安全事件周报 (06.06-06.12)

 

0x01   事件导览

本周收录安全热点48项,话题集中在恶意程序网络攻击方面,涉及的组织有:Lycaeum APTEntegaPHOSPHORUSLAZARUS等。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02   事件目录

恶意程序
Hello XD勒索软件在加密时丢弃了后门
新型恶意软件 Symbiote 感染 Linux 系统上所有正在运行的进程
Emotet 恶意软件现在可以窃取 Google Chrome 用户的信用卡
新型恶意软件SVCReady从Word文档属性加载
QBot 现推动 Black Basta 勒索软件进行机器人攻击
数据安全
数以千计的摩拜单车用户的护照和身份证在网上曝光
200万的个人数据在马萨诸塞州医疗保健集团的网络攻击中被泄露
美国在线枪支商店遭黑客攻击,被盗取信用卡
网络攻击
德国能源供应商Entega遭受网络攻击
黑客组织Anonymous泄漏俄罗斯IT公司数据
加密货币矿工利用了新的Confluence远程代码执行漏洞
伊朗Lycaeum APT组织利用新的DNS后门攻击能源行业
俄罗斯升级对西方的威胁以应对网络攻击
Vice Society勒索软件声称袭击意大利城市巴勒莫
大规模的Facebook Messenger网络钓鱼活动
APT组织 SideWinder 已经植入了一个虚假的 Android VPN 程序
俄罗斯互联网广播电台遭受攻击
PHOSPHORUS攻击美国的一家基础设施和建筑公司
近期LAZARUS持续针对加密货币行业展开攻击活动
Mandiant:“没有证据”我们被LockBit勒索软件黑客入侵
意大利巴勒莫市关闭所有系统以抵御网络攻击
匿名黑客泄露1TB俄罗斯顶级律师事务所数据
安全漏洞
Linux 僵尸网络利用关键的 Atlassian Confluence 漏洞
Google 发布 Android 安全公告,修补严重漏洞
0patch发布针对Follina的微软诊断工具“DogWalk”
攻击者利用地下黑客论坛剥夺iPhone的激活锁
Windows 零日漏洞在美国地方政府网络钓鱼攻击中被利用
嵌入式设备U-Boot Bootloader中发现未修补的严重漏洞
安全分析
WIRTE组织近期针对中东地区的攻击活动分析
分析伊朗APT组织MuddyWater的PowGoop变种
LuoYu组织攻击活动分析
其他事件
PyPI 包 ‘keep’ 错误地包含了一个密码窃取器
欺诈者利用“合成身份欺诈”实施金融犯罪
新Emotet变体从Google Chrome中捕获用户信用卡数据
Carrier的工业门禁系统存在严重漏洞
新的PACMAN硬件攻击目标是装有Apple M1 CPU的Mac电脑
暗网出售的枪支武器据称被送往乌克兰
英国第一台计算机加入量子军备竞赛
医疗保健最有可能支付勒索攻击的赎金
Prometheus勒索软件的漏洞促使研究人员尝试构建万能解密工具
Chromium安全隐患:能直接从内存中提取明文凭据
美国政府命令旅游公司多年来监视俄罗斯黑客,每周报告其下落
乌克兰军事志愿者“数据库”
网络安全人才的需求激增40%以上
Surfshark,ExpressVPN因数据保留法而退出印度
联邦调查局关闭了美国公民个人数据的暗网市场
俄罗斯黑客组织Evil Corp改变勒索软件策略以逃避美国制裁
苹果在 2021 年阻止了 160 万个有风险、易受攻击的应用程序

 

0x03   恶意程序

Hello XD勒索软件在加密时丢弃了后门

日期: 2022-06-12
标签: 信息技术, Hello XD, Babuk, 双重勒索, 

网络安全研究人员报告说,Hello XD勒索软件的活动有所增加,其运营商现在正在部署具有更强大加密功能的升级样本。该特定家族于2021年11月首次观察到,基于Babuk泄露的源代码,并参与了少量双重勒索攻击,其中威胁行为者在加密设备之前窃取了公司数据。根据Palo Alto Networks Unit 42的一份新报告,该恶意软件的作者创建了一个新的加密器,该加密器具有自定义包装,用于检测避免和加密算法更改。这标志着与Babuk代码的重大背离,并强调了作者打算开发一种新的勒索软件菌株,该勒索软件应变具有独特的功能和特性,以增加攻击。

详情

https://t.co/nWXNwsyp2m

新型恶意软件 Symbiote 感染 Linux 系统上所有正在运行的进程

日期: 2022-06-09
标签: 金融业, Symbiote, 

一种名为Symbiote的新型Linux恶意软件会感染受感染系统上所有正在运行的进程,窃取帐户凭据,并为其操作员提供后门访问权限。Symbiote恶意软件的目标主要是拉丁美洲从事金融行业的实体,冒充巴西银行、该国联邦警察等。Symbiote在将自身注入所有正在运行的进程后,恶意软件充当系统范围的寄生虫,即使在细致的深入检查期间也不会留下可识别的感染迹象。Symbiote 使用 BPF(伯克利包过滤器)挂钩功能来嗅探网络数据包并隐藏自己的通信通道以防止安全工具。Symbiote 不是典型的可执行文件形式,而是一个共享对象 (SO) 库,它使用 LD_PRELOAD 指令加载到正在运行的进程中,以获得相对于其他 SO 的优先级。Symbiote 还通过 PAM 服务为其操作员提供对机器的远程 SHH 访问,同时它还为威胁参与者提供了一种在系统上获得 root 权限的方法。

详情

https://t.co/ME3oZtPrYP

Emotet 恶意软件现在可以窃取 Google Chrome 用户的信用卡

日期: 2022-06-08
标签: 信息技术, 谷歌(Google), TA542(Mummy Spider), Emotet, Chrome, 

2022年6月6日,安全公司Proofpoint观察到一个新的Emotet 模块被 E4 僵尸网络丢弃。这是一个仅针对 Chrome 浏览器的信用卡窃取程序,旨在获取存储在 Google Chrome 用户配置文件中的信用卡信息。在窃取信用卡信息(即姓名、到期月份和年份、卡号)后,恶意软件会将其发送到不同于 Emotet 卡窃取模块使用的命令和控制 (C2) 服务器。Emotet恶意软件于2014年作为银行木马开发并部署在攻击中。它已演变成 TA542 威胁组织(又名Mummy Spider)用来传递第二阶段有效载荷的僵尸网络。它还允许其运营商窃取用户数据,对被破坏的网络进行侦察,并横向移动到易受攻击的设备。

