0x01 事件导览
本周收录安全热点50项,话题集中在恶意程序、网络攻击方面,涉及的组织有:UAC-0056、Gitlab、Lazarus、Bitter等。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
0x02 事件目录
| 恶意程序 |
|---|
| 新的RedAlert勒索软件针对Windows,Linux VMware ESXi服务器 |
| ABCsoup广告软件活动采用350种浏览器扩展变体来定位俄罗斯用户 |
| 新的隐形OrBit恶意软件从Linux设备窃取数据 |
| 朝鲜黑客利用Maui勒索软件瞄准医疗保健 |
| 新型勒索软件RedAlert针对 Windows、Linux VMware ESXi 服务器 |
| Hive 勒索软件在 Rust 中升级 |
| 数据安全 |
|---|
| PFC USA的数据泄露影响了650家医疗保健提供者的患者 |
| 万豪酒店证实数据泄漏事件 |
| 岐阜县的医院遭遇数据泄露,11万份个人信息受到影响 |
| 网络攻击 |
|---|
| 回调网络钓鱼活动模仿大型网络安全组织 |
| 黑客通过“前所未有”的网络钓鱼方式攻击印度国家门户网站 |
| UAC-0056使用Cobalt Strike Beacon攻击乌克兰国家组织 |
| 朝鲜APT组织使用Maui勒索软件攻击医疗保健和公共卫生部门 |
| 迪士尼乐园调查受损的Facebook和Instagram帐户 |
| 微软警告称“8220集团”将瞄准Linux服务器 |
| IT服务巨头SHI受到“专业恶意软件攻击”的打击 |
| APT黑客组织Bitter继续以孟加拉国为目标 |
| 安全漏洞 |
|---|
| 本田汽车易遭受Rolling-PWN攻击 |
| Rozena后门通过滥用Follina漏洞部署 |
| OpenSSL修补程序远程代码执行漏洞 |
| Jira 中的安全漏洞 |
| 微软修复了ShadowCoerce Windows NTLM Relay漏洞 |
| 谷歌修补了Chrome中的新0day漏洞 |
| Gitlab 修补了最新安全公告中的一个关键 RCE 漏洞 |
| Django 修复了新版本中的 SQL 注入漏洞 |
| 安全分析 |
|---|
| 疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析 |
| Bitter针对孟加拉国军事组织的攻击活动分析 |
| 疑似Confucius组织最新攻击行动分析 |
| Lazarus利用VSingle恶意软件从GitHub获取C2服务器信息 |
| 其他事件 |
|---|
| 黑客组织Lazarus窃取Axie Infinity 6.25亿美元 |
| 谷歌Chrome新功能可延长用户设备的电池寿命 |
| 俄罗斯情报部门将加强在荷兰的宣传活动 |
| PyPI 对关键项目强制执行 2FA,部分开发人员拒绝 |
| QNAP 警告新的 Checkmate 勒索软件以 NAS 装置为目标 |
| 在线编程 IDE 可用于发起远程网络攻击 |
| 俄罗斯信息行动的重点是分裂支持乌克兰的西方联盟 |
| 超过1200个NPM软件包参与“CuteBoi”加密挖矿活动 |
| AsyncRAT被分发到易受攻击的MySQL服务器 |
| NFT骗子在乌克兰捐款中看到机会 |
| Apple 的新锁定模式可抵御政府间谍软件 |
| 勒索软件,黑客组织从Cobalt Strike转移到Brute Ratel |
| WhatsApp上流传的欺诈性英国签证骗局 |
| 匈牙利当局对政府数据管理员处以7500欧元的罚款 |
| NPM供应链攻击影响数百个网站和应用程序 |
| NIST选定前四种抗量子加密工具 |
| 恶意行为者滥用的红队工具 |
| 英国议会和医院易受网络黑客攻击 |
| 青少年黑客利用Discord传播恶意软件 |
| AstraLocker勒索软件关闭并释放解密器 |
| 北约将发展快速网络反应能力 |
0x03 恶意程序
新的RedAlert勒索软件针对Windows,Linux VMware ESXi服务器
日期: 2022-07-10 标签: 信息技术, Linux, 双重勒索,
RedAlert(又名N13V)是一种新的勒索软件,可以加密Windows和Linux VMWare ESXi系统。关于RedAlert勒索软件,MalwareHunterTeam发现了新的勒索软件,并发布了其数据泄漏站点的各种屏幕截图。由于赎金文本中的字符串,勒索软件称为 RedAlert。但是,攻击者在内部将其操作称为Linux加密器版本中的N13V。Linux 加密器旨在 VMware ESXi 服务器上使用,包括命令行选项,使攻击者能够在锁定数据之前关闭任何正在运行的虚拟机。与其他针对企业的勒索软件操作一样,RedAlert进行双重勒索攻击,其中数据被获取,然后勒索软件用于加密计算机。勒索软件专门针对 VMware ESXi 虚拟机数据,例如内存文件、日志文件、虚拟磁盘和交换文件。
详情
ABCsoup广告软件活动采用350种浏览器扩展变体来定位俄罗斯用户
日期: 2022-07-09 标签: 俄罗斯, 信息技术, Google Chrome, ABCsoup,
Zimperium研究人员已经确定了一个针对谷歌Chrome,Opera和Mozilla Firefox浏览器的俄罗斯用户的广告软件活动。该活动使用350多个版本的恶意浏览器扩展程序,使用Google翻译扩展ID来欺骗受害者下载恶意文件。这些扩展通过基于Windows的可执行文件安装在受害者的计算机上,绕过大多数端点安全解决方案,以及官方扩展商店中的安全控制。恶意浏览器插件带有与Google翻译相同的扩展ID,以诱骗用户相信他们已经安装了合法的扩展名。但是,这些扩展程序在官方浏览器网上商店中不可用。黑客通过多个Windows可执行文件提供它们,这些可执行文件将附加组件安装在受害者的Web浏览器上。如果目标用户已经安装了Google翻译扩展程序,则由于其版本号较高(30.2.5 vs. 2.0.10),因此会将原始版本替换为恶意变体。
