安全事件周报 (04.18-04.24)

 

0x01   事件导览

本周收录安全热点57项,话题集中在恶意程序网络攻击方面,涉及的组织有:BlackCatAPT37LazarusApple等。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02   事件目录

恶意程序
FBI 警告 BlackCat 勒索软件入侵全球 60 多个组织
APT37的新恶意软件GOLDBACKDOOR
Emotet恶意软件近日重现
Avast发布恶意软件Certishell的分析报告
黑客将“More_Eggs”恶意软件植入招聘简历中
新的隐形BotenaGo恶意软件变种以DVR设备为目标
研究人员称:飞马间谍软件的目标是英国首相
美国警告Lazarus黑客使用恶意加密货币应用程序
非官方的Windows 11升级存在窃取信息的恶意软件
数据安全
福克斯广播公司遭遇数据泄露
黑客组织Anonymous泄露600多名俄罗斯联邦安全局官员的个人资料
网络攻击
勒索团伙Conti攻击哥斯达黎加政府系统
AWS和阿里云遭到加密矿工的攻击
黑客组织Anonymous泄露多个俄罗斯实体电子邮件
Docker服务器在正在进行的加密采矿恶意软件活动中遭到黑客攻击
Gameredon继续攻击乌克兰
网络攻击者袭击太阳翼航空公司
俄罗斯APT组织使用多个新型恶意软件变种攻击乌克兰
哥斯达黎加政府遭受Conti勒索软件攻击
黑客组织GhostSec称攻破俄罗斯地铁系统
Funky Pigeon在网络攻击后暂停订单
BlackCat 勒索病毒攻击厄瓜多尔首都
Beanstalk DeFi平台在flash load攻击中损失1.82亿美元
安全漏洞
美国国土安全部系统中存在122个安全漏洞
Apple的开源音频编解码器出现严重漏洞,影响数百万安卓手机
几个影响智能ICS工业产品的关键漏洞
黑客利用未修补的漏洞窃取RainLoop用户的电子邮件
QNAP 建议用户更新 NAS 固件以修补 Apache HTTP 漏洞
Cisco发布了安全更新,包含三个严重漏洞
联想消费者笔记本电脑中发现高影响UEFI漏洞
安全分析
泄露的聊天显示 LAPSUS$ 窃取了 T-Mobile 源代码
微软 Exchange 服务器被黑以部署 Hive 勒索软件
美国中央情报局(CIA)“蜂巢”恶意代码攻击控制武器平台分析报告
LinkedIn成为网络钓鱼攻击中被模仿最多的品牌
新发现的零点击 iPhone 漏洞用于 NSO 间谍软件攻击
针对PYSA勒索软件的深入分析
针对韩国多个机构的窃密攻击活动的分析
其他事件
西班牙誓言对Pegasus间谍软件的使用进行透明调查
摩托罗拉推出公共安全网络威胁信息共享中心
美国政府拨款1200万美元用于开发网络攻击防御工具
美国医疗公司SuperCare Health因数据泄露而面临诉讼
关于Nokoyawa勒索软件研究分析报告
加泰罗尼亚负责人指责西班牙情报机构进行黑客攻击
美国财政部制裁俄罗斯虚拟货币采矿巨头BitRiver
朝鲜通过网络活动资助核计划
两党法案将为能源部门网络研究创建赠款计划
ICS漏洞在2022年迈阿密Pwn2Own上为黑客赚取40万美元-
美国盟国称新的情报显示俄罗斯将发动网络攻击
MetaMask警告苹果用户警惕iCloud网络钓鱼攻击
CISA 通过与工业控制系统合作伙伴扩展网络防御计划
Okta结束对一月份黑客组织LAPSUS$攻击事件的调查,称影响很小
30多个国家参加北约“锁定盾牌2022”网络演习
美国政府加强警告,以防御俄罗斯网络攻击
实时语音隐藏算法阻止麦克风间谍活动
卡巴斯基发布“阎罗王”勒索软件的解密程序
美国政府发布恶意程序TraderTraiter的警报
T-Mobile用户成为新的Smishing活动的目标

 

0x03   恶意程序

FBI 警告 BlackCat 勒索软件入侵全球 60 多个组织

日期: 2022-04-24
标签: 美国, 信息技术, 美国联邦调查局 (FBI), BlackCat, 

美国联邦调查局 (FBI) 对 BlackCat 勒索软件即服务 (RaaS) 发出警报,称自去年 11 月出现以来,截至 2022 年 3 月,全球至少有 60 个实体受害。BlackCat 勒索软件也称为 ALPHV 和Noberus,是第一个以 Rust 编程语言编写的恶意软件。BlackCat/ALPHV 的许多开发人员和洗钱者都与 DarkSide / BlackMatter 有关联,这表明他们拥有广泛的网络和勒索软件操作经验。BlackCat勒索软件通常利用受损的用户凭据来获得对目标系统的初始访问权限。FBI 敦促组织审查域控制器、服务器、工作站和活动目录中是否有新的或无法识别的用户帐户,进行离线备份,实施网络分段,应用软件更新,并通过多因素身份验证保护帐户。

详情

https://t.co/TV1TgCvmiZ

APT37的新恶意软件GOLDBACKDOOR

日期: 2022-04-24
标签: 韩国, 朝鲜, 文化传播, 韩国国家情报局(NIS), APT37, GOLDBACKDOOR, 

2022年3月18日,NK News与Stairwell威胁研究团队共享了多个恶意文件,这些文件来自一场针对专门研究朝鲜问题的记者的网络钓鱼活动。这些信息是从韩国国家情报局(NIS)前局长的个人电子邮件中发送的。其中一个是名为GOLDBACKDOOR的新恶意软件样本。Stairwell以中高等的置信度将GOLDBACKDOOR归因于APT37,它是BLUELIGHT恶意软件的继承者或与BLUELIGHT一起使用,因为两个恶意软件家族之间有技术重叠以及冒充关注朝鲜的韩国新闻网站Daily NK。

详情

https://stairwell.com/wp-content/uploads/2022/04/Stairwell-threat-report-The-ink-stained-trail-of-GOLDBACKDOOR.pdf

Emotet恶意软件近日重现

日期: 2022-04-24
标签: 美国, 法国, 意大利, 波兰, 俄罗斯, 西班牙, 信息技术, 政府部门, Emotet, 

Emotet 恶意软件在被有效关闭一年多后再次强势回归。卡巴斯基称,一场迅速加速且复杂的垃圾邮件活动正在用欺诈性电子邮件吸引目标,这些欺诈性电子邮件旨在诱骗受害者拆包和安装 Emotet 或 Qbot 恶意软件,这些恶意软件可以窃取数据、在受感染的公司网络上收集信息并横向移动通过网络在联网计算机上安装勒索软件或其他木马。2022年2月,卡巴斯基发现了 3,000 封与 Emotet 相关的恶意电子邮件,3月又发现了 30,000 封,语言包括英语、法语、意大利语、波兰语、俄语和西班牙语。Emotet恶意软件在4月威胁或感染了全球多达 10% 的组织,是2月份的两倍。

