每周安全事件 221230- 230105

高级威胁事件

1. 透明部落利用外贸链接伪装文档攻击分析

2. Confucius 针对巴基斯坦 IBO 反恐行动的网络攻击事件

国家安全事件

1. 波兰情报部门指控俄罗斯黑客攻击国会网站 sejm.gov.pl

数据泄露事件

1. 2 亿 Twitter 用户的电子邮件地址在网上泄露

2. 印度尼西亚国有国防承包商Pindad 遭遇数据泄露

3. Wabtec 披露数据泄露

4. 俄罗斯 RaHDit 黑客公布了100多名北约官员网络战官员的数据

其他网络安全事件

1. RedZei Group瞄准在英中国留学生

2. 安天披露 CNC 组织针对军工和教育行业的摆渡木马

移动端安全事件

1. 美海军陆战队司令警告现代战场上手机等电子设备信息泄露问题

2. Google Home 智能扬声器存在漏洞可导致黑客窥探设备

组织：疑似透明部落（又名Transparent Tribe／APT-C-56／APT36，南亚）

攻击目标： 

原文概述： 近期，360 研究人员监测到透明部落利用外贸主题的链接进行攻击活动样本。样本文件名称使用 requirement.rar，最终释放伪装成 xls 表格图标的QUANTITY AND SPECIFICATIONS.SCR 文件，引诱用户启动文件。伪装的文档的二进制样本从自身释放一个持久化组件、一个后门组件。

与之前攻击行动相比，此次攻击相同点在于：通过调用 com 组件 ishelllink 生成 lnk 文件，伪装成常用软件迷惑用户；通过设置用户环境目录的启动项来持久化驻留；在程序运行前长时间 sleep 休眠，以躲避沙箱检测。不同点在于：这次使用的 RAT 既不是其专属木马 CrimsonRAT，也不是常用的 ObliqueRAT，主要功能包括：获取窗口标题、监控剪贴板、键盘记录、网络通信。

归因分析： 研究人员通过持久化组件的特征相似将这次攻击与透明部落相关联。在之前的攻击活动中，透明部落使用了一个持久化组件用于驻留，与此次发现的持久化组件，二者的代码相似度很高。

原文链接：

https://mp.weixin.qq.com/s/PTWzKIPsO92XCP4-pXRDgg

发布平台：  360威胁情报中心

组织：疑似 Confucius（又名魔罗桫，印度）    

攻击目标： 巴基斯坦木尔坦地区武装力量

原文概述： 研究人员捕获了一起针对巴基斯坦木尔坦地区武装力量的网络攻击事件，攻击者以木尔坦的罗德兰区 IBO 行动报告为诱饵，尝试投递一种变种木马程序以控制受害者设备。本次攻击事件中，Confucius 攻击者沿用了其常见的诱饵构建模式，并且使用了该组织已知攻击工具 MessPrint 的新版本变种程序。

本次网络攻击事件中，Confucius 攻击者构建了名为“IBO_Lodhran.doc”（罗德兰地区基于情报的行动）的钓鱼文档以及名为  “US_Dept_of_State_Fund_Allocations_for_Pakistan.doc”（美国国务院对巴基斯坦的资金分配）的钓鱼文档，通过提示信息诱使受害者启动文档的编辑功能，文档向指定目录释放一个名为 gist.txt 的加密文件，并设定一个每30分钟运行一次的计划任务定期运行该文件。被运行的gist.txt实际上是一种 powershell 木马，首先向固定位置发起连接以测试连通性，并上传本机的用户名、计算机名、mac 地址、系统信息等内容作为注册信息；随后从固定位置下载一段加密数据，解密为 VERSION.dll 并借助 rundll32 组件加载执行。该 VERSION.dll 文件为 Confucius 攻击者在本次事件中使用的主要木马程序，是Confucius一种已知攻击组件的变种程序，暂命名为 MessPrint。与既往版本相比，本次 Confucius 使用的新版 MessPrint木马程序在功能和对抗方面的变化很大，其主版本号也从2.X.X升级至3.1.0。

原文链接：

http://blog.nsfocus.net/aptconfuciuspakistanibo/

发布平台： 绿盟科技伏影实验室

波兰议会网站遭到亲俄黑客攻击。波兰情报局部长协调员新闻秘书斯坦尼斯拉夫·扎林称“数据分析表明，网站无法访问是亲俄组织 NoName057 (16) 攻击的结果。Telegram 门户网站上的这个小组已将 Seimas 网站设置为其目标之一”。

原文链接：

 https://www.securitylab.ru/news/535493.php

发布平台： securitylab

一名威胁行为者在 Breached 黑客论坛上发布了一个包含 2 亿条 Twitter 个人资料的数据集，获得论坛货币的 8 个积分，价值约 2 美元。据称，该数据集与 11 月份流传的 4 亿组相同，但经过清理后不包含重复项，总数减少到约 221,608,279 行。数据以 RAR 存档的形式发布，其中包含六个文本文件，总数据量为 59 GB。文件中的每一行代表一个 Twitter 用户及其数据，包括电子邮件地址、姓名、屏幕名称、关注计数和账户创建日期。虽然 BleepingComputer 已经能够确认许多列出的 Twitter 个人资料的电子邮件地址是正确的，但完整的数据集显然尚未得到确认。

