安全事件周报 2023-05-22 第21周

本周收录安全热点62项，话题集中在安全分析、安全漏洞、网络攻击。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

新的AhRat Android恶意软件隐藏在应用程序中，安装量达50000次

日期: 2023-05-24
标签: AhRat Android恶意软件

ESET恶意软件研究员发现，在Google Play商店中隐藏着一个新的远程访问特洛伊木马（RAT），在一个安卓屏幕录制应用中，它已经安装数万次。iRecorder - 屏幕录制应用程序最初于2021年9月添加到商店，但是可能是通过在2022年8月推出的恶意更新中被修改的。该应用的名称使它更容易请求在感染设备上录制音频和访问文件的权限，因为请求与屏幕录制工具的预期功能相匹配。在被移除之前，应用程序在Google Play商店上积累了超过50,000次安装，使用户易受恶意软件感染之苦。ESET的恶意软件研究员表示，本次事件不是首次出现AhMyth-based的Android恶意程序入侵了Google Play商店。

详情

https://www.bleepingcomputer.com/news/security/new-ahrat-android-malware-hidden-in-app-with-50-000-installs/

https://www.bleepingcomputer.com/news/security/new-ahrat-android-malware-hidden-in-app-with-50-000-installs/

CopperStealer恶意软件使用新的Rootkit和网络钓鱼套件模块

日期: 2023-05-22
标签: CopperStealer恶意软件

网络安全公司Trend Micro在2023年3月和4月发现CopperStealer恶意软件的威胁者重新出现，使用新负载CopperStealth和CopperPhish进行两个攻击活动。Trend Micro将这一以金钱为动机的组织命名为Water Orthrus。这个对手还负责另一个被称为Scranos的活动。Water Orthrus自2021年以来一直活跃，在使用“按装获利(PPI)”网络将被攻击者拦截的受害者重定向到破解软件下载站，在那里释放被称为CopperStealer的信息窃取软件的过程中拥有丰富的经验。最新的攻击活动使用了与前面攻击类似的技术，通过包装成中国软件共享网站的免费工具安装器来传播CopperStealth。CopperPhish恶意软件则通过PPI网络以类似的方式传播，利用网络钓鱼攻击窃取信用卡信息。这些攻击活动是威胁者策略演化的一部分，表明他们正在尝试添加新的工具来扩展其金融收益。

详情

https://thehackernews.com/2023/05/water-orthrus-copperstealer-malware.html

https://thehackernews.com/2023/05/water-orthrus-copperstealer-malware.html

加密网络钓鱼服务Inferno Drainer诈骗数千名受害者

日期: 2023-05-23
标签: 网络钓鱼服务

“Inferno Drainer”是一家虚假加密货币钓鱼和诈骗服务机构。据Web3反欺诈公司“Scam Sniffer”报告，自2023年3月27日以来，该钓鱼服务已经创建了至少689个假网站，从4888个受害者那里盗取了超过590万美元的加密货币。大部分钓鱼网站在2023年5月14日之后上线，分析人员报告称当时出现了网站构建活动的激增。使用Inferno Drainer创建的恶意网站针对了229个流行品牌，包括Pepe、Bob、MetaMask、OpenSea、Collab.Land、LayerZero等。Scam Sniffer发现这项服务后，通过Telegram发布了一张窃取10.3万美元的屏幕截图来宣传该服务。Inferno Drainer提供多链欺诈、Aave令牌和Art Blocks抽干、MetaMask令牌许可漏洞等服务。受害者应在交易中保持警惕，对进入的信息持怀疑态度，并验证发件人的身份，使用多因素身份验证保护他们的账户，并保持软件更新。最好不要在线上透露任何个人信息，在硬件“冷”钱包中存储大多数数字资产。

详情

https://www.bleepingcomputer.com/news/security/crypto-phishing-service-inferno-drainer-defrauds-thousands-of-victims/

https://www.bleepingcomputer.com/news/security/crypto-phishing-service-inferno-drainer-defrauds-thousands-of-victims/

新的PowerExchange恶意软件在Microsoft Exchange服务器安装后门

日期: 2023-05-25
标签: Microsoft Exchange服务器

据网络安全公司 Fortiguard Labs Threat Research 称，伊朗国家黑客 APT34 部署了一种名为 PowerExchange 的基于 PowerShell 的恶意软件。在通过包含存档的恶意可执行文件的网络钓鱼电子邮件渗透后，该恶意软件被用于为内部部署的 Microsoft Exchange 服务器设置后门。然后，威胁行为者使用一个名为 ExchangeLeech 的网络外壳来窃取用户凭据，该外壳曾于 2020 年被发现。 PowerExchange 通过 Exchange Web 服务与命令和控制服务器通信。该恶意软件是在阿拉伯联合酋长国政府组织的系统中发现的。恶意软件混入良性流量以避免检测和修复的能力意味着 APT34 可以在被黑服务器上执行命令和泄露文件。