详情

https://t.co/8iaqjdbjR6

Avast发布恶意软件Certishell的分析报告

日期: 2022-04-21
标签: 斯诺伐克, 捷克, Avast, Certishell, 

2022年4月21日,安全厂商Avast 发布了一份关于恶意软件 Certishell 的技术报告。Certishell是一种专门针对捷克和斯洛伐克用户的恶意软件。该恶意软件从Avast用户群中的注册表项启动 powershell 代码的恶意任务,通过歌曲和电影的非法副本以及游戏和常用工具托管在捷克和斯洛伐克最流行的文件共享服务uloz.to之上。

详情

https://t.co/G5MLlLlax8

黑客将“More_Eggs”恶意软件植入招聘简历中

日期: 2022-04-21
标签: 加拿大, 美国, 英国, 交通运输, 商务服务, More_Eggs, Golden Chickens, Venom Spider, 社会工程, 律师, 人力资源, 会计, 

eSentire的研究和报告负责人Keegan Keplinger在一份声明中表示:“今年,more_eggs运营部门已经翻转了社会工程脚本,针对的是带有虚假简历的招聘经理,而不是针对具有虚假工作机会的求职者”。这家加拿大网络安全公司表示,它发现并破坏了四起独立的安全事件,其中三起发生在三月底。目标实体包括一家总部位于美国的航空航天公司、一家位于英国的会计企业、一家律师事务所和一家位于加拿大以外的人力资源机构。该恶意软件被怀疑是名为Golden Chickens(又名Venom Spider)的威胁参与者的手笔,是一种隐蔽的模块化后门套件,能够窃取有价值的信息并在受感染的网络中进行横向移动。

详情

https://t.co/DvmdqFle4m

新的隐形BotenaGo恶意软件变种以DVR设备为目标

日期: 2022-04-19
标签: 信息技术, Lilin DVR, BotenaGo, Lillin BotenaGo, 摄像头, 

BotenaGo是一种相对较新的恶意软件,用谷歌的开源编程语言Golang编写。

Nozomi Networks Labs的研究人员最近发现了BotenaGo的一个新变体,它似乎来自泄露的源代码。他们分析的样本针对Lilin安全摄像头DVR设备,这促使研究人员将其命名为“Lillin扫描仪”。

Lillin BotenaGo变体最显着的特征是,VirusTotal扫描平台上的防病毒引擎无法检测到它。其中一个原因是,它的作者已经删除了原始BotenaGo中存在的所有漏洞,并且只专注于使用两年前的关键远程代码执行缺陷来针对Lilin DVR。

详情

https://t.co/lcjr6fyOLT

研究人员称:飞马间谍软件的目标是英国首相

日期: 2022-04-19
标签: 政府部门, 国际组织, WhatsApp, Apple, Pegasus(飞马间谍软件), 

研究人员透露,在过去两年中,一种与多个国家支持的活动有关的臭名昭着的间谍软件变体被用来针对英国首相办公室。

近年来,加拿大非营利组织公民实验室(Citizen Lab)一直积极参与跟踪以色列NSO集团生产的Pegasus间谍软件的使用情况。

该公司正在被WhatsApp和苹果起诉,此前科技巨头的客户成为秘密恶意软件的目标。它也被用来破坏九名美国国务院官员的iPhone,它出现在去年年底。

2022年4月18日,公民实验室透露,在发现“英国官方网络内出现多个疑似Pegasus间谍软件感染事件”后,它也被迫在2020年和2021年通知英国政府。

详情

https://t.co/rmmuNWz2on

美国警告Lazarus黑客使用恶意加密货币应用程序

日期: 2022-04-18
标签: 美国, 金融业, 美国网络安全和基础设施安全局 (CISA), 美国联邦调查局 (FBI), 美国财政部, Lazarus, 社会工程, 

2022年4月18日,CISA,联邦调查局和美国财政部警告说,朝鲜Lazarus黑客组织正在针对加密货币和区块链行业的组织提供特洛伊木马化的加密货币应用程序。

攻击者使用社交工程来诱骗加密货币公司的员工下载和运行恶意的Windows和macOS加密货币应用程序。

然后,Lazarus运营商使用这些特洛伊木马工具访问目标的计算机,在整个网络中传播恶意软件,并窃取私钥,从而发起欺诈性区块链交易并从钱包中窃取受害者的加密资产。

详情

https://t.co/bc825qNFsV

非官方的Windows 11升级存在窃取信息的恶意软件

日期: 2022-04-18
标签: 信息技术, 微软(Microsoft), 网络钓鱼, Windows 11, 

黑客正在通过伪造的Windows 11升级来吸引毫无戒心的用户,该升级带有窃取浏览器数据和加密货币钱包的恶意软件。

该活动目前处于活跃状态,信息窃取者通过依靠中毒搜索结果来推送模仿微软Windows 11促销页面的网站。

Microsoft为用户提供了一个升级工具,用于检查其计算机是否支持该公司的最新操作系统(OS)。一个要求是对受信任的平台模块 (TPM) 版本 2.0 的支持,该版本存在于不超过四年的计算机上。黑客正在掠夺那些跳到安装Windows 11的用户,而没有花时间了解操作系统需要满足某些规范。

详情

https://t.co/XUzycUBkyr

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 各主机安装EDR产品,及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

 

0x04   数据安全

福克斯广播公司遭遇数据泄露

日期: 2022-04-18
标签: 美国, 文化传播, 福克斯, 

2022年4月17日,由研究人员发现了一个开放且不受密码保护的数据库,其中包含 12,976,279 条记录。数据集的总大小为 58 GB,包含内容管理数据,包括员工 PII。经过进一步研究,几乎所有记录都包含指示 FOX 内容、存储信息、内部 FOX 电子邮件、用户名、员工 ID 号、附属电台信息等的信息。FOX 安全团队迅速采取行动,关闭了对不安全和公开暴露的数据库的访问。目前尚不清楚这些记录暴露了多长时间,或者还有谁可能访问了数据集。

详情

https://t.co/PXCvpQTYqX

黑客组织Anonymous泄露600多名俄罗斯联邦安全局官员的个人资料

日期: 2022-04-19
标签: 乌克兰, 俄罗斯, 政府部门, 俄罗斯联邦安全局, 乌克兰国防部主要情报局, Anonymous(匿名者), 俄乌战争, 

2022年4月19日,黑客组织Anonymous泄露了600多名俄罗斯联邦安全局官员在莫斯科的个人资料。这些信息包括姓名、出生日期、注册地址、护照号码、债务、机票、SIM卡等。黑客组织Anonymous还讲这些信息发布在了乌克兰国防部主要情报局的政府网站上。

详情

https://t.co/atXmuWWkjw

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施

 

