安全事件周报 (03.14-03.20)

 

0x01   事件导览

本周收录安全热点52项,话题集中在恶意程序网络攻击方面,涉及的组织有:UAC-0056ContiAnonymousPandora等。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02   事件目录

恶意程序
AvosLocker勒索软件针对的美国关键基础设施
针对华硕路由器的Cyclops Blink恶意软件变种分析
新的Unix rootkit用于窃取ATM银行数据
Google揭露了Conti勒索软件访问代理的策略
华硕警告Cyclops Blink恶意软件攻击路由器
著名的npm软件包删除文件以抗议乌克兰战争
UAC-0056使用虚假翻译软件攻击乌克兰
适用于Android的Google身份验证器代码成为恶意的Escobar银行木马的目标
新型恶意软件CaddyWiper在乌克兰出现
数据安全
新的 Conti 勒索软件源代码在 Twitter 上泄露
网络攻击
TransUnion遭受黑客入侵
俄罗斯黑客入侵乌克兰新闻网站,显示“Z”符号
APT28针对乌克兰的网络钓鱼攻击活动
黑客组织Anonymous再次大肆进攻俄罗斯政府网站
欧洲警告与俄罗斯入侵有关的飞机GPS中断
美国警告俄罗斯利用MFA协议和PrintNightmare进行攻击
SolarWinds 警告针对 Web WHD实例的攻击
黑客组织Anonymous入侵运营乌克兰核电站的俄罗斯公司
勒索软件Pandora攻击大型汽车供应商Denso
以色列政府网站在大规模网络攻击中下线
用于在乌克兰部署Cobalt Strike的虚假防病毒更新-@billtoulas
Anonymous攻击俄罗斯石油公司
安全漏洞
俄罗斯APT组织利用默认的多因素身份验证协议和”PrintNightmare”漏洞获得网络访问权限
dompdf 项目中未修补的 RCE 错误影响 HTML 到 PDF 转换器
OpenSSL中修补的高严重性DoS漏洞
“Dirty Pipe”Linux 漏洞影响广泛的 QNAP NAS 设备
其他事件
Gh0stCringe RAT 在最近的攻击中针对数据库服务器
卫星通信公司SATCOM发布网络安全警报
三分之一的恶意登录源于尼日利亚
CISA、FBI警告美国关键组织卫星通信网络受到威胁
俄罗斯批乌克兰加入北约网络防御中心
FBI 成立虚拟资产部门
LokiLocker RaaS 以 Windows 系统为目标
乌克兰特勤局逮捕帮助俄罗斯入侵者的黑客
针对新型勒索软件Pandora的研究报告
Facebook删除了乌克兰总统的deepfake视频
Meta Platforms被爱尔兰数据监管机构罚款1900万美元
微软证实Anonymous入侵俄罗斯网络的各项行为
网络在俄乌冲突中的作用
卡巴斯基回击德国当局“出于政治动机”的质疑
SentinelOne将以6.16亿美元收购Attivo Networks
新的Linux僵尸网络利用Log4J,使用DNS隧道进行通信
拜登签署网络事件报告法案成为法律
俄罗斯面临 IT 危机,仅剩两个月的数据存储空间
德国联邦信息安全局BSI警告不要使用卡巴斯基病毒防护产品
育碧软件在网络攻击后重置员工密码
加拿大警方逮捕青少年黑客
英国公布新的在线安全法案
针对RSA密钥新型攻击方式——Fermat Attack
俄乌战争中的黑客站队和行动给西方组织带来巨大风险

 

0x03   恶意程序

AvosLocker勒索软件针对的美国关键基础设施

日期: 2022-03-17
标签: [ 美国 金融业 政府部门 制造业 AvosLocker AvosLocker ]

2022年3月17日,联邦调查局和财政部发布了一份联合网络安全咨询,警告美国组织有关涉及名为AvosLocker的勒索软件的攻击。

该公告称,AvosLocker已被用于攻击各种关键基础设施部门,包括但不限于关键制造业,金融服务和政府设施。

这些攻击对关键基础设施组织的影响尚不清楚。然而,勒索软件攻击,例如去年针对Colonial Pipeline的攻击,导致美国采取重大措施来改善该国最重要系统的网络安全。

详情

https://t.co/aGdTVgmEwk

针对华硕路由器的Cyclops Blink恶意软件变种分析

日期: 2022-03-17
标签: [ 政府部门 金融业 华硕 华硕 僵尸网络 ]

Cyclops Blink是一个先进的模块化僵尸网络,据称与Sandworm组织有关,最近已用于攻击WatchGuard Firebox设备。趋势科技获得了针对华硕路由器的Cyclops Blink恶意软件变种。尽管Cyclops Blink是一个由国家赞助的僵尸网络,但它的C&C服务器会影响WatchGuard Firebox和华硕设备,这些设备不属于关键组织,或者那些对经济、政治或军事间谍活动有明显价值的设备。因此,Cyclops Blink僵尸网络的主要目的可能是构建一个基础设施,以便对高价值目标进行进一步攻击。

详情

https://www.trendmicro.com/en_us/research/22/c/cyclops-blink-sets-sights-on-asus-routers–.html

新的Unix rootkit用于窃取ATM银行数据

日期: 2022-03-17
标签: [ 信息技术 金融业 Unix rootkit Unix rootkit ]

威胁分析师关注 LightBasin (一个出于经济动机的黑客组织)的活动,发现了一个以前未知的 Unix rootkit ,用于窃取 ATM 银行数据并进行欺诈易。

最近观察到针对电信公司的特定对手群体具有定制植入物,而早在2020年,他们就被发现损害托管服务提供商并伤害其客户。在Mandiant的一份新报告中,研究人员提供了LightBasin活动的进一步证据,重点是银行卡欺诈和关键系统的妥协。

