织正在利用 TeamCity 服务器中的 CVE-2023-42793 漏洞部署后门恶意软件,可能会发起软件供应链攻击。TeamCity 是一种持续集成和部署服务器,组织将其用作其软件开发基础架构的一部分。2023年9 月,TeamCity 修复了一个严重的 9.8/10 漏洞 (编号为 CVE-2023-42793) ,该漏洞允许未经身份验证的攻击者远程执行代码。虽然 TeamCity 迅速修复了该漏洞,但勒索软件团伙等攻击者开始利用该缺陷破坏企业网络。

详情

https://www.bleepingcomputer.com/news/security/north-korean-hackers-exploit-critical-teamcity-flaw-to-breach-networks/

https://www.bleepingcomputer.com/news/security/north-korean-hackers-exploit-critical-teamcity-flaw-to-breach-networks/

Citrix 警告严重漏洞CVE-2023-4966出现在野利用

日期: 2023-10-19
标签: 信息技术, CVE-2023-4966, Citrix NetScaler, 在野利用

2023年10月18日,Citrix 警告称,利用最近披露的 NetScaler ADC 和 Gateway 设备中的一个严重安全漏洞可能会导致敏感信息泄露。该漏洞编号为CVE-2023-4966(CVSS 评分:9.4),成功利用该漏洞可能会导致劫持现有的经过身份验证的会话,从而绕过多因素身份验证或其他强大的身份验证要求。但若要成功利用该漏洞,需要将设备配置为网关(VPN 虚拟服务器、ICA 代理、CVPN、RDP 代理)或授权和计费 (AAA) 虚拟服务器。虽然针对该漏洞的补丁已于 2023 年 10 月 10 日发布,但 Citrix 已修改了该公告,指出“已观察到 CVE-2023-4966 在未受缓解的设备上被利用”。

详情

https://thehackernews.com/2023/10/critical-citrix-netscaler-flaw.html

https://thehackernews.com/2023/10/critical-citrix-netscaler-flaw.html

朝鲜攻击者利用关键 CI/CD 漏洞

日期: 2023-10-20
标签: 朝鲜, 信息技术, Diamond Sleet, Onyx Sleet, CVE-2023-42793

2023年10月下旬,微软警告称,朝鲜黑客组织正在积极利用软件开发中使用的持续集成/持续部署(CI/CD)应用程序中的一个关键漏洞。自 2023 年 10 月初以来,微软观察到两个朝鲜黑客组织——Diamond Sleet 和 Onyx Sleet——利用远程代码执行漏洞 CVE-2023-42793。该漏洞的 CVSS 严重等级为 9.8,影响组织用于 DevOps 和其他软件活动的多个版本的 JetBrains TeamCity 服务器。微软指出,Diamond Sleet 和 Onyx Sleet 此前曾通过渗透构建环境成功实施软件供应链攻击。因此,它评估此活动对受影响的组织构成“极高的风险”。

详情

https://www.infosecurity-magazine.com/news/north-korean-exploiting-critical/

https://www.infosecurity-magazine.com/news/north-korean-exploiting-critical/

超过 40,000 台 Cisco IOS XE 设备感染了使用零日漏洞的后门

日期: 2023-10-20
标签: 信息技术, CVE-2023-20198, 思科设备

2023年10月中旬,黑客利用最近披露的一个编号为 CVE-2023-20198 的最高严重性漏洞后,超过 40,000 台运行 IOS XE 操作系统的思科设备受到损害。目前没有可用的补丁或解决方法,对客户保护设备的唯一建议是“禁用所有面向互联网的系统上的 HTTP 服务器功能”。运行 Cisco IOS XE 的网络设备包括企业交换机、工业路由器、接入点、无线控制器、汇聚和分支路由器。

详情

https://www.bleepingcomputer.com/news/security/over-40-000-cisco-ios-xe-devices-infected-with-backdoor-using-zero-day/

https://www.bleepingcomputer.com/news/security/over-40-000-cisco-ios-xe-devices-infected-with-backdoor-using-zero-day/