0x05   网络攻击

勒索团伙Conti攻击哥斯达黎加政府系统

日期: 2022-04-23
标签: 哥斯达黎加, 信息技术, 政府部门, 金融业, Conti, 

近一周的勒索软件攻击导致哥斯达黎加政府计算机系统瘫痪,该国表示拒绝支付赎金。哥斯达黎加的财政部、社会保障机构的人力资源系统、劳工部以及其他政府机构都遭到攻击。Conti声称对这次袭击负责,但哥斯达黎加政府尚未证实其来源。2022年4月22日,勒索团伙Conti表示,它已经公布了 50% 的被盗数据,包括来自财政部和其他机构数据库的超过 850 GB 的材料。Conti目前正在追求双重勒索:加密政府文件以冻结机构的运作能力,并在没有赎金的情况下将被盗文件发布到该组织在暗网上的勒索网站获取资金。

详情

https://t.co/nF506SWczJ

AWS和阿里云遭到加密矿工的攻击

日期: 2022-04-24
标签: 金融业, 思科(Cisco), 阿里云, 亚马逊(Amazon ), TeamTNT脚本, 

一位英特尔消息人士最近向思科 Talos 提供了 TeamTNT 网络犯罪团队受感染的 shell 脚本的修改版本,趋势科技记录了该脚本的早期版本。恶意软件创建者在得知安全专家已经披露了其脚本的先前版本后修改了这些工具。这些脚本主要用于 Amazon Web Services (AWS),但它们也可能在本地、容器或其他 Linux 实例中使用。除了主要的凭据窃取脚本之外,还有多个TeamTNT有效负载专注于比特币挖掘,持久性和横向移动,这些策略采用的策略包括识别和安装本地网络中的所有Kubernetes pod。还包括一个包含分发系统服务器的用户凭据的脚本和另一个具有 API 密钥的脚本,该密钥可能允许远程访问 tmate 共享登录会话。旨在击败阿里云安全技术的防御规避功能包含在一些TeamTNT脚本中。

详情

https://t.co/pTVigi2Fvc

黑客组织Anonymous泄露多个俄罗斯实体电子邮件

日期: 2022-04-23
标签: 俄罗斯, 乌克兰, 信息技术, 能源业, 建筑业, 房地产, Enerpred, Accent Capital, Worldwide Invest, Anonymous(匿名者), 俄乌战争, 数据泄露, 

2022年4月23日,黑客组织Anonymous泄露了来自Enerpred的645000封电子邮件(432 GB),Enerpred是俄罗斯和独联体最大的液压工具生产商,专注于能源、石化、煤炭、天然气和建筑行业。2022年4月21日,黑客组织Anonymous泄露了来自俄罗斯房地产投资公司 Accent Capital 的 365.000 封电子邮件(211 GB)。同日,泄露了Worldwide Invest 的 250,000 封电子邮件(130 GB),这是一家与爱沙尼亚和俄罗斯铁路有联系的投资公司。

详情

https://t.co/5rsCB2uRiR

Docker服务器在正在进行的加密采矿恶意软件活动中遭到黑客攻击

日期: 2022-04-21
标签: 信息技术, 微软(Microsoft), Docker, Lemon_Duck, 

Linux服务器上的Docker API正成为Lemon_Duck僵尸网络运营商大规模门罗币加密挖掘活动的目标。加密采矿团伙对安全性差或配置错误的Docker系统构成了持续的威胁,近年来报道了多次大规模剥削活动。特别是LemonDuck,它以前专注于利用易受攻击的Microsoft Exchange服务器,在此之前,它通过SSH暴力攻击针对Linux机器,Windows系统容易受到SMBGhost的攻击,以及运行Redis和Hadoop实例的服务器。根据2022年4月21日发布的Crowdstrike报告,正在进行的Lemon_Duck活动背后的威胁行为者正在将他们的钱包隐藏在代理池中。

详情

https://t.co/zzITtArDKH

Gameredon继续攻击乌克兰

日期: 2022-04-21
标签: 政府部门, 信息技术, Shuckworm, Gameredon, Backdoor.Pterodo, 俄乌战争, 

与俄罗斯有关的Shuckworm间谍组织(又名Gameredon)正在继续对乌克兰的组织发起网络攻击。自2014年首次出现以来,Shuckworm专注于攻击乌克兰。自俄罗斯入侵该国以来,这些攻击有增无减。该组织最近活动的特点之一是在目标计算机上部署多个恶意软件有效载荷,通常是同一恶意软件(Backdoor.Pterodo)的不同变种,旨在执行类似的任务,并且都将与不同的命令和控制服务器进行通信。

详情

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/shuckworm-intense-campaign-ukraine

网络攻击者袭击太阳翼航空公司

日期: 2022-04-20
标签: 加拿大, 交通运输, Sunwing Airlines, 漏洞利用, 航空公司, 

据首席执行官称,加拿大低成本航空公司Sunwing Airlines Inc的数千名乘客在航空公司使用的第三方系统遭到黑客攻击后,面临四天的航班延误。由于4月17日下午开始的技术问题,乘客仍然滞留在国外,其他人的假期被推迟。在接受CP24采访时,Sunwing Airlines首席执行官Mark Williams透露,该航空公司用于办理登机手续和登机的系统被“破坏”。

详情

https://t.co/51LbOrmMu5

俄罗斯APT组织使用多个新型恶意软件变种攻击乌克兰

日期: 2022-04-20
标签: 乌克兰, 俄罗斯, 信息技术, 政府部门, Gamaredon, Pteredo, 俄乌战争, 

俄罗斯国家支持的威胁组织 Gamaredon(又名 Armageddon/Shuckworm)正在使用恶意软件Pteredo的多个新型变体对乌克兰的目标发起攻击。Gamaredon自 2014 年以来, 一直在发起针对乌克兰政府和其他关键实体的网络间谍活动。Gamaredon目前正在使用至少四种“Pteredo”恶意软件变种。这些针对乌克兰目标部署的不同变种最近都执行了类似的任务,但每个都与不同的命令和控制服务器 (C2) 服务器地址进行通信。这表明Gamaredon正在使用多个略有不同的恶意软件变种来抵抗恶意软件清理操作,保持后门持久性。

详情

https://t.co/4xSElxJWPX

哥斯达黎加政府遭受Conti勒索软件攻击

日期: 2022-04-19
标签: 政府部门, 教育行业, 哥斯达黎加政府, Conti, 

2022年4月19日哥斯达黎加证实,财政部的计算机系统在前一天对官方平台进行网络攻击后仍处于禁用状态。该部在一份声明中表示,当局在网络攻击后暂时禁用了被认为易受攻击的平台,并补充说专家正在努力识别和解决问题。截至19日,税务和海关平台已暂停供外部用户使用。教育部和最高选举法院的内部财务系统和薪金服务也被暂停。

详情

https://t.co/tUxAZRuTOT

黑客组织GhostSec称攻破俄罗斯地铁系统

日期: 2022-04-20
标签: 俄罗斯, 乌克兰, 交通运输, 政府部门, Metrospetstekhnika, Anonymous(匿名者), GhostSec, 俄乌战争, 

2022年4月20日,黑客组织Anonymous的分支GhostSec黑客组织称,他们已经访问了Metrospetstekhnika的一个IT系统,Metrospetstekhnika是俄罗斯地铁的供应商。他们现在可能会扰乱系统,泄露公司数据。并且附上了几张疑似是地铁系统内部的图片。

详情

https://t.co/Te6gIPIbwl

Funky Pigeon在网络攻击后暂停订单

日期: 2022-04-19
标签: 批发零售, Funky Pigeon, 

礼品卡零售商Funky Pigeon经历了网络攻击,导致该公司暂时暂停订单。

WHSmith拥有的Funky Pigeon透露,作为预防措施,它已经将其系统脱机,以防止其履行客户订单。该公司的网站目前传达的信息是:“哎呀!我们遇到了一些问题,目前无法接受新订单。请稍后再试!”