详情

https://www.bleepingcomputer.com/news/security/new-powerexchange-malware-backdoors-microsoft-exchange-servers/

https://www.bleepingcomputer.com/news/security/new-powerexchange-malware-backdoors-microsoft-exchange-servers/

ILOVEYOU蠕虫暴露人类是网络安全的致命弱点

日期: 2023-05-25
标签: ILOVEYOU蠕虫

2000年发生的“ILOVEYOU”病毒感染了全球超过1000万台Windows电脑，造成的潜在损失可能超过100亿美元，也让我们明白人类对社交工程策略的易感性。如今，随着人工智能和大规模语言模型的出现，攻击者可以通过深度伪造技术制造高度可信的社交工程攻击，并掌握新的突破性手段。组织需要重视员工的全面网络安全培训，建立强大的安全意识和文化，软件供应商也需要附加易用和技术特性加强用户的安全防护。随着科技的发展，每个人都必须提高警觉性，增强防范意识，保护自己的数字世界。

详情

https://www.scmagazine.com/perspective/cybercrime/how-the-iloveyou-worm-exposed-human-beings-as-the-achilles-heel-of-cybersecurity

https://www.scmagazine.com/perspective/cybercrime/how-the-iloveyou-worm-exposed-human-beings-as-the-achilles-heel-of-cybersecurity

Lazarus集团瞄准微软网络服务器推出间谍恶意软件

日期: 2023-05-25
标签: 间谍恶意软件

韩国安全公司AhnLab Security Emergency response Center（ASEC）分析发现，朝鲜的Lazarus组织正在针对Windows IIS web服务器发动间谍攻击。攻击者利用“动态链接库（DLL）旁加载技术”的变种方法，将恶意DLL放置于Windows IIS web服务器进程w3wp.exe所在的文件夹路径中，然后执行正常的应用程序，以启动恶意DLL的执行。收到感染的服务器上的另一个恶意软件diagn.dll实现了凭证窃取和横向移动，并进行间谍行动。这是Lazarus组织一系列攻击方式之一，显示了该组织越来越成熟的攻击手段。建议企业安全管理人员使用防御措施，及时升级补丁，组织员工进行安全培训，提高防范意识。

详情

https://www.infosecurity-magazine.com/news/lazarus-group-microsoft-servers?utm_source=twitterfeed&utm_medium=twitter

https://www.infosecurity-magazine.com/news/lazarus-group-microsoft-servers?utm_source=twitterfeed&utm_medium=twitter

商用安卓间谍软件“Predator”分析

日期: 2023-05-26
标签: 安卓间谍软件

安全研究人员从Cisco Talos和Citizen Lab介绍了商用安卓间谍软件“Predator”及其加载器“Alien”的数据窃取功能和其他操作细节。Predator是由以色列公司Intellexa开发和销售的面向移动平台的商用间谍软件（iOS和安卓）。该间谍软件与监视调查、针对高调欧洲政治家和甚至Meta高管的操作有关。该间谍软件可记录电话呼叫、从消息应用程序获取信息，甚至隐藏应用程序并防止在感染的安卓设备上运行。在2022年5月，Google TAG公布了五个安卓零日漏洞，用于Predator间谍软件执行shellcode执行操作，以在目标设备上放置Predator的加载器“Alien”。Alien加载器从一个名为“zygote64”的核心Android进程注入，并根据硬编码配置下载和激活其他间谍软件组件。最后，Alien将窃取的数据和录音保存在共享内存空间中，然后通过Predator进行外泄。

详情

https://www.bleepingcomputer.com/news/security/predator-looking-under-the-hood-of-intellexas-android-spyware/

https://www.bleepingcomputer.com/news/security/predator-looking-under-the-hood-of-intellexas-android-spyware/

与俄罗斯有关的CosmicEnergy恶意软件针对美国工业系统

日期: 2023-05-26
标签: 工业系统

曼迪安特（Mandiant）安全研究人员发现了一种名为CosmicEnergy的新型恶意软件，旨在干扰工业系统，并与俄罗斯网络安全公司Rostelecom-Solar（以前称为SolarSecurity）有关。该恶意软件专门针对符合IEC-104标准的远程终端单元（RTU），这种设备在欧洲、中东和亚洲的电力传输和配电操作中被广泛使用。CosmicEnergy是在2021年12月由一个俄罗斯IP地址上传到病毒总平台VirusTotal的，分析该样本揭示了有关CosmicEnergy及其功能的几个值得注意的方面。Mandiant认为，这种恶意软件可能是由俄罗斯网络安全公司Rostelecom-Solar开发的红方测试工具，旨在模拟干扰演习。