详情
新的隐形OrBit恶意软件从Linux设备窃取数据
日期: 2022-07-07 标签: 信息技术, OrBit, Linux,
新发现的Linux恶意软件正被用来从后门Linux系统中偷偷窃取信息,并感染机器上所有正在运行的进程。该恶意软件由首先发现的Intezer Labs安全研究人员称为OrBit,它劫持了共享库,通过修改受感染设备上LD_PRELOAD环境变量来拦截函数调用。虽然它可以使用两种不同的方法来阻止删除尝试来获得持久性,但OrBit也可以在填充存储器中复制时部署为易失性植入物。它还可以挂钩各种功能来逃避检测,控制进程行为,通过感染新进程来保持持久性,并隐藏会揭示其存在的网络活动。该恶意软件实施了先进的规避技术,并通过挂钩关键功能在机器上获得持久性,为威胁参与者提供通过SSH的远程访问功能,收集凭据并记录TTY命令。一旦安装了恶意软件,它将感染计算机上正在运行的所有正在运行的进程,包括新进程。
详情
朝鲜黑客利用Maui勒索软件瞄准医疗保健
日期: 2022-07-06 标签: 美国, 朝鲜, 卫生行业,
2022年7月6日,联邦调查局,CISA,财政部三个机构表示,朝鲜黑客一直在用勒索软件攻击医疗保健部门,并警告受害者,支付费用可能会违反美国的制裁规则,黑客正在使用一种名为“Maui”的勒索软件来追捕医疗保健和公共卫生组织。朝鲜国家赞助的网络行为者针对医疗保健和公共卫生部门的这种恶意活动对各种规模的组织构成了重大风险。Maui(毛伊岛)勒索软件变体在周三之前几乎没有受到公众监督。在联邦调查局发出警报的同一天,网络安全公司Stairwell发布了对勒索软件的分析,称它与传统的勒索软件即服务产品有很大不同,在传统的勒索软件即服务产品中,勒索软件创建者允许其他人使用他们的产品来换取利润分成。Stairwell表示,它于4月3日首次观察毛伊岛。
详情
新型勒索软件RedAlert针对 Windows、Linux VMware ESXi 服务器
日期: 2022-07-05 标签: 美国, 信息技术, 微软(Microsoft), Linux, 勒索软件,
2022年7月5日,MalwareHunterTeam发现,一种名为 RedAlert 或 N13V 的新型勒索软件对 Windows 和 Linux VMWare ESXi 服务器进行加密,对企业网络进行攻击。该勒索软件针对Linux的加密器是针对 VMware ESXi 服务器而创建的,其命令行选项允许威胁参与者在加密文件之前关闭任何正在运行的虚拟机。在加密文件时,勒索软件利用 NTRUEncrypt 公钥加密算法,该算法支持提供不同安全级别的各种“参数集”。并且,加密文件时,勒索软件只会针对与 VMware ESXi 虚拟机关联的文件,包括日志文件、交换文件、虚拟磁盘和内存文件。
详情
Hive 勒索软件在 Rust 中升级
日期: 2022-07-05 标签: 信息技术, Rust, Golang,
Microsoft 威胁情报中心 (MSTIC) 在分析检测到的 Hive 勒索软件技术以删除.key文件时发现了新变体。最新变体中的升级实际上是一次大修:最显着的变化包括将完整代码迁移到另一种编程语言以及使用更复杂的加密方法。考虑到Hive是RaaS有效载荷,这些更新的影响是深远的,微软在大型勒索软件分支机构(如DEV-0237)对医疗保健和软件行业组织的攻击中观察到了该有效载荷。新的Hive变体和旧的Hive变体之间的主要区别在于使用的编程语言。旧的变体是用 Go 编写的(也称为 GoLang),而新的 Hive 变体是用 Rust 编写的。Hive并不是第一个用Rust编写的勒索软件-BlackCat是另一个流行的勒索软件,它是第一个。通过将底层代码切换到 Rust,Hive 受益于 Rust 相对于其他编程语言的以下优势:
• 它提供内存、数据类型和线程安全性
• 它对低级资源具有深度控制
• 它具有用户友好的语法
• 它具有多种并发和并行机制,从而实现快速和安全的文件加密
• 它有各种各样的加密库
• 逆向工程相对更困难
详情
相关安全建议
1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
3. 及时对系统及各个服务组件进行版本升级和补丁更新
4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
5. 各主机安装EDR产品,及时检测威胁
6. 注重内部员工安全培训
7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序
8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理
0x04 数据安全
PFC USA的数据泄露影响了650家医疗保健提供者的患者
日期: 2022-07-05 标签: 卫生行业, 金融业, 批发零售, 信息技术, PFC USA, 数据泄露,
7月4日,收账款管理公司专业金融公司(PFC USA)开始向全国650多家医疗保健提供者的患者发送数据泄露通知信。
这家总部位于北科罗拉多州的公司从事债务追偿已有一个多世纪的历史,与医疗保健,金融,零售和政府部门的组织合作。7月1日,PFC USA宣布已开始通知受影响的个人,他们的个人和健康信息可能在2022年2月的勒索软件攻击中遭到破坏。由于攻击者能够访问和禁用该公司的一些计算机,因此存储在这些系统上的个人信息可能已受到损害,PFC于5月5日通知了可能受影响的医疗保健提供商。攻击者可能访问的信息包括姓名,地址,出生日期,应收账款余额和付款信息,社会安全号码以及健康保险和医疗信息。PFC没有说明有多少个人在数据泄露中可能受到影响,但它确实分享了一份受影响的医疗保健提供者名单,其中总共包含657个条目。
详情
万豪酒店证实数据泄漏事件
日期: 2022-07-05 标签: 美国, 居民服务, 住宿餐饮业, 万豪国际, 社会工程,