7
 安全分析



APT28组织利用CVE-2023-38831进行凭据收集行动

日期: 2023-10-16
标签: 俄罗斯, 政府部门, APT28, CVE-2023-38831, APT舆情

Cluster25观察并分析了几起与俄罗斯民族国家威胁组织有关的网络钓鱼攻击。该攻击涉及使用恶意存档文件,这些文件利用了最近发现的影响WinRAR压缩软件6.23之前版本的漏洞CVE-2023-38831。该诱饵文件包含在存档中的PDF文档中,其中显示了IoC列表,包含与不同恶意软件相关的域名和哈希值,包括SmokeLoader、Nanocore RAT、Crimson RAT和AgentTesla。由于该漏洞,单击PDF文件会导致执行BAT脚本,该脚本会启动PowerShell命令来打开反向shell,使攻击者能够访问目标计算机,并使用PowerShell脚本窃取数据,包括来自Google Chrome和Microsoft Edge浏览器的登录凭据。 为了窃取数据,攻击者使用合法的Web服务webhook[.]site。根据Cluster25的可见性并考虑到感染链的复杂性,这次攻击中低可信度与俄罗斯国家资助的组织APT28有关。

详情

https://blog.cluster25.duskrise.com/2023/10/12/cve-2023-38831-russian-attack

https://blog.cluster25.duskrise.com/2023/10/12/cve-2023-38831-russian-attack

Confucius近期针对巴基斯坦电信、能源、军事、政府和宗教等行业的攻击活动分析

日期: 2023-10-17
标签: 巴基斯坦, 政府部门, 信息技术, 能源业, 科研服务, Confucius, APT舆情

近日,安恒信息猎影实验室在在日常威胁狩猎过程中发现Confucius利用LNK文件传播C#文件窃取器的攻击活动。此活动使用巴基斯坦电信管理局发布的安全上网指南为诱饵文件,下发多阶段恶意软件,具有隐蔽的持久化驻留、文件窃密等特点。为方便跟踪,将Confucius在此次活动中使用的文件窃密器命名为River Stealer。此次捕获的Confucius攻击样本特征如下:1. 使用ZIP+LNK文件的形式作为初始攻击负载;2. LNK文件读取自身数据并释放VBS到本地;3. VBS脚本及后续释放的DLL文件中均含有大量无效数据填充。

详情

https://mp.weixin.qq.com/s/bSsmRQFQz-2Llhd3rOfRVw

https://mp.weixin.qq.com/s/bSsmRQFQz-2Llhd3rOfRVw

针对亚太地区政府的持续间谍活动分析

日期: 2023-10-18
标签: 亚太地区, 政府部门, TetrisPhantom, 间谍活动

卡巴斯基网络安全专家揭示了一个隐蔽且高度先进的间谍活动,代号为“TetrisPhantom”。此次行动专门针对亚太地区 (APAC) 的政府机构,利用一种涉及安全 USB 驱动器的独特方法进行数据渗透。这一秘密活动于 2023 年初首次曝光,是由一位身份不明的攻击者精心策划的,其战略重点是利用安全 USB 驱动器。

详情

https://www.infosecurity-magazine.com/news/espionage-campaign-targets-apac/

https://www.infosecurity-magazine.com/news/espionage-campaign-targets-apac/

超过 40,000 个管理门户帐户使用“admin”作为密码

日期: 2023-10-18
标签: 信息技术, 弱口令

安全研究人员发现,IT 管理员正在使用数以万计的弱密码来保护对门户的访问,从而导致企业网络容易遭受网络攻击。在分析的超过 180 万个管理员凭据中,超过 40,000 个条目是“admin”,这表明默认密码已被 IT 管理员广泛接受。保护企业网络首先要应用基线安全原则,例如为每个帐户使用长、强且唯一的密码,特别是对于有权访问敏感资源的用户。为了防止信息窃取恶意软件的侵害,研究人员建议使用端点和检测响应解决方案,禁用网络浏览器中的密码保存和自动填充选项,在发生重定向时检查域,并远离破解软件。

详情

https://www.bleepingcomputer.com/news/security/over-40-000-admin-portal-accounts-use-admin-as-a-password/

https://www.bleepingcomputer.com/news/security/over-40-000-admin-portal-accounts-use-admin-as-a-password/