详情

https://www.bleepingcomputer.com/news/security/new-russian-linked-cosmicenergy-malware-targets-industrial-systems/

https://www.bleepingcomputer.com/news/security/new-russian-linked-cosmicenergy-malware-targets-industrial-systems/

新的僵尸网络Dark Frost以DDoS攻击袭击游戏行业

日期: 2023-05-26
标签: 僵尸网络

Dark Frost是最新一种Botnet，其利用已有恶意软件如Gafgyt、QBot和Mirai等的代码开发成。黑冰已经通过UDP洪水攻击瞄准了游戏公司、游戏服务器托管供应商、在线流媒体播放器，以及与黑客直接互动过的其他游戏社区成员。作为一个Botnet，黑冰由全球范围内被感染的大量设备组成，通常用于挖掘加密货币，窃取敏感数据，或利用其集成的互联网带宽通过发动洪水攻击来攻击其他网站和互联网服务器。黑冰使用ARMv4、x86、MIPSEL、MIPS和ARM7等各种指令集架构，目前有414台机器加入了该网络。根据Akamai的逆向工程，黑冰的攻击潜力大约为629.28 Gbps。黑冰的攻击者往往利用之前攻击中发现的安全漏洞进行攻击。

详情

https://thehackernews.com/2023/05/dark-frost-botnet-launches-devastating.html

https://thehackernews.com/2023/05/dark-frost-botnet-launches-devastating.html

“Lancefly”间谍组织利用自定义恶意软件瞄准亚洲各地的组织

日期: 2023-05-22
标签: 间谍组织

Symantec的研究人员发现，政府支持的黑客组织“Lancefly”使用定制的恶意软件攻击亚洲的政府、电信和其他组织。Symantec称，Lancefly（被标记为高级持久性威胁（APT））曾在2020年与多个钓鱼邮件攻击有关，这些攻击基于第37届东盟峰会。最新的攻击活动主要瞄准南亚和东南亚的政府、航空、教育和电信等机构，从2022年中期持续到2023年第一季度。Lancefly使用的后门名为Merdoor，自2018年以来一直存在，但只被“一小部分网络和少数设备高度有针对性地攻击”。“Merdoor允许黑客跟踪行动、记录击键并与被感染的设备直接通信。情报收集似乎是这些攻击活动的主要动机，鉴于使用的工具和瞄准的行业。Lancefly以前使用的其他工具，包括PlugX和ShadowPad恶意软件，是中国政府黑客的特征。

详情

https://therecord.media/lancefly-espionage-malware-backdoor-asia-apt

https://therecord.media/lancefly-espionage-malware-backdoor-asia-apt

Fata Morgana水坑袭击目标为航运、物流公司

日期: 2023-05-22
标签: CopperStealer恶意软件
0

网络安全公司ClearSky发现了一种针对多个以色列网站的复杂的“水坑攻击”，此次攻击被认为是由伊朗国家行为者发起的，引发了有关该地区航运和物流公司的安全问题的担忧。“水坑攻击”是指攻击者入侵一个特定群体经常访问的网站，例如政府官员、记者或企业高管。一旦入侵，攻击者可以注入恶意代码到网站中，并在用户访问网站时执行。此次攻击集中在航运和物流公司上，与伊朗过去三年的行业关注重合。ClearSky 判定这是由Tortoiseshell（也称为TA456或Imperial Kitten）组织进行的攻击，其传统上与伊朗的网络攻击有关联，但此次进行攻击的行为者有较低的置信度。

详情

https://www.infosecurity-magazine.com/news/fata-morgana-watering-hole-attacks?utm_source=twitterfeed&utm_medium=twitter

https://www.infosecurity-magazine.com/news/fata-morgana-watering-hole-attacks?utm_source=twitterfeed&utm_medium=twitter

美国医疗网络提供商Norton Healthcare遭受网络攻击

日期: 2023-05-22
标签: CopperStealer恶意软件
1

肯塔基路易维尔的医疗网络提供商Norton Healthcare最近遭受了网络攻击，不得不关闭其网络，以维持系统控制。临床医生被迫使用手动和纸质流程来维护服务，这也导致医疗服务等待时间变长。目前，Norton Healthcare正在分析每个受影响的应用程序，以确保在设备重新上线之前已消除了所有风险。这是本月以来第三家报告遭受网络攻击的美国医疗机构。此前田纳西州的Murfreesboro Medical Clinic & SurgiCenter和纽约的Richmond University Medical Center也遭受网络攻击。

详情

https://www.scmagazine.com/news/privacy/cyberattack-on-norton-health-spurs-long-waits-prescription-and-lab-delays

https://www.scmagazine.com/news/privacy/cyberattack-on-norton-health-spurs-long-waits-prescription-and-lab-delays