2022年7月5日,全球最大连锁酒店之一万豪国际证实,身份不明的黑客侵入其计算机网络,然后试图勒索该公司。黑客从巴尔的摩BWI机场万豪酒店的一名员工那里窃取了大约 20 GB 的数据,其中包括信用卡信息以及来自 BWI 员工的客人和员工的机密信息。万豪的一位发言人表示,该公司“知道有黑客使用社交工程来欺骗万豪酒店的一名员工,并试图访问该员工的电脑。万豪在黑客试图勒索之前发现并调查了这起事件。目前,万豪没有付款。
详情
岐阜县的医院遭遇数据泄露,11万份个人信息受到影响
日期: 2022-07-04 标签: 日本, 卫生行业, 数据泄露,
幸纪会安江医院(岐府县岐府市)7月4日宣布,该院内的计算机遭到未经授权的访问,患者和新型日冕疫苗接种者的个人信息可能泄露多达11万1991件。 包括姓名、出生日期、地址、电话号码、医疗信息(病史、治疗史等)和疫苗接种史。自5 月 27 日,发现了未经授权的访问。 无法访问患者信息数据库,部分医院系统(如电子病历系统)停止运行。 同一天,医院采取了限制部分业务的医疗系统,并恢复了正常状态。
详情
相关安全建议
1. 及时备份数据并确保数据安全
2. 合理设置服务器端各种文件的访问权限
3. 严格控制数据访问权限
4. 及时检查并删除外泄敏感数据
5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施
6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施
0x05 网络攻击
回调网络钓鱼活动模仿大型网络安全组织
日期: 2022-07-10 标签: 美国, 信息技术, CrowdStrike, Cobalt Strike, 网络钓鱼, 社会工程,
2022年7月初,CrowdStrike Intelligence 发现一个回调网络钓鱼活动,该活动采用了类似的社会工程技术,模仿了包括 CrowdStrike 在内的大型网络安全公司。网络钓鱼电子邮件称收件人的(电子邮件)公司已被入侵,受害者应联系给定的电话号码。该活动可能包括用于初始阶段访问的通用真正远程管理工具 (RAT)、用于横向移动的现成渗透测试工具以及执行勒索软件或勒索数据。过去,回调活动运营商曾试图说服受害者安装商业 RAT 软件,以便尽早在网络上站稳脚跟。现在,钓鱼活动的回调运营商很可能会使用勒索软件将其运营货币化。
详情
黑客通过“前所未有”的网络钓鱼方式攻击印度国家门户网站
日期: 2022-07-07 标签: 印度, 信息技术, 政府部门, 浏览器 (BitB) 攻击, ShadowPad,
2022年7月7日,网络安全专家宣布发现了一种“前所未有的,复杂的”网络钓鱼方法,该方法一直在从世界各地的官方网站勒索人们,包括印度政府的门户网站 https://india.gov.in。根据人工智能驱动的网络安全初创公司CloudSEK的说法,威胁行为者一直在使用虚假URL来欺骗用户输入敏感信息,如信用卡号,到期月份和CVV代码,从而瞄准印度政府的网页。在一种称为浏览器 (BitB) 攻击的最高级网络钓鱼技术中,黑客通过唯一登录来模仿印度政府网站的浏览器窗口,最常见的是 SSO(单点登录)页面。BitB攻击冒充信誉良好的网站,以窃取用户密码和其他敏感数据,如个人识别信息(PII)。由于BitB攻击而出现的新URL看起来是合法的。
详情
UAC-0056使用Cobalt Strike Beacon攻击乌克兰国家组织
日期: 2022-07-07 标签: 乌克兰, 政府部门, EMBER BEAR(UAC-0056、Lorec53、Lorec Bear、Bleeding Bear、Saint Bear), 俄乌战争,
乌克兰CERT-UA于2022年7月5日发现正在分发主题为“军事和国防领域专门检察官办公室”的电子邮件。包含”关于空缺及其人员配置的信息“的XLS文件。该文档包含一个宏,激活宏后会在计算机上创建“write.exe”文件。此外,EXE文件还通过在Windows注册表的”RUN”路径下创建”Check License”项维持自启动。生成的PowerShell脚本除了绕过AMSI并禁用PowerShell的事件日志记录外,还将数据解码和解压缩到下一个PowerShell脚本中。CERT-UA以中等置信度将此活动与UAC-0056关联起来。
详情
朝鲜APT组织使用Maui勒索软件攻击医疗保健和公共卫生部门
日期: 2022-07-07 标签: 朝鲜, 卫生行业, Maui, APT舆情,
自2021年5月以来,联邦调查局已经发现并响应了多个针对HPH部门的Maui勒索软件事件。朝鲜国家赞助的网络攻击者在这些事件中使用Maui勒索软件来加密负责医疗保健服务的服务器,包括电子健康记录服务、诊断服务、影像服务和内联网服务。在某些情况下,这些事件长期扰乱了HPH部门提供的服务。这些事件的初始访问媒介是未知的。
详情
迪士尼乐园调查受损的Facebook和Instagram帐户
日期: 2022-07-07 标签: 文化传播, 迪士尼乐园, Facebook, Instagram,
2022年7月7日,迪士尼乐园官员正在调查发生的一起事件,其中主题公园的Facebook和Instagram帐户被黑客入侵,并用于发送几条令人反感的信息。7月7日早上,一名自称“大卫·多”(David Do)的黑客发布了几张带有大量信息的人的照片。攻击者声称自己是“超级黑客”,并在消息中反复使用n字和f字。这些帖子在拥有约840万粉丝的帐户被短暂删除后的几个小时内被删除。迪士尼发言人表示目前安全团队正在调查事件。
详情
微软警告称“8220集团”将瞄准Linux服务器
日期: 2022-07-07 标签: 信息技术, 涉我舆情,
微软安全情报专家对一个名为8220的已知云威胁行为者(TA)组织发出了新的警告:我们观察到一个名为8220团伙的组织针对Linux系统的长期恶意软件活动的显着更新。这些更新包括部署新版本的加密矿工和IRC机器人,以及使用最近披露的漏洞。根据思科Talos Intelligence集团的数据,8220团伙至少从2017年开始运营,主要专注于加密采矿活动。威胁参与者是讲中文的,该组的名称来自矿工用来与C2服务器通信的端口号8220。微软研究人员表示,在最近的一次活动中,黑客组织针对i686和x86_64 Linux系统,并采用RCE漏洞对CVE-2022-26134(Atlassian Confluence)和CVE-2019-2725(Oracle WebLogic)进行初始访问。
