安全威胁情报周报（2023/03/06-2023/03/10）

据观察，与朝鲜有联系的Lazarus Group在一年内两次利用未公开软件中的漏洞攻击韩国的一家金融企业实体。

值得注意的是，近几个月来，Lazarus Group反复使用了自带易受攻击的驱动程序（又名 BYOVD）技术，ESET和AhnLab在去年年底的一系列报告中都记录了这一点。为隐藏其恶意行为而采取的其他措施包括在删除文件之前更改文件名，以及使用称为timestomping的反取证技术修改时间戳。

相关研究人员称，Lazarus组织正在研究各种其他软件的漏洞，并通过改变他们禁用安全产品的方式不断改变他们的TTP，并采用反取证技术来干扰或延迟检测和分析，以渗透韩国机构和公司。

Fortinet披露了影响FortiOS和FortiProxy的一个严重漏洞(CVE-2023-25610)，它可导致未认证攻击者通过特殊构造的请求，在易受攻击设备的GUI上执行拒绝服务。

当程序尝试从内存缓冲区中读取的数据多于可用数据时就会触发，导致访问邻近的内存未知，引发风险行为或崩溃后果。

Fortinet公司表示，在安全通告中列出的50款设备机型并不受该漏洞任意代码执行部分的影响，仅受拒绝服务部分的影响，即使它们运行的是易受攻击的FortiOS 版本也不例外。

据网站披露，西班牙巴塞罗那的一家医院遭遇勒索软件攻击，导致医院计算机系统故障，许多实验室、诊室和急诊室的电脑无法使用。据《国家报》报道，约150个非紧急手术和数千病人的预约检查被迫取消。

此次勒索攻击对医院正常运转产生了严重影响，由于无法进入电子病人数据共享系统，医疗人员只能被迫将诊断信息纸质化，一些紧急的病患也不得不转移到其它医院。

勒索事件发生后，加泰罗尼亚地区网络安全局表示，Ransom House勒索团伙“站出来”对此事负责，该团伙曾攻击过半导体公司AMD，并声称出售了其“合作伙伴”窃取来的数据。

近日名为“Kernelware”的黑客声称在2023年2月中旬盗取了宏碁（Acer）的数据，宣称对宏碁公司的重大数据泄露事件负责。

根据Kernelware的说法，他于2023年2月中旬发现宏碁的漏洞，该漏洞导致大量敏感信息被盗，总计包含160GB的655个目录和2869个文件。Kernelware在某知名黑客论坛上的发布帖子，提出要将数据库卖给感兴趣的人，指出该数据库包含各种有价值的文件和文档。该黑客还分享了一份被盗数据的样本，以证明其真实性。

Kernelware要求用XMR（Monero）付款并建议找中间人确保交易成功。虽然目前还不清楚这些数据是否是真实，但黑客表示可以通过第三方交易，并且保证被盗数据的质量，这都暗示了此次数据泄露的严重性。

地下数据泄露市场用户声称，成功通过故障和错误获得了摩托罗拉移动的JIRA系统备份控制面板访问权限，并窃取了约11GB数据。

据用户LeakBase透露，外泄的数据包括管理面板（即管理后台）数据，以HTML格式导出并带有截屏内容。该用户还提到，数据包含多种文件格式，总大小约为11GB。

通过对泄露网站上共享的数据进行初步分析，分析师发现信息内容真实有效。相关外媒已经就此事向摩托罗拉发出置评请求。

暗网信用卡网站BidenCash近日免费泄露了大约210万个被盗支付卡号的集合。

据悉，BidenCash是一个在暗网上和明网上都运行的银行卡市场，向公众提供被盗的信用卡详细信息。暗网信用卡网站BidenCash近日免费泄露了大约210万个被盗支付卡号的集合。

威胁情报公司的研究人员分析了泄漏事件，报告说它至少包含740,858张信用卡、811,676张借记卡和293张签账卡。专家指出，由于不同的欺诈保护，借记卡持有人的风险高于信用卡持有人。

黑客从有争议的巴西跨国公司安德拉德·古铁雷斯（Andrade Gutierrez）那里窃取了数TB的公司和员工信息，据报道，该公司仍未承认。

据《巴西报道》报道，一个名为“黑暗天使”的黑客组织声称窃取了3TB的电子邮件和公司信息，包括姓名，电子邮件地址，护照详细信息，付款信息，税号和超过10,000名员工的健康保险信息。报道中提到，隐藏在多封电子邮件中的密码可用于登录市政和州税务机关帐户。

勒索软件组织称它从明尼阿波利斯公立学校窃取了学生数据。

该学区为约34,500名学生提供服务，上周在勒索软件攻击损坏某些系统后面临中断。学校称这次攻击是“加密事件”，并表示它摧毁了互联网，电话，相机，徽章访问，打印机和建筑物警报。学校已使用备份，并与执法部门和网络安全专家合作恢复了他们的大部分系统。

3月7日，美杜莎勒索软件组织将该学区添加到受害者名单中，在从学校窃取的数据泄露之前，给他们10天的时间支付赎金。该组织后来发布了一个51分钟的视频链接，该视频显示了他们所窃取的数据的屏幕截图。其中包括被盗电子邮件，学生成绩，建筑布局，工资单信息等来自MPS的镜头。

据相关网站披露，美国联邦调查局（FBI）正在调查一起影响美国众议院议员和工作人员的数据泄露事件。据悉，被盗的敏感个人数据信息从来自DC Health Link的服务器。