黑客利用Beautiful Cookie Consent Banner插件漏洞攻击150万个WordPress网站

日期: 2023-05-22
标签: CopperStealer恶意软件
2

近期，WordPress 英文版的“Beautiful Cookie Consent Banner”插件存在跨站脚本攻击安全漏洞，攻击者已利用该漏洞发起攻击，从而利用网站漏洞注入恶意代码，控制用户浏览器，进行代码执行及劫持操作，进而窃取网站敏感信息，感染恶意软件等。WordPress 安全公司 Defiant 指出，插件的版本号在 2.10.1 以下的站点都存在着这个漏洞，而攻击者则借此可以在 WordPress 站点上创建虚假管理员账户。尽管攻击目前无法注入 WordPress 站点恶意代码，但是对插件进行升级可维护安全。同时，有报道称，黑客还曝光了针对 Elementor 和 WordPress 自定义字段（Advanced Custom Fields）插件的 proof-of-concept 攻击。

详情

https://www.bleepingcomputer.com/news/security/hackers-target-15m-wordpress-sites-with-cookie-consent-plugin-exploit/

https://www.bleepingcomputer.com/news/security/hackers-target-15m-wordpress-sites-with-cookie-consent-plugin-exploit/

黑客破坏梭鱼电子邮件安全网关

日期: 2023-05-22
标签: CopperStealer恶意软件
3

全球电子邮件和网络安全解决方案提供商巴拉克达网络公司近日发现黑客们瞄准其电子邮件安全网关（ESG）设备的电子邮件附件扫描模块发动攻击，入侵部分设备。公司已于5月20日和21日发布了两个全球性补丁，并于5月23日警告部分客户仍存在设备被攻击的隐患，建议受影响的用户评估其网络环境，确保其网络上其他设备未被攻击。巴拉克达网络公司一直关注着该事件，受影响的用户将通过ESG设备得到通知。公司强调用户不需要在没有获得通知的情况下采取任何行动。

详情

https://www.darkreading.com/endpoint/threat-actors-compromise-barracuda-email-security-appliances

https://www.darkreading.com/endpoint/threat-actors-compromise-barracuda-email-security-appliances

疑似Tortoiseshell组织针对以色列航运和物流公司的水坑攻击行动

日期: 2023-05-22
标签: CopperStealer恶意软件
4

ClearSky检测到至少八个以色列网站受到水坑攻击。这次攻击极有可能是由来自伊朗的民族国家攻击者精心策划的，以较低的置信度归因于Tortoiseshell（也称为TA456或Imperial Kitten）。受感染的网站通过脚本收集用户信息。在水坑攻击中，攻击者会破坏特定人群（如政府官员、记者或企业高管）经常访问的网站。一旦遭到破坏，攻击者可以向网站注入恶意代码，当用户访问该网站时，该代码将被执行。目前，该攻击行动的重点是航运和物流公司，这与伊朗过去三年对该行业的关注保持一致。

详情

https://www.clearskysec.com/wp-content/uploads/2023/05/Fata-Morgana-Israeli-Websites-Infected-by-Iranian-Group-1.8.pdf

https://www.clearskysec.com/wp-content/uploads/2023/05/Fata-Morgana-Israeli-Websites-Infected-by-Iranian-Group-1.8.pdf

APT37冒充朝鲜人权组织的攻击行动

日期: 2023-05-22
标签: CopperStealer恶意软件
4

2023年4月到5月，Genience安全中心捕获了一些APT37组织的攻击行动，他们试图以恶意MS Word文件和LNK快捷方式文件的形式进行攻击。攻击者伪装成韩国的朝鲜人权界负责人，以另一名朝鲜人权界代表为攻击目标，进行了包含恶意文件的鱼叉式网络钓鱼攻击，类似的攻击仍在继续。APT37组织是FireEye命名的朝鲜APT组织，从2012年前后开始参与各种网络间谍行动，主要任务之一是在韩国的公共部门和私营部门进行以获取对朝鲜政权有利的情报为目的的侦察行动。