详情

https://t.co/SElq8zxRTz

Google揭露了Conti勒索软件访问代理的策略

日期: 2022-03-17
标签: [ 信息技术 谷歌(Google) Conti Conti Diavol 漏洞利用 CVE-2021-40444 Conti 俄乌战争 ]

谷歌的威胁分析小组揭露了一个名为”EXOTIC LILY”的威胁行为活动,这是一个与Conti和Diavol勒索软件操作相关的初始访问代理。

这个特定的组织首先被发现利用Microsoft MSHTML中的零日漏洞(CVE-2021-40444),因此它引起了Google研究人员的兴趣,因为它是一个潜在的复杂威胁参与者。

经过进一步调查,确定”EXOTIC LILY”是一个初始访问代理,它使用大规模的网络钓鱼活动来破坏目标企业网络,然后将对这些网络的访问权限出售给勒索软件团伙。

详情

https://t.co/TdoLbxS7A0

华硕警告Cyclops Blink恶意软件攻击路由器

日期: 2022-03-17
标签: [ 俄罗斯 制造业 华硕 Sandworm Cyclops Blink 远程控制 华硕 ]

多个华硕路由器型号受到与俄罗斯相关的Cyclops Blink恶意软件威胁,导致供应商发布一份警告,以缓解安全风险。Cyclops Blink是一种与俄罗斯支持的Sandworm黑客组织有关的恶意软件,该组织历来针对WatchGuard Firebox和其他SOHO网络设备。Cyclops Blink的作用是为设备上的威胁参与者建立持久性,允许他们远程访问受感染的网络。由于Cyclops Blink是模块化的,因此可以轻松更新以针对新设备,不断刷新其范围并利用新的可利用硬件池。

详情

https://t.co/hdM7Tf241B

著名的npm软件包删除文件以抗议乌克兰战争

日期: 2022-03-17
标签: [ 信息技术 npm CVE-2022-23812 俄乌战争 ]

本月,流行的npm包”node-ipc”选定版本(10.1.1和10.1.2)被发现包含恶意代码,这些代码将覆盖或删除俄罗斯和白俄罗斯用户的系统上的任意文件,以抗议正在进行的俄乌战争,这些版本在 CVE-2022-23812下进行跟踪。

较新版本的”node-ipc”软件包开始删除所有数据并覆盖开发人员计算机上的所有文件,此外还创建了带有”peace”消息的新文本文件。”node-ipc”每周下载量超过一百万次,是 Vue.js CLI 等主要库使用的一个突出的软件包。

详情

https://t.co/Cuu4bZxrcg

UAC-0056使用虚假翻译软件攻击乌克兰

日期: 2022-03-17
标签: [ 乌克兰 政府部门 SentinelOne UAC-0056(SaintBear UNC2589 TA471 俄乌战争 ]

SentinelOne已确认新的恶意活动,并认为与UAC-0056(SaintBear、UNC2589、TA471)警报密切相关,在该警报中,观察到威胁组织使用Cobalt Strike、GrimPlant和GraphSteel攻击乌克兰。攻击活动集中在一个python编译的二进制文件上,它伪装成乌克兰语翻译软件,导致受害者感染了GrimPlant和GraphSteel。SentinelOne认为UAC-0056的GrimPlant和GraphSteel活动始于2022年2月初,并且至少在12月就开始准备。

详情

https://www.sentinelone.com/blog/threat-actor-uac-0056-targeting-ukraine-with-fake-translation-software/

适用于Android的Google身份验证器代码成为恶意的Escobar银行木马的目标

日期: 2022-03-16
标签: [ 信息技术 谷歌(Google) Escobar(Aberebot) Escobar 谷歌 ]

“埃斯科瓦尔”(Escobar)病毒以一种新型威胁的形式重新出现,这次是针对谷歌身份验证器MFA代码的。该间谍软件的软件包名称为com.escobar.pablo,是最新的Aberebot版本,由安全研究公司Cyble的研究人员发现,他们梳理了一个与网络犯罪相关的论坛。虚拟视图、网络钓鱼叠加、屏幕截图、短信捕获,甚至多重身份验证捕获都包含在功能集中。

详情

https://t.co/bSLs1kYv8P

新型恶意软件CaddyWiper在乌克兰出现

日期: 2022-03-15
标签: [ 乌克兰 信息技术 ESET CaddyWiper 俄乌战争 ]

2022年3月15日,安全研究团队ESET在乌克兰发现第三个破坏性擦除器CaddyWiper。这种新的恶意软件会从连接的驱动器中删除用户数据和分区信息,是通过 GPO 部署的,这表明攻击者事先已经控制了目标的网络。ESET遥测显示,在少数组织的几十个系统上看到了它。CaddyWiper 与HermeticWiper、IsaacWiper或我们已知的任何其他恶意软件没有任何明显的代码相似性。

详情

https://t.co/gVzzlT6AzN

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 各主机安装EDR产品,及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

 

0x04   数据安全

新的 Conti 勒索软件源代码在 Twitter 上泄露

日期: 2022-03-20
标签: [ 信息技术 Conti 俄乌战争 Conti ]

2022年3月20日,Conti Leaks将Conti版本3的源代码上传到VirusTotal,并在Twitter上发布了一个链接。虽然存档受密码保护,但密码应该很容易从后续推文中确定。

Conti是由俄罗斯威胁行为者经营的精英勒索软件团伙。由于他们参与了众多恶意软件家族的开发,它被认为是最活跃的网络犯罪行动之一。

然而,在Conti Ransomware行动在入侵乌克兰时与俄罗斯站在一起之后,一位名叫”Conti Leaks”的乌克兰研究人员出于报复而决定泄露属于勒索软件团伙的数据和源代码。

详情

https://t.co/UE69NdLCxH

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施

 

0x05   网络攻击

TransUnion遭受黑客入侵

日期: 2022-03-18
标签: [ 南非 金融业 TransUnion N4aughtysecTU 勒索攻击 数据泄露 ]