详情

https://t.co/NW2VIuEvW3

新型恶意软件SVCReady从Word文档属性加载

日期: 2022-06-07
标签: 信息技术, 微软(Microsoft), SVCReady, Word, 

在网络钓鱼攻击中发现了一个名为 SVCReady 的新型恶意软件加载程序,它以一种不寻常的方式将恶意软件从 Word 文档加载到受感染的计算机上。SVCReady使用 VBA 宏代码来执行存储在作为电子邮件附件到达目标的文档属性中的 shellcode。根据惠普的一份新报告,该恶意软件自 2022 年 4 月以来一直在部署,开发人员在 2022 年 5 月发布了多次更新。这表明SVCReady目前正在大力开发,可能仍处于早期阶段。但SVCReady已经支持信息泄露、持久性、反分析功能和加密的 C2 通信。

详情

https://t.co/2MJ7pf7zaE

QBot 现推动 Black Basta 勒索软件进行机器人攻击

日期: 2022-06-06
标签: 信息技术, Black Basta, PwndLocker, QakBot, Bashlite, FriedEx, DoppelPaymer, Cobalt Strike, 

Black Basta 勒索软件团伙与 QBot 恶意软件行动合作,以获得对企业环境的初始访问权限。QBot (QuakBot) 是一种 Windows 恶意软件,可窃取银行凭据、Windows 域凭据,并在受感染设备上提供更多恶意软件负载。QBot已经与其他勒索软件团伙进行了多次合作,包括 MegaCortex、  ProLock、DoppelPaymer 和 Egregor。Black Basta 是一个相对较新的勒索软件操作,它在相对较短的时间内破坏了许多公司,同时要求支付大量赎金。勒索软件团伙通常使用 QBot 进行初始访问,而Black Basta 团伙会使用QBot 在整个网络中横向传播。特洛伊木马具有复杂 多样的攻击途径,每一种都有自己的检测机会,但它们都始于恶意电子邮件。因此,建议避免打开附件或点击嵌入式链接。

详情

https://t.co/iNZDqVPpyB

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 各主机安装EDR产品,及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

 

0x04   数据安全

数以千计的摩拜单车用户的护照和身份证在网上曝光

日期: 2022-06-08
标签: 中国, 交通运输, 摩拜(Mobike), 美团, 亚马逊(Amazon ), 身份证, 护照, 

安全研究员鲍勃·迪亚琴科(Bob Diachenko)于2月11日在亚马逊托管的未受保护的存储桶中发现了共享单车服务摩拜单车用户上传的超过120,000本护照,驾驶执照和身份证件数据,并将详细信息传递给TechCrunch,以确保数据的安全。这个桶的名字表明它属于摩拜单车,摩拜单车是一家曾经在中国成立的有前途的共享单车运营商,于2018年被美团收购。目前任何知道这个存储桶名的人都可以从他们的网络浏览器中浏览可追溯到2017年的护照和身份证件,数据每天都在增长。存储桶存储了用户在使用摩拜单车之前必须上传的身份证件。该存储桶还包含 94,000 张客户自拍照和 49,000 个用于用户身份验证的客户签名。目前还不知道桶暴露了多长时间,甚至不知道桶的内容是如何公开的。由于 Amazon 的存储桶在默认情况下是私有的,因此控制存储桶的人员必须更改其权限以允许公共访问。

详情

https://t.co/lDRd2eFGC9

200万的个人数据在马萨诸塞州医疗保健集团的网络攻击中被泄露

日期: 2022-06-07
标签: 马萨诸塞州, 美国, 卫生行业, Shields Health Care Group, 

在对希尔兹医疗保健集团(Shields Health Care Group)的网络攻击中,访问了200万人的敏感信息,希尔兹医疗保健集团是一家总部位于马萨诸塞州的医疗保健组织,为数十家医院和其他医疗机构提供服务。该公司的IT团队表示,它于3月28日发现了这一漏洞,但指出它“在3月18日或前后发现并调查了安全警报”。当时,数据盗窃尚未得到证实。该公司表示,黑客可以访问包含全名,社会安全号码,出生日期,家庭住址,提供商信息,诊断,账单信息,保险号和信息,医疗记录号码,患者ID以及其他医疗或治疗信息的数据库。联邦执法机构被告知了这一事件,州监管机构也将被告知这一点。该事件已报告给美国卫生与公众服务部民权办公室。

详情

https://t.co/vBgu4IlOF0

美国在线枪支商店遭黑客攻击,被盗取信用卡

日期: 2022-06-07
标签: 美国, 批发零售, Rainier Arms, Numrich Gun Parts, 

2022年6月7日,两家经营电子商务网站的美国枪支商店 Rainier Arms 和 Numrich Gun Parts 披露了由于其网站上的刷卡机感染导致的数据泄露。信用卡浏览器是嵌入在网站上或通过看似无害的元素(例如 favicon )从远程资源中获取的恶意 JavaScript 代码。他们的目的是窃取在订单结账页面上输入的付款信息。经过调查,Ranier Arms公司于 2022 年 4 月 21 日在其网站上找到了恶意盗卡代码,并确定其在 2021 年 6 月 1 日至 2022 年 1 月 19 日期间积极收集付款细节。Numrich Gun Parts Corporation在2022 年 1 月 23 日至 2022 年 4 月 5 日期间在该网站上输入的支付信息被不知名的行为者窃取,受影响的客户数量为 45,169 人。枪支所有权本身就是一个敏感话题,因此识别大量枪支购买可能会使客户成为正在寻找有价值藏匿处的犯罪分子的目标。

详情

https://t.co/7A0fQNmHaP

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施

 

0x05   网络攻击

德国能源供应商Entega遭受网络攻击

日期: 2022-06-12
标签: 德国, 能源业, Entega, 关键基础设施, 

2022年6月12日,总部位于达姆施塔特的德国能源供应商Entega在推特上发文表示于 6月11日至12日晚受到网络袭击,并表示关键基础设施和客户数据不受影响。网站和员工电子邮件帐户当前不可用,在努力采取对策。

