每周安全事件 221125-1202

高级威胁事件

1. Kimsuky 组织以 IBM 公司安全产品为诱饵的攻击活动分析

2. Sandworm 使用 RansomBoggs 新型勒索软件针对几个乌克兰组织的网络

3. APT37 使用 Windows 恶意软件 Dolphin 扫描受害者的手机以窃取数据

非传统领域国家安全事件

1. 【海外利益安全】以“安全风险”为由，美英两国停用中国监控摄像头，违背了市场公平竞争原则

2. 【生物安全】俄新社称“美国正将生物实验室转移至第三国”

国家安全事件

1. 加拿大公布印太战略从军事、情报、网安三方面对抗中国

2. 美国大部分国防承包商不符合美国基本的网络安全要求

数据泄露事件

1. 近5亿 WhatsApp 用户的数据遭到泄露

其他网络安全事件

1. 威胁行为者注册域并等待数年才使用它们，以期绕过安全平台的检测

2. Docker Hub 存储库中存在1650个以上的恶意容器

3. 攻击者利用 TikTok 的热门挑战活动传播恶意软件

4. 研究人员通过 Shodan 网空搜索引擎发现恶意软件登录页面

组织：疑似Kimsuky（又名SharpTongue/ Thallium/ SectorA05/ APT-C-55，朝鲜）

攻击手法： 近日，360高级威胁研究院捕获了一起 Kimsuky 组织利用 IBM 公司安全产品为诱饵投递 BabyShark 攻击组件的攻击活动。在此次攻击活动中，攻击者利用失陷域 nuclearpolicy101[.]org 向目标投递恶意 ISO 文件，通过 BAT 脚本安装 IBM 公司的名为update.exe的 IBM Security Trusteer Rapport 安全产品，同时利用BAT脚本下载恶意载荷，收集目标主机信息。

归因分析： 由于此次攻击事件中使用的攻击载荷和样本通信格式符合 BabyShark 组件特征，并且捕获的以The Burden of the Unintended 文章为诱饵的攻击活动的样本解密算法和密钥都符合公开威胁情报中Kimsuky样本特征，因此研究人员将此次攻击事件归属为 Kimsuky 组织。

原文链接：

https://mp.weixin.qq.com/s/OaECtSaeClPzFHslN_WamA

发布平台：  360威胁情报中心

组织：疑似Sandworm（又名Telebots/Voodoo Bear/ Unit 74455，俄罗斯GRU）

攻击目标： 乌克兰

原文概述： 安全研究人员观察到一种名为 

RansomBoggs 的新勒索软件针对几个乌克兰组织的网络。根据使用 POWERGAP 的证据，其活动被归因于俄罗斯威胁组织 Sandworm。今年 3 月，该组织在针对乌克兰组织的攻击中投放了破坏性的 CaddyWiper 恶意软件。

RansomBoggs 是用 .NET 编写的，在 CBC 模式下使用 AES-256 加密文件，使用随机生成的 RSA 加密密钥写入 aes.bin。它还为所有加密文件添加了 .chsch 扩展名，并留下一张由电影《怪兽公司》中的角色 James P. Sullivan 签名的赎金字条。

归因分析： 

1、POWERGAP 是此次攻击中使用的 Powershell 脚本，是 RansomBoggs 和 Sandworm 之间的链接密钥。它与4月份针对能源部门的Industroyer2攻击期间观察到的脚本相同。