22% 的网络钓鱼攻击使用二维码

日期: 2023-10-20
标签: 信息技术, 网络钓鱼攻击, 二维码, Hoxhunt 挑战赛

2023年10月19日,研究人员发布报告显示,2023 年 10 月的前几周,22% 的网络钓鱼攻击使用 QR 码来传递恶意负载。只有 36% 的收件人成功识别并报告了模拟攻击,这使得大多数组织都容易受到网络钓鱼威胁。零售行业的失误率最高,只有十分之二的员工参与了基准测试,而法律和商业服务在识别和报告可疑二维码方面优于其他行业。

详情

https://www.infosecurity-magazine.com/news/qr-codes-used-22-phishing-attacks/

https://www.infosecurity-magazine.com/news/qr-codes-used-22-phishing-attacks/


8
 行业动向



微软计划在 Windows 11 中取消 NTLM 身份验证

日期: 2023-10-16
标签: 信息技术, 微软(Microsoft), NTLM 身份验证协议, Windows 11, Kerberos

2023年10月中旬,微软宣布,未来将在 Windows 11 中取消 NTLM 身份验证协议。NTLM(新技术 LAN 管理器的缩写)是一系列用于验证远程用户身份并提供会话安全性的协议。Kerberos 是另一种身份验证协议,它已取代 NTLM,现在是 Windows 2000 以上所有 Windows 版本上域连接设备的当前默认身份验证协议。攻击者在NTLM 中继攻击中广泛利用 NTLM ,迫使易受攻击的网络设备(包括域控制器)对攻击者控制下的服务器进行身份验证,从而提升权限以获得对 Windows 域的完全控制。虽然 NTLM 是旧 Windows 版本中使用的默认协议,但如今仍在使用,并且如果出于任何原因 Kerberos 失败,将改用 NTLM。

详情

https://www.bleepingcomputer.com/news/security/microsoft-plans-to-kill-off-ntlm-authentication-in-windows-11/

https://www.bleepingcomputer.com/news/security/microsoft-plans-to-kill-off-ntlm-authentication-in-windows-11/

微软宣布人工智能漏洞赏金计划

日期: 2023-10-16
标签: 信息技术, 人工智能漏洞

微软宣布了人工智能漏洞赏金计划,以鼓励世界各地的研究人员发现 Bing 生成人工智能聊天机器人和人工智能集成中的漏洞。合格提交的赏金奖励范围为 2,000 美元至 15,000 美元。符合资格的参与者必须年满 14 岁,如果是未成年人,则须获得法定监护人的许可,以及个人研究员。如果参与者是公共部门雇员,则奖金必须交给公共部门组织,并由负责其道德政策的律师或高管签署。 赏金计划的范围扩展到 bing.com 上的 AI 驱动的 Bing、Microsoft Edge 中的 AI 驱动的 Bing 集成、Microsoft Start 应用中的 AI 驱动的 Bing 集成以及 Skype Mobile 应用中的 AI 驱动的 Bing 集成。在这些集成中发现的任何漏洞都有资格提交并有资格赢得奖励。

详情

https://www.darkreading.com/vulnerabilities-threats/microsoft-debuts-ai-bug-bounty-program-offers-15k

https://www.darkreading.com/vulnerabilities-threats/microsoft-debuts-ai-bug-bounty-program-offers-15k

亚马逊添加密钥支持作为新的无密码登录选项

日期: 2023-10-18
标签: 信息技术, 亚马逊(Amazon ), 密钥支持, 无密码登录

2023年10月,亚马逊添加了密钥支持,作为客户的新无密码登录选项,从而更好地防范信息窃取恶意软件和网络钓鱼攻击。密钥是数字凭证,可让您使用链接到设备(例如电话、计算机和 USB 安全密钥)的生物识别控制或 PIN 来登录网站。使用密钥可以显着降低网络和数据泄露以及帐户受损的风险。密钥可以防范网络钓鱼攻击和信息窃取恶意软件,防止身份验证信息被盗。从用户的角度来看,密钥还使登录帐户变得更加容易,因为不再需要使用密码管理器或记住每个站点的不同密码。

详情

https://www.bleepingcomputer.com/news/security/amazon-adds-passkey-support-as-new-passwordless-login-option/

https://www.bleepingcomputer.com/news/security/amazon-adds-passkey-support-as-new-passwordless-login-option/