详情

https://t.co/nyUgMmJrWL

黑客组织Anonymous泄漏俄罗斯IT公司数据

日期: 2022-06-12
标签: 俄罗斯, 信息技术, NPO VS/НПОВС, Anonymous(匿名者), 俄乌战争, 

2022年6月12日,黑客组织Anonymous发布了100多万封来自NPO VS/НПОВС的电子邮件(759 GB),这是一家专门从事数据自动化和安全,包括处理和保护国家机密的俄罗斯IT公司,NPO VS 的客户包括俄罗斯内政部和国防部。

详情

https://t.co/n3SQQTRhl3

加密货币矿工利用了新的Confluence远程代码执行漏洞

日期: 2022-06-11
标签: 信息技术, Atlassian, 漏洞利用, CVE-2022-26134, 加密货币, 矿工, Confluence, 

影响 Confluence Server 和数据中心产品的 CVE-2022-26134 漏洞在2022年5月底被发现,是一个被广泛利用的0day漏洞,Atlassian于 2022 年 6 月 3 日发布了补丁。目前,针对 CVE-2022-26134 漏洞的几个概念验证 (PoC) 漏洞利用已经公开。在 RCE 披露之后,Check Point Research (CPR) 研究人员观察到了大量的利用尝试,攻击中使用的一些恶意有效负载被用作一个名为“ 8220 gang”通过进行批量网络扫描以发现易受攻击的 Windows 和 Linux 端点来种植矿工。矿工是使用主机可用计算能力为威胁参与者挖掘门罗币等加密货币的专用程序。服务器性能下降、硬件磨损增加、运营成本增加,甚至业务中断都是这一行动的直接后果。多个感染链用于针对 Linux 和 Windows 操作系统。攻击从一个特制的 HTTP 请求开始,该请求利用 CVE-2022-26134 并在 Linux 和 Windows 平台上转储 base64 编码的有效负载。有效载荷然后下载一个可执行文件、一个 Linux 恶意软件注入脚本和一个 Windows 子进程生成器。这两种情况都尝试设置重启持久性,然后在激活矿工之前删除所有当前设备。攻击者可以通过利用此类漏洞直接访问高价值系统,此外,由于缺乏必要的监控或记录功能,这些系统可能难以调查。

详情

https://t.co/uOBNGjHkG6

伊朗Lycaeum APT组织利用新的DNS后门攻击能源行业

日期: 2022-06-10
标签: 伊朗, 中东, 能源业, Lycaeum APT, DnsSystem.exe, DNS隧道后门, DNS劫持, .NET, APT舆情, 

伊朗Lycaeum APT黑客组织使用新的基于.NET的DNS后门,用于对能源和电信行业的公司进行攻击。Lyceum是国家支持的APT,也称为Hexane或Spilrin,以前曾使用DNS隧道后门瞄准中东的通信服务提供商。Zscaler最近的一项分析提出了一种新的DNS后门,该后门基于 DIG.net 开源工具,可以执行“DNS劫持”攻击,执行命令,丢弃更多有效负载并泄露数据。

DNS 劫持是一种重定向攻击,它依赖于 DNS 查询操作,将尝试访问合法站点的用户带到威胁参与者控制下的服务器上托管的恶意克隆。

详情

https://t.co/hY4oiOOzT2

俄罗斯升级对西方的威胁以应对网络攻击

日期: 2022-06-09
标签: 俄罗斯, 乌克兰, 政府部门, 信息技术, 国际组织, 俄乌战争, 

2022年6月9日,一名俄罗斯官员威胁西方,声称如果西方政府继续对其基础设施进行网络攻击,可能会导致“直接军事冲突”。俄罗斯外交部国际信息安全负责人在一份声明中说: “西方将信息空间军事化并试图将其变成国家间对抗的舞台,大大增加了直接军事冲突的威胁,后果无法预测。”上周末,俄罗斯住房部网站遭到黑客攻击,其流量重定向到“荣耀归乌克兰”标志,这才导致俄罗斯升级对西方的威胁。

详情

https://t.co/qCIat8DzSo

Vice Society勒索软件声称袭击意大利城市巴勒莫

日期: 2022-06-09
标签: 信息技术, Vice Society, 

Vice Society勒索软件组织声称对最近对意大利巴勒莫市的网络攻击负责,该攻击导致了大规模的服务中断。这次袭击发生在6月3日,所有依赖互联网的服务仍然不可用,影响了130万人和许多游客访问这座城市。当局6月6日承认了事件的严重性,并解释说,所有系统都必须离线以控制损害,并警告说,中断可能会持续几天。6月9日,Vice Society声称他们是巴勒莫袭击事件的幕后黑手,在他们的暗网数据泄露网站上发布了一个条目,威胁说,如果不支付赎金,他们将在周日之前公布所有被盗文件。

详情

https://t.co/ffQUzcVk8h

大规模的Facebook Messenger网络钓鱼活动

日期: 2022-06-08
标签: 信息技术, Meta(原Facebook), 网络钓鱼, 流量监控, 

研究人员发现了一项大规模的网络钓鱼操作,该操作滥用Facebook和Messenger来吸引数百万用户访问网络钓鱼页面,诱使他们输入帐户凭据并查看广告。活动运营商使用这些被盗帐户向他们的朋友发送进一步的网络钓鱼消息,通过在线广告佣金产生可观的收入。网络安全公司PIXM跟踪威胁参与者并映射活动,因为其中一个已识别的网络钓鱼页面托管了指向流量监控应用程序(who’s.amung.us)的链接,该应用程序可公开访问身份验证。虽然目前尚不清楚该活动最初是如何开始的,但PIXM表示,受害者从来自Facebook Messenger的一系列重定向中到达了网络钓鱼登陆页面。

详情

https://t.co/vIktnpKvTw

APT组织 SideWinder 已经植入了一个虚假的 Android VPN 程序

日期: 2022-06-08
标签: 中国, 巴基斯坦, 阿富汗, 尼泊尔, 信息技术, 谷歌(Google), SideWinder(RattleSnake/Razor Tiger/T-APT-04/APT-C-17/Hardcore Nationalist), Google Play, Android, 