2022年3月18日,南非的主要信用局之一TransUnion遭到黑客攻击,黑客要求1500万美元的赎金。受感染的信用局透露,它已被黑客入侵,并收到了赎金要求。黑客组织N4aughtysecTU通过利用授权客户的凭据获得了对”来自我们南非公司的受限数据的隔离服务器”的访问权限。N4aughtysecTU告诉IT Web,它拥有4 TB的客户数据,并访问了5400万条记录,包括来自200多家企业的信息。据称,它威胁要攻击TransUnion的企业客户,除非信用局向其支付1500万美元的比特币(约合2.23亿兰特)。

详情

https://t.co/6eyc1BRIpE

俄罗斯黑客入侵乌克兰新闻网站,显示“Z”符号

日期: 2022-03-17
标签: [ 俄罗斯 乌克兰 政府部门 文化传播 俄乌战争 ]

多个乌克兰新闻网站遭到俄罗斯威胁分子的黑客攻击,向访问者展示了“Z”符号。2022年3月17日,乌克兰政府部门证实了这一事件 ,并将责任归咎于俄罗斯国家支持的行为者。自俄乌冲突以来,许多俄罗斯军用车辆上都涂有字母 Z,它似乎已被采纳为支持俄罗斯在乌克兰的军事行动的标志。

详情

https://t.co/hiTVRKW0ju

APT28针对乌克兰的网络钓鱼攻击活动

日期: 2022-03-17
标签: [ 乌克兰 政府部门 乌克兰政府 APT28 邮件钓鱼 俄乌战争 ]

乌克兰政府的计算机紧急事件响应小组发现了模仿来自UKR.NET的电子邮件,其中包含一个QR代码,该代码对使用URL缩短服务之一创建的URL进行编码。如果访问后者,将被重定向到一个模仿UKR.NET密码重置页面的网站。用户通过HTTP POST请求输入的数据将被发送到攻击者在Pipedream平台上部署的Web资源。鉴于本次活动所使用的战术,将已识别的活动与UAC-0028(APT28)组织的活动联系起来。

详情

https://www.trendmicro.com/en_us/research/22/c/cyclops-blink-sets-sights-on-asus-routers–.html

黑客组织Anonymous再次大肆进攻俄罗斯政府网站

日期: 2022-03-18
标签: [ 俄罗斯 乌克兰 政府部门 Anonymous(匿名者) 俄乌战争 ]

2022年3月18日,黑客组织Anonymous在Twitter上表示,其对俄罗斯政府网站发起了前所未有的攻击。将高峰期的容量从之前的 500 GB 增加到现在的 1 TB。也就是说,比最严重的事件强大两到三倍。还补充道,自从对克里姆林宫的犯罪政权宣布“网络战争”以来,Anonymous已经入侵了 2500 多个俄罗斯和白俄罗斯政府、官方媒体、银行、医院、机场、公司和亲俄罗斯的“黑客组织”网站,以支持乌克兰。

详情

https://t.co/wLQEUWKWd0

欧洲警告与俄罗斯入侵有关的飞机GPS中断

日期: 2022-03-17
标签: [ 俄罗斯 乌克兰 交通运输 全球导航卫星系统(GNSS) 俄乌战争 ]

2022年3月17日,欧盟航空运输安全和环境保护监管机构欧盟航空安全局(EASA)警告说,与俄罗斯入侵乌克兰有关的全球导航卫星系统(GNSS)的间歇性中断。

这些GNSS中断可能导致导航和监视退化,因为干扰和/或可能的欺骗问题在乌克兰周围加剧。

EASA表示,根据Eurocontrol的报告和开源数据报告,自2月24日俄罗斯入侵乌克兰以来,加里宁格勒地区,芬兰东部,黑海和东地中海地区的卫星导航欺骗和/或干扰事件数量有所增加。

详情

https://t.co/LG0ROaGLnN

美国警告俄罗斯利用MFA协议和PrintNightmare进行攻击

日期: 2022-03-15
标签: [ 俄罗斯 美国 政府部门 信息技术 美国网络安全和基础设施安全局 (CISA) 美国联邦调查局 (FBI) PrintNightmare (CVE-2021-34527) 俄乌战争 ]

2022年3月15日,美国网络安全和基础设施安全局 (CISA) 和 FBI 发出警告警告称,俄罗斯国家支持的威胁参与者通过利用默认的多因素身份验证 (MFA) 协议和称为 PrintNightmare (CVE-2021-34527)的 Windows 漏洞获得了对网络和系统的访问权限。根据其公告描述,攻击者主要滥用了已存在于受感染系统上的合法 Windows 实用程序,使用通过暴力攻击获得的受损凭据获得了对受害者组织的初始访问权限,目标显然是从云存储和电子邮件帐户中获取文件。

详情

https://t.co/C0BNBP1FNe

SolarWinds 警告针对 Web WHD实例的攻击

日期: 2022-03-16
标签: [ 信息技术 SolarWinds Web WHD 漏洞利用 CVE-2021-32076 CVE-2021-35243 CVE-2021-35232 CVE-2021-35251 SolarWinds ]

SolarWinds 警告针对 Internet 暴露的 Web 帮助台 (WHD) 实例的攻击,并建议将其从可公开访问的基础架构中删除(可能防止利用潜在的安全漏洞)。WHD 是一款企业帮助台票务和 IT 库存管理软件,旨在帮助客户自动执行票务和 IT 资产管理任务。

SolarWinds表示”SolarWinds 的一位客户报告,他们的 Web 帮助台 (WHD) 12.7.5 实例遭到了外部攻击。客户的端点检测和响应(EDR)系统阻止了攻击,并向客户发出了问题警报,”

