安全事件周报 (05.16-05.22)

 

0x01   事件导览

本周收录安全热点54项,话题集中在恶意程序网络攻击方面,涉及的组织有:ParkerContiZyxelNVIDIA等。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02   事件目录

恶意程序
PDF走私Microsoft Word文档以删除Snake Keylogger恶意软件
微软披露Linux设备上XorDdos攻击激增
沙虫使用新版本的ArguePatch来攻击乌克兰的目标
Google Play上的200多个应用程序中发现Facestealer木马
UpdateAgent 新的macOS恶意软件dropper
联邦调查局指控委内瑞拉医生使用、出售“Thanos”勒索软件
数据安全
制药巨头Dis-Chem遭遇数据泄露影响360万客户
近200万德克萨斯人的个人信息被曝光
勒索软件袭击美国医疗保健公司Omnicell
工程公司Parker披露遭受conti攻击后的数据泄露事件
网络攻击
俄罗斯Sberbank表示正面临大规模DDoS攻击浪潮
Kimsuky正在分发伪装成新闻稿的恶意代码
媒体巨头日经的亚洲部门受到勒索软件攻击
意俄黑客之战:Anonymous Italia 击败 Killnet
利用PowerShell RAT攻击德国的乌克兰支持者
伊朗黑客对美国和英国发起网络攻击
Gamaredon组织的网络足迹
APT29滥用合法软件在欧洲进行针对性攻击活动
勒索软件团伙Conti威胁推翻哥斯达黎加政府
物理入侵:俄罗斯军队袭击乌克兰互联网公司
安全漏洞
谷歌:捕食者间谍软件使用零日漏洞感染Android设备
Jupiter插件漏洞使黑客能够劫持网站
CISA发布VMware漏洞应急指令
CISA紧急命令联邦民用机构修补VMware产品中的关键漏洞
NVIDIA修复了Windows GPU显示驱动程序中的十个漏洞
Zyxel漏洞正在野外被积极利用
BLE漏洞可能被利用来解锁汽车,智能锁,建筑物门,智能手机等
苹果紧急更新:修复了零日漏洞CVE-2022-22675
安全分析
围绕俄罗斯入侵乌克兰的信息行动
分析新APT组织Space Pirates的工具和关联
filesyncshell.dll劫持?APT-C-24响尾蛇最新攻击活动简报
Operation Dragon Breath(APT-Q-27):针对博彩行业的降维打击
其他事件
美国司法部将不再根据 CFAA 起诉善意的安全研究人员
即使关机,iPhone也容易受到攻击
美国政府发布关于俄罗斯情报机构的研究报告
俄罗斯联邦安全局分包商被指控采购了强大的僵尸网络
加拿大出于安全考虑禁止华为和中兴通讯使用5G网络
Twitter推出新政策,以解决危机期间的错误信息
俄乌信息战:亲俄黑客散布虚假信息分裂乌克兰及其盟友
微软总裁:网络空间已成为战争的新领域
Windows 11在Pwn2Own的第一天被黑客入侵
微软发布了第一个用于新的Windows 11 Dev版本的ISO映像
国土安全部在强烈反对下终止虚假信息治理委员会
西班牙警方捣毁了清空银行账户的网络钓鱼团伙
美国从全球 Kovter 广告欺诈行动中追回 1500 万美元
研究人员揭露了数十亿美元Wizard Spider网络犯罪团伙的内部运作
朝鲜IT人员冒充美国自由职业者,暗中协助朝鲜政府黑客
反转:Conti是泄漏2月旧金山数据的幕后黑手
Clearview AI:面部识别的战争
研究人员设计了一种新型蓝牙(BLE) 中继攻击
2022 年 HTML 附件在网络钓鱼攻击者中仍然很流行
白宫:美国在量子霸权竞赛中击败中国
ANO“数字平台”推出俄罗斯应用商店NashStore
iPhone上潜在恶意软件的新型攻击方法

 

0x03   恶意程序

PDF走私Microsoft Word文档以删除Snake Keylogger恶意软件

日期: 2022-05-22
标签: 美国, 信息技术, 微软(Microsoft), 404 Keylogger, Snake Keylogger, PDF, 

在 HP Wolf Security的一份新报告中,研究人员说明了 PDF 是如何被用作带有恶意宏的文档的传输工具,这些宏在受害者的机器上下载和安装信息窃取恶意软件。许多人可能会在 Microsoft Word 中打开 DOCX,如果启用了宏,将从远程资源下载 RTF(富文本格式)文件并打开它。通过利用 CVE-2017-11882,RTF 中的 shellcode 下载并运行 Snake Keylogger,这是一个模块化的信息窃取程序,具有强大的持久性、防御规避、凭据访问、数据收集和数据泄露功能。

详情

https://t.co/VdQslViKxJ

微软披露Linux设备上XorDdos攻击激增

日期: 2022-05-22
标签: 美国, 信息技术, 微软(Microsoft), Tsunami, XorDdos, XOR DDoS, Linux, SSH, 

微软在一份报告中透露,XorDdos 是一种针对 Linux 设备的隐秘分布式拒绝服务 (DDoS) 恶意软件,其活动在过去六个月中大幅增长了 254%。该恶意软件在数千台 Linux 服务器上发起自动密码猜测攻击,以找到在 Secure Shell (SSH) 服务器上使用的相同管理员凭据。SSH 是一种安全的网络通信协议,通常用于远程系统管理。 一旦 XorDdos 识别出有效的 SSH 凭据,它就会使用 root 权限运行一个脚本,该脚本在目标设备上下载并安装 XorDdos。它还采用基于 XOR 的加密与攻击者的命令和控制基础设施进行通信。 该恶意软件使攻击者能够对目标系统造成潜在的重大破坏,并用于引入其他危险威胁或为后续活动提供载体。

详情

https://t.co/YMRwwqdIMT

沙虫使用新版本的ArguePatch来攻击乌克兰的目标

日期: 2022-05-20
标签: 乌克兰, 能源业, 乌克兰计算机应急响应小组(CERT-UA), ELECTRUM, TeleBots, Sandworm, PartyTicket, ArguePatch, INDUSTROYER2, CaddyWiper, 俄乌战争, 

ESET研究团队现在已经发现了ArguePatch恶意软件加载器的更新版本,该加载程序用于针对乌克兰能源提供商的Industroyer2攻击以及涉及数据擦除恶意软件CaddyWiper

的多次攻击。ArguePatch的新变体 – 由乌克兰计算机应急响应小组(CERT-UA)命名,并被ESET产品检测为Win32 / Agent.AEGY – 现在包括一项功能,可在指定时间执行下一阶段攻击。这两个高度相似的变体之间的另一个区别是,新迭代使用官方的 ESET 可执行文件来隐藏 ArguePatch,并删除数字签名并覆盖代码。与此同时,Industroyer2攻击利用了HexRays IDA Pro远程调试服务器的补丁版本。