在根据与称为 SideWinder 的APT组织相关的网络钓鱼活动中,SideWinder在Google Play 商店上传了一个用于 Android 智能手机的虚假 VPN 程序,以及一个用于筛选用户以改进目标的专有工具。SideWinder,也被称为 RattleSnake、Razor Tiger、T-APT-04、APT-C-17 和 Hardcore Nationalist,是一个至少从 2012 年开始运营的 APT 组织,被认为由具有高水平专业知识的印度演员领导,主要目标是巴基斯坦、中国、尼泊尔和阿富汗。SideWinder使用鱼叉式网络钓鱼电子邮件传播包含 RTF 或 LNK 文件的恶意 ZIP 包,这些文件从远程服务器安装 HTML 应用程序 (HTA) 有效负载。攻击者使用一个相当大的基础设施,其中包括超过 92 个 IP 地址,主要用于网络钓鱼攻击,以及用作命令和控制服务器的数百个域和子域。

详情

https://t.co/IgsTWHfN4O

俄罗斯互联网广播电台遭受攻击

日期: 2022-06-08
标签: 俄罗斯, 文化传播, Kommersant FM, 俄乌战争, 

2022年6月8日,俄罗斯联邦称俄罗斯的互联网广播电台“Kommersant FM”遭到网络攻击。黑客播放了乌克兰语歌曲和俄罗斯反战歌曲。俄罗斯媒体经常成为“ITArmyUKR”的目标。目前尚未证实背后的黑客组织。

详情

https://t.co/wcpXc6DKca

PHOSPHORUS攻击美国的一家基础设施和建筑公司

日期: 2022-06-06
标签: 美国, 伊朗, 建筑业, Deep Instinct, 微软(Microsoft), Phosphorus, Exchange, 

Deep Instinct的研究人员最近在其客户——美国南部的一家基础设施和建筑公司的环境中发现了异常,经过分析发现伊朗APT组织试图入侵Exchange服务器,总共进行了七次尝试。由于这一发现,Deep Instinct能够发现更多新的恶意软件变种和与攻击者相关的TTP。值得注意的是,攻击者安装根证书并试图将恶意流量与合法流量混合。大部分的样本都被公开报告披露,并归因于一个被微软称为PHOSPHORUS的伊朗威胁组织。

详情

https://www.deepinstinct.com/blog/iranian-threat-actor-continues-to-develop-mass-exploitation-tools

近期LAZARUS持续针对加密货币行业展开攻击活动

日期: 2022-06-06
标签: 金融业, Lazarus, BlueNorOff, 

近期安恒安全数据部猎影实验室捕获到一批疑似来自Lazarus组织的样本,这些样本目标指向风投、加密货币等前沿产业。一些诱饵文档标题伪装成受密码保护的各类相关文档,引导用户点击意为密码的恶意lnk文件,在点击后下载执行hta文件并部署后门。这些文件从攻击目标和手法上与Lazarus组织关联度较高,疑似来自Lazarus组织的BlueNorOff小组。

详情

https://ti.dbappsecurity.com.cn/blog/articles/2022/06/02/lazarus-has-continued-to-attack-the-cryptocurrency-industry/

Mandiant:“没有证据”我们被LockBit勒索软件黑客入侵

日期: 2022-06-06
标签: 美国, 信息技术, Mandiant, UNC2165, Evil Corp, LockBit, 数据泄露, 

美国网络安全公司Mandiant正在调查LockBit勒索软件团伙的说法,即他们入侵了该公司的网络并窃取了数据。勒索软件组织在2022年6月6日、在其数据泄露网站上发布了一个新页面,称他们据称从Mandiant窃取的356,841个文件将在网上泄露。LockBit尚未透露它声称从Mandiant的系统中窃取了哪些文件,因为泄漏页面上的文件列表是空的。LockBit 的攻击活动可能缘由于6月2日,Mandiant发布了一项分析,表明美国政府在2019年制裁的长期网络犯罪组织Evil Corp.的分支机构已转向使用LockBit 2.0现成的勒索软件来逃避制裁。Mandiant将这些附属机构分组为UNC2165。而LockBit 2.0网站的声明称Mandiant“不专业”,并否认与Evil Corp有任何联系。

详情

https://t.co/J5PAVaMCnJ

意大利巴勒莫市关闭所有系统以抵御网络攻击

日期: 2022-06-06
标签: 意大利, Killnet, 勒索攻击, 

2022年6月3日,意大利南部的巴勒莫市周五遭受了网络攻击,这对公民和来访游客的广泛运营和服务产生了巨大影响。巴勒莫拥有约130万人口,是意大利人口第五大城市。该地区每年还有230万游客参观。尽管本地 IT 专家在过去三天中一直在尝试还原系统,但所有服务、公共网站和在线门户仍处于脱机状态。受影响的系统包括公共视频监控管理,市政警察行动中心以及市政当局的所有服务。此外,游客无法访问博物馆和剧院(马西莫剧院)门票的在线预订,甚至无法确认他们对体育设施的预订。据报道称此次为勒索软件攻击并与Killnet组织联系起来

详情

https://t.co/2lEf5iV2Ao

匿名黑客泄露1TB俄罗斯顶级律师事务所数据

日期: 2022-06-06
标签: 乌克兰, 俄罗斯, 房地产, 商务服务, Rustam Kurmaev and Partners, #OpRussia, 俄乌战争, 

身份不明的黑客组织再次重创俄罗斯,他们从一家名为Rustam Kurmaev and Partners(RKP law)的俄罗斯领先律师事务所泄露了1TB的敏感数据。Rustam Kurmaev and Partners 已在俄罗斯经营 20 多年,客户包括俄罗斯大众汽车集团、丰田、宜家、Mechel PJSC、松下等。这群恶意行为者利用他们的推特账号@DepaixPorteur 和@B00daMooda 宣布了网络攻击。自俄罗斯和乌克兰之间的战争以来,针对俄罗斯机构的网络威胁已成为新常态。自 2022 年 2 月在俄罗斯入侵乌克兰领土后,针对俄罗斯的网络战争被称为#OpRussia,将其称为“特殊军事行动”,以使乌克兰去纳粹化和非军事化。

详情

https://t.co/8IiNZHyu9W

相关安全建议

1. 积极开展外网渗透测试工作,提前发现系统问题

2. 减少外网资源和不相关的业务,降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

6. 注重内部员工安全培训

 