该零售商表示,它已将这一事件通知了监管机构和执法部门,目前正在外部网络安全专家的帮助下进行调查。它向客户保证,没有支付数据存在风险,并且不认为任何帐户密码受到损害。

详情

https://t.co/zLuZ8No9uL

BlackCat 勒索病毒攻击厄瓜多尔首都

日期: 2022-04-18
标签: 厄瓜多尔, 政府部门, Cabildo, BlackCat, 勒索攻击, 

2022年4月18日,厄瓜多尔首都基多市报告说, 其技术基础设施遭到BlackCat 勒索病毒的攻击 ,此次攻击旨在使所有信息和技术基础设施不可用。Cabildo中央管理机构数据库的 20% 内容受到影响。网络攻击的记录时间在2022 年 4 月 16 日星期六凌晨。其政府制定的恢复计划需要几天时间,以防止其他感染了来自BlackCat 勒索病毒的计算机继续通过网络传播。此次攻击的目的是绑架信息以索取金钱。但其政府官员表示目前尚未收到所谓黑客的任何通信。

详情

https://t.co/Ryo4AhEfop

Beanstalk DeFi平台在flash load攻击中损失1.82亿美元

日期: 2022-04-18
标签: 乌克兰, 金融业, Beanstalk, Beanstalk DeFi, 俄乌战争, 

金融系统Beanstalk透露,它在2022年4月17日遭受了flash load攻击,导致1.82亿美元的经济损失,攻击者窃取了8000万美元的加密资产。由于这次攻击,对Beanstalk市场的信任受到了损害,其分散的基于信用的BEAN稳定币的价值已经从周日的略高于1美元暴跌至现在的0.11美元。该平台仍在调查这一事件,并公开致电DeFi社区和区块链分析专家,以帮助他们挽救力所能及的。同时,它还邀请剥削者进行谈判。PeckShield区块链分析报告称,黑客已向乌克兰捐赠了25万美元的被盗金额。

详情

https://t.co/dIcDQQrvAP

相关安全建议

1. 积极开展外网渗透测试工作,提前发现系统问题

2. 减少外网资源和不相关的业务,降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

6. 注重内部员工安全培训

 

0x06   安全漏洞

美国国土安全部系统中存在122个安全漏洞

日期: 2022-04-22
标签: 美国, 政府部门, 美国国土安全部(DHS), 安全漏洞, 

2022年4月22日,美国国土安全部(DHS)表示参加其“黑客国土安全部”漏洞赏金计划的漏洞赏金猎人在外部国土安全部系统中发现了122个安全漏洞,其中27个被评为严重性。国土安全部向450多名经过审查的安全研究人员和道德黑客颁发了总计125600美元的奖励,根据漏洞的严重程度,每个漏洞的奖励高达5000美元。

详情

https://t.co/sZP79hDZk2

Apple的开源音频编解码器出现严重漏洞,影响数百万安卓手机

日期: 2022-04-22
标签: 美国, 信息技术, 制造业, Apple, 谷歌(Google), 高通, 联发科, CVE-2021-0675, CVE-2021-0674, CVE-2021-30351, Android, 

Apple 开发的开源音频编解码器ALAC受到严重漏洞的影响,牵连数百万台 Android 设备。这些漏洞被称为ALHACK,可以使用特制的音频文件触发,并可能导致远程代码执行。Apple 于 2004 年推出了 Apple Lossless Audio Codec (ALAC),并在2011年将 ALAC 开源。如今,开源 ALAC 代码已被许多其他供应商用于非 Apple 设备中。虽然Apple 一直在不断改进编解码器的专有版本,但开源代码在过去 11 年中从未更新过,使用该代码的第三方供应商也没有更新代码确保其安全。目前至少有两家主要的移动芯片组制造商——高通和联发科——已将其用于音频解码器。大约三分之二的 Android 用户的隐私处于危险之中。

详情

https://t.co/GallF9QoI5

几个影响智能ICS工业产品的关键漏洞

日期: 2022-04-22
标签: 俄罗斯, 美国, 信息技术, 制造业, Elcomplus, 

研究人员Michael Heinzl在俄罗斯公司Elcomplus的SmartPTT SCADA产品中发现了九个漏洞,该产品将SCADA / IIoT系统的功能与专业无线电系统的调度软件相结合。此外,SmartICS(一家专门从事SCADA和工业物联网可视化平台的Elcomplus部门)制造的产品似乎也受到一些漏洞的影响,因为它们共享代码。受影响的产品被包括美国在内的90个国家的2000多个组织使用

详情

https://t.co/EDclVsT9nk

黑客利用未修补的漏洞窃取RainLoop用户的电子邮件

日期: 2022-04-22
标签: 信息技术, RainLoop, CVE-2022-29360, XSS漏洞, 

RainLoop是许多组织使用的基于Web的开源电子邮件客户端。Sonar报告说,使用Shodan搜索引擎识别了数千个暴露在互联网上的实例。Sonar的研究人员发现,RainLoop 1.16.0 (这是该应用程序的最新版本,大约在一年前发布) 受到存储的跨站点脚本(XSS)漏洞(CVE-2022-29360)的影响,该漏洞可以针对默认配置进行利用。攻击者可以通过简单地向 RainLoop 用户发送经特殊设计的电子邮件来利用此漏洞。一旦受害者打开恶意电子邮件,就会在浏览器中执行隐藏的JavaScript有效负载,而无需其他用户交互。

详情

https://t.co/gm8S3uJGOz

QNAP 建议用户更新 NAS 固件以修补 Apache HTTP 漏洞

日期: 2022-04-22
标签: 中国台湾, 信息技术, QNAP, CVE-2022-23943, CVE-2022-22721, CVE-2022-22719, CVE-2022-22720, 漏洞修复, 

2022年4月22日,网络附加存储(NAS)设备制造商QNAP表示它正在调查其阵容,以了解上个月在Apache HTTP服务器中解决的两个安全漏洞所产生的潜在影响。严重缺陷(跟踪为 CVE-2022-22721 和 CVE-2022-23943)在 CVSS 评分系统上的严重性评级为 9.8,并影响 Apache HTTP 服务器版本 2.4.52 及更早版本 –

• CVE-2022-22721 – 缓冲区可能溢出,限制XMLRequestBody非常大或无限

• CVE-2022-23943 – Apache HTTP Server mod_sed中的越界写入漏洞

这两个漏洞以及 CVE-2022-22719 和 CVE-2022-22720 均由项目维护人员作为版本 2.4.53 的一部分进行了修复,该版本于 2022 年 3 月 14 日发布。