详情

https://t.co/TAVRxJsTOq

Google Play上的200多个应用程序中发现Facestealer木马

日期: 2022-05-18
标签: 美国, 信息技术, 谷歌(Google), FaceStealer, 

TrendMicro 的网络安全研究人员在 Google Play 上发现了 200 多个应用程序,这些应用程序分发名为 Facestealer 的间谍软件,用于窃取用户凭据和其他敏感数据,包括私钥。这些类型的应用程序的数量和流行度与日俱增,有些甚至安装了十万次以上。这些应用程序包括:Daily Fitness OL、Enjoy Photo Editor、Panorama Camera、Photo Gaming Puzzle、Swarm Photo、Business Meta Manager 和 Cryptomining Farm Your Own Coin。Facestealer 于 2021 年 7 月由 Doctor Web 首次发现,它通过 Google Play 上的恶意应用程序从用户那里窃取 Facebook 信息,然后用它来渗透 Facebook 帐户,用于诈骗、虚假帖子和广告机器人等目的。

详情

https://t.co/jid6mZVP7S

UpdateAgent 新的macOS恶意软件dropper

日期: 2022-05-17
标签: 信息技术, dropper, UpdateAgent, 

被跟踪为UpdateAgent的macOS恶意软件的新变体已被野外发现,这表明其作者正在尝试升级其功能UpdateAgent于2020年底首次被检测到,此后已演变成恶意软件滴管,促进了广告软件等第二阶段有效负载的分发,同时还绕过了macOS网守保护。新发现的基于 Swift 的 dropper 伪装成名为“PDFCreator” 和 “ActiveDirectory” 的 Mach-O 二进制文件,在执行时,它们与远程服务器建立连接并检索要执行的 bash 脚本。

详情

https://thehackernews.com/2022/05/updateagent-returns-with-new-macos.html

联邦调查局指控委内瑞拉医生使用、出售“Thanos”勒索软件

日期: 2022-05-16
标签: 美国, 伊朗, 信息技术, 美国联邦调查局 (FBI), Thanos, 

2022年5月16日,联邦调查局宣布对一名委内瑞拉心脏病专家的指控,该局称该心脏病专家是网络犯罪策划者,他吹嘘勒索的勒索软件是由伊朗国家支持的黑客部署的。Moises Luis Zagala Gonzalez的用户名也为“Nosophoros”,“Aesculapius”和“Nebuchadnezzar”,他被指控企图入侵计算机和阴谋进行计算机入侵。根据周一未密封的投诉,Zagala出售了他的勒索软件,为网络犯罪分子提供了有关如何使用其产品的广泛培训,甚至建立了自己的勒索软件团伙。他的一个名为“Thanos”的工具允许用户创建自己的自定义勒索软件

,每月最高可达800美元的许可费。另一款名为“Jigsaw v. 2”的产品具有内置的“末日”计数器功能,可在多次尝试删除勒索软件后擦除受害者的硬盘驱动器。

详情

https://t.co/jrA4Zw353O

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 各主机安装EDR产品,及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

 

0x04   数据安全

制药巨头Dis-Chem遭遇数据泄露影响360万客户

日期: 2022-05-18
标签: 卫生行业, Dis-Chem, 

药房零售商Dis-Chem最近宣布,它受到影响360万客户个人详细信息的数据泄露事件的打击。Dis-Chem在一份声明中表示,它与第三方服务提供商和运营商签订了某些托管服务的合同,该托管服务为Dis-Chem开发了一个数据库。该数据库包含“Dis-Chem提供的服务所需的某些类别的个人信息”,它补充说。调查显示,该事件共影响了3,687,881名数据主体,并访问了以下个人信息:名字和姓氏;电子邮件地址;和手机号码。Dis-Chem是南非第二大零售连锁药店,拥有165家商店,纳米比亚有4家,博茨瓦纳有1家。

详情

https://t.co/NBwaxOHCkT

近200万德克萨斯人的个人信息被曝光

日期: 2022-05-18
标签: 德克萨斯州, 政府部门, 德克萨斯州保险部(TDI), 

由于德克萨斯州保险部(TDI)的编程问题,近两百万德克萨斯人的个人信息被曝光了近三年。该部门透露,从2019年3月至2022年1月,在上周发布的州审计报告中,已提出赔偿要求的180万工人的详细信息已在线公开。这包括社会安全号码,地址,出生日期,电话号码和有关工人受伤的信息。在5月17日发布的更新新闻稿中,TDI表示,调查没有发现任何证据表明工人的个人信息被滥用。2022年1月,TDI开始进行调查,以确定问题的全部性质和范围,其中包括与一家法医公司合作,并努力找出TDI以外的人曾经或可能查看过谁的信息。到目前为止,还没有发现任何滥用信息的行为。2021年,德克萨斯州的立法者通过了一项法案,要求在线发布涉及250名或更多孤星州居民个人信息的任何数据泄露通知。

详情

https://t.co/H6WzuX1UKT

勒索软件袭击美国医疗保健公司Omnicell

日期: 2022-05-17
标签: 美国, 卫生行业, Omnicell, 

跨国公司Omnicell最近证实,在报告勒索软件攻击后,它经历了数据泄露,影响了内部系统。该公司总部位于美国加利福尼亚州山景城,了解到勒索软件攻击,并于2022年5月9日在向美国证券交易委员会提交的10-Q文件中披露了这一攻击。更多细节可能会在未来几周内披露。Omnicell表示:我们的IT系统和第三方云服务可能容易受到员工或其他人的网络攻击,包括勒索软件或其他数据安全事件,这可能会将敏感数据暴露给未经授权的人员。2022 年 5 月 4 日,我们确定某些信息技术系统受到影响某些内部系统的勒索软件的影响。截至5月17日,Omnicell尚未在其网站上发布有关违规行为的官方通知。但是,随着调查的继续,预计将提供有关Omnicell违规行为的更多信息。

详情

http://dlvr.it/SQY4kH

工程公司Parker披露遭受conti攻击后的数据泄露事件

日期: 2022-05-16
标签: 俄亥俄州, 中国, 交通运输, 制造业, 能源业, 帕克汉尼汾公司(Parker-Hannifin Corporation), Conti, 勒索攻击, 

帕克汉尼汾公司(Parker-Hannifin Corporation)宣布了一起数据泄露事件。派克是一家总部位于俄亥俄州的公司,专门从事先进的运动和控制技术,专注于航空航天液压设备。它的收入为156亿美元,拥有58,000多名员工。该公司表示,2022年3月11日至3月14日期间发生了一起安全事件,该事件涉及未经授权访问派克计算机系统的第三方。Conti勒索软件组织于2022年4月1日声称对此负责,当时这个臭名昭着的团伙公布了他们据称在攻击期间窃取的3%的数据,随后于4月20日全面公布了整个419GB数据集。派克汉尼汾为空客、波音、西科斯基、劳斯莱斯、洛克希德·马丁公司和中国商用飞机公司设计和制造航空航天部件,包括液压组件和燃料系统。

详情

https://t.co/gL6bpieUjc

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施

 

0x05   网络攻击

俄罗斯Sberbank表示正面临大规模DDoS攻击浪潮

日期: 2022-05-20
标签: 俄罗斯, 美国, 英国, 日本, 金融业, Sberbank, DDoS, 俄乌战争, 

俄罗斯的银行和金融服务公司Sberbank正在成为一波前所未有的黑客攻击的目标。2022年5月6日,俄罗斯联邦储蓄银行表示,它击退了有史以来最大的DDoS攻击,其测量值为450GB / sec。俄罗斯联邦储蓄银行副总裁兼网络安全总监谢尔盖·列别德(Sergei Lebed)告诉参加Positive Hack Days会议的听众,过去几个月来,成千上万的互联网用户一直在攻击该组织。俄罗斯联邦储蓄银行是俄罗斯最大的金融公司,也是欧洲第三大金融公司,总资产超过5700亿美元。支持对俄罗斯联邦储蓄银行主要网站进行攻击的恶意流量是由一个僵尸网络生成的,该僵尸网络在美国,英国,日本和台湾拥有27000台受感染的设备。