详情
IT服务巨头SHI受到“专业恶意软件攻击”的打击
日期: 2022-07-05 标签: 新泽西州, 信息技术, SHI, 网络攻击,
总部位于新泽西州的信息技术(IT)产品和服务提供商SHI International证实,周末有恶意软件攻击袭击了其网络。SHI声称是北美最大的IT解决方案提供商之一,2021年的收入为123亿美元,在全球拥有5,000名员工,在美国,英国和荷兰的运营中心工作。它还表示在7月4日遭受专业恶意软件的攻击。攻击发生后,SHI在其网站上添加了一条消息,警告客户和访问者,由于“持续中断”,其信息系统正在进行维护。
此消息后来被公司博客上发布的恶意软件攻击声明所取代。从7月5日早上开始,SHI的工作人员在攻击后关闭了所有电子邮件服务器。其IT专家还致力于恢复对网络上其他受影响系统的访问。
详情
APT黑客组织Bitter继续以孟加拉国为目标
日期: 2022-07-05 标签: 孟加拉国, 政府部门, Bitter, APT舆情,
2022年7月5日,SecuInfra网络安全专家团队发布了一份咨询,描述了南亚APT最近的活动,“Bitter”高级持续性威胁(APT)继续对孟加拉国的军事实体进行网络攻击。SecuInfra的调查结果以Talos去年5月发布的一份报告为基础(该报告披露了该组织的扩张和打击孟加拉国政府组织的意图),并涵盖了可能在2022年5月中旬发生的一次袭击事件。具体来说,该攻击可能来自武器化的Excel文档,该文档可能通过鱼叉式网络钓鱼电子邮件分发。电子邮件将利用Microsoft公式编辑器漏洞(CVE-2018-0798
)从远程服务器中删除名为ZxxZ的有效负载。根据SecuInfra的说法,APT这样做是为了避免通过基于这种特定分离器的IDS / IPS系统进行检测。为了防止此类攻击,安全研究人员表示,公司和政府应定期实施网络和端点检测和响应措施,并修补Microsoft Office等经常被利用的软件。
详情
相关安全建议
1. 积极开展外网渗透测试工作,提前发现系统问题
2. 减少外网资源和不相关的业务,降低被攻击的风险
3. 做好产品自动告警措施
4. 及时对系统及各个服务组件进行版本升级和补丁更新
5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
6. 注重内部员工安全培训
0x06 安全漏洞
本田汽车易遭受Rolling-PWN攻击
日期: 2022-07-10 标签: 日本, 制造业, 本田, 车联网安全,
现代车辆通常配备遥控无钥匙进入系统。这些 RKE 系统允许远程解锁或启动车辆。研究人员发现了一个Rolling-PWN攻击漏洞,影响目前市场上从2012年到2022年的所有本田汽车。该漏洞存在于滚动代码机制的一个易受攻击的版本中,该机制已在大量本田汽车中实施。攻击者利用该漏洞,可以永久打开本田汽车车门,甚至远距离启动汽车发动机。建议的缓解策略是在可行的情况下通过无线 (OTA) 更新升级易受攻击的 BCM 固件。
详情
Rozena后门通过滥用Follina漏洞部署
日期: 2022-07-10 标签: 信息技术, Rozena, 网络钓鱼, Follina,
新发现的网络钓鱼活动正在利用Follina安全漏洞(CVE-2022-30190)在Windows系统上部署名为Rozena的私有后门。Rozena是一种后门恶意软件,能够将远程shell连接注入攻击者的机器。最新的攻击链是一个武器化的Office文档,当打开时,链接到Discord CDN URL以检索HTML文件(“索引.htm”),该文件反过来触发诊断实用程序,使用PowerShell命令从同一CDN附件空间下载下一阶段有效负载。这包括Rozena植入物(“Word.exe”)和批处理文件(“cd.bat”),旨在终止MSDT进程,通过Windows注册表修改建立后门的持久性,并下载无害的Word文档作为诱饵。Rozena后门的主要功能是注入一个shell代码,该shell代码向黑客的设备启动反向shell(“microsofto.duckdns[.]org“),通过这种方式,恶意行为者可以确保对系统的完全控制。
详情
OpenSSL修补程序远程代码执行漏洞
日期: 2022-07-07 标签: 信息技术, OpenSSL, 漏洞修补,
OpenSSL 发布了一个紧急通报,警告存在内存损坏漏洞,该漏洞会使服务器面临远程执行代码攻击。该漏洞被跟踪为CVE-2022-2274,是在OpenSSL 3.0.4中引入的,可能允许恶意黑客在未修补的SSL / TLS服务器端设备上发起远程代码攻击。开源小组将此评为“高严重性”问题,并敦促用户升级到OpenSSL 3.0.5。
详情
Jira 中的安全漏洞
日期: 2022-07-06 标签: 信息技术, 漏洞利用,
Jira是Atlassian流行的问题跟踪和项目管理软件,容易受到服务器端请求伪造(SSRF)漏洞的影响,研究人员能够在不获取凭据的情况下滥用该漏洞(CVE-2022-26135)。它允许攻击者使用任何HTTP方法,标头和正文向任意URL发出请求。此问题会影响适用于 Jira 的移动插件中使用的批处理 HTTP 端点,该插件与 Jira 和 Jira 服务管理捆绑在一起。可以通过易受攻击端点正文中的方法参数来控制HTTP方法和预期URL的位置,根据部署 Jira 实例的环境,此 bug 的影响会有所不同。
详情
微软修复了ShadowCoerce Windows NTLM Relay漏洞
日期: 2022-07-05 标签: 信息技术, 漏洞修复,
微软已经证实,它修复了一个先前披露的“ShadowCoerce”漏洞,作为2022年6月更新的一部分,该漏洞使攻击者能够在NTLM中继攻击中以Windows服务器为目标。威胁参与者可以使用此 NTLM 中继攻击方法强制未修补的服务器对攻击者控制下的服务器进行身份验证,从而导致对 Windows 域的接管。虽然没有就此问题发表公开声明,但“MS-FSRVP强制滥用PoC(也称为’ShadowCoerce’)通过CVE-2022-30154得到了缓解,这影响了同一组件。虽然微软已经修复了这个漏洞,但他们还没有公开提供任何细节,也没有分配一个CVE ID。