Google Play Protect 增加实时扫描以对抗 Android 恶意软件

日期: 2023-10-19
标签: 信息技术, 谷歌(Google), Google Play Protect, Android(安卓)

2023年10月17日,谷歌宣布为 Google Play Protect 提供新的实时扫描功能,使利用多态性的恶意应用程序更难逃避检测。Google 的 Play Protect 平台是 Android 的内置保护系统,用于在设备上扫描不需要的软件和恶意软件,由来自 1250 亿次每日扫描的数据提供支持。该工具适用于从 Google Play、Android 官方应用商店下载的应用程序以及从外部来源和第三方应用商店下载的 APK(Android 软件包)。当 Play Protect 检测到应用程序上存在可疑内容时,它会警告用户不要继续安装。Google Play Protect 上的实时代码级扫描已在印度和其他选定国家/地区推出,并将在未来几个月内逐步在全球范围内推出。Play Protect 可与大多数 Android 设备配合使用并定期更新,包括 Android 5 及更高版本。

详情

https://www.bleepingcomputer.com/news/security/google-play-protect-adds-real-time-scanning-to-fight-android-malware/

https://www.bleepingcomputer.com/news/security/google-play-protect-adds-real-time-scanning-to-fight-android-malware/


9
 勒索攻击



勒索软件针对未打补丁的 WS_FTP 服务器

日期: 2023-10-17
标签: 信息技术, CVE-2023-40044, GodPotato 工具, WS_FTP 服务器

暴露在互联网上的未打补丁的 WS_FTP 服务器已成为勒索软件攻击的主要目标,攻击者会利用一个关键漏洞。 Sophos X-Ops 的事件响应人员描述了自称 Reichsadler 网络犯罪组织的勒索软件攻击企图。据报道,这次攻击利用了被盗的 LockBit 3.0 构建器来创建勒索软件有效负载。尽管 Progress Software 就在上个月发布了针对 WS_FTP 服务器漏洞(跟踪号为 CVE-2023-40044)的补丁,但并非所有服务器都已更新,这使得它们很容易被利用。 在这次特殊的攻击中,攻击者试图使用开源 GodPotato 工具来升级权限,该工具以跨各种 Windows 客户端和服务器平台实现权限升级而闻名。

详情

https://www.infosecurity-magazine.com/news/ransomware-targets-unpatched-wsftp/

https://www.infosecurity-magazine.com/news/ransomware-targets-unpatched-wsftp/

BlackCat 勒索软件使用新的“Munchkin”Linux 虚拟机进行秘密攻击

日期: 2023-10-20
标签: 信息技术, Munchkin, BlackCat

2023年10月,Palo Alto Networks Unit 42研究人员发现,BlackCat/ALPHV 勒索软件行动已开始使用名为“Munchkin”的新工具,该工具利用虚拟机在网络设备上秘密部署加密器。Manchkin 使 BlackCat 能够在远程系统上运行或加密远程服务器消息块 (SMB) 或通用 Internet 文件 (CIFS) 网络共享。

详情

https://www.bleepingcomputer.com/news/security/blackcat-ransomware-uses-new-munchkin-linux-vm-in-stealthy-attacks/

https://www.bleepingcomputer.com/news/security/blackcat-ransomware-uses-new-munchkin-linux-vm-in-stealthy-attacks/


10
 其他事件



APT组织DarkPink利用WinRAR 0day漏洞CVE-2023-38831攻击越南与马来西亚多个目标

日期: 2023-10-16
标签: 马来西亚, 越南, 政府部门, CVE-2023-38831, APT舆情, WinRAR 0day漏洞CVE-2023-38831

近期,绿盟科技伏影实验室在追踪新型WinRAR 0day漏洞CVE-2023-38831的过程中,发现APT组织DarkPink已经开始使用此漏洞对越南以及马来西亚的政府目标进行攻击。DarkPink攻击者在本轮攻击活动中使用CVE-2023-38831漏洞对升级了其既有的攻击流程,并对攻击技战术进行了多项改良,显著提升了攻击成功率。本报告将对DarkPink的改良攻击流程和技战术进行分析。