详情

https://t.co/PHUocEZQig

Kimsuky正在分发伪装成新闻稿的恶意代码

日期: 2022-05-19
标签: 韩国, 信息技术, Kimsuky, 

ASEC分析小组证实,Kimsuky正在分发伪装成新闻稿的恶意代码。 当恶意代码被执行时,它会加载一个正常的文档文件并尝试访问恶意URL。 连接成功后,将执行该页面上的脚本,该脚本确认与报告中的VBS代码类型相似。

详情

https://asec.ahnlab.com/ko/34383/

媒体巨头日经的亚洲部门受到勒索软件攻击

日期: 2022-05-19
标签: 亚洲, 文化传播, Nikkei(日经指数), 勒索攻击, 

2022年5月19日,出版巨头日经指数(Nikkei)披露,该集团位于新加坡的总部在大约一周前的2022年5月13日遭到勒索软件攻击。日经集团亚洲立即关闭了受影响的服务器,并采取了其他措施将影响降至最低。日经指数表示,它目前正在调查攻击者是否访问了可能存储在受影响服务器上的任何客户数据。受影响的服务器可能包含客户数据,日经目前正处于确定攻击的性质和范围的过程中。日经指数是全球最大的媒体公司之一,拥有约400万印刷和数字用户,以及40多家附属公司,涉及出版,广播,活动,数据库服务和索引业务。该媒体集团于2015年收购了《金融时报》,目前在全球拥有数十家外国编辑局和1500多名记者。

详情

https://t.co/ZMZaKRvB3U

意俄黑客之战:Anonymous Italia 击败 Killnet

日期: 2022-05-19
标签: 俄罗斯, 意大利, 政府部门, 信息技术, Killnet, Anonymous Italia, 网络战争, 

2022年5月16日,向10个国家(包括意大利)宣战的亲俄黑客组织Killnet攻击了意大利政府网站。2022年5月19日,意大利黑客组织Anonymous Italia击败了亲俄黑客组织Killnet。意大利黑客组织Anonymous Italia黑掉了黑客组织Killnet的网站,还找到并公布了Killnet 代表的姓名和姓氏,以及其领导人Viva Dunaev的照片。在俄乌战争爆发之际,意大利黑客组织Anonymous Italia就已经袭击了 Anonymous 的国际频道,向最著名的黑客团体宣战。专家称:“今天我们有进一步的证据表明,第三个千年的战争主要是在网络上进行的:媒体轰炸、假新闻、网站破坏以及个人隐私数据。”

详情

https://t.co/8ZSdaIMlzJ

利用PowerShell RAT攻击德国的乌克兰支持者

日期: 2022-05-17
标签: 乌克兰, 德国, 信息技术, 俄乌战争, 

本周,研究人员发现了一个新的攻击行动,试图通过承诺提供有关乌克兰当前威胁局势的最新信息吸引德国人。下载的文档实际上是远程访问木马(RAT)的诱饵,能够窃取数据并在受害者的计算机上执行其他恶意命令。目前暂无法将此活动归因于特定的威胁组织。仅基于动机,假设俄罗斯威胁组织可能针对德国用户,但是如果没有明确的基础设施关联或与已知的TTP相似,这种归因很弱。

详情

https://blog.malwarebytes.com/threat-intelligence/2022/05/custom-powershell-rat-targets-germans-seeking-information-about-the-ukraine-crisis/

伊朗黑客对美国和英国发起网络攻击

日期: 2022-05-17
标签: 美国, 英国, 政府部门, Charming Kitten, COBALT MIRAGE, APT35, OilRig, CHRYSENE, Cleaver, 

网络安全公司 Secureworks 发现了一种新的攻击,该攻击归因于伊朗黑客组织 APT34 或 Oilrig,该组织利用定制工具针对一名约旦外交官。APT35、Magic Hound、NewsBeef、Newscaster、Phosphorus 和 TA453 是高级持续威胁 (APT) 参与者,以针对活动家、政府组织、记者和其他实体而闻名。2022年5月17日,Secureworks 表示,黑客组织Cobalt Mirage似乎已转向出于经济动机的攻击,包括部署勒索软件。尽管该组织已经成功攻破了世界各地的大量目标,但安全研究人员认为,他们利用这种访问来获取经济利益或收集信息的能力是有限的。

详情

https://t.co/4bAeBueNMu

Gamaredon组织的网络足迹

日期: 2022-05-16
标签: 信息技术, Gamaredon, 

Gamaredon组织经常利用恶意office文件,通过鱼叉式网络钓鱼邮件分发其攻击的第一阶段。众所周知,他们使用名为PowerPunch的PowerShell信标来下载和执行恶意软件,以应对随后的攻击阶段。Pterodo和QuietSieve是流行的恶意软件家族,部署它们是为了窃取信息和针对目标的各种行动。Cisco能够收集与Gamaredon基础设施相关的网络IoC。在初步分析中,大多数指标没有直接归因于任何特定的恶意软件,而是被列为Gamaredon基础设施的一部分。因此,Cisco想分析他们的基础设施,以更详细了解他们的武器库和部署。

详情

https://blogs.cisco.com/security/network-footprints-of-gamaredon-group

APT29滥用合法软件在欧洲进行针对性攻击活动

日期: 2022-05-16
标签: 欧洲, 信息技术, APT29, 

Cozy Bear(又名Nobelium、APT29、The Dukes)是一个资源丰富、高度专注和有组织的网络间谍组织,据信至少从2008年起就为俄罗斯政府的决策过程提供支持。最近研究人员分析了几个与该组织有关的鱼叉式网络钓鱼活动,这些活动使用DLL侧加载技术将签名软件(如Adobe套件)和合法的网络服务(如Dropbox)作为命令与控制(C&C)的通信载体。滥用合法的网络服务是为了逃避自动分析软件的检测。最近,第三方研究人员也报告说,它使用Trello及其REST API模拟了一级命令与控制服务器。除了这种规避尝试之外,侧加载的DLL试图解挂进程内存中加载的windows库,用于规避EDR检测。

详情

https://cluster25.io/2022/05/13/cozy-smuggled-into-the-box/

勒索软件团伙Conti威胁推翻哥斯达黎加政府

日期: 2022-05-16
标签: 哥斯达黎加, 政府部门, 哥斯达黎加财政部(Ministerio de Hacienda), 哥斯达黎加劳动和社会保障部(MTSS), 哥斯达黎加社会保障基金 (CCSS), 哥斯达黎加科学、创新、技术和电信部, Conti, 

渗透到哥斯达黎加政府计算机系统的勒索软件团伙Conti加大了威胁力度,称其现在的目标是推翻政府。2022年4月,勒索软件团伙Conti袭击了哥斯达黎加,入侵了财政部的多个关键系统,包括海关和税收。其他政府系统也受到影响,到目前为止并非所有系统都可以正常运行。哥斯达黎加总统查韦斯在上周宣誓就职后就宣布全国进入紧急状态。美国国务院悬赏 1000 万美元,奖励能够识别或定位孔蒂领导人的信息。Conti表示,他们正在将赎金要求提高到 2000 万美元,并呼吁哥斯达黎加人向他们的政府施压以支付费用。2022年5月17日,Conti还表示,如果一周内没有支付赎金,它将删除解密密钥。