详情

https://t.co/VtHJ7C3EDf

Cisco发布了安全更新,包含三个严重漏洞

日期: 2022-04-21
标签: 信息技术, 思科(Cisco), CVE-2022-20783, CVE-2022-20773, CVE-2022-20732, 

网络设备制造商思科已发布安全更新,以解决其产品中的3个高严重性漏洞,这些漏洞可能被利用来导致拒绝服务 (DoS) 条件并控制受影响的系统。这三个漏洞分别是:CVE-2022-20783(CVSS 分数:7.5)、CVE-2022-20773(CVSS 评分:7.5)和CVE-2022-20732(CVSS 评分:7.8)。这三个漏洞分别影响Cisco TelePresence 协作终端 (CE) 软件和 Cisco RoomOS 软件、 Cisco Umbrella 虚拟设备 (VA) 和Cisco Virtualized Infrastructure Manager思科还解决了其产品组合中的10 个中等严重性错误,包括 Webex Meeting、统一通信产品、Umbrella Secure Web Gateway 和 IOS XR 软件。

详情

https://t.co/kb09IxZYV1

联想消费者笔记本电脑中发现高影响UEFI漏洞

日期: 2022-04-19
标签: 信息技术, 制造业, 联想, CVE-2021-3970, CVE-2021-3971, CVE-2021-3972, 

ESET 研究人员在各种联想笔记本电脑型号中发现三个漏洞,允许具有管理员权限的攻击者将用户暴露于固件级恶意软件。这三个漏洞分别是:SMM 任意读/写漏洞 CVE-2021-3970 、禁用 SPI 闪存保护漏洞 CVE-2021-3971、禁用 UEFI 安全启动漏洞CVE-2021-3972。CVE-2021-3971、CVE-2021-3972–影响原本打算仅在联想消费类笔记本电脑制造过程中使用的 UEFI 固件驱动程序。但它们也被错误地包含在生产 BIOS 映像中,而没有正确停用。攻击者可以激活这些受影响的固件驱动程序,以在操作系统运行时从特权用户模式进程直接禁用 SPI 闪存保护(BIOS 控制寄存器位和受保护范围寄存器)或 UEFI 安全启动功能。这意味着利用这些漏洞将允许攻击者在受影响的设备上部署并成功执行 SPI 闪存或 ESP 植入程序。

详情

https://t.co/5H0VLPet7i

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

 

0x07   安全分析

泄露的聊天显示 LAPSUS$ 窃取了 T-Mobile 源代码

日期: 2022-04-22
标签: 英国, 德国, 信息技术, T-Mobile, LAPSUS$, SIM 交换攻击, 

KrebsOnSecurity 最近审查了LAPSUS$网络犯罪组织成员之间的私人聊天消息副本。日志显示 LAPSUS$在2022年3月份多次入侵德国电信品牌T-Mobile,窃取了一系列公司项目的源代码。T-Mobile 表示,此次入侵中没有客户或政府信息被盗。LAPSUS$ 成员不断针对T-Mobile员工,他们访问公司内部工具来为SIM 交换攻击打下基础。这些未经授权的SIM 交换攻击允许攻击者拦截目标的短信和电话,包括通过 SMS 发送的用于密码重置的任何链接,或为多因素身份验证发送的一次性代码。

详情

https://t.co/92eHjDlPKw

微软 Exchange 服务器被黑以部署 Hive 勒索软件

日期: 2022-04-20
标签: 信息技术, 微软(Microsoft), Hive, CVE-2021-34473, CVE-2021-34523, CVE-2021-31297, ProxyShell, 

近日,Varonis的安全研究人员在受委托调查一名客户的勒索软件攻击事件时,发现了Hive 勒索软件团伙利用ProxyShell,黑掉了Microsoft Exchange 服务器。在利用 ProxyShell 之后,黑客在可访问的 Exchange 目录中植入了四个 Web Shell,并以高权限执行 PowerShell 代码以下载 Cobalt Strike stagers。在所有文件都被泄露后,一个名为“Windows.exe”的勒索软件有效负载被删除并在多个设备上执行。在加密组织的文件之前,Golang 有效负载删除了卷影副本,禁用了 Windows Defender,清除了 Windows 事件日志,终止了文件绑定进程,并停止了安全帐户管理器以使警报失效。此次事件表明,对于黑客来说,ProxyShell漏洞仍有利用空间,来攻击易受攻击的服务器。

详情

https://t.co/pCBSrmevHp

美国中央情报局(CIA)“蜂巢”恶意代码攻击控制武器平台分析报告

日期: 2022-04-20
标签: 美国, 政府部门, 国际组织, 信息技术, 国家计算机病毒应急处理中心, 美国中央情报局(CIA), Hive, 网络武器, 

近日,国家计算机病毒应急处理中心对“蜂巢”(Hive)恶意代码攻击控制武器平台(以下简称“蜂巢平台”)进行了分析,蜂巢平台由美国中央情报局(CIA)数字创新中心(DDI)下属的信息作战中心工程开发组(EDG,以下简称“美中情局工程开发组”)和美国著名军工企业诺斯罗普·格鲁曼(NOC)旗下XETRON公司联合研发,由美国中央情报局(CIA)专用。蜂巢平台属于“轻量化”的网络武器,其战术目的是在目标网络中建立隐蔽立足点,秘密定向投放恶意代码程序,利用该平台对多种恶意代码程序进行后台控制,为后续持续投送“重型”武器网络攻击创造条件。美国中央情报局(CIA)运用该武器平台根据攻击目标特征定制适配多种操作系统的恶意代码程序,对受害单位信息系统的边界路由器和内部主机实施攻击入侵,植入各类木马、后门,实现远程控制,对全球范围内的信息系统实施无差别网络攻击。

详情

https://www.cverc.org.cn/head/zhaiyao/news20220419-hive.htm

LinkedIn成为网络钓鱼攻击中被模仿最多的品牌

日期: 2022-04-19
标签: 美国, 信息技术, 文化传播, LinkedIn, 网络钓鱼, 

根据网络安全公司CPR的最新研究,LinkedIn 已成为迄今为止网络钓鱼攻击中被模仿最多的品牌。在“大辞职”期间,冒充 LinkedIn 的电子邮件网络钓鱼攻击激增了 232%。调查结果反映了社会工程诈骗从航运公司和科技巨头转向社交媒体网络的新兴趋势。2022 年第一季度,社交网络是最具针对性的类别,其次是航运。继 LinkedIn 之后,在网络钓鱼攻击中最常被冒充的品牌是 DHL (14%)、谷歌 (7%)、微软 (6%)、联邦快递 (6%)、WhatsApp (4%)、亚马逊 (2%)、马士基 ( 1%)、速卖通(0.8%)和苹果(0.8%)。