详情

https://t.co/mcSofBDApx

黑客组织Anonymous入侵运营乌克兰核电站的俄罗斯公司

日期: 2022-03-15
标签: [ 乌克兰 俄罗斯 能源业 政府部门 国际原子能机构(IAEA) 俄罗斯国有原子能公司 Rosatom Anonymous(匿名者) 俄乌战争 ]

2022年3月4日,俄罗斯军队夺取了乌克兰扎波罗热核电站的控制权,该核电站的一栋建筑在战斗中起火,引发全球对潜在核事故的担忧。2022年3月12日,乌克兰通知国际原子能机构(IAEA),俄罗斯计划全面控制该工厂,由Rosatom管理。2022年3月13日,黑客组织Anonymous入侵了俄罗斯国有原子能公司 Rosatom 的网站,该公司经营着一座被俄罗斯没收的乌克兰核电站,破坏了该网站,并获得了数千兆字节的数据,这些数据正在泄露给公众。。据乌克兰国营核能公司 Energoatom 称,尽管俄罗斯否认了这一指控,但据报道,Rosatom 的官员已于2022年3 月11日抵达扎波罗热,并声称该工厂现在是其公司的一部分。

详情

https://t.co/2uxp0yafen

勒索软件Pandora攻击大型汽车供应商Denso

日期: 2022-03-14
标签: [ 日本 制造业 日本汽车零部件制造商(Denso) Pandora 勒索攻击 ]

Denso是日本的汽车零部件制造商,也是世界上最大的汽车零部件供应商之一,为丰田、梅赛德斯-奔驰、福特、本田、沃尔沃、菲亚特和通用汽车等顶级汽车品牌提供服务。2022年3月14日,Denso证实,其公司在德国的一个办事处遭到Pandora勒索软件的网络攻击后,大量被盗的机密信息遭遇泄漏。攻击发生的真实时间是2022年3月10日。此次事件中,被盗的丰田机密信息已经被 Pandora 在暗网上泄露,相关供应链也受到影响。Denso目前正在与有关当局一起调查这一事件,所有工厂都照常生产。

详情

https://t.co/ECSYK1fRC0

以色列政府网站在大规模网络攻击中下线

日期: 2022-03-14
标签: [ 以色列 政府部门 信息技术 以色列政府 DDoS DDoS攻击 ]

2022年3月14日,以色列政府网站被下线,这被描述为有史以来对该国发起的最大规模的网络攻击。

大规模的分布式拒绝服务(DDoS)成功地摧毁了以色列总理办公室及其内政部、卫生部、司法部和福利部的网站。以色列国家网络局的官方Twitter帐户证实了这一事件,并写道:”在过去的几个小时里,发现了针对通信提供商的DDoS攻击。因此,对包括政府网站在内的几个网站的访问在短时间内被拒绝。截至目前,所有网站都已恢复正常活动。”

以色列政府已宣布进入紧急状态,以研究造成的破坏程度,并确定电力和水务公司等关键基础设施服务是否受到影响。

详情

https://t.co/2IYt6MV5BK

用于在乌克兰部署Cobalt Strike的虚假防病毒更新-@billtoulas

日期: 2022-03-14
标签: [ 乌克兰 俄罗斯 政府部门 信息技术 乌克兰计算机应急响应小组(CERT-UA) UAC-0056 Cobalt Strike 俄乌战争 ]

乌克兰的计算机应急响应小组警告称,黑客正在分发安装 Cobalt Strike 和其他恶意软件的虚假 Windows 防病毒更新。近期出现网络钓鱼电子邮件冒充乌克兰政府机构,提供提高网络安全性的方法,并建议收件人下载“关键安全更新”,这些更新以名为“BitdefenderWindowsUpdatePackage.exe”的 60 MB 文件的形式出现。而这个“更新包”实际上是一个 Cobalt Strike 信标(Cobalt Strike 是一个被广泛滥用的渗透测试套件,它提供攻击性安全功能、促进横向网络移动并确保持久性)。乌克兰计算机应急响应小组以中等可信度将检测到的活动与 UAC-0056 组相关联。UAC-0056,也称为“Lorec53”,是俄语系APT组织,它使用网络钓鱼电子邮件和自定义后门的组合从乌克兰组织收集信息。

详情

https://t.co/rAezFtB3by

Anonymous攻击俄罗斯石油公司

日期: 2022-03-14
标签: [ 俄罗斯 美国 德国 能源业 美国联邦信息安全办公室 (BSI) Rosneft Anonymous(匿名者) 俄乌战争 ]

2022年3月14日,美国联邦信息安全办公室 (BSI) 表示,俄罗斯能源巨头 Rosneft 的德国子公司遭到网络攻击。2022年3月11日,黑客组织 Anonymous 声称对此负责,并表示已经捕获了 20 TB 的数据。Rosneft Deutschland 随后将其系统下线,但其管道和炼油厂继续正常运营。

详情

https://t.co/3LQIS4JBwE

相关安全建议

1. 积极开展外网渗透测试工作,提前发现系统问题

2. 减少外网资源和不相关的业务,降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

6. 注重内部员工安全培训

 

0x06   安全漏洞

俄罗斯APT组织利用默认的多因素身份验证协议和”PrintNightmare”漏洞获得网络访问权限

日期: 2022-03-17
标签: [ 美国 俄罗斯 政府部门 美国网络安全和基础设施安全局 (CISA) 漏洞利用 CVE-2021-34527 俄乌战争 ]

美国网络安全与基础设施安全局(CISA)警告各组织,俄罗斯政府支持的威胁组织利用默认的MFA协议和一个已知的漏洞获得了网络访问权限。早在2021年5月,俄罗斯APT组织就利用了一个设置了默认MFA协议的非政府组织的错误配置账户,允许攻击者注册一个新的MFA设备,并访问受害者网络。然后,利用Windows打印后台处理程序漏洞“PrintNightmare”(CVE-2021-34527)以系统权限运行任意代码。俄罗斯政府资助的APT组织通过思科的Duo MFA成功地利用了该漏洞,并通过访问云和电子邮件帐户窃取文件。