详情

https://t.co/vLyLqqIdQr

物理入侵:俄罗斯军队袭击乌克兰互联网公司

日期: 2022-05-16
标签: 乌克兰, 俄罗斯, 信息技术, 俄乌战争, 

2022年5月13日,乌克兰国家特殊通信和信息保护局(SSSCIP)表示,俄罗斯军队入侵了一家赫尔松互联网公司,切断了所有设备的连接,并威胁说如果该公司不连接俄罗斯网络,将接管该公司。斯坦福研究学者HERB LIN表示,这次攻击之所以引人注目,是因为它涉及到物理力量。HERB LIN还说:“这是一种完全不同的网络攻击:这家公司没有通过互联网受到网络攻击。这是一次网络攻击,因为它的设备被武装暴徒征用。”SSSCIP 表示,俄罗斯一直试图将乌克兰的互联网服务提供商与俄罗斯特别服务部门控制的系统连接起来,以阻止乌克兰网络资源的访问,并完全控制乌克兰用户在互联网上的任何活动。

详情

https://t.co/MOx78h7XYb

相关安全建议

1. 积极开展外网渗透测试工作,提前发现系统问题

2. 减少外网资源和不相关的业务,降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

6. 注重内部员工安全培训

 

0x06   安全漏洞

谷歌:捕食者间谍软件使用零日漏洞感染Android设备

日期: 2022-05-22
标签: 埃及, 亚美尼亚, 希腊, 马达加斯加, 科特迪瓦, 塞尔维亚, 西班牙, 印度尼西亚, 信息技术, 谷歌(Google), 俄罗斯对外情报局(SVR), Cytrox, Predator, 漏洞利用, CVE-2021-37973, CVE-2021-38003, CVE-2021-37976, CVE-2021-38000, Chrome, Android, 

谷歌的威胁分析小组(TAG)表示,国家支持的威胁行为者使用五个零日漏洞来安装由商业监控开发商Cytrox开发的Predator间谍软件。在2021年8月至10月之间开始的三次攻击中,攻击者使用针对Chrome和Android操作系统的零日漏洞在完全最新的Android设备上安装Predator间谍软件植入物。根据谷歌的分析,政府支持的恶意行为者购买并利用这些漏洞用间谍软件感染Android目标,他们来自埃及,亚美尼亚,希腊,马达加斯加,科特迪瓦,塞尔维亚,西班牙和印度尼西亚。在攻击活动中涉及的零日漏洞:CVE-2021-37973、CVE-2021-37976、CVE-2021-38000、CVE-2021-38003、CVE-2021-1048。

详情

https://t.co/YmbW9SYdOR

Jupiter插件漏洞使黑客能够劫持网站

日期: 2022-05-19
标签: 信息技术, WordPress, Jupiter, CVE-2022-1654, 

Jupiter 是一个强大且高质量的 WordPress 主题构建器。超过 90,000 家知名博客、在线杂志和拥有大量用户流量的平台使用它。据 WordPress 安全研究人员称,用于 WordPress 内容管理系统的 Jupiter Theme 和 JupiterX Core 插件存在多种漏洞。其中有一个严重的权限提升漏洞,CVE编号为CVE-2022-1654,CVSS 评分为 9.9。此漏洞允许任何经过身份验证的攻击者,包括订阅者或客户级别的攻击者,获得管理权限并完全接管任何运行 Jupiter 主题或 JupiterX Core 插件的站点。CVE-2022-1654 影响 Jupiter Theme 6.10.1 及更早版本(在 6.10.2 中修复)、JupiterX Theme 2.0.6 及更早版本(在 2.0.7 中修复)以及 JupiterX Core Plugin 2.0.7 及更早版本(在 2.0.2 中修复)。

详情

https://t.co/OofXzd7u2w

CISA发布VMware漏洞应急指令

日期: 2022-05-19
标签: 美国, 信息技术, VMware, 美国网络安全和基础设施安全局 (CISA), CVE-2022-22972, CVE-2022-22973, CVE-2022-22960, CVE-2022-22954, 

网络安全和基础设施安全局(CISA)已向所有联邦机构发布了紧急指令,以缓解两个新的VMware漏洞。该指令涉及两个新漏洞 – CVE-2022-22972和CVE-2022-22973 – CISA认为威胁参与者可能会在众多VMware产品中利用这些漏洞。这些是VMware Workspace ONE Access(Access),VMware Identity Manager(vIDM),VMware vRealize Automation(vRA),VMware Cloud Foundation和vRealize Suite Lifecycle Manager。该指令指出:“CISA已确定这些漏洞对联邦民事行政部门(FCEB)机构构成不可接受的风险,需要采取紧急行动。这一决定是基于威胁行为者在野外对CVE-2022-22954和CVE-2022-22960的确认利用,CVE-2022-22972和CVE-2022-22973的未来利用的可能性,受影响的软件在联邦企业中的流行程度以及机构信息系统泄露的高度可能性。

详情

https://t.co/uD67lk5mSW

CISA紧急命令联邦民用机构修补VMware产品中的关键漏洞

日期: 2022-05-18
标签: 美国, 政府部门, 美国网络安全和基础设施安全局 (CISA), VMware, CVE-2022-22954, CVE-2022-22960, 

2022年5月18日,网络安全和基础设施安全局 (CISA)发布了一项紧急指令,命令联邦民事机构修补 VMware 产品中的关键漏洞。CISA表示已确认CVE-2022-22954和CVE-2022-22960由于“未来被利用的可能性”以及“受影响软件在联邦企业中的普遍性,以及机构信息系统受到危害的可能性很大”,已在野外被利用并发布了紧急指令。CISA 在紧急指令中表示,VMware于 4 月 6 日发布了针对这些问题的更新,但黑客设法对更新进行了逆向工程,并开始利用在更新发布后 48 小时内未修补的 VMware 产品。

详情

https://t.co/gI99B3HGjT

NVIDIA修复了Windows GPU显示驱动程序中的十个漏洞

日期: 2022-05-16
标签: 信息技术, 英伟达(NVIDIA), CVE-2022-28181, CVE-2022-28182, CVE-2022-28183, CVE-2022-28184, CVE-2022-28185, CVE-2022-28186, CVE-2022-28187, CVE-2022-28188, CVE-2022-28189, CVE-2022-28190, 

2022年5月16日,NVIDIA 发布了针对各种显卡型号的安全更新,解决了其 GPU 驱动程序中的四个高危漏洞和六个中危漏洞。这些漏洞类型涵盖了拒绝服务、信息泄露、特权提升、代码执行等。安全更新已适用于 Tesla、RTX/Quadro、NVS、Studio 和 GeForce 软件产品,涵盖驱动分支 R450、R470 和 R510。其中,四个高严重性漏洞需要低权限且无需用户交互,因此它们可以被整合到恶意软件中,从而允许攻击者执行具有更高权限的命令。2022年5月17日,发现 CVE-2022-28181 和 CVE-2022-28182 的 Cisco Talos 还发布了一篇文章, 详细介绍了他们如何通过提供格式错误的计算着色器来触发内存损坏漏洞。