详情

https://t.co/KwQPgIrWuf

新发现的零点击 iPhone 漏洞用于 NSO 间谍软件攻击

日期: 2022-04-18
标签: 西班牙, 美国, 英国, 芬兰, 欧洲, 政府部门, Apple, NSO Group, HOMAGE, iOS, iPhone, 

2022年4月18日,Citizen Lab的安全研究员发现了一种新的零点击 iMessage 漏洞利用,用于在属于加泰罗尼亚政治家、记者和活动家的 iPhone 上安装 NSO Group 间谍软件。这个iOS零点击漏洞名为HOMAGE,会影响 iOS 13.2 之前的部分版本(最新的稳定 iOS 版本为 15.4)。间谍软件秘密地渗透到手机(和其他设备)中,能够阅读文本、听电话、收集密码、跟踪位置、访问目标设备的麦克风和摄像头,以及从应用程序中获取信息,还可以监控加密的通话和聊天,甚至可以在感染结束后保持对受害者云帐户的访问。Citizen Lab 并未最终将这些黑客行动归咎于特定政府,但一系列间接证据表明与西班牙政府内的一个或多个实体存在密切联系 。此外NSO Group 的间谍软件也针对欧盟委员会、英国政府、芬兰外交官、美国国务院。

详情

https://t.co/RcH9zscRvT

针对PYSA勒索软件的深入分析

日期: 2022-04-18
标签: 美国, 欧洲, 政府部门, 教育行业, 卫生行业, PYSA, Mespinoza, 

研究人员对PYSA勒索软件操作进行了为期18个月的分析显示,网络犯罪卡特尔从2020年8月开始遵循五个阶段的软件开发周期,恶意软件作者优先考虑功能以提高其工作流程的效率。这包括一个用户友好的工具,如全文搜索引擎,以方便提取元数据,并使威胁行为者能够快速找到和访问受害者信息。PYSA是Mespinoza勒索软件的继任者,于2019年12月首次被观察到,并已成为2021年第四季度检测到的第三大最普遍的勒索软件。

详情

https://t.co/UrruyA5Yfm

针对韩国多个机构的窃密攻击活动的分析

日期: 2022-04-18
标签: 韩国, 制造业, LokiBot, 

安天CERT监测到一起目标为韩国奖学金基金会、重工企业等多个机构的窃密攻击活动。攻击者利用钓鱼邮件的方式投递恶意载荷,主题为“请求基础产业报价”的报价单,以此诱导受害者解压并执行压缩包中的LokiBot窃密木马,导致用户的隐私和信息泄露。LokiBot窃密木马执行后,会自动收集受害者的浏览器数据、电子邮件、远程连接凭据等数据并回传至攻击者服务器,造成受害者数据泄露。LokiBot还支持接收C2命令、执行下载其他恶意代码等功能,对受害者数据产生更多威胁。

详情

https://mp.weixin.qq.com/s/lnCAGb_lMTzRL-CwnOzVCg

 

0x08   其他事件

西班牙誓言对Pegasus间谍软件的使用进行透明调查

日期: 2022-04-24
标签: 西班牙, 加拿大, 以色列, 政府部门, Pegasus(飞马间谍软件), 飞马间谍软件, 

西班牙当局承诺对Pegasus间谍软件的使用进行透明调查,他们开始调查指控数十名加泰罗尼亚独立支持者的手机被黑客入侵,这些间谍软件只出售给政府机构。2022年4月24日,总统和与议会关系部长费利克斯·博拉尼奥斯宣布:该国情报机构的内部调查,一个分享其结果的特别议会委员会,以及西班牙监察员的单独调查将被安排,以表明马德里的中央当局“没有什么可隐瞒的”。

详情

https://t.co/tKZDQ8GGCo

摩托罗拉推出公共安全网络威胁信息共享中心

日期: 2022-04-23
标签: 美国, 信息技术, 政府部门, 摩托罗拉, 

近日,摩托罗拉宣布成立公共安全威胁联盟(PSTA),这是一个公共安全社区的网络威胁情报共享中心。摩托罗拉将公共安全威胁联盟 (PSTA) 描述为一个信息共享和分析组织 (ISAO),并指出它得到了美国网络安全和基础设施安全局 (CISA) 的认可。PSTA 对所有公共安全机构开放,它的作用是帮助成员共享和分析来自多个来源的信息,以改善公共安全组织的网络安全态势。它旨在帮助各机构提高防御能力和复原力。信息来源多种多样,包括执法、EMS、移动通信系统、商业安全产品和 ISAO 合作伙伴等。这些信息用于创建更多情报,包括报告、API、威胁列表、暗网情报、SOC 情报和 MDR 数据。

详情

https://t.co/67INqdnAWM

美国政府拨款1200万美元用于开发网络攻击防御工具

日期: 2022-04-22
标签: 美国, 能源业, 政府部门, 信息技术, 美国能源部 (DoE), 技术创新, 

2022年4月22日,美国能源部 (DOE) 宣布将向六个大学团队提供 1200 万美元的资金,用于开发防御和缓解工具,以保护美国能源输送系统免受网络攻击。这些网络安全工具将专注于检测、阻止和减轻破坏美国电网内关键控制的企图,推进异常检测、人工智能和机器学习以及基于物理的分析,以加强下一代能源系统的安全性。这些由美国政府资助的研发项目背后的团队还将致力于创新技术,使能源输送系统能够在网络攻击后快速生存和恢复。

详情

https://t.co/LSvmrE6VQj

美国医疗公司SuperCare Health因数据泄露而面临诉讼

日期: 2022-04-22
标签: 美国, 卫生行业, SuperCare Health, 

2021 年7月27日,美国呼吸保健提供商SuperCare Health 在其系统上发现了未经授权的活动。2022 年2月4日,SuperCare Health发现数据泄漏,泄露的数据可能包括姓名、地址、出生日期、医院或医疗组、患者帐号、病历编号、健康保险信息等。2022年3月下旬,SuperCare Health 才开始通知患者数据安全事件。该事件 已向 美国卫生与公众服务部的民权侵犯门户办公室报告,影响了 318,379 人。随后,针对 SuperCare Health 的投诉被提交到美国加利福尼亚中区地方法院。投诉称,SuperCare Health违反了《加利福尼亚州医疗信息保密法》和《加利福尼亚州不公平竞争法》,并且未能采取充分和合理的措施来保护其数据系统免受网络攻击。

详情

https://t.co/Q46lg4kH9F

关于Nokoyawa勒索软件研究分析报告

日期: 2022-04-21
标签: 信息技术, SentinelLabs, Nokoyawa, Nemty, Karma, Hive, 勒索软件, 研究报告, 

2022年2月初,SentinelLabs观察到了两个名为“Nokoyawa”的新Nemty变体的样本。SentinelLabs认为Nokoyawa是之前的Nemty菌株Karma的进化。3月份,TrendMicro表示这种勒索软件与Hive有一定关系。SentinelLabs评估Hive和Nokoyawa是不同的,后者不是Hive RaaS的品牌重塑。