详情

https://www.cisa.gov/uscert/ncas/alerts/aa22-074a

dompdf 项目中未修补的 RCE 错误影响 HTML 到 PDF 转换器

日期: 2022-03-16
标签: [ 信息技术 远程控制 PHP ]

研究人员在”dompdf”中披露了一个未修补的安全漏洞,dompdf是一个基于PHP的HTML到PDF转换器,如果成功利用,可能导致在某些配置中远程执行代码。

Positive Security研究人员Maximilian Kirchmeier和Fabian Bräunlein在今天发布的一份报告中说:”通过将CSS注入到dompdf处理的数据中,它可以被欺骗在其字体缓存中存储具有.php文件扩展名的恶意字体,以后可以通过从Web访问它来执行,”换句话说,该漏洞允许恶意方将具有.php扩展名的字体文件上传到Web服务器,然后可以通过使用XSS漏洞在将HTML呈现为PDF之前将其注入网页来激活该文件。

详情

https://t.co/M8dguep20O

OpenSSL中修补的高严重性DoS漏洞

日期: 2022-03-15
标签: [ 信息技术 OpenSSL CVE-2022-0778 OpenSSL DDoS攻击 ]

2022年3月15日,OpenSSL更新修补与证书解析相关的高严重性拒绝服务(DoS)漏洞。

该漏洞被跟踪为CVE-2022-0778,由Google漏洞研究员Tavis Ormandy报告给OpenSSL项目。该安全漏洞会影响 OpenSSL 版本 1.0.2、1.1.1 和 3.0,并且随着版本 1.0.2zd(适用于高级支持客户)、1.1.1n 和 3.0.2 的发布而修复。版本 1.1.0 也会受到影响,但不再受支持,并且不会收到修补程序。在某些情况下,此漏洞可能被利用,并可能导致针对解析外部提供的证书的进程的 DoS 攻击。

详情

https://t.co/7HgguWKOXn

“Dirty Pipe”Linux 漏洞影响广泛的 QNAP NAS 设备

日期: 2022-03-14
标签: [ 中国 制造业 信息技术 QNAP CVE-2022-0847 Dirty Pipe ]

2022年3月14日,网络附加存储 (NAS) 设备制造商 QNAP警告称,最近披露的一个 Linux 漏洞CVE-2022-0847(CVSS 分数:7.8)会影响其设备,该漏洞可能被滥用以提升权限并获得对受影响系统的控制权。该漏洞是一个本地权限提升漏洞,也称为‘Dirty Pipe’,会影响运行 QTS 5.0.x 和 QuTS hero h5.0.x 的 QNAP NAS 上的 Linux 内核。的缺陷存在于 Linux 内核中,它可能允许攻击者将任意数据覆盖到任何只读文件中,并允许完全接管易受攻击的机器。目前该漏洞已在 Linux 版本 5.16.11、5.15.25 和 5.10.102 中得到修复。

详情

https://t.co/SQLgHWlA4r

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

 

0x07   其他事件

Gh0stCringe RAT 在最近的攻击中针对数据库服务器

日期: 2022-03-18
标签: [ 信息技术 Gh0stCringe RAT MySQL数据库 Gh0stCringe RAT ]

安全研究人员已经确定了最近的一系列Gh0stCringe RAT攻击,这些攻击针对MS-SQL和MySQL数据库服务器进行凭据收集和数据泄露。AhnLab安全应急响应中心(ASEC)的研究人员说:该威胁于2018年首次被发现,基于公开发布的Gh0st RAT源代码,并针对安全性差的服务器。

对恶意软件的分析表明,Gh0st RAT的部分源代码未经修改即可使用,但Gh0stCringe的大部分代码都是唯一的,这使其与正常变体区分开来。

详情

https://t.co/VpKDDoDQha

卫星通信公司SATCOM发布网络安全警报

日期: 2022-03-17
标签: [ 俄罗斯 美国 交通运输 美国网络安全和基础设施安全局 (CISA) 美国联邦调查局 (FBI) SATCOM ]

2022年3月17日,美国网络安全和基础设施安全局和联邦调查局发布了一项新的警报,警告卫星通信(SATCOM)网络潜在的网络威胁。这一警告发布之际,西方情报机构已经对针对卫星互联网服务的攻击(可能是俄罗斯发起的)展开调查。CISA和FBI提出了一系列建议,以帮助SATCOM网络提供商和客户加强网络安全。

已建议网络提供商对与 SATCOM 设备相关的异常流量实施额外的监视功能。他们还被建议阅读国家情报总监办公室最近的一份威胁评估报告,该报告描述了俄罗斯对卫星构成的威胁以及莫斯科的能力。

详情

https://t.co/UARs9DAKKN

三分之一的恶意登录源于尼日利亚

日期: 2022-03-18
标签: [ 尼日利亚 信息技术 网络攻击 恶意登录 ]

安全公司Barracuda研究发现:在2021年,三分之一的恶意登录被盗账户来自尼日利亚。目前,网络犯罪分子从大规模攻击转向有针对性的攻击,从恶意软件转向社会工程,从作为单一黑客运作到形成有组织的犯罪企业。51% 的社会工程攻击是网络钓鱼。微软是被模仿最多的品牌,用于 57% 的网络钓鱼攻击。员工人数少于 100 人的企业中,普通员工受到的社会工程攻击比在大公司工作的人多 350%。会话劫持攻击的流行程度大幅增加,利用此向量的攻击量在一年中增加了 270%。 依赖于规则、策略、允许或阻止列表、签名和其他类型的传统电子邮件安全性的电子邮件保护不能再有效地抵御社会工程攻击的不断演变的威胁,因为黑客可以诱使用户采取行动,例如共享他们的凭据。