详情

https://t.co/0YUVx2JSoe

Zyxel漏洞正在野外被积极利用

日期: 2022-05-17
标签: 法国, 信息技术, 美国国家安全局(NSA), 漏洞利用, CVE-2022-30525, 

研究人员和国家安全局网络安全总监称,一个影响Zyxel防火墙的广泛而关键的漏洞正在被黑客利用。CVE-2022-30525首先由网络安全公司Rapid7发现,受该漏洞影响的防火墙出售给小公司和公司总部。这些工具用于VPN解决方案,SSL检查,Web过滤,入侵防护和电子邮件安全。该漏洞允许攻击者修改特定文件,然后在易受攻击的设备上执行某些操作系统命令。它的CVSS v3得分为9.8 – 表示高严重性 – 并影响支持零接触配置(ZTP)的Zyxel防火墙,其中包括ATP系列,VPN系列和USG FLEX系列。Shadowserver表示,它发现了更多可能易受攻击的系统:至少有20 800个可能受影响的Zyxel防火墙型号(通过唯一IP)可以在互联网上访问。最受欢迎的是USG20-VPN(10K IP)和USG20W-VPN(5.7K IP)。大多数受影响的CVE-2022-30525型号都在欧盟 – 法国(4.5K)和意大利(4.4K)

详情

https://t.co/VUciyBzCZS

BLE漏洞可能被利用来解锁汽车,智能锁,建筑物门,智能手机等

日期: 2022-05-17
标签: 交通运输, 信息技术, 建筑业, 特斯拉(Tesla ), Kwikset, Weiser Kevo, 漏洞利用, 

NCC集团研究人员发现的蓝牙低功耗(BLE)漏洞可能被攻击者用来解锁特斯拉(或其他具有汽车无钥匙进入的汽车),住宅智能锁,建筑门禁系统,手机,笔记本电脑和许多其他设备。受影响的设备包括:特斯拉Model 3(Model Y也可能容易受到攻击)以及Kwikset和Weiser Kevo智能锁。他们能够对其他汽车制造商和科技公司的设备进行攻击,并且可以在网上找到攻击所需的硬件(继电器)。此BLE漏洞无法通过更新固件来修复,但是可以采取一些措施来防止这些攻击。制造商可以通过在用户的手机或钥匙扣静止一段时间(基于加速度计)时禁用接近键功能来降低风险。系统制造商应该为客户提供第二个因素用于身份验证或用户存在证明(例如,点击手机上应用程序中的解锁按钮)的选项。

详情

https://www.helpnetsecurity.com/2022/05/17/ble-vulnerability/

苹果紧急更新:修复了零日漏洞CVE-2022-22675

日期: 2022-05-16
标签: 信息技术, Apple, 漏洞利用, CVE-2022-22675, 

苹果已经发布了安全更新,以解决威胁行为者在针对Mac和Apple Watch设备的攻击中可以利用的零日漏洞。2022年5月16日,在发布的安全公告中,苹果透露,他们知道有报道称这个安全漏洞“可能已被积极利用”。该漏洞是 AppleAVD(音频和视频解码的内核扩展)中的越界写入问题 (CVE-2022-22675),允许应用以内核权限执行任意代码。该错误由匿名研究人员报告,并由Apple在macOS Big Sur 11.6.,watchOS 8.6和tvOS 15.5中修复,并改进了边界检查。受影响的设备列表包括Apple Watch Series 3或更晚版本,运行macOS Big Sur,Apple TV 4K,Apple TV 4K(第2代)和Apple TV HD的Mac。尽管此零日攻击很可能仅用于针对性攻击,但仍建议尽快安装 macOS 和 watchOS 安全更新,以阻止攻击尝试。

详情

https://t.co/Lhfl78LbEB

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

 

0x07   安全分析

围绕俄罗斯入侵乌克兰的信息行动

日期: 2022-05-20
标签: 乌克兰, 俄罗斯, 伊朗, 信息技术, Mandiant, 

最近俄罗斯对乌克兰的侵略阶段,表现为俄罗斯的全面入侵,在信息环境中充斥着各种各样的攻击者所宣扬的虚假信息。在入侵开始两个多月后,Mandiant已经确定了归因于为支持俄罗斯、白俄罗斯和伊朗等民族国家的政治利益而进行的信息行动。包括多年来跟踪的持续攻击活动。本报告分析了这项活动的一部分,突出了Mandiant在应对入侵的工作中观察到的重要信息行动,并介绍了对这些事件的早期分析。

详情

https://www.mandiant.com/resources/information-operations-surrounding-ukraine

分析新APT组织Space Pirates的工具和关联

日期: 2022-05-18
标签: 信息技术, Space Pirates, 

2019年底,PT ESC发现了一封针对俄罗斯航空航天企业的钓鱼邮件。它包含一个链接,指向一个之前未知的恶意软件。在2020年调查俄罗斯政府机构的信息安全事件时发现了同样的恶意软件。在2021年夏天,PT ESC披露了另一家俄罗斯航空航天企业被攻击。通过进一步的研究,确认俄罗斯可能至少还有两个部分国有的组织受到了相同恶意软件和网络基础设施的攻击。PT ESC无法明确地将检测到的恶意活动与任何已知的黑客组织联系起来,所以给攻击者起了一个新名字——Space Pirates。命名的原因是PDB路径中使用的P1Rat字符串,以及以航空航天行业为目标。

详情

https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/space-pirates-tools-and-connections/

filesyncshell.dll劫持?APT-C-24响尾蛇最新攻击活动简报

日期: 2022-05-18
标签: 信息技术, 360, APT-C-24(响尾蛇), 

近期360高级威胁研究院捕获了一起略为特殊的攻击活动事件。该攻击活动由APT-C-24(响尾蛇)组织发起,一改往日的攻击框架,使用了全新的攻击方式和流程。有意思的是,在这次攻击活动中,因为软件版本原因,导致按照正常代码执行逻辑无法正常完成攻击活动,似乎响尾蛇APT组织在代码的测试环境上并未完全与中文环境同步。

详情

https://mp.weixin.qq.com/s/qsGxZIiTsuI7o-_XmiHLHg

Operation Dragon Breath(APT-Q-27):针对博彩行业的降维打击

日期: 2022-05-16
标签: 金融业, Miuuti Group, 

自2015年以来,奇安信威胁情报中心一直在对东亚、东南亚等地区的博彩、诈骗行业保持高强度的跟踪,在2020年发布了《东南亚博彩行业浮世绘,道尽黑产从业百态》对博彩行业的背景和环境做了一个大致的分析,并在随后披露了如金眼狗、金钻狗、金指狗等针对博彩、金融行业的定向攻击活动。这些团伙的目的很简单:通过“黑吃黑”的方式将赌资转移到自己的钱包中,实现财富自由。本文从金眼狗的新活动入手,文末会披露金眼狗团伙所在的Miuuti Group组织。

详情

https://mp.weixin.qq.com/s/_oulmr53ZeMFFsVR1esa9A

 

0x08   其他事件

美国司法部将不再根据 CFAA 起诉善意的安全研究人员

日期: 2022-05-21
标签: 美国, 信息技术, 美国司法部(DoJ), CFAA, 

2022年5月19日,美国司法部宣布修订其关于指控违反《计算机欺诈和滥用法案》(CFAA)的政策,该法案规定善意的安全研究人员将不再受到指控和起诉。善意安全研究是指仅出于善意测试、调查和/或纠正安全漏洞或漏洞的目的访问计算机,而此类活动的执行方式旨在避免对个人或公众造成任何伤害,从活动中获得的信息主要用于促进被访问计算机所属的设备、机器或在线服务类别或使用此类设备、机器或在线服务的人的安全性或安全性。但新政策声称进行安全研究并不是恶意行为者的免费通行证。新政策取代了 2014 年发布的早期政策,并立即生效。