发布平台： BreachForums、BleepingComputer

PT Pindad 是印度尼西亚一家专门从事军事和商业项目的国有公司，该公司向印度尼西亚国家武装部队提供枪支和弹药。一个伪装成美国国家安全局(UsNSA)的未经授权的行为者一直试图在暗网论坛上出售被盗数据。被盗数据包括有关印度尼西亚国防制造业的重要信息。据消息人士透露，被泄露的数据包括 PNS ID、NIP（员工识别号码）、TPP（额外员工收入）、后学位、前学位、职位、NIP 老板以及有关该行业的其他重要信息。

发布平台： BreachForums

美国铁路和机车公司 Wabtec Corp. 是一家为货运和运输铁路行业提供设备、系统、数字解决方案和增值服务的供应商。该公司最近披露了一个长达 8 个月的漏洞，在被盗数据发布在威胁参与者的泄密网站上后，该漏洞暴露了一些人的个人和敏感信息，包括全名、出生日期、非美国国民身份证号码、非美国社会保险号码或财政代码、护照号码、IP地址、雇主识别号码、USCIS 或外国人登记号、国民健康服务号码 - 英国、医疗记录/健康保险信息、照片、社会安全号码 - 美国、金融账户信息、账户用户名和密码、生物特征信息、种族/民族、刑事定罪或罪行、工会隶属关系等。

发布平台： lockbit

巴基斯坦点新闻2022年12月29日报道，俄罗斯黑客组织RaHDit在其网站NemeZida上发布了100多名在网络领域与俄罗斯作战的北约军官信息。上周早些时候，RaHDit还发布了一份名单，其中包含来自两个组织——IT Army of Ukraine和Save UA——的数千名乌克兰黑客。

发布平台： pakistanpoint

据《卫报》报道，作为签证骗局的一部分，从2019年开始，中国学生被骗，欺诈者声称必须支付数百万美元以避免被驱逐出境。欺诈者会在每一波攻击中使用新的现收现付英国电话号码，以绕过每一波基于电话号码的封锁。作为钓鱼行动的一部分，攻击者每个月将使用一个英国电话号码联系每个目标学生一次或两次；如果没有接听这些电话，则会留下一个不寻常的自动语音邮件，学生们被引导通过语音邮件透露他们的个人信息。这些语音邮件冒充中国移动、中国银行、中国大使馆、中国政府官员语音邮件的语音邮件（其中包括中国工业和信息化部、中国驻英国大使馆和中国通信管理局）等。此外，DHL 和 Royal Mail 等快递服务也被用于分发此类钓鱼消息。

原文链接：

https://blog.bushidotoken.net/2022/12/redzei-chinese-speaking-scammers.html

https://gist.github.com/BushidoUK/ac6981bab9b2c1befacfe05c51a804df#comments

发布平台： bushidotoken、github

近期，研究人员发现 CNC 组织使用的两个下载器，其中一个下载器具有摆渡攻击的能力，利用移动存储设备作为“渡船”，间接从隔离网中窃取攻击者感兴趣的文件；另一个下载器使用欺骗性的具有不可信数字证书的 C2 节点进行通信。

原文链接：

https://mp.weixin.qq.com/s/uEjNpw-rtpjGGPacJS19WQ

发布平台：  安天集团

美国海军陆战队司令大卫·伯杰近日表示，战场上新技术的使用促使美国军方重新考虑其作战行动，为未来与技术先进的对手的冲突做准备，其中许多变化已在俄罗斯-乌克兰冲突中得到验证。自今年2月俄罗斯军队袭击乌克兰以来，手机一直是俄罗斯的一个弱点。乌克兰和外国政府窃听了俄罗斯军队使用不安全电话相互通话以及与在俄罗斯的家人通话的情况。据报道，乌克兰人还跟踪俄罗斯将军拨打不安全电话，并利用这些信息发动攻击。

原文链接：

https://mp.weixin.qq.com/s/Wdzim4yjpz7ymeG1DrT4dg

https://www.businessinsider.com/russia-ukraine-war-shows-battlefield-phone-risk-top-marine-says-2022-12?international=true&r=US&IR=T

发布平台： businessinsider、 路透午报

Google Home 智能扬声器中的一个漏洞允许安装一个后门账户，该账户可用于远程控制它并通过访问麦克风馈送将其变成窥探设备。在试验自己的 Google Home 迷你扬声器时，研究人员发现使用 Google Home 应用程序添加的新账户可以通过云 API 向其远程发送命令。

原文链接：

https://downrightnifty.me/blog/2022/12/26/hacking-google-home.html

发布平台： downrightnifty