详情

https://t.co/VtOGwdGPlk

CISA、FBI警告美国关键组织卫星通信网络受到威胁

日期: 2022-03-17
标签: [ 美国 德国 意大利 法国 希腊 波兰 匈牙利 信息技术 政府部门 科研服务 美国网络安全和基础设施安全局 (CISA) 美国联邦调查局 (FBI) 卫星 ]

2022年2月24日,美国卫星通信提供商 Viasat的KA-SAT网络受到网络攻击,该网络攻击导致中欧和东欧的卫星服务中断,影响了来自德国、法国、意大利、匈牙利、希腊和波兰的客户。2022年3月17日,CISA和FBI发布安全公告表示,美国和全球卫星通信 (SATCOM) 网络面临“潜在威胁”,还警告在KA-SAT遭遇网络泄露后,美国关键基础设施组织卫星通信提供商的客户面临风险。CISA和 FBI建议 SATCOM 网络提供商增加额外的入口和出口监控以检测异常流量。

详情

https://t.co/5AzW8lSavU

俄罗斯批乌克兰加入北约网络防御中心

日期: 2022-03-17
标签: [ 俄罗斯 乌克兰 政府部门 信息技术 国际组织 北约合作网络防御卓越中心 (CCDCOE) 俄乌战争 ]

2022年3月17日,俄罗斯将乌克兰参与北约合作网络防御卓越中心 (CCDCOE) 情报共享网络防御中心比作敲诈勒索。CCDCOE 是北约认可的网络防御中心,成员国用于研究、培训和演习,涵盖技术、战略、运营和法律等多个领域。虽然乌克兰被接纳为参与方,但这并不能使乌克兰成为北约成员,但它很可能会加强合作,并使其能够获得北约成员的网络专业知识并分享自己的网络专业知识。鉴于通过 CCDCOE 共享情报的 30 个国家中的一些尚未作为成员加入该联盟,因此乌克兰参与北约网络中心本身不应对俄罗斯的安全造成重大威胁。

详情

https://t.co/QUtKyxX09W

FBI 成立虚拟资产部门

日期: 2022-03-17
标签: [ 美国 政府部门 信息技术 美国联邦调查局 (FBI) FBI 虚拟资产部门 (VAU) ]

2022年3月15日,联邦调查局 (FBI) 宣布成立虚拟资产部门 (VAU),为美国执法部门和情报界提供分析、支持和培训。VAU 于 2022 年 2 月 7 日开始运作,由刑事调查司的金融犯罪科领导,由虚拟货币专家和“跨部门资源”组成,他们在一个工作组中工作,以整合整个 FBI 的情报和行动。其任务是协助 FBI 追踪非法资金的流动,将网络犯罪归咎于犯罪分子并破坏非法活动。

详情

https://t.co/yf7f27TZtq

LokiLocker RaaS 以 Windows 系统为目标

日期: 2022-03-16
标签: [ 伊朗 信息技术 BlackBerry Threat Intelligence LokiLocker 勒索软件 ]

BlackBerry Threat Intelligence已经确定了一个新的勒索软件即服务(Raas)系列,并追踪到其可能的测试阶段版本。像许多其他勒索软件一样,LokiLocker会加密您的文件,如果您不及时付款,将使您的计算机无法使用。然而,就像它的同名神洛基(god Loki)一样,这种威胁似乎有一些微妙的伎俩 – 尤其是一种潜在的”假旗”策略,将矛头指向伊朗的威胁行为者。LokiLocker是一个相对较新的勒索软件家族,针对讲英语的受害者和Windows® PC;该威胁于2021年8月中旬首次在野外出现。

详情

https://t.co/et0jJw6pEr

乌克兰特勤局逮捕帮助俄罗斯入侵者的黑客

日期: 2022-03-17
标签: [ 乌克兰 俄罗斯 政府部门 乌克兰安全局(SBU) 俄乌战争 ]

2022年3月17日,乌克兰安全局(SBU)表示,已拘留一名“黑客”,他通过在乌克兰境内提供移动通信服务向入侵的俄罗斯军队提供技术援助。据说这名嫌疑人向包括安全官员和公务员在内的乌克兰官员发送了短信,建议他们投降并站在俄罗斯一边。此人还被指控将来自俄罗斯的电话转接到驻乌克兰的俄罗斯军队的手机。

详情

https://t.co/k80r664vps

针对新型勒索软件Pandora的研究报告

日期: 2022-03-16
标签: [ 信息技术 潘多拉勒索软件(Pandora Ransomware) Rook勒索软件 Babuk勒索软件 Pandora ]

最近,Pandora勒索软件团伙在其 Leak 网站上声称已经入侵了四家公司,包括日本汽车 OEM 电装公司。2022年3月16日,有安全研究人员发布了针对新型勒索软件Pandora的研究报告。研究分析得出Pandora 样本与 Rook 勒索软件有关。由于 Rook勒索软件是基于泄露的Babuk勒索软件源代码,因此 Pandora勒索软件可能也是如此。此外,Pandora 很可能不会是基于 Babuk 源的最后一个勒索软件变体。

详情

https://t.co/svLtEO4gwJ

Facebook删除了乌克兰总统的deepfake视频

日期: 2022-03-16
标签: [ 乌克兰 俄罗斯 信息技术 政府部门 Meta(原Facebook) 俄乌战争 deepfake ]

乌克兰战略通信和信息安全中心曾在2022年3月初警告称,俄罗斯可能会使用使用机器学习算法创建的深度伪造(deepfake)视频,这些视频几乎无法与真实视频区分开来。2022年3月16日,Facebook母公司Meta的安全团队发现并删除了一段乌克兰总统泽连斯基的deepfake视频。该视频于2月24日首次出现在一个据报道被入侵的网站上,然后开始在互联网上传播。泽连斯基总统还对网络上关于 deepfake 的消息做出了回应,并强调了deepfake 欺骗目标受众的能力,要求俄罗斯军队投降并回家。