详情

https://t.co/fF5nooAG2Y

即使关机,iPhone也容易受到攻击

日期: 2022-05-22
标签: 美国, 信息技术, 制造业, Apple, iPhone, 

苹果在设备中结合蓝牙、近场通信 (NFC) 和超宽带 (UWB) 等自主无线技术的功能。根据德国达姆施塔特技术大学的一组研究人员的说法,即使 iPhone 关闭,这些功能也可以访问存储敏感信息的 iPhone 安全元件 (SE),使得iPhone成为攻击者的目标。攻击者可以通过入侵获取安全信息,例如用户的信用卡数据、银行详细信息,甚至是设备上的数字车钥匙。问题的主要原因是 iPhone 上无线芯片的低功耗模式 (LPM) 的现有实现。研究人员表示,由于 LPM 支持内置于 iPhone 的硬件中,因此无法通过系统升级删除,并且“对更广泛的 iOS 安全模式产生长期影响”。虽然风险存在,但利用并不简单。黑客仍需要在 iPhone 打开时将恶意软件加载到 iPhone 上,以便在关闭时执行后续执行,这将需要系统级访问或远程代码执行 (RCE)。

详情

https://t.co/C2vgf2Do7W

美国政府发布关于俄罗斯情报机构的研究报告

日期: 2022-05-21
标签: 美国, 俄罗斯, 政府部门, 美国信息安全办公室(Office of Information Security Securiting One HHS), 美国卫生部门安全协调中心(HC3), APT29, APT28(Fancy Bear), Sandworm, Turla(Venomous Bear), 

2022年5月19日,美国信息安全办公室(Office of Information Security Securiting One HHS)和卫生部门安全协调中心(HC3)发布了报告:关于俄罗斯情报机构的主要网络组织。报告中主要包含了对于俄罗斯情报机构的结构和授权的分析,还从隶属、别称、目标行业、TTPs等方面分析了几个主要的俄罗斯黑客组织(Turla、APT29、APT28、Sandworm)。

详情

https://t.co/wJFVCm8WJ1

俄罗斯联邦安全局分包商被指控采购了强大的僵尸网络

日期: 2022-05-20
标签: 俄罗斯, 信息技术, 0day Technologies, 俄罗斯联邦安全局, Meta(原Facebook), Sofacy, Fronton, DDoS, 俄乌战争, 僵尸网络, 

据网络安全公司Nisos称,俄罗斯联邦安全局的分包商被指控创建了一个强大的僵尸网络,该僵尸网络不仅能够发起破坏性的DDoS攻击,还可以操纵社交媒体平台上的趋势话题。该公司解释说,它分析了从0day Technologies窃取的文件,图像和视频,0day Technologies是一家俄罗斯政府承包商,于2020年3月遭到一个名为“数字革命”的黑客组织的攻击。该报告详细解释了0day Technologies与俄罗斯政府和地下犯罪组织的关系,其中包括像Pavel Sitnikov这样的臭名昭着的黑客,他与被称为APT28或Fancy Bear的黑客组织有联系,并于2021年被俄罗斯官员逮捕。

详情

https://t.co/khIZXaG9Ip

加拿大出于安全考虑禁止华为和中兴通讯使用5G网络

日期: 2022-05-20
标签: 美国, 中国, 英国, 澳大利亚, 新西兰, 日本, 欧洲, 德国, 法国, 比利时, 丹麦, 瑞典, 加拿大, 信息技术, 中兴通讯, 华为, 4G, 5G, 

加拿大政府宣布打算禁止在该国的5G和4G网络中使用华为和中兴通讯的电信设备和服务。该声明解释说,经过加拿大独立安全机构的彻底审查,这两家中国科技公司被认为存在太大的安全风险,不允许进入该国的电信网络。由于这一决定,加拿大的电信服务提供商将不再被允许使用两家公司的设备或服务。现有的华为和中兴设备应该从他们的网络中移除。华为和中兴通讯现有的5G设备必须在2024年6月28日之前拆除,而4G设备将在2027年12月31日之前提供。此外,必须在2022年9月1日之前停止从两家公司采购新设备和服务。加拿大的盟友也对华为和中兴通讯的电信设备的安全性表示担忧,他们都在考虑类似的禁令。而美国指责华为和中兴窃取知识产权和研发,电信设备后门,间谍活动以及违反美国对伊朗的制裁。中国公司否认了上述所有情况。然而,他们未能推翻针对他们的政治决定,导致网络基础设施项目的收入突然急剧下降。

详情

https://t.co/QnaERrcYda

Twitter推出新政策,以解决危机期间的错误信息

日期: 2022-05-19
标签: 乌克兰, 俄罗斯, 信息技术, 推特(Twitter), 俄乌战争, 

2022年5月19日,Twitter宣布了新的内容审核政策,以打击与战争,自然灾害和其他危机有关的错误信息。该平台在与埃隆·马斯克(Elon Musk)的有争议的收购协议中宣布了这些变化,媒体经常依赖该平台来获取有关突发新闻事件的详细信息 – 包括在乌克兰战争期间和持续的Covid-19大流行期间。根据该政策,一旦Twitter有证据表明某项声明具有误导性,它将停止在整个平台上放大该声明。它还将“优先添加警告通知”到病毒式推文或来自高知名度帐户的推文,并禁用内容的喜欢,转推和分享。

详情

https://t.co/jzIZhlyUa4

俄乌信息战:亲俄黑客散布虚假信息分裂乌克兰及其盟友

日期: 2022-05-19
标签: 乌克兰, 俄罗斯, 波兰, 政府部门, 信息技术, 居民服务, Ghostwriter, 虚假信息, 俄乌战争, 网络战争, 

随着俄乌战争爆发,大量乌克兰难民涌入波兰,一个亲俄黑客组织Ghostwriter开始散播虚假消息,称犯罪团伙正在等待收获儿童难民的器官。这一续交消息在俄罗斯国家媒体和美国极右翼团体的在线平台中传播,并且相关帖子已在 Telegram 和 Twitter 等网站上被分享了数千次。2022年5月19日,网络安全公司 Mandiant 发布相关的分析报告,该报告详细介绍了其他几项与俄罗斯结盟的虚假信息和宣传活动,包括虚假的在线声称乌克兰总统弗拉基米尔泽连斯基自杀或逃离乌克兰。在某些情况下,这些活动依靠俄罗斯官方媒体或虚假社交媒体账户来传播虚假信息。Mandiant 还发现了与俄罗斯情报有关的团体将其虚假信息伪装成独立新闻的案例。俄罗斯外交官也已成为虚假信息的关键载体。

详情

https://t.co/Tveha9zOXQ

微软总裁:网络空间已成为战争的新领域

日期: 2022-05-19
标签: 乌克兰, 俄罗斯, 英国, 政府部门, 信息技术, 微软(Microsoft), EternalPetya, 俄乌战争, 网络战争, 