在这篇文章中,将更广泛地研究Nokoyawa和Karma勒索软件之间的相似之处。之前的研究人员强调了Nokoyawa和Hive勒索软件之间攻击链的相似之处,得出的结论是“Nokoyawa可能与Hive有关,因为这两个家族在攻击链中有着一些惊人的相似之处,从使用的工具到它们执行各种步骤的顺序。现在的分析发现与之前结论矛盾,研究人员评估Nokoyawa显然是Karma(Nemty)的进化,与Hive没有重大的代码相似之处。

详情

https://t.co/CyJLrmFUoj

加泰罗尼亚负责人指责西班牙情报机构进行黑客攻击

日期: 2022-04-21
标签: 西班牙, 加泰罗尼亚, 政府部门, Pegasus(飞马间谍软件), 间谍软件, 

加泰罗尼亚地区政府负责人指责西班牙情报机构对其东北地区的独立运动进行了大规模政治间谍活动,并表示因此与西班牙国家当局的关系“搁置”。名为 Pegasus 的 NSO 间谍软件恶意程序悄悄地渗透手机以获取其数据,并有可能将它们变成其所有者的间谍设备。至少有 65 人成为 Pegasus 或类似间谍软件的目标,这些间谍软件仅出售给政府机构以针对犯罪分子和恐怖分子。西班牙政府没有否认也没有证实它是否使用了 Pegasus 或其他难以检测的间谍软件。

详情

https://t.co/MzjA1MnM1p

美国财政部制裁俄罗斯虚拟货币采矿巨头BitRiver

日期: 2022-04-21
标签: 美国, 俄罗斯, 乌克兰, 瑞士, 能源业, 金融业, 美国财政部外国资产控制办公室(OFAC), BitRiver, 制裁, 

美国财政部外国资产控制办公室(OFAC)本周对几家俄罗斯组织实施了制裁,其中包括在俄罗斯虚拟货币采矿业运营的多家公司。制裁针对矿业公司BitRiver,该公司成立于2017年,在俄罗斯设有三个办事处。OFAC对一家控制BitRiver资产的瑞士控股公司以及该公司在俄罗斯的其他10家子公司实施了制裁。OFAC的行动将阻止BitRiver从美国获得采矿硬件或其他设备。

详情

https://t.co/1bNRgdYyEP

朝鲜通过网络活动资助核计划

日期: 2022-04-20
标签: 美国, 朝鲜, 政府部门, 文化传播, 信息技术, 美国联邦调查局 (FBI), 

2022年4月20日,一位联合国朝鲜问题专家表示,朝鲜正在通过网络活动资助其被禁止的核计划和导弹计划。联合国目前正在对朝鲜实施最严厉的制裁。 尽管出现这种情况,朝鲜还是加快了导弹试验。联合国成员认为网络活动已经成为朝鲜逃避联合国制裁为其核计划和导弹计划筹集资金的“绝对基础”。例如,朝鲜黑客最近 盗窃 了与视频游戏 Axie Infinity 相关的价值 6.18 亿美元的加密货币;美国联邦调查局上周 将 3 月 23 日发生的大规模网络抢劫与朝鲜网络犯罪团伙 Lazarus 联系起来。联邦调查局表示,它将继续揭露和打击朝鲜利用包括网络犯罪和加密货币盗窃在内的非法活动。

详情

https://t.co/uSPkki8ols

两党法案将为能源部门网络研究创建赠款计划

日期: 2022-04-21
标签: 政府部门, 立法, 

2022年4月21日,两党众议院二人组提出了一项立法,旨在加强能源部门应对未来网络攻击和其他数字威胁的能力。Deborah Ross(D-N.C)和Mike Carey(R-Ohio)的能源网络安全大学领导计划法案将在能源部内创建一个赠款计划,为研究生和博士后研究人员提供经济援助网络安全和能源基础设施。该措施还将允许研究人员在美国能源部的国家实验室学习,并促进与历史上黑人学院和大学以及其他少数族裔服务机构的联系。

详情

https://t.co/wjvXvfQW9P

ICS漏洞在2022年迈阿密Pwn2Own上为黑客赚取40万美元-

日期: 2022-04-21
标签: 美国, 信息技术, ZDI, Pwn2Own, ICS, 

Pwn2Own Miami 2022 是一场专注于工业控制系统 (ICS) 的黑客竞赛,于2022年4月19日至4月21日与 S4x22 ICS 安全会议同时举行,参赛者的总奖金为 400,000 美元。本次比赛由趋势科技的零日倡议 (ZDI) 组织,11 名参赛者针对 ICS 和 SCADA 产品进行了 26 次零日攻击(以及几次错误冲突),获得了 40万美元的收入。此次比赛针对多个生产类别:控制服务器、OPC 统一架构 (OPC UA) 服务器、数据网关和人机界面 (HMI)。在 Pwn2Own 期间利用的安全漏洞被报告后,供应商有 120 天的时间发布补丁。

详情

https://t.co/3p6kqRO6c2

美国盟国称新的情报显示俄罗斯将发动网络攻击

日期: 2022-04-20
标签: 美国, 英国, 加拿大, 澳大利亚, 新西兰, 乌克兰, 俄罗斯, 政府部门, 国际组织, DDoS, 俄乌战争, 

2022年4月20日,包括美国在内的五个盟国警告说,“不断发展的情报”表明俄罗斯准备对支持乌克兰的竞争对手发动强大的网络攻击。“五眼”情报共享网络的成员 – 美国,英国,加拿大,澳大利亚和新西兰 – 表示,莫斯科也可能涉及现有的网络犯罪集团对政府,机构和企业发动攻击。警报称,俄罗斯国家赞助的网络行为者有能力破坏IT网络,从中窃取大量数据同时保持隐藏状态,部署破坏性恶意软件,并通过“分布式拒绝服务”攻击锁定网络。该警报确定了十几个黑客组织,这些组织既是俄罗斯情报和军事机构的一部分,也是私人运营的,它们构成了威胁。

详情

https://t.co/vN1wpJnFzb

MetaMask警告苹果用户警惕iCloud网络钓鱼攻击

日期: 2022-04-20
标签: 美国, 信息技术, Apple, MetaMask, 网络钓鱼, iCloud, 比特币, 

Metamask 是一个在线加密钱包,允许用户存储他们的加密资产,如比特币、以太坊等,以及不可替代的代币 (NFT)。近日,MetaMask 警告其社区可能通过 Apple 的 iCloud 服务进行网络钓鱼攻击。早在2022年4月17日,MetaMask就警告其客户,如果在应用程序上启用了 iCloud 备份选项,他们帐户的加密密码(称为 MetaMask 保险库)将被上传到苹果的云服务。因此,利用客户 iCloud 帐户的网络钓鱼帐户也将危及他们的密码,从而危及他们的加密钱包。而此前,一位名为“revive_dom”的苹果用户在 Twitter 上声称从他的 MetaMask 加密钱包中丢失了价值 65 万美元的加密资产。