详情
谷歌修补了Chrome中的新0day漏洞
日期: 2022-07-04 标签: 美国, 信息技术, 谷歌(Google), CVE-2022-2294, Chrome 0-day,
2022年7月4日,谷歌为 Windows 用户发布了 Chrome 103.0.5060.114,以解决攻击者在野外利用的高严重性0day漏洞,这是 2022 年谷歌修补的第四个 Chrome 零日漏洞。该0day漏洞(跟踪为 CVE-2022-2294 )是 WebRTC(Web 实时通信)组件中基于堆的高严重缓冲区溢出漏洞。如果黑客在攻击期间实现了代码执行,成功利用堆溢出的影响可以从程序崩溃和任意代码执行到绕过安全解决方案。尽管谷歌表示这个0day漏洞是在野外被利用的,但该公司尚未分享技术细节或有关这些事件的任何信息。
详情
Gitlab 修补了最新安全公告中的一个关键 RCE 漏洞
日期: 2022-07-04 标签: 信息技术, Gitlab, 漏洞修补,
Gitlab的安全研究人员已经发布了一个关键漏洞的补丁,该漏洞允许黑客远程执行代码。跟踪为 CVE-2022-2185 的安全漏洞会影响从 14.0 之前的 14.10.5、15.0.4 之前的 15.0 和 15.1.1 之前的 15.1 开始的所有版本,授权用户可以导入恶意设计的项目以启动远程代码执行。GitLab 是一个基于 Web 的 DevOps 生命周期平台,提供 GitLab Inc. 的开源许可证,以提供 wiki、问题跟踪以及持续管道集成和部署功能。乌克兰程序员Dmytro Zaporozhets和Valery Sizov制作了该程序。最新版本中还发布了对许多其他漏洞的修复,包括两个单独的跨站点脚本(XSS)错误。这些漏洞影响了GitLab Community Edition和Enterprise Edition。安全研究人员建议用户升级到最新版本。
详情
Django 修复了新版本中的 SQL 注入漏洞
日期: 2022-07-04 标签: 信息技术, Django, Python,
Django项目是一个基于Python的开源Web框架,在其最新版本中修补了一个高严重性漏洞。跟踪为CVE-2022-34265,潜在的SQL注入漏洞存在于Django的主分支以及版本4.1(目前处于测试阶段),4.0和3.2中。7月4日发布的新版本和补丁消除了这个漏洞。数以万计的网站,包括美国的一些流行品牌,选择Django作为他们的模型 – 模板 – 视图框架。这就是为什么需要升级或修补Django实例来防止这样的错误是至关重要的。目前Django团队已经发布了Django 4.0.6和Django 3.2.14版本,以解决高严重性的SQL注入漏洞,并敦促开发人员尽快升级或修补他们的Django实例。
详情
相关安全建议
1. 及时对系统及各个服务组件进行版本升级和补丁更新
2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
0x07 安全分析
疑似APT-C-23(双尾蝎)组织伪装Threema通讯软件攻击分析
日期: 2022-07-07 标签: 信息技术, APT-C-23(Arid Viper/Desert Falcon), APT舆情,
以前的双尾蝎样本大多采用VC版本、Delphi版本,很少见到使用公开商业RAT组件进行攻击,此次发现的样本可能是该组织进攻方式的演变,也可能是双尾蝎组织内部出现了新的分支成员所采用的攻击手法。360高级威胁研究院最早通过一个名为“تسريب-اجتماع-القائد-محمد-دحلان-و-المخابرات-المصريه.pdf(Mohammed Dahlan 指挥官和埃及情报会议 (MoM) 泄漏.pdf)”的文档关联到了双尾蝎与之前攻击不太相同的活动,此次攻击行动直接把商业RAT伪装成Threema诱使用户点击打开,Threema是瑞士开发的一款付费的开源端到端加密即时通讯应用程序。
详情
https://mp.weixin.qq.com/s/1uJaPS-nuGNI8lQ1-ZekIA
Bitter针对孟加拉国军事组织的攻击活动分析
日期: 2022-07-05 标签: 孟加拉国, 政府部门, Almond RAT,
SECUINFRA发现了Bitter组织针对孟加拉国军事组织的攻击活动。该组织使用恶意文档作为诱饵,使用公式编辑器漏洞下载第二阶段恶意软件。第二阶段由加载程序组成,加载程序收集有关受感染系统的信息,并从远程服务器检索第三阶段。攻击的第三阶段可能具有不同类型的恶意软件,例如键盘记录器、窃取器或远程访问木马(RAT)。SECUINFRA发现了一种较新的RAT,命名为Almond RAT。
详情
疑似Confucius组织最新攻击行动分析
日期: 2022-07-05 标签: 信息技术, CONFUCIUS, SideWinder(RattleSnake/Razor Tiger/T-APT-04/APT-C-17/Hardcore Nationalist), Patchwork, APT舆情,
在日常威胁猎捕过程中,深信服深瞻情报实验室监测到疑似Confucius组织的新一轮攻击活动,本次事件中使用到的相关攻击工具与基础设施与2021年国外安全厂商披露的相关攻击活动存在关联,通过对相关基础设施分析,该事件疑似与南亚其他组织如SideWinder、Patchwork也存在一定关联。
详情
Lazarus利用VSingle恶意软件从GitHub获取C2服务器信息
日期: 2022-07-05 标签: GitHub, Lazarus, VSingle, Linux, APT舆情,
最近,Lazarus组织使用的恶意软件VSingle功能更新,支持从GitHub获取C2服务器信息。VSingle具有针对Windows和Linux的版本,本篇报告将对具有大量更新的Linux版本进行分析。
详情
https://blogs.jpcert.or.jp/ja/2022/07/vsingle.html