2022年5月19日,微软总裁布拉德·史密斯在英国伦敦的Microsoft Envision期间发表讲话时表示,乌克兰的冲突表明,战争已经进入了它的“第四面”——网络空间 。微软威胁情报人员观察到,俄罗斯的网络攻击“非常复杂”,由俄罗斯政府三个不同部门的七个不同部门以非常协调的方式实施。与 2017 年蔓延到全球组织的 NotPetya 攻击不同,这些攻击 是“精确定位的”,旨在渗透一个域并且只影响该域内的计算机。他认为,俄罗斯入侵乌克兰标志着战争方式发生了重大转变。随着战争的继续,俄罗斯使用了网络和动能攻击的组合。例如,3 月初,在几天的时间里,俄罗斯从摧毁核电站的网络到攻击该核电站。这一趋势表明了“快速防御”的重要性。

详情

https://t.co/2aqxDETNSn

Windows 11在Pwn2Own的第一天被黑客入侵

日期: 2022-05-19
标签: 美国, 信息技术, 微软(Microsoft), 特斯拉(Tesla ), Windows 11, Pwn2Own, Ubuntu Desktop, 

在 Pwn2Own Vancouver 2022 竞赛期间,安全研究人员将针对 Web 浏览器、虚拟化、本地权限升级、服务器、企业通信和汽车类别中的产品。2022年5月18日,在 Pwn2Own Vancouver 2022 的第一天,参赛者在成功利用 16 个零日漏洞入侵多个产品(包括微软的 Windows 11 操作系统和 Teams 通信平台)后赢得了 800,000 美元。2022年5月19日,Pwn2Own 的参赛选手将尝试在 Tesla Model 3 信息娱乐系统(带有 Sandbox Escape)和诊断以太网(带有 Root Persistence)、Windows 11 和 Ubuntu Desktop 中利用零日漏洞。在 Pwn2Own 期间演示和披露安全漏洞后,软件和硬件供应商有 90 天的时间为所有报告的漏洞开发和发布安全修复程序。

详情

https://t.co/MpPWAqagL1

微软发布了第一个用于新的Windows 11 Dev版本的ISO映像

日期: 2022-05-18
标签: 信息技术, 微软(Microsoft), 

微软在Dev频道中发布了新的Windows 11 Preview版本的第一个ISO映像,允许Windows Insiders执行操作系统的全新安装。5月18日,微软发布了Windows 11 Insider内部版本25120,并为此版本提供了ISO,Insiders可以使用该ISO来安装操作系统。除了现在可用的ISO之外,微软表示,ARM设备上的Windows 11用户现在可以升级到Windows 11 build 25120,从而允许更大的硬件池开始测试新的Dev版本。微软还在测试通过其Widgets应用程序为Windows Insider的子集显示更多“轻量级交互式内容”。

详情

https://t.co/NQC31t8Mz7

国土安全部在强烈反对下终止虚假信息治理委员会

日期: 2022-05-18
标签: 美国, 政府部门, 美国国土安全部(DHS), 

2022年5月18日,美国国土安全部宣布,正在暂停建立虚假信息治理委员会的计划,其任命的领导人提交了辞呈。2022年四月底,美国国土安全部在国会听证会上首次宣布成立新的虚假信息治理委员会,旨在打击虚假信息。紧接着遭到了埃隆·马斯克 (Elon Musk)、美国共和党等人的反对。虽然终止了此项计划,但国土安全部的一位发言人在公告中表示,该委员会“被严重和故意歪曲了:它绝不是关于审查或以任何方式维持治安的言论。它旨在确保我们履行保护祖国的使命,同时保护核心宪法权利。”

详情

https://t.co/r8OxGQ13mM

西班牙警方捣毁了清空银行账户的网络钓鱼团伙

日期: 2022-05-18
标签: 西班牙, 金融业, 网络钓鱼, 

西班牙警方已宣布逮捕 13 人,并对另外 7 人展开调查,因为他们参与了窃取网上银行凭证的网络钓鱼活动。网络犯罪分子使用网络钓鱼诱饵诱骗受害者相信他们收到了银行的警报并继续窃取他们的帐户凭据。网络犯罪分子可以访问银行账户,利用受害者的钱进行网上购物、直接转账到“钱骡”账户或申请个人贷款。警方称,这些网络犯罪分子至少偷走了来自大约 146 名受害者的 443,600 欧元(466,000 美元)。

详情

https://t.co/pe3SHzaV4M

美国从全球 Kovter 广告欺诈行动中追回 1500 万美元

日期: 2022-05-18
标签: 美国, 瑞士, 金融业, 信息技术, Kovter, 3ve, 

美国政府已经从属于“3ve”在线广告欺诈计划背后的运营商的瑞士银行账户中追回了超过 1500 万美元。2018 年,美国司法部宣布起诉 Aleksandr Zhukov、Boris Timokhin、Mikhail Andreev等人参与 3ve 广告欺诈僵尸网络。虽然 Ovsyannikov、Zhukov 和 Timchenko 已被捕并被判刑,但其余人仍然逍遥法外。3ve 广告欺诈活动(也称为 Eve)在其高峰期用 Kovter 僵尸网络感染了超过 170 万台设备,这是一种点击欺诈恶意软件,在连接到网站以消费广告时会在后台悄悄运行。从 2015 年 12 月到 2018 年 10 月,该行动以欺诈手段向广告商收取了超过 2900 万美元的真实访客从未见过的广告费用。在高峰期,犯罪活动每天产生 3 到 120 亿个广告竞价请求。

详情

https://t.co/vmbNVg5SW4

研究人员揭露了数十亿美元Wizard Spider网络犯罪团伙的内部运作

日期: 2022-05-18
标签: 信息技术, WIZARD SPIDER, Conti, GRIM SPIDER, Cobalt Strike, Wizard Spider, TrickBot, QakBot, BazarBackdoor, BazaCall, 

一个名为巫师蜘蛛的网络犯罪集团的内部运作已经被暴露出来,研究人员揭示了其组织结构和动机。Wizard Spider的大目标是欧洲和美国企业,他们的一些攻击者使用一种特殊的破解工具来破坏高价值目标。Wizard Spider,也被称为Gold Blackburn,据信在俄罗斯境外运营,指的是一个出于经济动机的威胁行为者,它与TrickBot僵尸网络有关,TrickBot僵尸网络是一种模块化恶意软件,今年早些时候正式停产,以支持BazarBackdoor等改进的恶意软件。TrickBot运营商还与Conti广泛合作,Gold Ulrick(又名Grim Spider)是负责分发Conti(以前称为Ryuk)勒索软件的组织,历史上一直利用TrickBot提供的初始访问权限来针对目标网络部署勒索软件。

详情

https://t.co/3YfMyt34gW

朝鲜IT人员冒充美国自由职业者,暗中协助朝鲜政府黑客

日期: 2022-05-17
标签: 朝鲜, 美国, 中国, 日本, 信息技术, 朝鲜民主主义人民共和国 (DPRK), 

美国政府警告说,朝鲜民主主义人民共和国 (DPRK) 正在派遣 IT 员工潜入世界各地的公司中,以获得有时用于促进网络入侵的特权访问。这些IT员工使用各种方法隐藏自己的朝鲜血统,以避免美国和联合国(UN)对支持朝鲜政权的个人和组织实施制裁。他们中的一些人通过提供基础设施访问或协助洗钱和虚拟货币转移来帮助朝鲜的黑客行动。这些人通常位于中国、俄罗斯、非洲和东南亚,帮助出售在朝鲜黑客攻击中被盗的数据。为了进入理想的位置,朝鲜的 IT 工作者经常假装是位于美国、韩国、中国、日本或东欧的远程工作者。使用假身份证件(有时被盗)、伪造签名、每个账户的专用设备和银行服务,是他们逃避侦查、制裁和洗钱活动的一部分。