详情

https://t.co/8CcAVJokUp

CISA 通过与工业控制系统合作伙伴扩展网络防御计划

日期: 2022-04-20
标签: 信息技术, 美国网络安全和基础设施安全局 (CISA), 联合网络防御合作组织(JCDC), Bechtel, Claroty, Dragos, Honeywell, Nozomi Networks, Schneider Electric, Siemens, Xylem, Schweitzer Engineering Laboratories, 网络防御, 

2022年4月20日,网络安全和基础设施安全局(CISA)主任Jen Easterly宣布扩大联合网络防御合作组织(JCDC),以纳入包括安全供应商,集成商和分销商在内的行业领导者。加入JCDC-ICS计划的广泛公司名单包括Bechtel,Claroty,Dragos,GE,Honeywell,Nozomi Networks,Schneider Electric,Schweitzer Engineering Laboratories,Siemens和Xylem等巨头。

详情

https://t.co/uyBeGnUHxN

Okta结束对一月份黑客组织LAPSUS$攻击事件的调查,称影响很小

日期: 2022-04-19
标签: 信息技术, Sitel, Okta, LAPSUS$, 

2022年4月19日,身份和访问管理提供商 Okta 表示,对 1 月份 Lapsus$ 攻击事件的调查得出结论,该事件的影响远小于预期。这起攻击事件发生在2022年1月21日,当时 LAPSUS$ 黑客组织未经授权远程访问了 Sitel 支持工程师的工作站。但直到近两个月后,当对手在他们的 Telegram 频道上发布Okta 内部系统的屏幕截图时,此次事件才被发现。此次调查结果表明,Lapsus$ 黑客组织的攻击仅持续了 25 分钟,只有 2 名客户受到影响。攻击者无法成功执行任何配置更改、MFA 或密码重置,也无法直接对任何 Okta 帐户进行身份验证。Okta 因其延迟披露和对事件的处理而受到批评,它表示已终止与 Sitel 的关系,并正在对其客户支持工具进行更改。

详情

https://t.co/MzDxEo2vY6

30多个国家参加北约“锁定盾牌2022”网络演习

日期: 2022-04-19
标签: 国际组织, 政府部门, 北约合作网络防御卓越中心(CCDCOE), 锁定盾牌, 

2022年4月19日,北约合作网络防御卓越中心(CCDCOE)启动了第十三期“锁定盾牌”,这是其年度实弹网络防御演习。

《锁定盾牌》在爱沙尼亚首都塔林举行,将持续到4月22日。来自32个国家的2000多名参与者,这项复杂的国际网络演习旨在促进国家,行业以及公共和私人组织之间的合作与协调,以准备应对国家赞助的网络攻击。今年的活动将涉及大约5500个虚拟化系统,这些系统将面临8000多个网络攻击。

详情

https://t.co/2aGrISqKiF

美国政府加强警告,以防御俄罗斯网络攻击

日期: 2022-04-19
标签: 俄罗斯, 美国, 乌克兰, 政府部门, 金融业, 能源业, 美国司法部(DoJ), 美国网络安全和基础设施安全局 (CISA), 俄乌战争, 

近日,随着俄乌冲突的加剧,美国高级官员加强了俄罗斯对美国关键国家基础设施 (CNI) 进行网络攻击的警告。美国司法部 (DoJ)和 美国网络安全与基础设施安全局 (CISA)正在采取应对可能的俄罗斯网络攻击的准备。其政府官员表示,发现俄罗斯APT组织正在探索机会,寻找美国系统在关键基础设施和企业方面的弱点,关键基础设施应该假设它们将成为目标并做好相应准备。由于美国及其盟国对俄罗斯实施经济制裁,美国的能源和金融部门很可能成为俄罗斯网络犯罪分子的目标。

详情

https://t.co/TqXvJJwrvD

实时语音隐藏算法阻止麦克风间谍活动

日期: 2022-04-19
标签: 教育行业, 哥伦比亚大学, 间谍活动, 

哥伦比亚大学的研究人员开发了一种新颖的算法,可以通过智能手机,语音助手和一般连接设备中的麦克风阻止流氓音频窃听。

该算法可以预测性地工作。它推断用户接下来要说什么,并实时生成阻塞性可听见的背景噪音(耳语)以掩盖声音。

这项研究和语音窃听干扰系统的发展证明了系统性监管在无限制地收集数据以进行有针对性的营销方面存在失败。

详情

https://t.co/N5hjQLd6A7

卡巴斯基发布“阎罗王”勒索软件的解密程序

日期: 2022-04-18
标签: 信息技术, 卡巴斯基(Kaspersky), Yanluowang(阎罗王), 勒索软件, 

2022年4月18日,卡巴斯基透露,它发现了Yanluowang 勒索软件加密算法中的一个漏洞,接着发布了针对这个勒索软件的解密工具Rannoh。Yanluowang 勒索软件于 2021 年 10 月首次被发现,已被用于针对企业实体的人为、高度针对性的攻击。一旦部署在受感染的网络上,Yanluowang 就会停止管理程序虚拟机,结束所有进程,并对附加 .yanluowang 扩展名的文件进行加密。Yanluowang 勒索软件的漏洞允许通过已知明文攻击解密受影响用户的文件。这种勒索软件使用不同的方法对大于 3GB 和小于 3GB 的文件进行加密:较大的文件在每 200MB 后以 5MB 的条带部分加密,而较小的文件则从头到尾完全加密。如果原始文件大于 3 GB,则可以这个解密工具可以解密受感染系统上无论大小的所有文件。但如果原始文件小于 3 GB,则只能解密小文件。

详情

https://t.co/7gBBf2NZSK

美国政府发布恶意程序TraderTraiter的警报

日期: 2022-04-18
标签: 美国, 朝鲜, 政府部门, 金融业, 美国联邦调查局 (FBI), 美国网络安全和基础设施安全局 (CISA), Lazarus Group, TraderTraiter, 

2022年4月18日,美国联邦调查局 (FBI)、网络安全和基础设施安全局 (CISA) 和美国财政部 (Treasury)联合发布了关于TraderTraiter的警报,称TraderTraiter是朝鲜APT组织Lazarus Group使用的一系列恶意电子应用程序。TraderTraitor 一词描述了一系列使用跨平台 JavaScript 代码和使用 Electron 框架的 Node.js 运行时环境编写的恶意应用程序。恶意应用程序源自各种开源项目,声称是加密货币交易或价格预测工具。

详情

https://t.co/yHlAEpIFky

T-Mobile用户成为新的Smishing活动的目标

日期: 2022-04-18
标签: 新泽西州, 信息技术, T-Mobile, 新泽西州网络安全与通信集成小组(NJCCIC), 网络钓鱼, 

威胁行为者正在针对T-Mobile客户进行持续的诈骗活动,通过使用SMS(短消息服务)组消息发送的不可阻止的文本进行恶意链接。新泽西州网络安全与通信集成小组(NJCCIC)针对这一新的SMS网络钓鱼活动发出警告。

详情

https://t.co/99LbqmjMCq

 

0x09   产品侧解决方案

若想了解更多信息或有相关业务需求,可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

 

0x0a   时间线

2022-04-25 360CERT发布安全事件周报

(完)