详情

https://t.co/gV8eN0aYLj

Meta Platforms被爱尔兰数据监管机构罚款1900万美元

日期: 2022-03-15
标签: [ 信息技术 Meta Platforms Facebook Facebook ]

Facebook母公司Meta Platforms被爱尔兰数据监管机构罚款1700万欧元(1900万美元)。数据保护专员(DPC)的决定是基于对DPC在2018年6月7日至2018年12月4日期间收到的12份数据泄露通知的调查结果。

2022年3月15日,在发布的一份声明中,DPC表示,调查发现Meta平台违反了GDPR第5(2)条和第24(1)条。DPC发现,在十二个个人数据泄露的背景下,Meta Platforms未能采取适当的技术和组织措施,使其能够轻松展示其在实践中实施的安全措施,以保护欧盟用户的数据。

详情

https://t.co/nsIIpFmjjL

微软证实Anonymous入侵俄罗斯网络的各项行为

日期: 2022-03-16
标签: [ 俄罗斯 美国 政府部门 信息技术 微软(Microsoft) Anonymous(匿名者) 俄乌战争 ]

2022年2月底,黑客组织Anonymous在Twitter上对俄罗斯宣战。从那时起,Anonymous声称对攻击俄罗斯政府、新闻和企业网站以及从负责审查俄罗斯媒体的联邦机构 Roskomnadzor 等实体泄露数据负责。2022年3月16日,微软证实了Anonymous的入侵行为,还称:“事实证明,匿名组织是一个非常有能力的组织,它已经渗透了俄罗斯联邦的一些高价值目标、记录和数据库”。在微软分析的 100 个俄罗斯数据库中,有 92 个已被入侵。许多 CIS 文件被删除,数百个文件夹被重命名为“putin_stop_this_war”,电子邮件地址和管理凭据被暴露。

详情

https://t.co/FIn7MQJktp

网络在俄乌冲突中的作用

日期: 2022-03-16
标签: [ 俄罗斯 乌克兰 信息技术 政府部门 俄乌战争 ]

在最近的俄乌冲突中,网络攻击在现代战争中作用引起了相关分析人士的密切关注。在此次事件中,需要关注的几点如下:首先,地缘政治紧张局势升级网络战。其次,政府投资于网络防御。第三,这迫使民族国家的威胁行为者攻击私营公司以试图获得政府目标。而网络战的特点如下:1. 网络战更便宜、更容易、更有效、更隐秘且更容易杜绝。2.网络战可以提供可观的长期回报,而不会带来太多痛苦。3. 网络战是不可预测的。目前冲突已近三周,俄罗斯尚未通过大规模网络攻击拆除乌克兰的关键基础设施。未能在网络领域迅速取得胜利,反映了俄罗斯在地面上未能迅速获胜的情况。有专家认为在这一点上,俄罗斯的下一步行动是未知的。

详情

https://t.co/sg8xtxEsUb

卡巴斯基回击德国当局“出于政治动机”的质疑

日期: 2022-03-15
标签: [ 德国 俄罗斯 信息技术 德国联邦信息安全办公室(BSI) 卡巴斯基(Kaspersky) 俄乌战争 ]

2022年3月15日,德国联邦信息安全办公室(BSI)因东西部紧张局势加剧而建议组织更换该卡巴斯基的产品。对此,卡巴斯基称作为一家私营公司,它与俄罗斯政府没有任何关系,并且 BSI 发出的建议是处于政治角度而非技术角度。卡巴斯基还表示,客户可以对其产品进行“免费的技术和全面审查”,以检查源代码、软件开发文档、反病毒数据库更新和软件材料清单等内容。

详情

https://t.co/VHzfnGe98K

SentinelOne将以6.16亿美元收购Attivo Networks

日期: 2022-03-15
标签: [ 美国 信息技术 SentinelOne Attivo Networks Attivo Networks SentinelOne ]

2022年3月15日,网络安全公司SentinelOne宣布,它将以6.165亿美元的价格收购身份安全和横向移动保护公司Attivo Networks,这将是去年最大的网络安全交易之一。

这项耗资数百万美元的举动预计将增强SentinelOne帮助企业采用零信任框架的战略 – 这种模式近年来已被政府和企业组织广泛接受,因为它专注于假设网络上的用户和设备必须不断验证。拜登总统在签署的一项行政命令强调了零信任原则,并向联邦组织施加压力,要求它们转变其安全战略。

详情

https://t.co/UCH9T8vi9K

新的Linux僵尸网络利用Log4J,使用DNS隧道进行通信

日期: 2022-03-15
标签: [ 信息技术 360 Netlab B1txor20 漏洞利用 Log4J B1txor20 ]

2022年2月9日,奇虎360网络安全研究实验室(360 Netlab)的研究人员首次发现B1txor20僵尸网络,将新发现的恶意软件称为B1txor20,其攻击重点是Linux ARM,X64 CPU架构设备。

僵尸网络使用针对Log4J漏洞的漏洞来感染新主机,这是一个非常吸引人的攻击媒介,可以看到数十家供应商使用易受攻击的Apache Log4j日志记录库。

总的来说,他们总共捕获了四个恶意软件样本,包括后门,SOCKS5代理,恶意软件下载,数据盗窃,任意命令执行和rootkit安装的功能。

详情

https://t.co/LNmrZITB0V

拜登签署网络事件报告法案成为法律

日期: 2022-03-15
标签: [ 政府部门 《加强美国网络安全法案》 ]

2022年3月15日,美国总统乔·拜登(Joe Biden)签署了一项150万美元的政府资助法案,其中包括一项立法,要求关键基础设施所有者报告其组织是否遭到黑客攻击或勒索软件付款。