详情

https://t.co/iLV5PEN0rh

反转:Conti是泄漏2月旧金山数据的幕后黑手

日期: 2022-05-18
标签: 美国, 信息技术, 金融业, 居民服务, AdvIntel, Conti, Lazarus Group, Silent Chollima, BlackByte, Cobalt Strike, Hydra, BianLian, Ryuk, win.nitro, Hive, TrickBot, 

2022 年 2 月 13 日,一个新型勒索软件团伙BlackByte在其地下网站上发布了旧金山 49 人足球队的财务文件。但最近,安全公司AdvIntel的证据指向了一个不同的结论:BlackByte 反而被用作外壳组织处理违约。AdvIntel将 49 人队 2 月份的安全威胁归咎于现已垂死的 Conti 勒索软件组织。BlackByte 是一个勒索软件即服务 (RaaS) 组,它对受感染的 Windows 主机系统(包括物理和虚拟服务器)上的文件进行加密。截至 2021 年 11 月,BlackByte 勒索软件已经危害了多家美国和外国企业,其中包括至少三个美国关键基础设施部门(政府设施、金融和食品与农业)的实体,尽管该组织仍然相对分散。2022 年 2 月,AdvIntel 发现证据表明 BlackByte 是 Conti 的子公司。

详情

https://t.co/d2NkF07uQt

Clearview AI:面部识别的战争

日期: 2022-05-17
标签: 乌克兰, 信息技术, Clearview AI, 俄乌战争, 

详情

https://therecord.media/at-war-with-facial-recognition-clearview-ai-in-ukraine/

研究人员设计了一种新型蓝牙(BLE) 中继攻击

日期: 2022-05-16
标签: 美国, 信息技术, 制造业, NCC Group, 特斯拉(Tesla ), Kevo, 蓝牙(BLE) 中继攻击, 车联网安全, 

NCC 集团的安全研究人员创建了一种新工具,能够发起绕过现有保护和缓解措施的新型蓝牙低功耗 (BLE) 中继攻击。BLE 旨在在与蓝牙提供的通信范围内显着降低功耗和成本,用于汽车、医疗保健、安全、家庭娱乐等领域的广泛应用。只要受信任的 BLE 设备在范围内,BLE 接近身份验证通常用于解锁或保留解锁的产品,例如汽车、智能锁、访问控制系统和笔记本电脑。由于 BLE 接近身份验证容易受到中继攻击,因此引入了各种缓解措施,包括可检测的延迟水平(严格的 GATT 响应时间限制)、加密链路层和本地化技术。新的 NCC Group 工具可以进行在链路层运行的新型中继攻击 ,成功绕过现有的缓解措施。该攻击可以转发加密的链路层 PDU,还可以检测到连接参数的加密变化并进行调整。NCC测试了对特斯拉车辆和Kevo 智能锁的中继攻击,均获成功。

详情

https://t.co/JVZzuQqr8G

2022 年 HTML 附件在网络钓鱼攻击者中仍然很流行

日期: 2022-05-16
标签: 美国, 信息技术, 网络钓鱼, HTML, 

在 2022 年的前四个月,HTML 文件仍然是网络钓鱼攻击中最流行的附件之一,这表明该技术对反垃圾邮件引擎仍然有效,并且对受害者本身也很有效。HTML 文件是专为在 Web 浏览器中进行数字查看而设计的交互式内容文档。在网络钓鱼电子邮件中,HTML 文件通常用于将用户重定向到恶意站点、下载文件,甚至在浏览器中本地显示网络钓鱼表单。由于 HTML 不是恶意的,附件往往不会被电子邮件安全产品检测到,因此可以很好地登陆收件人的收件箱。卡巴斯基的统计数据表明,在恶意电子邮件中使用 HTML 附件的趋势依然强劲,因为该安全公司在今年前四个月检测到 200 万封此类电子邮件针对其客户。

详情

https://t.co/Pa7N7Xagg5

白宫:美国在量子霸权竞赛中击败中国

日期: 2022-05-16
标签: 美国, 中国, 信息技术, 

2022年5月16日,一位负责网络安全的白宫高级官员表示,由于美国科学和工业的协作性质赋予了“巨大的竞争优势”,美国在实现量子霸权方面领先于中国。量子计算是电力史上的一个讨论话题,因为量子计算机可能能够破解加密,包括保护高度敏感的政府数据。专家说,第一个生产功能性量子计算机的国家将在各个领域,特别是在国防和网络安全方面拥有重大战略优势。

详情

https://t.co/e4gLVCFpJZ

ANO“数字平台”推出俄罗斯应用商店NashStore

日期: 2022-05-16
标签: 乌克兰, 俄罗斯, 亚洲, 欧洲, 美洲, 信息技术, ANO, 俄乌战争, 

为应对谷歌将阻止俄罗斯用户访问 Play 商店的情况,ANO“数字平台”开放了对NashStore商店(Google Play的俄罗斯类似物)的公开访问,用于将应用程序下载到智能手机。ANO还为来自亚洲,欧洲和美洲的外国开发人员推出了另类应用商店的注册。这在“数字平台”的新闻服务中向塔斯社报告。目前,NashStore中有超过1000个应用程序可用,包括Stoloto,Banki.ru,Alfa-Bank,RN-Kart(Rosneft加油卡),Rutube,Wink在线影院,PSB-Business,Sbermarket,Sovcombank,Cetelem Bank,Gloria Jeans等。现在在NashStore中还没有一个数字商品的支付系统,它将在不久的将来出现。

详情

https://t.co/CUJyOqKGoO

iPhone上潜在恶意软件的新型攻击方法

日期: 2022-05-16
标签: 信息技术, Apple, 漏洞利用, 

在对iOS Find My功能的首次安全分析中已经发现了一种新的攻击面,可以篡改固件并将恶意软件加载到iPhone“关闭”时执行的蓝牙芯片上。该机制利用了与蓝牙,近场通信(NFC)和超宽带(UWB)相关的无线芯片在iOS进入“动力储备”低功耗模式(LPM)时关闭时继续运行的事实。研究人员称当前的LPM实现“不透明”,不仅有时在断电期间初始化Find My广告时观察到故障,有效地与上述消息相矛盾,他们还发现蓝牙固件既没有签名也没有加密。通过利用漏洞,具有特权访问的攻击者可以创建恶意软件,即使在iPhone蓝牙芯片关闭电源时,该恶意软件也能够在iPhone蓝牙芯片上执行。但是,要使这种固件泄露发生,攻击者必须能够通过操作系统与固件进行通信,修改固件映像,或者通过利用BrakTooth等漏洞在支持LPM的芯片上无线执行代码。调查结果将于本周在ACM无线和移动网络安全与隐私会议(WiSec 2022)上发表。

详情

https://t.co/tBnEiJoHMc

 

0x09   产品侧解决方案

若想了解更多信息或有相关业务需求,可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

 

0x0a   时间线

2022-05-23 360CERT发布安全事件周报

(完)