详情

https://www.genians.co.kr/hubfs/blogfile/threat_intelligence_report_apt37.pdf

https://www.genians.co.kr/hubfs/blogfile/threat_intelligence_report_apt37.pdf

新型PowerExchange后门用于伊朗对阿联酋政府的网络攻击

日期: 2023-05-22
标签: CopperStealer恶意软件
6

来自 Fortinet FortiGuard Labs 的一份新报告称，一个与阿拉伯联合酋长国（U.A.E.）相关的未知政府部门遭到了一个可能是伊朗威胁行动者的攻击，想要通过一种名为PowerExchange 的“简单而有效”的后门攻破受害者的 Microsoft Exchange Server。该入侵依赖电子邮件钓鱼作为初始路径，导致执行一个包含在ZIP文件附件中的.NET可执行文件，该二进制文件伪装为PDF文件，用作投放器以执行最终载荷，进而启动后门。PowerExchange采用PowerShell编写，利用电子邮件附加的文本文件进行命令控制（C2）通信。这使得威胁行动者可以运行任意载荷并在系统中上传和下载文件。Fortinet的研究发现，似乎该后门是TriFive 的升级版，之前用于伊朗国家级行动者APT34 (aka OilRig)攻击科威特政府组织。为了实现持久的远程访问和窃取用户凭证，还可以将Exchange服务器用作C2信道。

详情

https://thehackernews.com/2023/05/new-powerexchange-backdoor-used-in.html

https://thehackernews.com/2023/05/new-powerexchange-backdoor-used-in.html

安卓手机易受指纹暴力攻击

日期: 2023-05-22
标签: CopperStealer恶意软件
7

中国腾讯实验室和浙江大学的研究人员发现了一种名为BrutePrint的新攻击方法，其通过暴力破解现代智能手机的指纹，来绕过用户身份验证并接管设备。研究人员测试了10种流行的智能手机型号，成功地在所有安卓和HarmonyOS（华为）设备上实现了无限次尝试，对iOS设备尝试次数增加了10次。该攻击方法需要攻击者物理接触目标设备，并访问可从学术数据集或生物特征数据泄漏中获得的指纹数据库以及所需的设备，造成安全隐患。目前iOS的身份验证安全性要比安卓更强，可以有效防止暴力破解攻击。但在某些情况下，研究人员指出，使用类似BrutePrint这样的技术可以威胁到隐私权和权利利益，并影响一些在压迫国家生活的人们的安全。

详情

https://www.bleepingcomputer.com/news/security/android-phones-are-vulnerable-to-fingerprint-brute-force-attacks/

https://www.bleepingcomputer.com/news/security/android-phones-are-vulnerable-to-fingerprint-brute-force-attacks/

Netgear路由器的安全漏洞使用户陷入恶意软件、远程攻击和监视风险

日期: 2023-05-22
标签: CopperStealer恶意软件
8

工业网络安全公司 Claroty 发现了 Netgear RAX30 路由器中的五个安全漏洞，威胁参与者可以利用这些漏洞绕过身份验证并实现远程代码执行。这些漏洞在多伦多的 Pwn2Own 黑客竞赛中得到证实，攻击者可以利用这些漏洞监控用户活动、劫持互联网连接、将流量重定向到恶意网站或将恶意软件注入网络流量。这些漏洞还可用于访问和控制安全摄像头等网络设备、篡改路由器设置以及对其他网络发起攻击。 Netgear 已发布固件更新以解决这些漏洞。建议用户更新至固件版本 1.0.10.94。

详情

https://thehackernews.com/2023/05/netgear-routers-flaws-expose-users-to.html

https://thehackernews.com/2023/05/netgear-routers-flaws-expose-users-to.html

CISA警告三星设备受到攻击

日期: 2023-05-22
标签: CopperStealer恶意软件
9

美国网络安全和基础设施安全局（CISA）警告称，现已有人利用中度漏洞侵害三星设备。问题被称为CVE-2023-21492（CVSS评分为4.4），影响运行Android 11、12和13的某些三星设备。这家韩国电子公司将该问题描述为信息泄露漏洞，攻击者可以利用特权攻击者绕过地址空间布局随机化（ASLR）保护。ASLR是一种旨在通过混淆设备内存中可执行文件的位置来防止内存破坏和代码执行缺陷的安全技术。在活动滥用的情况下，CISA已将不足之处添加到其已知受攻击漏洞（KEV）目录中。同时，CISA敦促联邦民用行政部门在2023年6月9日之前应用补丁。

详情

https://thehackernews.com/2023/05/samsung-devices-under-active.html

https://thehackernews.com/2023/05/samsung-devices-under-active.html

KeePass漏洞使黑客能从各种内存源恢复明文主密码

日期: 2023-05-23
标签: 网络钓鱼服务
0

开源密码管理器KeePass Password Safe上周发现了一个漏洞，攻击者可以直接从软件的内存中提取主密码。这个漏洞存在于KeePass 2.x的2.54版本之前。Vulcan Cyber的研究人员称，攻击者可以从KeePass进程转储、交换文件、休眠文件或甚至全系统RAM转储等多种存储中恢复主密码。尽管攻击者需要获得本地访问权，但一旦获得，就可以使用该攻击获取存储在KeePass密码管理器中的所有密码。KeePass计划在6月初发布补丁。安全专家建议用户尽快更新到最新版本，并查看容易受到攻击的主机，以确保其尚未被攻击。