0x06   安全漏洞

Linux 僵尸网络利用关键的 Atlassian Confluence 漏洞

日期: 2022-06-08
标签: 信息技术, Atlassian, Kinsing, Hezb, Dark.IoT, 漏洞利用, CVE-2021-26084, Linux, 僵尸网络, 

一些僵尸网络现在正在利用针对关键远程代码执行(RCE)漏洞来感染运行未修补的Atlassian Confluence服务器和数据中心安装的Linux服务器。成功利用此漏洞( CVE-2021-26084)允许未经身份验证的攻击者创建新的管理员帐户、执行命令并最终远程接管服务器以后门暴露 Internet 的服务器。在概念验证(PoC)漏洞在网上发布后,网络安全公司GreyNoise表示,它检测到主动利用增加了近十倍,从23个试图利用它的IP地址增加到200多个。在这些攻击者中,Lacework Labs的研究人员发现了三个僵尸网络,跟踪为Kinsing,Hezb和Dark.IoT,以针对易受攻击的Linux服务器和部署后门和加密矿工而闻名。

详情

https://t.co/ZhzhZMWzPE

Google 发布 Android 安全公告,修补严重漏洞

日期: 2022-06-07
标签: 信息技术, 谷歌(Google), CVE-2022-20127, Android, 

2022年6月7日,谷歌发布了6月份的Android安全公告,其中包含影响Android设备和相关补丁的40多个安全漏洞的详细信息。在公告中,这家技术巨头解释说,这些问题中最严重的是系统组件中的一个关键安全漏洞,该漏洞可能导致远程执行代码[RCE],而无需额外的执行权限。该漏洞为CVE-2022-20127,该漏洞可能会影响运行 Android 版本 10、11、12 和 12L 的未修补系统。公告中还提到了其他RCE漏洞,这些漏洞可能分别影响某些Android设备的框架,媒体框架和内核。

详情

https://t.co/wjVvCtvsGq

0patch发布针对Follina的微软诊断工具“DogWalk”

日期: 2022-06-07
标签: 信息技术, 0patch, 微软(Microsoft), CVE-2022-30190, Follina, 0day, 

2022年6月7日,0patch发布针对“Follina”/CVE-2022-30190 0day的微软诊断工具“DogWalk”。“Follina”/CVE-2022-30190 0day仍然很热,即仍在等待官方修复,而显然已经被国家支持的攻击者利用。该补丁添加了在源文件名中搜索“ ..\ ”的代码;如果找到,它会报告“漏洞利用被阻止”事件并模拟文件复制操作的错误。另外,0patch还提供了微补丁源代码以及可用性描述等。

详情

https://t.co/qizci4Bt4U

攻击者利用地下黑客论坛剥夺iPhone的激活锁

日期: 2022-06-06
标签: 信息技术, Apple, checkra1n, iOS, iPhone, checkm8漏洞, 越狱工具, 

Checkm8.info,一个地下黑客论坛为用户提供了一种便捷的方式,通过其付费黑客服务从iPhone上剥离“激活锁”。然而,iOS安全分析师认为,黑客正在诱骗人们从被盗的iPhone中删除保护措施。黑客正在使用checkra1n,这是一个于2019年发布的开源越狱工具。Checkra1n采用了一个名为checkm8的漏洞,由开发人员设计的Axi0mX。根据checkm8.info的网站,Checkm8仅适用于运行iOS版本12至14.8.1的设备,因为最新的iPhone更新了bootrom代码,不易受checkm8的影响。2019年,安全研究员ax0mX发现了checkm8,这是一个漏洞,使数百万iOS设备越狱。该漏洞存在于受感染设备的引导区中。

详情

https://t.co/sw6W0otTJU

Windows 零日漏洞在美国地方政府网络钓鱼攻击中被利用

日期: 2022-06-06
标签: 美国, 中国, 欧洲, 政府部门, TA413, CVE-2022-30190, 

欧洲政府和美国地方政府是使用恶意富文本格式 (RTF) 文档进行网络钓鱼活动的目标,该文档旨在利用称为 Follina 的关键 Windows 零日漏洞。Proofpoint研究人员表示阻止了一项可疑的州级网络钓鱼活动,该活动主要针对Proofpoint客户(欧洲政府和当地美国政府)。在这些攻击中利用的安全漏洞被跟踪为CVE-2022-30190,并被Redmond描述为Microsoft Windows支持诊断工具(MSDT)远程代码执行错误。CVE-2022-30190 仍未修补,它会影响所有仍接收安全更新的 Windows 版本(即 Windows 7+ 和 Server 2008+)。如果成功利用此零日漏洞,则可以使用此零日漏洞以调用应用的权限执行任意代码,以安装程序、查看、更改、删除数据或创建新的 Windows 帐户。

详情

https://t.co/cvg6ojipc8

嵌入式设备U-Boot Bootloader中发现未修补的严重漏洞

日期: 2022-06-06
标签: 信息技术, U-Boot, CVE-2022-30790, CVE-2022-30552, 

网络安全研究人员在开源 U-Boot 引导加载程序中披露了两个未修补的安全漏洞。U-Boot 是用于基于 Linux 的嵌入式系统(如 ChromeOS)以及电子书阅读器(如 Amazon Kindle 和 Kobo eReader )中的引导加载程序。这些漏洞在 NCC Group 在 U-Boot 中实施的IP 碎片整理算法中被发现,可被滥用以实现任意越界写入和拒绝服务 (DoS)。这两个漏洞分别是:CVE-2022-30790(CVSS 分数:9.6):U-Boot IP 数据包碎片整理中的孔描述符覆盖导致任意越界写入。CVE-2022-30552(CVSS 分数:7.1):缓冲区溢出导致 U-Boot IP 数据包碎片整理代码中的 DoS。值得注意的是,这两个漏洞都只能从本地网络中利用。但是这样做可以使攻击者通过制作格式错误的数据包来获取设备并导致 DoS。

详情

https://t.co/8hapbd05Cv

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

 

0x07   安全分析

WIRTE组织近期针对中东地区的攻击活动分析

日期: 2022-06-09
标签: 亚美尼亚, 塞浦路斯, 埃及, 巴勒斯坦, 叙利亚, 土耳其, 金融业, 政府部门, 居民服务, WIRTE, APT舆情, 