2、3 月份，在针对乌克兰组织的攻击中，同样的脚本被用来传播破坏性的CaddyWiper恶意软件。

综上所述，研究人员将攻击归因于 Sandworm 组织。

原文链接：

https://twitter.com/ESETresearch/status/1596181925663760386

https://www.welivesecurity.com/2022/11/28/ransomboggs-new-ransomware-ukraine/

发布平台： Twitter、ESET

组织：疑似 APT37（又名Hermit/Ricochet Chollima，朝鲜）

攻击目标： 韩国

原文概述： 安全研究人员发现了一个以前不为人知的后门并将其命名为 Dolphin。该后门具有广泛的间谍功能，包括监控驱动器和便携式设备以及泄露感兴趣的文件、键盘记录和截屏以及从浏览器窃取凭据。该后门的功能是为选定的目标保留的，在使用不太高级的恶意软件进行初始妥协后，后门会部署到这些目标。与其他 ScarCruft 工具一样，Dolphin 滥用云存储服务，特别是 Google Drive，进行 C&C 通信。该后门被用作 2021 年初多阶段攻击的最终有效载荷，涉及对韩国在线报纸的水坑攻击、Internet Explorer 漏洞利用和另一个名为 BLUELIGHT 的 ScarCruft 后门。在跟踪调查过程中，研究人员已经观察到多个版本的后门，其中威胁行为者改进了后门的功能并试图逃避检测。

导致 Dolphin 后门执行的攻击组件概览

恶意软件版本改进时间线

原文链接：

https://www.welivesecurity.com/2022/11/30/whos-swimming-south-korean-waters-meet-scarcrufts-dolphin/

发布平台： ESET

美国联邦通信委员会（FCC）以国家安全为由，禁止授权进口或销售华为、中兴、海能达、海康威视、大华的中国电信和视频监控产品。由于未经 FCC 批准在美国提供此类产品是不合法的，此举实际上是对五家供应商产品的禁令，即除了网络设备和闭路电视产品外，手机、相机、Wi-Fi 路由器和其他智能家居套件将不允许在美国本土销售。同样，英方也表示禁用海康威视和大华的安全摄像头。对此，很难不让人理解为是一种“美国政治打压”的延续，也违背了市场公平竞争的精神。中国外交部回应“中方坚决反对一些人泛化国家安全概念，无理打压中国企业。我们将继续密切关注有关动向，中国政府也将坚定维护中国企业的正当合法权益。”

原文链接：

https://mp.weixin.qq.com/s/9hZJrTCUBdWfgVMMhg0t9w

https://docs.fcc.gov/public/attachments/FCC-22-84A2.pdf

发布平台： FCC、外交部发言人办公室

据俄新社莫斯科26日报道，俄罗斯武装力量辐射、化学和生物防护部队负责人伊戈尔·基里洛夫中将26日表示，由于发生事故的风险很高，美国正将其生物实验室转移到第三国。报道称，基里洛夫还强调，在美国，监控生物实验室安全违规行为的系统是分散的，并且仅涵盖享受联邦预算拨款的设施。私人实验室几乎不受监控，尽管它们正在进行特别危险的病原体的研究。基里洛夫说：“（最近十年）总共记录了两百多起此类事件。可以推测，官方统计只列入了一小部分事件，实际情况要糟糕得多。”

原文链接：

https://www.rt.com/russia/567242-russia-concern-us-biological-activities/

发布平台： 俄新社

莫斯科(卫星网)——加拿大外交部长梅勒妮·乔利周日（27日）表示，加拿大提出了其印度-太平洋战略，旨在通过增加军费开支和加强贸易联系来巩固该国在该地区的领导地位。据彭博社报道，渥太华将致力于增加军费开支，加强与印太国家的贸易关系，同时对抗中国及其日益增长的影响力。该战略还概述了17亿美元的额外支出，用于增加军事存在、增强情报能力和网络安全。与此同时，加拿大将通过削减投资等方式挑战中国。路透社称，渥太华还计划收紧外国投资规定，保护知识产权，以防止中国国有企业向加拿大的关键领域注入资金。该文件还指出，加拿大应该保持与中国的关系，尽管概述了一些要点。根据世界银行的数据，中国是加拿大仅次于美国的最重要贸易伙伴，占加拿大进口总额的近15%。

原文链接：

https://sputniknews.com/20221127/canada-unveils-indo-pacific-strategy-to-counter-china-1104765871.html

发布平台： sputniknews

CyberSheath 受委托进行的一项研究显示，近90%（87%）的美国国防承包商未能达到基本的网络安全监管要求。这项针对300家美国国防部承包商的调查发现，只有13%的受访者的供应商风险绩效体系（SPRS）被认为是合规的。在 CyberSheath 的研究中，超过五分之四的国防承包商表示，他们经历了与网络相关的事件，近五分之三的承包商经历了与网络相关的事件导致的业务损失。