详情

https://www.scmagazine.com/news/identity-and-access/keepass-bug-lets-attackers-extract-the-master-password-from-memory

https://www.scmagazine.com/news/identity-and-access/keepass-bug-lets-attackers-extract-the-master-password-from-memory

CISA命令美国政府机构修补iPhone漏洞

日期: 2023-05-23
标签: 网络钓鱼服务
1

美国网络安全与基础设施安全局（CISA）下令联邦机构着手解决三个近期短期大漏洞，这些漏洞常被攻击者用于攻击苹果的iPhone、Mac和iPad等设备。这些安全性系统漏洞的编号分别为CVE-2023-32409、CVE-2023-28204和CVE-2023-32373，其中用于攻击的最新零日漏洞CVE-2023-32409需要实践笔记本电脑和iPad上的WebKit浏览器引擎以获取root权限。 CISA要求联邦文职行政机构（FCEB）在6月12日或之前对这些漏洞进行补丁修补，以避免受网络攻击。

详情

https://www.bleepingcomputer.com/news/security/cisa-orders-govt-agencies-to-patch-iphone-bugs-exploited-in-attacks/

https://www.bleepingcomputer.com/news/security/cisa-orders-govt-agencies-to-patch-iphone-bugs-exploited-in-attacks/

谷歌首次发布安全漏洞披露质量评级

日期: 2023-05-23
标签: 网络钓鱼服务
2

谷歌和 Android 宣布，他们现在将根据错误猎人提供的信息水平对漏洞披露报告进行评级，以鼓励更全面的提交。评级将基于多种因素，包括漏洞描述的准确性和细节、根本原因分析、可重复性、概念证明和可达性证据。漏洞赏金奖励也将增加到最高 15,000 美元。此外，从 2023 年 3 月 15 日开始，Android 将不再将常见漏洞和披露 (CVE) 分配给大多数中等严重性问题，重点关注严重性和高严重性漏洞。仅在 2022 年，谷歌的 VRP 就支付了 1200 万美元的漏洞赏金。这些变化旨在促进各方之间更好的沟通，并涵盖更全面的方面。

详情

https://www.darkreading.com/vulnerabilities-threats/google-debuts-quality-ratings-for-security-bug-disclosures

https://www.darkreading.com/vulnerabilities-threats/google-debuts-quality-ratings-for-security-bug-disclosures

GitLab强烈建议尽快修补严重的路径遍历漏洞

日期: 2023-05-23
标签: 网络钓鱼服务
3

GitLab发布了紧急安全更新版本16.0.1，以修复最高严重性（CVSS v3.1得分为10.0）的路径遍历漏洞（CVE-2023-2825）。该漏洞是一种路径遍历问题，当公共项目中存在附件时，允许未经身份验证的攻击者读取服务器上的任意文件。受影响的版本包括GitLab社区版（CE）和企业版（EE）16.0.0，但比该版本旧的所有版本均不受影响。攻击者可以调取敏感数据，包括专有软件代码，用户凭据，令牌，文件和其他私人信息。管理人员应尽快更新至最新版本。更新说明，请参见GitLab网站更新页面。

详情

https://www.bleepingcomputer.com/news/security/gitlab-strongly-recommends-patching-max-severity-flaw-asap/

https://www.bleepingcomputer.com/news/security/gitlab-strongly-recommends-patching-max-severity-flaw-asap/

Barracuda黑客警告通过零日漏洞攻破电子邮件网关

日期: 2023-05-23
标签: 网络钓鱼服务
4

网络安全公司Barracuda提醒客户：他们的部分Email Security Gateway (ESG)设备日前遭到攻击，该漏洞已被修复。该漏洞发现于5月19日，经过Barracuda两次安全补丁修复。尽管该漏洞在周末得到了修补，但Barracuda还是发出警告称，一些客户的ESG设备被利用这个漏洞已经受到了入侵，这些客户已经得到了通知。

Barracuda的调查局限于ESG产品而不是客户的企业网络。因此，公司建议受影响的组织检查其环境以确认攻击者没有传播到网络上的其他设备。对于那些没有收到他们通知的客户，他们可能没有受到影响，不需要采取任何措施。该公司尚未回复是否有客户数据受到影响，或有多少客户受到影响的更多细节。

详情

https://www.bleepingcomputer.com/news/security/barracuda-warns-of-email-gateways-breached-via-zero-day-flaw/

https://www.bleepingcomputer.com/news/security/barracuda-warns-of-email-gateways-breached-via-zero-day-flaw/