近期安恒安全数据部捕获到一批疑似来自WIRTE组织的样本,这些样本使用一些政治相关主题,目标指向中东地区的各国政府部门。WIRTE组织主要针对中东地区各种垂直领域,包括外交和金融机构、政府、律师事务所、军事组织和技术公司。近些年受影响的包括亚美尼亚、塞浦路斯、埃及、巴勒斯坦、叙利亚和土耳其等中东地区国家。

详情

https://ti.dbappsecurity.com.cn/blog/articles/2022/06/09/wirte-attack-middle-east/

分析伊朗APT组织MuddyWater的PowGoop变种

日期: 2022-06-07
标签: 伊朗, 信息技术, MuddyWater, PowGoop, APT舆情, 

2022年1月12日,美国网络司令部网络国家宣教部队(CNMF)发布了一份报告,揭露了与伊朗APT组织的进攻性工具集相关的恶意样本,并发布了称为PowGoop的恶意软件的多个样本,包括构成PowGoop感染链的三个主要组件的样本。通过对PowGoop恶意软件的最终后门组件进行技术分析,使NTTSH分析师能够识别可追溯到2020年10月的数十个PowGoop命令和控制服务器。这些控制服务器与NTTSH分析团队称为“E400”的PowGoop变种有关。自2022年初以来,可以观察到三个受害者集群。NTTSH分析师的跟踪工作显示,MuddyWater肯定会减少对PowGoop变种的操作,因为自2021年底以来没有观察到该变种的新控制服务器,并且在撰写本文时只有一台服务器仍然处于活动状态。

详情

https://insight-jp.nttsecurity.com/post/102hq2r/aptmuddywaterpowgoope400cc

LuoYu组织攻击活动分析

日期: 2022-06-06
标签: 中国, 政府部门, 交通运输, 科研服务, LuoYu, Demsty, WinDealer, SpyDealer, man-on-the-side, 

LuoYu是一个鲜为人知的APT组织,自2008年以来一直活跃。它主要针对位于中国的目标,例如在中国建立的外国外交组织、学术界成员或国防、物流和电信部门的公司。在关于该组织的初步披露中,TeamT5确定了三个恶意软件家族:SpyDealer、Demsty和WinDealer。能够针对Windows、Linux和macOS以及Android设备。前几年,卡巴斯基调查了LuoYu的活动,并确认了Demsty和WinDealer之间的联系。本文将重点介绍最具突破性的发展之一:LuoYu具有执行man-on-the-side攻击的能力。

详情

https://securelist.com/windealer-dealing-on-the-side/105946/

 

0x08   其他事件

PyPI 包 ‘keep’ 错误地包含了一个密码窃取器

日期: 2022-06-12
标签: 信息技术, CVE-2022-30877, CVE-2022-30882, CVE-2022-31313, PyPI, pyanxdns, api-res-py, keep, 

由于某些版本中存在恶意“请求”依赖项,PyPI 包“keep”、“pyanxdns”、“api-res-py”被发现包含后门。例如,虽然大多数版本的 ‘keep’ 项目使用合法的 Python 模块 请求 来发出 HTTP 请求,但 ‘keep’ v.1.2 包含恶意软件的 ‘request’(不带s )。6月中旬,针对易受攻击的版本分配了以下 CVE:CVE-2022-30877、CVE-2022-30882、CVE-2022-31313。尽管 ‘pyanxdns’ 和 ‘api-res-py’ 可能是小型项目,但 ‘keep’ 包平均每周下载超过 8,000 次。在对应用程序进行编码时,开发人员的打字错误可能会在不经意间为仿冒攻击提供成功,这种攻击依靠这种精确的失误来破坏更广泛的软件供应链。尽管在这种情况下,恶意“请求”依赖项早已从 PyPI 注册表中删除,但任何使用易受攻击版本的 PyPI 包并依赖镜像来获取依赖项的人最终都可能在其系统上遇到恶意信息窃取程序。

详情

https://t.co/em3VYUYJZw

欺诈者利用“合成身份欺诈”实施金融犯罪

日期: 2022-06-11
标签: 美国, 金融业, 合成身份欺诈, 金融犯罪, 

身份盗用仍然是黑客破坏信用评分的常用手段。为了窃取更多信息并避免被发现,越来越多的欺诈者正在转向“合成身份欺诈”,其中包括构建人物来欺骗金融机构。当客户申请信用卡或贷款时,许多企业并不总是验证他们的身份。专家将合成身份欺诈定义为使用多条个人身份信息来创建一个全新的人。由于数据泄露,有大量信息可供出售。在其他情况下,网络犯罪分子会更改或编造社会安全号码并完全处理数据。然后,网络犯罪分子将努力提高欺骗身份的信用等级,以便在不向贷款机构付款的情况下保释之前获得更大的贷款或信用卡限额。为了打击合成身份欺诈,美国正在开发(在新窗口中打开)基于电子同意的社会安全号码验证服务,该服务可以确定社会安全号码是否与记录中的其中一个相符。

详情

https://t.co/cRk66Lu7Jb

新Emotet变体从Google Chrome中捕获用户信用卡数据

日期: 2022-06-11
标签: 金融业, 信息技术, Google Chrome, Emotet, 僵尸网络, C2, 

Emotet僵尸网络现在正试图使用信用卡窃取器模块感染潜在的受害者,该模块旨在从Google Chrome用户帐户中捕获信用卡信息。在获取信用卡信息(例如姓名,到期月份和年份以及卡号)后,恶意软件会将其转移到命令和控制(C2)服务器,这些服务器与Emotet卡窃取器模块使用的服务器不同。Proofpoint Threat Insights团队表示:“6月6日,Proofpoint观察到E4僵尸网络丢弃了一个新的Emotet模块。这是一个专门针对Chrome浏览器的信用卡窃取者。一旦收集了卡的详细信息,它们就会被渗透到与模块加载器不同的C2服务器。

详情

https://t.co/DwU7BL73ic

Carrier的工业门禁系统存在严重漏洞

日期: 2022-06-11
标签: 信息技术, 制造业, Carrier, 漏洞利用, CVE-2022-31479, CVE-2022-31480, CVE-2022-31481, CVE-2022-31482, CVE-2022-31483, CVE-2022-31484, CVE-2022-31485, CVE-2022-31486, OT, NCF, 