原文链接：

https://cybersheath.com/more-than-87-of-pentagon-supply-chain-fails-basic-cybersecurity-minimums/

发布平台： cybersheath

一名黑客在黑客论坛中发布了一个贴子，声称他们正在出售一个包含2022年4.87亿 WhatsAPP 用户手机号码的数据集。该数据集包含来自84个国家地区的 WhatsAPP 用户数据，其中有3200万美国用户、4500万埃及用户、3500万意大利用户、2900万沙特阿拉伯用户、2000万法国用户、2000万土耳其用户、1000万俄罗斯用户和1100万英国用户的电话号码。黑客没有具体说明他们是如何获得数据集的，并保证这些号码确实属于 WhatsApp 用户。目前，WhatsApp 的母公司 Meta 否认了此种说法。

原文链接：

https://breached.vc/Thread-Selling-487-million-whatsapp-users-scrape?highlight=487+million

https://cybernews.com/news/whatsapp-data-leak/

发布平台： cybernews、BreachForums

一个名为“CashRewindo”的老练威胁参与者一直在全球恶意广告活动中使用多年前注册了的域，以期绕过安全平台。这种技术的工作原理是，长期未参与恶意活动的旧域在 Internet 上赢得信任，使它们不太可能被安全工具标记为可疑。恶意广告涉及在合法广告网络推广的数字广告中注入恶意 JavaScript 代码，将网站访问者带到托管网络钓鱼表单、投放恶意软件或进行诈骗的页面。CashRewindo 恶意广告活动遍布欧洲、北美和南美、亚洲和非洲，使用在当地观众看来是合理的语言和货币。

原文链接：

https://blog.confiant.com/cashrewindo-how-to-age-domains-for-an-investment-scam-like-fine-scotch-a48d22788c84?gi=88c943d4df3b

发布平台： Confiant

Docker Hub 是一个基于云的容器库，允许人们自由搜索和下载 Docker 镜像，或将他们的作品上传至公共仓库或个人存储库中。研究人员发现，超过1600个公开可用的 Docker Hub 镜像中存在隐藏的恶意行为，包括挖矿、嵌入的后门、DNS 劫持和网站重定向等。攻击者滥用 Docker 服务，将带有恶意软件的镜像进行上传，并利用名称等信息伪装成热门且值得信赖的项目，以诱骗受害者进行下载，这给用户带来了严重的风险。

原文链接：

https://sysdig.com/blog/analysis-of-supply-chain-attacks-through-public-docker-images/

发布平台： sysdig

攻击者正在利用 TikTok 的热门挑战活动“Invisible Challenge”传播恶意软件，窃取受害者的密码信息。攻击者利用该挑战传播一种虚假的程序，并利用该程序在受害者计算机中部署 WASP Stealer 窃密木马，能够窃取存储在浏览器中的密码、加密货币钱包密码、Discord 账户密码和信用卡信息，甚至是计算机中的文件。研究人员发现攻击者发布的两个 TikTok 宣传视频迅速累积了超过100万的总播放量，且攻击者的Discord 服务器曾一度拥有大约32000名成员。Discord 服务器上有攻击者发布的指向托管虚假程序的 Github 链接，该 Github 项目目前已经拥有103颗星和18个分支。

原文链接：

https://checkmarx.com/blog/attacker-uses-a-popular-tiktok-challenge-to-lure-users-into-installing-malicious-package/

发布平台： checkmarx

安全研究员 BushidoToken 最近利用 Shodan 网空搜索引擎，发现了三个新的信息窃密类恶意软件：Titan Stealer、Patriot Stealer 和 Raxnet Stealer。根据 Shodan 的结果，大部分都聚集在德国、巴拿马、美国与俄罗斯四个国家。新发现的恶意软件即服务（MaaS）平台 Patriot Stealer，可以窃取受害者的密码、Cookie、自动填充数据、Telegram 会话等。

原文链接：

https://blog.bushidotoken.net/2022/11/detecting-and-fingerprinting.html

发布平台： bushidotoken