《加强美国网络安全法案》(加强美国网络安全法案)与将联邦政府开放至9月的支出协议有关,要求关键基础设施运营商在违规后72小时内向国土安全部网络安全和基础设施安全局(CISA)发出警报,如果该组织进行了勒索软件付款,则在24小时内发出警报。它还赋予CISA传唤不报告网络事件或勒索软件付款的实体的权力。

详情

https://t.co/YIYQPEWDgC

俄罗斯面临 IT 危机,仅剩两个月的数据存储空间

日期: 2022-03-15
标签: [ 俄罗斯 政府部门 信息技术 制裁 俄乌战争 云存储 ]

由于实施制裁,在西方云存储服务切断与俄罗斯的业务联系后,所有俄罗斯公司都被迫转向俄罗斯 国内云存储 服务提供商。目前,俄罗斯面临着严重的 IT 存储危机,让俄罗斯只剩下两个月的时间就用完数据存储。俄罗斯政府正在探索各种解决方案来解决这个 IT 存储问题。

详情

https://t.co/rnCZnAxMha

德国联邦信息安全局BSI警告不要使用卡巴斯基病毒防护产品

日期: 2022-03-15
标签: [ 俄罗斯 乌克兰 德国 信息技术 政府部门 德国联邦信息安全局(BSI) 卡巴斯基(Kaspersky) 俄乌战争 ]

2022年3月15日,德国联邦信息安全局BSI发布公告,建议使用替代产品替换俄罗斯的卡巴斯基病毒防护软件组合中的应用程序。并且警告称,在当前的军事冲突过程中,这家网络安全公司可能与俄罗斯入侵乌克兰期间的黑客攻击有关。

详情

https://t.co/QfPqwusiOh

育碧软件在网络攻击后重置员工密码

日期: 2022-03-14
标签: [ 美国 文化传播 育碧(Ubisoft) Lapsus$ ]

2022年3月14日,育碧表示在遭受网络攻击后,就已启动了全公司范围的密码重置操作。2022年3月初,育碧遭遇网络攻击,导致其公司下的一些游戏、系统和服务暂时中断。目前,其所有游戏和服务均已恢复,并且此次攻击并未导致玩家个人信息泄露。这背后的攻击者疑似是Lapsus$勒索组织。在英伟达、三星和沃达丰的案例中,Lapsus$声称窃取了大量源代码。这是育碧在三个月内披露的第二起网络事件。2021年12月,育碧还曾由于公司 IT 基础设施配置错误,导致《舞力全开》用户数据泄露。

详情

https://t.co/bahfwmaT1W

加拿大警方逮捕青少年黑客

日期: 2022-03-14
标签: [ 加拿大 北美 信息技术 ]

加拿大曼尼托巴省警方逮捕了一名 18 岁男子Parrott-Jones,这名青少年涉嫌与德克萨斯州圣安东尼奥市的同谋对北美各地进行网络攻击实施分布式拒绝服务 (DDOS) 攻击。Parrot-Jones 被控 12 项罪名,包括未经授权使用计算机、破坏数据、持有非法药物以及制造违禁设备和受限枪支。

详情

https://t.co/drIPdeuEsR

英国公布新的在线安全法案

日期: 2022-03-14
标签: [ 英国 信息技术 政府部门 ]

英国立法者已将使用手机、约会应用程序或社交媒体发送未经请求的色情图片定为刑事犯罪——这种做法被称为网络闪烁。根据英国新的在线安全法案的条款,被定罪的个人因分享他人生殖器的图像或视频而获得性满足,或导致他人羞辱、惊吓或痛苦,最高可被判入狱两年 。该法案将于2022年3月中旬公布,还旨在让科技公司 对促进有害行为和传播描绘性虐待的内容负责。将要求在线平台保护用户免受 欺诈性广告的侵害。此外,商业色情网站将被要求对试图访问其内容的人进行年龄验证检查。

详情

https://t.co/AqNs6sJ6Ah

针对RSA密钥新型攻击方式——Fermat Attack

日期: 2022-03-15
标签: [ RSA 密码学 ]

1643 年,皮埃尔·德·费马开发了RSA算法。该算法允许有效地计算作为两个“接近”素数的乘积的合数的素因数。2022年3月14日,Hanno Böck发布了针对RSA密钥新型攻击方式——Fermat Attack。Fermat攻击使用Pierre de Fermat的因式分解算法。这种攻击方式的出现,会影响到Fujifilm Apeos、DocuCentre 和 DocuPrint 系列的多台打印机和imageRUNNER 和 imagePROGRAF 系列的佳能打印机等,因为这些产品使用易受攻击的 RSA 密钥生成自签名 TLS 证书。目前尚不确定SSH 是否受到影响。如果用户正在运行受影响的设备之一,则应确保更新设备并重新生成密钥。

详情

https://t.co/MsEEiA9BvJ

俄乌战争中的黑客站队和行动给西方组织带来巨大风险

日期: 2022-03-14
标签: [ 俄罗斯 乌克兰 信息技术 政府部门 文化传播 金融业 俄乌战争 ]

埃森哲网络威胁情报部门 (ACTI) 称,地下网络犯罪已分裂为亲乌克兰和亲俄罗斯的阵营,后者越来越关注西方的关键国家基础设施 (CNI) 目标。而亲乌克兰的行为者拒绝出售、购买或与俄罗斯结盟的行为者合作,并且越来越多地试图以俄罗斯实体为目标,以支持乌克兰。意识形态分裂可能会给西方组织带来越来越大的风险。政府、媒体、金融、保险、公用事业和资源部门的组织应该为更多的攻击做好准备。

详情

https://t.co/qzbICtGHlq

 

0x08   产品侧解决方案

若想了解更多信息或有相关业务需求,可移步至http://360.net

 

0x09   时间线

2022-03-21 360CERT发布安全事件周报

(完)