数据被盗事件发生后，美国众议院首席行政官凯瑟琳·L·斯平多（Catherine L.Szpindor）在一封电子邮件中向受影响的个人通报了这一网络攻击事件。

目前，黑客论坛上正在出售一份带有数据库标题的被盗数据样本，其中包含大约170000名受影响个人的信息，包括他们的姓名、出生日期、地址、电子邮件地址、电话号码、社会保险号码等。

上个月，海尔德兰的护理机构Attent Zorg en Behandeling的系统遭到臭名昭著的麒麟勒索软件组织的黑客攻击。

袭击发生在2月17日，给该设施造成了技术困难。该护理机构通过其网站宣布了该漏洞，并将问题归因于未经授权访问其网络的团体。

麒麟集团声称，它利用一个未修补的漏洞进入了该设施的系统，导致数百千兆字节的数据被盗，包括机密的内部通信、工资表和保密协议。该组织威胁说，除非该设施支付赎金，否则将发布数据。最近，该组织通过在其网站上发布一些被盗数据来兑现其威胁，包括保留长达十年的过期护照复印件。

为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求，规范证券期货业网络和信息安全管理。证监会制定并发布了《证券期货业网络和信息安全管理办法》。

《办法》共计8章75条，将于2023年5月1日起正式实施，聚焦网络和信息安全领域，在总结实践经验的基础上，为上位法在证券期货行业的落地实施明确了路径。

《办法》全面覆盖了包括证券期货关键信息基础设施运营者、核心机构、经营机构、信息技术系统服务机构等各类主体，以安全保障为基本原则，对网络和信息安全管理提出规范要求。

近日美国总统拜登在白宫发布了最新的《国家网络安全战略》，阐述了美国未来十年的数字生态体系的发展计划，其核心目的是网络防御和网络弹性。

拜登进一步指出，这份长达35页的《安全战略》旨在“更好地保护网络空间，并确保美国处于最有利的地位，以实现数字未来的所有好处和潜力。”

《安全战略》认为，美国在网络空间分配角色、责任和资源的方式发生根本性转变，是新战略背后的推动力；并强调制定强制性的关键基础设施网络安全政策要求，政府须以协调的方式使用国家权力的所有工具来保护国家安全、公共安全和经济繁荣。

本文将对黑客利用微软云服务进行网络钓鱼攻击的技术进行研究分析，这些被利用的云服务包括：OneNote、OneDrive、Forms等。

本文将对黑客利用微软云服务进行网络钓鱼攻击的技术进行探讨，这些被利用的云服务包括：OneNote、OneDrive、Forms等。请阅读本文，以更好地保护自己的系统和网络安全，避免成为网络钓鱼的受害者。需要注意的是，这种滥用行为并非通过漏洞或入侵微软云服务实现，而是利用微软云服务的正常功能进行的攻击。

OneDrive是一种云存储服务，用户可以使用OneDrive来存储文档、照片、视频、音频等文件类型，OneDrive还可以与其他微软服务如Office 365集成，让用户能够在云端轻松地创建、编辑和共享文档。利用OneDrive的存储功能和链接分享功能，我们可以方便的托管恶意文件，并且使用微软提供的域名“1drv.ms”进行投递。

OneNote是微软的笔记应用，具备强大的内容编辑器和网页剪藏功能，并且在OneDrive上进行了集成，用户可以创建自己的笔记，并将它们共享给其他人。我们可以通过利用OneNote进行诱导性内容托管，包括“敏感的话术文字”、“恶意链接”和“恶意文件”等，最终将这些内容托管在“onedrive.live.com”域名上，并通过该域名进行访问。

利用OneDrive的附件插入功能，我们还可以轻松捕获该附件文件的下载直链，然后在任意场景下通过“onenote.officeapps.live.com”域名进行投递。

OneDrive的邮件分享功能可以帮助用户将文件或文件夹通过邮件发送给其他人，选择要分享的文件或文件夹，然后单击“分享”按钮。接下来，可以选择“通过电子邮件邀请”选项，输入收件人的电子邮件地址，并添加一条消息来描述这个分享链接。

使用OneDrive的邮件分享功能，用户可以定制化“描述文字”、“发件人姓名”，最终通过微软的邮件服务发送邮件。这些邮件看起来来自微软，实际上包含恶意文件和恶意链接。

微软Forms是一种在线调查和问卷工具，可以帮助用户轻松地创建各种类型的表单，包括：问答题目、选择题、分页、分段和主题，并可以选择多种样式和布局。同时，微软Forms还提供了数据分析和报告功能，可以帮助用户轻松地分析回答结果。

借助微软Forms，用户可以快速创建一个定制化的钓鱼表单。用户可以自由设计表单的“背景图片”、“文字内容”、“输入问题”等，以达到欺骗受害者的目的。这些表单将被托管在"forms.office.com"域名下，可以方便地记录目标的输入内容，从而实现个人或组织的攻击行为。

在滥用微软云服务进行网络钓鱼攻击方面，微软已经采取了一系列措施来保护用户。微软的云服务包括高级威胁防护、多因素身份验证等功能，可以帮助用户识别并阻止这种攻击。尽管微软云服务的安全功能越来越强大，但是攻击者也在不断改进其攻击手段。因此，用户和企业应该时刻保持警惕，注意验证所有不明来历的邮件和链接，并在下载和安装任何软件之前进行彻底的安全检查。