详情

近期,绿盟科技伏影实验室在追踪新型WinRAR 0day漏洞CVE-2023-38831的过程中,发现APT组织DarkPink已经开始使用此漏洞对越南以及马来西亚的政府目标进行攻击。DarkPink攻击者在本轮攻击活动中使用CVE-2023-38831漏洞对升级了其既有的攻击流程,并对攻击技战术进行了多项改良,显著提升了攻击成功率。本报告将对DarkPink的改良攻击流程和技战术进行分析。

近期,绿盟科技伏影实验室在追踪新型WinRAR 0day漏洞CVE-2023-38831的过程中,发现APT组织DarkPink已经开始使用此漏洞对越南以及马来西亚的政府目标进行攻击。DarkPink攻击者在本轮攻击活动中使用CVE-2023-38831漏洞对升级了其既有的攻击流程,并对攻击技战术进行了多项改良,显著提升了攻击成功率。本报告将对DarkPink的改良攻击流程和技战术进行分析。

Lazarus组织的Dream Magic攻击行动

日期: 2023-10-16
标签: 信息技术, Lazarus, Dream Magic, 水坑攻击, APT舆情

Lazarus组织曾多次利用证书软件漏洞,包括IniSafe漏洞等进行水坑攻击。 本次水坑攻击利用的程序漏洞变为MagicLine4NX,但攻击流程与以往的IniSafe案例相同。AhnLab对Lazarus组织利用MagicLine4NX漏洞的水坑攻击进行追踪和分析,通过将MagicLine4NX所属公司Dream Security的部分名称和MagicLine4NX名称的部分内容组合起来,将该行动命名为“Dream Magic”。

详情

https://asec.ahnlab.com/ko/57666/

https://asec.ahnlab.com/ko/57666/

美国基因检测提供商 23andMe 在大规模数据泄露后面临多起集体诉讼

日期: 2023-10-16
标签: 信息技术, 卫生行业, 美国基因检测提供商 23andMe

基因检测提供商 23andMe 在大规模数据泄露后在美国面临多起集体诉讼,据信影响了数百万客户。2023年9月末,一名 攻击者 在黑客论坛上 泄露了名为“Ashkenazi DNA Data of Celebrities.csv”的 CSV 文件中的 23andMe 客户数据。据称,该文件包含近 100 万德系犹太人的数据,他们使用 23andMe 服务查找其祖先信息、遗传倾向等。CSV 文件中的数据包含有关 23andMe 用户的帐户 ID、全名、性别、出生日期、DNA 配置文件、位置和地区详细信息的信息。

详情

https://www.bleepingcomputer.com/news/security/23andme-hit-with-lawsuits-after-hacker-leaks-stolen-genetics-data/

https://www.bleepingcomputer.com/news/security/23andme-hit-with-lawsuits-after-hacker-leaks-stolen-genetics-data/

Kimsuky的DarkHorse攻击行动

日期: 2023-10-17
标签: 金融业, APT-C-55(Kimsuky), APT舆情

从去年至今,Genius安全中心(GSC)已检测到大量通过网络钓鱼电子邮件分发恶意CHM文件的攻击。近来还通过冒充金融公司、保险公司的方式传播,类似的攻击至今仍在持续。因此,GSC正在通过“DarkHorse行动”来跟踪此次攻击。 一些分析人士怀疑APT37是CHM攻击的幕后黑手,但由于发现了与Kimsuky的相似之处,因此Kimsuky组织是攻击行动的幕后黑手。

详情

https://www.genians.co.kr/blog/darkhorse

https://www.genians.co.kr/blog/darkhorse

前海军 IT 主管因在暗网上出售人员数据而被判 5 年徒刑

日期: 2023-10-19
标签: 信息技术, 居民服务, 美国海军, 个人身份信息, 比特币

2023年10月,前美国海军 IT 经理 Marquis Hooper 因非法获取美国公民的个人身份信息 (PII) 并在暗网上出售而被判处五年零五个月监禁。该男子于 2021 年 2 月与妻子 Natasha Renee Chalk 一起被起诉,并于 2023 年 3 月承认严重身份盗窃和共谋实施电信诈骗罪 。两人非法获取了 9000 人的敏感个人信息,随后在暗网上出售这些数据,以换取当时价值约 16 万美元的比特币付款。Chalk 目前面临最高 20 年监禁和 25 万美元罚款,预计将于 2023 年 11 月 20 日接受判决。