Windows 11 KB5026446更新发布，启用Moment 3功能

日期: 2023-05-23
标签: 网络钓鱼服务
5

微软发布了Windows 11 22H2 KB5026446更新，也称为“Moment 3”，为操作系统带来了许多新的、期待已久的功能。该更新是每月的预览更新，允许用户测试即将在下个月强制性“补丁星期二”更新中安装的修复和功能。尽管KB5026446更新应该是可选的，但当我们检查新更新时，它会自动安装在设备上。此外，该更新还带来了额外的22个改变、修复和新功能，包括：提供了所有Microsoft OneDrive订阅的存储容量总和，添加了蓝牙LE音频，修复了Narrator等方面的问题。新的Moment 3功能必须通过另一个更新激活。

详情

https://www.bleepingcomputer.com/news/microsoft/windows-11-kb5026446-update-released-how-to-enable-moment-3-features/

https://www.bleepingcomputer.com/news/microsoft/windows-11-kb5026446-update-released-how-to-enable-moment-3-features/

D-Link修复了D-View 8软件中的身份验证绕过和RCE漏洞

日期: 2023-05-23
标签: 网络钓鱼服务
6

D-Link在其D-View 8网络管理套件中修复了两个严重漏洞，这些漏洞可能允许远程攻击者绕过身份验证并执行任意代码。D-View是台湾网络解决方案供应商D-Link开发的网络管理套件，用于监控性能、控制设备配置、创建网络映射等，使网络管理和管理更加高效和省时。去年末，参与趋势科技零日倡议（ZDI）的安全研究人员发现了影响D-View的六个漏洞，并在2022年12月23日向供应商报告了这些漏洞。发现的两个漏洞的严重性较高（CVSS得分：9.8），可以让未经身份验证的攻击者对受影响的安装产生强烈影响。D-Link已发布有关ZDI报告的公告，该报告影响D-View 8版本2.0.1.27及以下版本。建议管理员升级到已修复版本2.0.1.28，并提醒用户在下载相应固件更新之前验证其产品的硬件版本。

详情

https://www.bleepingcomputer.com/news/security/d-link-fixes-auth-bypass-and-rce-flaws-in-d-view-8-software/

https://www.bleepingcomputer.com/news/security/d-link-fixes-auth-bypass-and-rce-flaws-in-d-view-8-software/

Zyxel警告防火墙和VPN设备存在严重漏洞

日期: 2023-05-23
标签: 网络钓鱼服务
7

网络设备制造商Zyxel发布安全公告，警告客户有两个关键性的漏洞出现在其多款防火墙和VPN产品中。这两个安全漏洞皆为缓冲区溢出，攻击者可在未进行身份认证的情况下利用漏洞，从而导致拒绝服务和远程代码执行。该公司发布安全补丁以解决漏洞，建议用户安装以获得最佳保护。易受漏洞影响的设备包括Zyxel ATP固件、Zyxel USG FLEX固件、Zyxel USG FLEX50(W)/USG20(W)-VPN固件、Zyxel VPN固件和Zyxel ZyWALL/USG固件等，使用这些设备的中小型企业可运用其防火墙和VPN保护公司网络和提供安全网络访问。此前，网络安全研究员Kevin Beaumont发现，Zyxel产品的防火墙和VPN中仍存在命令注入漏洞，并且该漏洞目前仍有攻击者利用，建议相关管理员及时应用固件补丁。

详情

https://www.bleepingcomputer.com/news/security/zyxel-warns-of-critical-vulnerabilities-in-firewall-and-vpn-devices/

https://www.bleepingcomputer.com/news/security/zyxel-warns-of-critical-vulnerabilities-in-firewall-and-vpn-devices/

Expo Framework API漏洞存在用户数据泄露的风险

日期: 2023-05-23
标签: 网络钓鱼服务
8

Salt Security发现了Expo框架的严重安全漏洞(CVE-2023-28131)，存在用户数据泄露的风险。漏洞是在Expo的开放授权（OAuth）社交登录功能的实现方式中发现的。攻击者可以通过欺诈手段篡改授权访问请求，使用户凭证泄露，甚至可能导致大规模的帐号接管。服务依赖Expo框架的在线服务，如果用户使用Facebook、Google、Apple或Twitter帐户登录，都将受到影响。Salt Security的研究人员Yaniv Balmas表示，由于OAuth已成为行业的常态，恶意个体正在不断搜索其中的安全漏洞，Expo必须及时纠正漏洞并升级版本。在Salt Security发布报告显示，针对应用程序编程接口（API）的攻击在过去几个月中增加了400%之后，该漏洞及其修复措施发布。

详情

https://www.infosecurity-magazine.com/news/expo-framework-api-flaw-reveals?utm_source=twitterfeed&utm_medium=twitter

https://www.infosecurity-magazine.com/news/expo-framework-api-flaw-reveals?utm_source=twitterfeed&utm_medium=twitter