0x08 其他事件
黑客组织Lazarus窃取Axie Infinity 6.25亿美元
日期: 2022-07-10 标签: 美国, 信息技术, 文化传播, 金融业, LinkedIn, Ronin Network (RON), Lazarus, 社会工程, 网络钓鱼, 加密货币, 区块链安全,
2022年早些时候,流行的加密游戏 Axie Infinity 和 Axie DAO 背后的区块链网络 Ronin Network (RON) 经历了有史以来针对去中心化金融网络的最大加密攻击。美国政府声称,这次袭击是由朝鲜黑客组织 Lazarus 实施的。黑客组织Lazarus通过向Sky Mavis的一名员工提供携带恶意软件的PDF文件,进入该公司的网络。为了访问公司的网络,攻击者需要抓住9个验证者中的5个。带有间谍软件的 PDF 允许攻击者控制四个验证器并进入社区运行的 Axie DAO(去中心化自治组织),从中他们获得了第五个验证器的控制权。攻破网络后,攻击者从 Axie Infinity 的金库中拿走了 2500 万美元的 USDC 稳定币和 173,600 以太币(约合 5.97 亿美元),总计 6.25 亿美元的加密货币。
详情
谷歌Chrome新功能可延长用户设备的电池寿命
日期: 2022-07-10 标签: 美国, 信息技术, 谷歌(Google), 技术创新,
据Chromebooks报道,谷歌目前正在测试一项新功能,名为“快速密集计时器节流”,该功能将5分钟的宽限期减少到10秒,允许更多的暂停标签,快速降低CPU利用率,将 CPU 时间减少 10%,从而延长笔记本电脑和移动设备的电池寿命。新功能正在 Chrome Canary 和 Dev 版本中进行测试。
详情
俄罗斯情报部门将加强在荷兰的宣传活动
日期: 2022-07-09 标签: 乌克兰, 俄罗斯, 政府部门, 俄乌战争,
俄罗斯继续在荷兰开展宣传运动和心理活动,以增强对该国政治制度的影响。由民主派亲俄政党论坛协助的“了解乌克兰冲突”研讨会定于7月10日在阿姆斯特丹1078GZ欧洲广场24号举行。莫斯科为该活动的组织者设定了一个目标,即把战争归咎于西方和美国,并阻止荷兰向乌克兰提供军事援助。预计组织者还将试图质疑俄罗斯在乌克兰的战争罪行的事实,并为普京的政策辩护。
详情
PyPI 对关键项目强制执行 2FA,部分开发人员拒绝
日期: 2022-07-10 标签: 美国, 信息技术, PyPI, 供应链安全, Python, 双重身份验证(2FA),
2022年7月8日,第三方开源 Python 项目的官方存储库 Python 包索引 (PyPI) 宣布计划对“关键”项目的维护者强制要求双重身份验证(2FA)。在过去六个月中占下载量前 1% 的任何 PyPI 项目以及 PyPI 的依赖项都被指定为关键项目。尽管许多社区成员对此举表示赞赏,但一些开发人员却拒绝执行该举措,例如“atomicwrites”PyPI 项目的开发人员 Markus Unterwaditzer。Unterwaditzer决定从PyPI中删除他的代码,并重新发布,以使分配给他的项目的“关键”状态无效。而Unterwaditzer 的atomicwrites 在给定月份的下载量超过 600 万次。针对开源软件组件反复的恶意软件事件和攻击迫使PyPI加强其平台的安全性。但除了开发项目之外,保护项目的额外负担与开源软件开发人员的期望是否相符还有待观察。
详情
QNAP 警告新的 Checkmate 勒索软件以 NAS 装置为目标
日期: 2022-07-07 标签: 中国台湾, 信息技术, QNAP,
网络储存存储 (NAS) 供应商 QNAP 警告客户,要使用 Checkmate 勒索软件加密数据,保护他们的装置免受攻击。
QNAP 表示,这些攻击主要集中在启用了 SMB 服务的暴露在互联网的 QNAP 设备上,以及密码较弱的帐户,这些帐户很容易在暴力攻击中被破解。NAS制造商在7月7日发布的安全公告中表示。“一种名为Checkmate的新勒索软件最近引起了我们的注意。”Checkmate是最近发现的勒索软件株,首次部署在5月28日左右的攻击中,它将.checkmate扩展名附加到加密文件并丢弃名为!CHECKMATE_DECRYPTION_README。该公司警告客户不要将其NAS设备暴露在互联网上访问,并使用VPN软件来减少攻击面,并阻止威胁行为者尝试使用受感染的帐户登录。此外,QNAP 用户应立即检讨所有 NAS 帐户,确保他们使用严密密码、备份档案及定期拍摄快照以恢复数据。
详情
在线编程 IDE 可用于发起远程网络攻击
日期: 2022-07-07 标签: 信息技术, DataCamp,
安全研究人员警告说,黑客可以滥用在线编程学习平台来远程发起网络攻击,窃取数据并扫描易受攻击的设备,只需使用Web浏览器即可。有一个这样的平台,称为DataCamp,允许威胁行为者编译恶意工具,托管或分发恶意软件,并连接到外部服务。DataCamp为近1000万用户提供集成开发环境(IDE),这些用户希望使用各种编程语言和技术(R,Python,Shell,Excel,Git,SQL)学习数据科学。作为平台的一部分,DataCamp用户可以访问自己的个人工作区,其中包括一个IDE,用于练习和执行自定义代码,上传文件以及连接到数据库。IDE 还允许用户导入 Python 库、下载和编译存储库,然后执行已编译的程序。换句话说,勤劳的威胁行为者需要直接从DataCamp平台内发起远程攻击的任何东西。
详情
俄罗斯信息行动的重点是分裂支持乌克兰的西方联盟
日期: 2022-07-07 标签: 俄罗斯, 乌克兰, 文化传播, 俄乌战争,
2022年7月7日,网络安全公司Recorded Future发布的一份报告,俄罗斯情报部门一直在利用国家控制的媒体和其他虚假信息渠道来传播旨在分裂支持乌克兰的西方联盟的宣传。许多开源宣传《记录的未来》发现,与该公司所称的俄罗斯联邦安全局(FSB)第五局的“未经验证的分析说明”密切相关,据报道,乌克兰安全局于6月5日截获并发布了该说明。报告称,据称FSB撰写的分析说明针对“欧洲共同体”,并传达了有关支持乌克兰和大量乌克兰难民将导致欧盟内部“生活水平恶化”的信息。根据Recorded Future的说法,分析说明解释说,它所谓的“大规模”信息行动旨在“激起内部公众对西方国家政府和政治精英的压力”。