详情

https://www.bleepingcomputer.com/news/security/ex-navy-it-head-gets-5-years-for-selling-peoples-data-on-darkweb/

https://www.bleepingcomputer.com/news/security/ex-navy-it-head-gets-5-years-for-selling-peoples-data-on-darkweb/

FBI警告敲诈团伙针对医美行业发起网络钓鱼攻击

日期: 2023-10-19
标签: 卫生行业, 医美行业, 网络钓鱼攻击, 敏感数据

2023年10月17日,美国联邦调查局 (FBI) 警告网络犯罪分子使用欺骗性电子邮件和电话号码瞄准美国各地的整形外科办公室,通过传播恶意软件的网络钓鱼攻击进行勒索。获得网络访问权限后,攻击者会从受感染的系统中窃取数据,并利用这些数据勒索外科医生和患者。在这些违规行为中被盗的文件可能包含非常敏感的数据,包括个人身份信息、敏感的医疗记录,在某些情况下甚至还包括出于医疗目的而拍摄的私密照片。获得这些数据后,他们使用社交媒体详细信息等开源信息向收集的 ePHI 添加更多信息,以使他们的勒索企图更具说服力。

详情

https://www.bleepingcomputer.com/news/security/fbi-warns-of-extortion-groups-targeting-plastic-surgery-offices/

https://www.bleepingcomputer.com/news/security/fbi-warns-of-extortion-groups-targeting-plastic-surgery-offices/

Lazarus利用TeamCity的CVE-2023-42793漏洞

日期: 2023-10-20
标签: 信息技术, Diamond Sleet, Onyx Sleet, CVE-2023-42793, APT舆情

自2023年10月初以来,微软观察到两个朝鲜黑客组织Diamond Sleet和Onyx Sleet利用CVE-2023-42793,这是一个影响多个版本的JetBrains TeamCity服务器的远程代码执行漏洞。TeamCity是组织用于DevOps和其他软件开发活动的持续集成/持续部署(CI/CD)应用程序。虽然这两个黑客组织正在利用同一漏洞,但Microsoft观察到Diamond Sleet和Onyx Sleet在成功利用后使用了独特的工具集和技术。

详情

https://www.microsoft.com/en-us/security/blog/2023/10/18/multiple-north-korean-threat-actors-exploiting-the-teamcity-cve-2023-42793-vulnerability/

https://www.microsoft.com/en-us/security/blog/2023/10/18/multiple-north-korean-threat-actors-exploiting-the-teamcity-cve-2023-42793-vulnerability/

伊朗黑客潜伏中东政府网络8个月

日期: 2023-10-20
标签: 伊朗, 中东, 政府部门, OilRig (APT34), 中东政府网络

据追踪,伊朗黑客组织 OilRig (APT34) 入侵了至少 12 台属于中东政府网络的计算机,并在 2023 年 2 月至 9 月期间保持了八个月的访问权限。OilRig 与伊朗情报和安全部 (MOIS) 有联系,该黑客组织因 对美国、中东和 阿尔巴尼亚发动攻击而闻名。博通旗下的赛门铁克威胁猎手团队观察到的攻击被用来窃取密码和数据,以及安装一个名为“ PowerExchange ”的 PowerShell 后门,该后门通过 Microsoft Exchange 接受执行命令。PowerExchange 于 2023 年 5 月首次在 Fortinet 报告中被记录 ,该报告将后门归因于 APT34,样本取自阿拉伯联合酋长国政府组织的受感染系统。

详情

https://www.bleepingcomputer.com/news/security/iranian-hackers-lurked-in-middle-eastern-govt-network-for-8-months/

https://www.bleepingcomputer.com/news/security/iranian-hackers-lurked-in-middle-eastern-govt-network-for-8-months/