Carrier 的 LenelS2 HID Mercury 门禁控制系统广泛用于医疗保健、学术、交通和联邦建筑,具有 8 个零日漏洞。研究人员能够利用这些漏洞远程打开和锁定门、操纵警报以及降低日志记录和通知系统的能力。并且,研究人员还能够使用制造商的内置端口更改板载组件并与设备连接。 他们能够获得对设备操作系统的 root 访问权限,并使用已知和独特技术的组合提取其固件以进行虚拟化和漏洞利用或其他利用。根据 IBM 在 2021 年进行的一项研究,物理数据泄露的平均成本为 354 万美元,检测时间为 223 天。 对于依靠访问控制系统来保护其设施安全的公司来说,风险很高。信息技术 (IT) 和运营技术 (OT) 的日益融合提供了可能导致灾难性后果的利用机会,包括生命损失、经济损失和社会国家关键功能 (NCF) 的破坏。

详情

https://t.co/UKqYK73tH0

新的PACMAN硬件攻击目标是装有Apple M1 CPU的Mac电脑

日期: 2022-06-10
标签: 信息技术, Apple, Apple M1 CPU, PACMAN, Mac, 

一项针对 Apple M1 CPU 中指针身份验证的新硬件攻击具有推理执行功能,使攻击者能够在 Mac 系统上获得任意代码执行。指针身份验证是一项安全功能,它将加密签名(称为指针身份验证代码 (PAC))添加到指针中,允许操作系统检测和阻止意外更改,否则这些更改会导致数据泄漏或系统受损。麻省理工学院计算机科学与人工智能实验室(CSAIL)的研究人员发现,这种新型攻击将允许威胁行为者使用Apple M1 CPU物理访问Mac,以访问底层文件系统。苹果表示,这种新的侧信道攻击对Mac用户来说并不构成危险,因为它还需要其他安全漏洞才能有效。

详情

https://t.co/iP3QDzSv76

暗网出售的枪支武器据称被送往乌克兰

日期: 2022-06-09
标签: 乌克兰, 俄罗斯, 政府部门, Telegram, 俄乌战争, 

暗网上的几个武器市场列出了据称来自西方国家的军用级枪支,这些枪支派它们支持乌克兰军队与俄罗斯侵略者作战。

据推测,这些武器以某种方式被排除在收到的供应品之外,现在正在提供给希望购买火箭发射器和其他高冲击力攻击系统的恐怖分子。KELA已经证实,其中许多列表在暗网市场发布后不久就发布在亲俄的Telegram频道甚至俄罗斯媒体上。在有些情况下,在这些渠道上声称,这些武器是由运载“机密”货物的卡车通过摩尔多瓦走私的,这意味着乌克兰政府知道此事。现阶段,乌克兰在暗网上的武器清单的真实性无法核实,但从现有信息和随附的线索来看,大多数似乎是假的。

详情

https://t.co/WfBuLmlnYM

英国第一台计算机加入量子军备竞赛

日期: 2022-06-09
标签: 英国, 信息技术, Orca Computing, 

据报道,英国政府在具有里程碑意义的时刻购买了第一台量子计算机,这将有助于提高其在网络防御和其他国家安全关键领域的研究能力。据英国广播公司报道,英国国防部 (MoD) 将与英国公司 Orca Computing 合作,探索量子增强国家防御能力的潜力 。量子的 应用几乎是无限的。量子比特可以同时为 0 和 1,因此处理数据和进行计算所需的时间远比传统的超级计算机短。在网络安全界,这导致 Shor 的算法可能在十年内被破解,从而使非对称 (PKI) 加密实际上毫无用处。Sectigo 的密码学专家兼首席战略官 David Mahdi 认为,政府和组织必须因此开始为量子计算的新时代做准备。

详情

https://t.co/UZCuy8M0Ag

医疗保健最有可能支付勒索攻击的赎金

日期: 2022-06-09
标签: 卫生行业, 

Sophos 发布了一份部门调查报告,该报告显示,针对医疗保健部门的勒索软件攻击增加了 94% 。2021 年,66% 的医疗机构受到打击。医疗机构的平均勒索软件恢复成本位居第二,为 185 万美元,平均需要一周时间才能从攻击中恢复。虽然医疗机构支付赎金的频率最高(61%),但他们支付的平均赎金最低,为 197,000 美元,而全球平均水平为 812,000 美元(调查中所有行业)。78% 的医疗机构现在选择网络保险。由于勒索软件是保险索赔的最大驱动因素,51% 的受访者表示获得资格所需的网络安全级别更高,这给预算较低且可用技术资源较少的医疗保健组织带来了压力。

详情

https://t.co/YhygxmKz7U

Prometheus勒索软件的漏洞促使研究人员尝试构建万能解密工具

日期: 2022-06-09
标签: 信息技术, IBM, Prometheus, 

Prometheus 是一种基于 Thanos 的勒索软件变种,它在 2021 年夏天锁定了受害者的计算机,其中包含一个重大“漏洞”,促使 IBM 安全研究人员尝试创建一种万能的勒索软件解密器,该解密器可以对抗众多勒索软件变种,包括 Prometheus、AtomSilo、LockFile、Bandana、Chaos 和 PartyTicket。尽管 IBM 研究人员能够删除许多勒索软件版本的工作,但万能解密器从未实现。IBM 全球威胁情报负责人 Andy Piazza 表示,该团队的努力表明,虽然一些勒索软件系列可能经过逆向工程以产生解密工具,但任何组织都不应仅依靠解密来应对勒索软件攻击。

详情

https://t.co/AWcu0UhUUH

Chromium安全隐患:能直接从内存中提取明文凭据

日期: 2022-06-08
标签: 信息技术, 谷歌(Google), 明文凭据, Chromium, 

2022年6月8日,安全研究人员Zeev Ben Porat发布针对从Chromium的内存中提取明文凭据的研究报告。他发现凭据数据(URL/用户名/密码)以明文格式存储在 Chrome 的内存中。除了在登录特定 Web 应用程序时动态输入的数据外,攻击者还可以使浏览器将存储在密码管理器中的所有密码(“登录数据”文件)加载到内存中。并且事实证明,通过标准的非特权进程可以很容易地从浏览器的内存中有效地提取明文凭证数据。

详情

https://t.co/lNjAcI0opL

美国政府命令旅游公司多年来监视俄罗斯黑客,每周报告其下落

日期: 2022-06-08
标签: 美国, 西班牙, 英国, 俄罗斯, 中国, 居民服务, Sabre, Travelport, Amadeus, 旅游业, Burkov, 