详情
超过1200个NPM软件包参与“CuteBoi”加密挖矿活动
日期: 2022-07-07 标签: 金融业, CuteBoi,
研究人员披露了一项针对NPM JavaScript软件包存储库的新的大规模加密货币挖掘活动。该恶意活动归因于名为CuteBoi的软件供应链威胁行为者,涉及来自1,000多个不同用户帐户的1,283个流氓模块的数组。据说所有有问题的已发布软件包都包含来自一个名为eazyminer的现有软件包的几乎相同的源代码,该软件包用于通过利用Web服务器上未使用的资源来挖掘门罗币。这些软件包是通过自动化技术发布的,该技术允许威胁参与者击败双因素身份验证(2FA)保护。
详情
AsyncRAT被分发到易受攻击的MySQL服务器
日期: 2022-07-07 标签: AsyncRAT, MySQL数据库,
ShadowServer基金会最近发布了一份报告,显示大约有360万台MySQL服务器暴露在外部。与MS-SQL服务器一起,MySQL服务器是主要的数据库服务器之一,它提供了在企业或用户环境中管理大量数据的功能。MS-SQL主要用于Windows环境,但MySQL仍然被Linux环境中的许多人使用。ASEC分析团队不断监控分发到易受攻击的数据库服务器的恶意软件。在Windows环境中,大多数攻击都是针对MS-SQL服务器进行的,这可以在AhnLab的ASD日志中得到证实。在之前的ASEC博客中引入了各种攻击案例,例如Cobalt Strike,Remcos RAT和CoinMiner.cjdmacjdmwk。尽管已确认的攻击数量相对较低,但针对MySQL服务器的攻击不断被发现。还有Gh0stCringe攻击MS-SQL服务器以及MySQL服务器的情况。
详情
NFT骗子在乌克兰捐款中看到机会
日期: 2022-07-05 标签: 乌克兰, 俄罗斯, 政府部门, 俄乌战争, NFT,
乌克兰政府和名人一直在推广不可替代的代币(NFT)和加密货币,以便在与俄罗斯的持续战争期间为该国的军队筹集资金。尽管这种策略已被证明是有效的 – 在战争的前五周,乌克兰收到了超过1.35亿美元的加密货币捐款 – 但有一个缺点。据研究人员称,与许多加密货币行业一样,乌克兰的捐赠活动充斥着欺诈和诈骗。2022年7月5日,乌克兰开源情报公司Molfar发布了一项调查,详细说明了一家名为ZelenskiyNFT的公司如何出售乌克兰主题的NFT,据称是为了帮助军队和难民,但似乎已经把钱收入囊中了。
详情
Apple 的新锁定模式可抵御政府间谍软件
日期: 2022-07-06 标签: WhatsApp, NSO Group, Pegasus(飞马间谍软件), Apple,
2022年7月6日,据bleepingcomputer报道,苹果宣布,一项名为“锁定模式”的新安全功能将在iOS 16,iPadOS 16和macOS Ventura上推出,以保护人权捍卫者,记者和持不同政见者等高风险个人免受有针对性的间谍软件攻击。启用后,锁定模式将为Apple客户提供消息传递,Web浏览和连接保护,旨在阻止雇佣军间谍软件(如NSO Group的Pegasus),政府支持的黑客在感染恶意软件后监控其Apple设备。攻击者试图使用针对WhatsApp和Facetime等消息传递应用程序或Web浏览器的零点击攻击来破坏Apple设备,这将自动被阻止,因为链接预览等易受攻击的功能将被禁用。
详情
勒索软件,黑客组织从Cobalt Strike转移到Brute Ratel
日期: 2022-07-06 标签: 信息技术,
黑客组织和勒索软件操作正在从Cobalt Strike转向更新的Brute Ratel开发后工具包,以逃避EDR和防病毒解决方案的检测。Cobalt Strike是红队中最受欢迎的工具之一,这是一个工具包,允许攻击者在受感染的设备上部署“信标”,以执行远程网络监视或执行命令。Brute Ratel是一种对抗性攻击模拟工具,允许红队员在远程主机上部署“Badgers”(类似于Cobalt Strike中的信标)。这些Badgers连接回攻击者的命令和控制服务器,以接收命令以执行或传输以前运行的命令的输出。
详情
WhatsApp上流传的欺诈性英国签证骗局
日期: 2022-07-06 标签: 英国, 居民服务, 网络诈骗,
根据Malwarebytes的一份报告,在英国工作的个人正在被WhatsApp上最近的网络钓鱼活动所欺骗。WhatsApp聊天应用程序用于传输到目标卷以启动欺诈。用户被告知,英国正在开展招聘活动,拥有超过186,000个空缺职位,因为到2022年,该国将需要超过132,000名额外的工人。当受害者点击骗局链接时,会向他们显示一个看起来像英国签证和移民网站的恶意域名。“申请英国已有数千个工作岗位”,这是根据骗局向外国公民提出的要求。该网站的目标是收集受害者的姓名,电子邮件地址,电话号码,婚姻状况和就业状况。用户可以选择在WhatsApp上报告和阻止,如果他们收到来自不在联系人列表中的人的消息。人们应该忽略这些垃圾邮件,并使用报告按钮提出投诉。此外,用户可以阻止这些联系人,以停止从他们那里获得未来的诈骗消息。
详情
匈牙利当局对政府数据管理员处以7500欧元的罚款
日期: 2022-07-05 标签: 匈牙利, 政府部门, 匈牙利国家数据保护和信息自由管理局 (NAIH), 政府罚款, 数据泄漏,
2022年7月5日,匈牙利国家数据保护和信息自由管理局 (NAIH) 发表决定称,一个政府的数据管理员对通过文件共享网站公开提供六个 Excel 文件的数据泄露负责,因违反欧盟通用数据保护条例 (GDPR) 的数据安全规定且未能与当局合作,处以 300 万匈牙利福林(7,500 欧元)的罚款。被泄露的文件包含政党成员的个人数据列表(例如姓名、电话号码、电子邮件地址、地址、身份证号码)和政党的运作数据。总的来说,此次泄露影响了大约 2,000 名数据主体。
详情
NPM供应链攻击影响数百个网站和应用程序