印度“Chakra-II”行动在全国范围内打击诈骗团伙

日期: 2023-10-20
标签: 印度, 金融业, 印度中央调查局 (CBI) , “Chakra-II”行动

2023年10月,印度中央调查局 (CBI) 在全国范围内打击技术支持诈骗和加密货币欺诈背后的网络犯罪活动中突袭了 76 个地点。此次警方行动是“Chakra-II”行动的一部分,旨在瓦解网络金融犯罪团伙,是国际执法机构和微软、亚马逊等科技公司与印度联邦执法机构合作的共同努力。在横跨泰米尔纳德邦、旁遮普邦、比哈尔邦、德里和西孟加拉邦等印度多个邦的突袭中,中央调查局 (CBI) 没收了 32 部手机、48 台笔记本电脑和硬盘以及 33 张 SIM 卡。此外,印度当局还采取行动,冻结了“众多”银行账户,并扣押了与 15 个账户相关的电子邮件,提供了有关涉嫌诈骗活动的关键信息。

详情

https://www.bleepingcomputer.com/news/security/india-targets-microsoft-amazon-tech-support-scammers-in-nationwide-crackdown/

https://www.bleepingcomputer.com/news/security/india-targets-microsoft-amazon-tech-support-scammers-in-nationwide-crackdown/

Ragnar Locker勒索软件的暗网勒索网站被警方查获

日期: 2023-10-20
标签: 信息技术, 国际执法行动, Ragnar Locker

2023年10月19日上午,作为国际执法行动的一部分,Ragnar Locker 勒索软件行动的 Tor 协商和数据泄露网站于被查获。访问任一网站现在都会显示一条扣押消息,指出来自美国、欧洲、德国、法国、意大利、日本、西班牙、荷兰、捷克共和国和拉脱维亚的大量国际执法机构参与了此次行动。欧洲刑警组织发言人已确认,作为针对 Ragnar Locker 勒索软件团伙持续行动的一部分,此次扣押消息是合法的,并将于2023年10月20日发布新闻稿。联邦调查局拒绝置评。

详情

https://www.bleepingcomputer.com/news/security/ragnar-locker-ransomwares-dark-web-extortion-sites-seized-by-police/

https://www.bleepingcomputer.com/news/security/ragnar-locker-ransomwares-dark-web-extortion-sites-seized-by-police/

非法在线市场 E-Root 运营商因出售被盗 RDP、SSH 帐户而面临 20 年监禁

日期: 2023-10-20
标签: 信息技术, 金融业, E-Root, 加密货币, 非法在线市场

E-Root 市场的运营商 Sandu Diaconu 已被引渡到美国,因出售受感染计算机的访问权限而面临最高 20 年监禁的处罚。摩尔多瓦被告于 2021 年 5 月在英国被捕,当时该国当局于 2020 年底没收了 E-Root 的域名。2023年9月,Sandu Diaconu同意因电信欺诈、洗钱、计算机欺诈和访问设备欺诈而被引渡到美国。除了监禁之外,美国执法当局还要求没收迪亚科努通过非法活动获得的犯罪所得,具体金额尚未确定。E-Root 是一个非法在线市场,提供对全球被入侵计算机的访问权限以换取加密货币。调查期间获得的证据表明,超过 350,000 个受感染的系统在市场上出售,其中包括来自各行各业的计算机以及坦帕市至少一个政府系统。

详情

https://www.bleepingcomputer.com/news/security/e-root-admin-faces-20-years-for-selling-stolen-rdp-ssh-accounts/

https://www.bleepingcomputer.com/news/security/e-root-admin-faces-20-years-for-selling-stolen-rdp-ssh-accounts/


11
 产品侧解决方案



若想了解更多信息或有相关业务需求,可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台(TIP)

360威胁情报平台(TIP)一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测;可以自动化识别报警中的重点事件;还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力,帮助组织全面应对数字时代的安全风险。


12
 时间线



2023-10-16 360CERT发布安全周报


13
 特制报告相关说明



一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT推出了安全通告特制版报告订阅服务,以便用户做资料留存、传阅研究与查询验证。

今后特制报告将不再提供公开下载,用户可扫描下方二维码进行服务订阅。


360CERT

https://cert.360.cn/

进入官网查看更多资讯

长按扫码关注我们


点击在看,进行分享

本文分享自微信公众号 - 三六零CERT(CERT-360)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
加载中
点击引领话题📣 发布并加入讨论🔥
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部