福布斯的法律挑战迫使一些机密文件曝光,这些文件首次揭示了追踪全球个人行踪的秘密监视命令的范围。批评人士说,政府在向公众通报这项不寻常的计划方面做得还不够,该计划涉及数十亿美元的私营公司。美国的Sabre和英国的Travelport,由于他们是美国执法部门的完美供应商。几十年来,他们一直在所谓的全球分销系统中收集和存储有关国际游客的信息。这两家公司在俄罗斯和中国以外的行业占据主导地位,唯一的另一个竞争对手是西班牙的Amadeus。在2015年11月的一项法院命令中,特勤局要求Sabre和Travelport持续监控Burkov的旅程两年 – 美国称之为“完整和同时期的实时帐户活动” – 并每周向特勤局报告他们所看到的情况。在过去的十年里,这种监视一直是秘密的,被锁定在密封的命令后面,在福布斯的法律挑战之后,命令Sabre和Travelport对Burkov进行监视的文件上个月被解封。

详情

https://t.co/77X7h4r6Pe

乌克兰军事志愿者“数据库”

日期: 2022-06-09
标签: 乌克兰, 政府部门, OSINT, 俄乌战争, 

亲俄的OSINT已经启动了一个类似维基百科的数据库,其中包含在乌克兰服役或正在乌克兰服役的外国军事志愿者(https://foreigncombatants.ru/index.php?title=Главная_страница)。

详情

https://t.co/Z06bb4mymi

网络安全人才的需求激增40%以上

日期: 2022-06-07
标签: 信息技术, 

根据CyberSeek在2022年6月7日发布的新数据,去年对网络安全人才的需求飙升了 40% 以上,在截至 2022 年 4 月的 12 个月期间,网络安全职位增加了 714,000 多个,并且金融和保险行业的职位数量最多。随着网络威胁形势越来越普遍,各行各业都容易受到勒索软件攻击和网络钓鱼活动的攻击,从而导致对网络安全人才的需求增加。CyberSeek 数据显示,在为期 12 个月的研究中,网络安全行业职位的需求增长了 43%,而整个就业市场的需求增长了 18%。一些需求最大的工作是高层。IT 经理和主管的职位同比增长 224%,项目经理的职位增长 169%,而软件开发人员和工程师的职位同期增长 92%。

详情

https://t.co/0TySVExG66

Surfshark,ExpressVPN因数据保留法而退出印度

日期: 2022-06-07
标签: 印度, 信息技术, Surfshark, 

2022年6月7日,Surfshark宣布,他们将关闭其在印度的VPN(虚拟专用网络)服务,以响应该国的新要求,该要求所有提供商将客户日志保留180天。Surfshark表示,印度的法律行动是激进的,损害了该国网民的隐私,而不是保护它。这家受欢迎的VPN供应商表示,它将建立位于新加坡和伦敦的虚拟服务器,但这些服务器看起来仍然好像位于印度Surfshark承诺,印度用户在使用其VPN服务时不会注意到任何差异,无论是在速度还是网站可访问性方面。

详情

https://t.co/VXMZkCKKBU

联邦调查局关闭了美国公民个人数据的暗网市场

日期: 2022-06-07
标签: 美国, 信息技术, SSNDOB Marketplace, 暗网, 

据司法部称,联邦调查局在2022年6月7日查获了一个非法市场,该市场使数百万人出售了大约2400万美国公民的个人数据。SSNDOB Marketplace通过更新网站轮换来运营,这些网站出售记录,包括姓名,出生日期和美国社会安全号码。根据美国司法部的新闻稿,管理员在暗网市场上向客户宣传他们的服务。美国执法部门与赛勒斯和拉脱维亚当局合作,扣押了属于SSNDOB管理员的四个域名。

详情

https://t.co/l2a4t4EXKg

俄罗斯黑客组织Evil Corp改变勒索软件策略以逃避美国制裁

日期: 2022-06-07
标签: 俄罗斯, 美国, 信息技术, Evil Corp, UNC2165, Dridex, LockBit, Hades, 

威胁情报公司 Mandiant 透露,俄罗斯黑客组织 Evil Corp 更新了其攻击方法,以避免禁止美国公司向其支付赎金的制裁。Mandiant将一系列 Lockbit 勒索软件入侵归咎于 UNC2165,这是一个与 Evil Corp 有许多重叠的黑客组织。UNC2165 于 2019 年受到美国财政部的制裁,原因是它使用 Dridex 恶意软件 感染了 40 个国家的数百家银行 和金融机构,并窃取了超过 1000 万美元。从监管的角度来看,这些制裁基本上阻止了目标组织向 UNC2165 支付赎金以恢复对其系统的访问。这些制裁对黑客的运营产生了直接影响,尤其是一些参与勒索软件补救活动(例如谈判)的公司拒绝为向已知的受制裁实体付款提供支持。据报道,Evil Corp/UNC2165  在过去几年中改变了策略,从 WastedLocker 转向了 Hades 勒索软件,又在2021年转向了Lockbit。

详情

https://t.co/Ywj3JAxTBi

苹果在 2021 年阻止了 160 万个有风险、易受攻击的应用程序

日期: 2022-06-06
标签: 美国, 信息技术, Apple, 

苹果表示,其 App Store 欺诈预防机制在2021年阻止了总计约 15 亿美元的潜在欺诈交易。在整个 2021 年,该公司阻止了超过 330 万张被盗信用卡在 App Store 中进行购买,禁止近 60 万个账户再次进行交易,拒绝了商店中超过 160 万个有风险和易受攻击的应用程序和应用程序更新。这些有问题的应用程序包括超过 835,000 个新应用程序,其中超过 34,000 个是包含隐藏或未记录功能的应用程序;157,000 个是垃圾邮件、山寨或其他误导性应用程序;超过 340,000 个是侵犯隐私的应用程序。此外,作为 Apple 应用审核流程的一部分,另外 805,000 个应用更新被拒绝或从 App Store 中删除。

详情

https://t.co/9eXbwnK92J

 

0x09   产品侧解决方案

若想了解更多信息或有相关业务需求,可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

 

0x0a   时间线

2022-06-13 360CERT发布安全事件周报

(完)