日期: 2022-07-05 标签: 美国, 信息技术, npm, IconBurst, 供应链安全,
供应链安全公司 ReversingLabs 的研究人员发现,可追溯到 2021 年 12 月的 NPM 供应链攻击使用了数十个包含混淆 Javascript 代码的恶意 NPM 模块来破坏数百个下游桌面应用程序和网站。该活动背后的黑客组织 IconBurst使用仿冒域名来感染正在寻找非常流行的软件包的开发人员,例如雨伞js 和 ionic.io NPM 模块。黑客会将旨在从嵌入式表单(包括用于登录的表单)窃取数据的恶意程序包添加到他们的应用程序或网站。虽然 ReversingLabs 团队于 2022 年 7 月 1 日联系 NPM 安全团队报告其发现,但 NPM 注册表中仍然存在一些 IconBurst 恶意程序包。虽然目前尚不清楚这次攻击的全部范围,但研究人员发现的恶意程序包可能被数百甚至数千个下游移动和桌面应用程序以及网站使用。
详情
NIST选定前四种抗量子加密工具
日期: 2022-07-05 标签: 美国, 信息技术, 美国商务部国家标准与技术研究院 (NIST), 量子安全,
美国商务部的国家标准与技术研究院 (NIST) 选择了有史以来第一组可能抵御量子计算机攻击的加密工具。对于一般加密(用于访问安全网站),NIST 选择了 CRYSTALS-Kyber 算法。对于数字签名,NIST 选择了三种算法 CRYSTALS-Dilithium、FALCON 和 SPHINCS+。据报道,这四种选定的加密算法现在将成为 NIST 后量子密码 (PQC) 标准的一部分,该标准应在大约两年内完成。NIST主任表示:“NIST 不断展望未来,以预测美国工业和整个社会的需求,当它们建成时,强大到足以破解当今加密的量子计算机将对我们的信息系统构成严重威胁。”
详情
恶意行为者滥用的红队工具
日期: 2022-07-05 标签: 美国, 信息技术, 红队,
unit42发现在5月19日有一个样本被上传到VirusTotal,该样本包含与Brute Ratel C4(BRc4)相关的恶意有效负载,这是最新的红队和对抗性攻击模拟工具。此工具具有独特的危险性,因为它专门设计用于避免通过端点检测和响应 (EDR) 以及防病毒 (AV) 功能进行检测。它这样做的有效性可以从上述VirusTotal上供应商之间缺乏检测来清楚地看到。在 C2 方面,发现该示例通过端口 443 调用位于美国的 Amazon Web Services (AWS) IP 地址。此外,侦听端口上的 X.509 证书配置为使用“Microsoft”的组织名称和“安全性”的组织单位来模拟 Microsoft。在证书和其他工件上,总共确定了41个恶意IP地址,9个BRc4样本,以及北美和南美另外三个迄今为止受此工具影响的组织。这个独特的样本以与已知的APT29
技术及其最近的活动一致的方式打包,这些方法利用了众所周知的云存储和在线协作应用程序。
详情
英国议会和医院易受网络黑客攻击
日期: 2022-07-05 标签: 英国, 政府部门, 卫生行业, 网络安全,
对英国公共服务网络安全的调查显示,国防预算存在巨大差异,数百个网站漏洞以及一个委员会的员工电子邮件地址和密码完全在线发布。ITV News的调查发现,一个英国议会每年在网络安全上只花费32,000英镑。相比之下,另一个人口较少的理事会的年度网络安全预算为100万英镑,是其30多倍。调查还显示,一家医院每年只为网络安全预留了10,000英镑。调查指出,许多专家对ITV News在网络安全方面缺乏明确性和公共服务标准表示担忧。
详情
青少年黑客利用Discord传播恶意软件
日期: 2022-07-04 标签: 美国, 信息技术, Discord, Snatch, Lunar, Rift, 青少年黑客,
Avast 安全研究人员发现了一个 Discord 频道,其中一群青少年正在开发、更新、推广和销售恶意软件和勒索软件,据称是为了赚取零用钱。研究人员通过他们的 Discord 聊天发现了该行为。他们出售 Snatch、Lunar 和 Rift 的恶意软件变种,并提供从数据盗窃到勒索软件和加密挖掘的各种服务。 然而,研究人员发现,这些青少年黑客大多提供易于使用的恶意软件构建器和工具包,允许用户通过使用“自己动手”(DIY)技术,在没有真正编程的情况下使用它们。对此,网络安全专家建议父母监控孩子的互联网活动。
详情
AstraLocker勒索软件关闭并释放解密器
日期: 2022-07-04 标签: 信息技术, 勒索软件,
鲜为人知的AstraLocker勒索软件背后的威胁行为者告诉BleepingComputer,他们正在关闭该操作,并计划切换到加密劫持。勒索软件的开发人员向VirusTotal恶意软件分析平台提交了带有AstraLocker解密器的ZIP存档。BleepingComputer下载了存档,并确认解密器是合法的,并且在对最近的AstroLocker活动中加密的文件测试其中一个解密器后工作。AstraLocker勒索软件的通用解密器目前正在开发中,将由Emsisoft发布,Emsisoft是一家以帮助勒索软件受害者进行数据解密而闻名的软件公司。
详情
北约将发展快速网络反应能力
日期: 2022-07-04 标签: 北约, 乌克兰, 政府部门, NATO,
在举行完北约峰会后,北约宣布计划开发虚拟快速响应能力,以“应对重大的恶意网络活动”。除其他领域外,该计划还概述了成员国之间的一项协议,“在自愿基础上,利用国家资产,建立和行使虚拟快速反应网络能力”。参加峰会的北约国家元首和政府首脑还承诺加快向乌克兰提供非致命防御设备,包括提高该国的网络弹性。虚拟快速响应网络能力将大大提高北约对重大恶意网络活动做出更协调和有效响应的能力。这种能力可能类似于已经创建并部署在乌克兰冲突中的欧盟网络快速反应小组 (CRRT) 。
详情
0x09 产品侧解决方案
若想了解更多信息或有相关业务需求,可移步至http://360.net
360城市级网络安全监测服务
360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
0x0a 时间线
2022-07-11 360CERT发布安全事件周报