黑客正在使用新方法滥用 Microsoft Teams 来破坏用户帐户

日期: 2023-05-23
标签: 网络钓鱼服务
9

Proofpoint 的安全研究人员警告说，黑客正在使用新方法滥用 Microsoft Teams 来破坏用户帐户。这些技术包括使用包含恶意链接或伪装现有 URL 的武器化消息的欺骗性会议邀请。 Teams API 篡改也仍然是一个风险，黑客能够掩盖真实的标签并用欺诈性标签取而代之，而不是将工作人员指向恶意软件下载或欺诈性伪装的 Microsoft 365 登录页面以获取凭据。营销专家将这种繁荣归因于全行业向 API 优先设计的转变，但一些安全人员警告说，这种热潮导致业务逻辑缺陷被忽视，而妥协的 API 为黑客提供了一条阻力最小的途径。

详情

https://www.scmagazine.com/news/application-security/new-api-based-attacks-on-microsoft-teams-underscore-the-need-for-wider-awareness-training

https://www.scmagazine.com/news/application-security/new-api-based-attacks-on-microsoft-teams-underscore-the-need-for-wider-awareness-training

谷歌语音验证骗局与大多数被泄露的身份认证凭据有关

日期: 2023-05-25
标签: Microsoft Exchange服务器
0

美国非营利组织身份盗窃资源中心发布了《身份趋势报告》。2022年，该组织接到的身份犯罪报告数量为14,817起，比2021年略有下降。报告显示，55%的身份犯罪是由凭据泄露引起的，40%是账号被冒用，1%是未成功的尝试。其中， 假冒Google Voice的骗局仍然占据最高比例。报告分析了数字诈骗的增长趋势，80%的身份认证凭据被用于骗局，较去年上升了3个百分点。企业应该向员工提供安全培训，加强密码保护和两步验证，同时注意防范AI技术对身份盗窃的影响。值得注意的是，2023年第一季度，越来越多的受害者寻求预防性信息。

详情

https://www.scmagazine.com/news/identity-and-access/google-voice-scams-tied-to-majority-of-compromised-identities

https://www.scmagazine.com/news/identity-and-access/google-voice-scams-tied-to-majority-of-compromised-identities

APT-C-28（ScarCruft）组织利用恶意文档投递RokRat攻击活动分析

日期: 2023-05-25
标签: Microsoft Exchange服务器
1

近期，360高级威胁研究院捕获了APT-C-28组织假借“付款申请表”等恶意文档向目标投递RokRat恶意软件。本次攻击活动与2021年公开威胁情报披露APT-C-28组织利用VBA自解码技术注入RokRat攻击活动的流程基本一致。在本次攻击活动中，发现的初始样本是伪装成“付款申请表”的恶意文档，诱导用户启用宏后下载并执行RokRat恶意软件。不过结合以往公开威胁情报信息，此次攻击活动初始载荷应该是钓鱼邮件。

详情

https://mp.weixin.qq.com/s/RjvwKH6UBETzUVtXje_bIA

https://mp.weixin.qq.com/s/RjvwKH6UBETzUVtXje_bIA

CloudWizard APT：Operation Groundbait和Operation BugDrop行动的延续

日期: 2023-05-25
标签: Microsoft Exchange服务器
1

2023年3月，卡巴斯基的研究人员在俄乌冲突地区发现了一个使用PowerMagic和CommonMagic植入物的新APT行动。 但是，当时尚不清楚攻击背后的威胁组织。在寻找与PowerMagic和CommonMagic相似的植入程序时，发现了一组来自同一威胁攻击者的更复杂的恶意行动，它的受害者不仅分布在顿涅茨克、卢甘斯克和克里米亚地区，还分布在乌克兰中西部。目标包括个人、外交和研究组织。新发现的行动使用了CloudWizard模块化框架，它的功能包括截图、录音、键盘记录等。在花费大量时间研究CloudWizard之后，卡巴斯基的研究人员寻找到将其归因于已知APT的线索，以中高置信度评估CloudWizard框架是由Operation Groundbait和Operation BugDrop背后的攻击者运营的。

详情

https://securelist.com/cloudwizard-apt/109722/

https://securelist.com/cloudwizard-apt/109722/

GoldenJackal黑客组织自2019年以来一直在默默攻击美国政府

日期: 2023-05-25
标签: Microsoft Exchange服务器
3

安全研究机构Kaspersky日前发布报告称，这个被称为“GoldenJackal”的未知高级持续性威胁（APT）组织自2019年以来一直在亚洲的政府和外交机构进行间谍活动。该组织选择受害者非常谨慎，减少攻击次数降低被曝光的几率。金鼠组织是一个在2019年开始活动的APT组织，通常瞄准中东和南亚的政府和外交实体。该组织使用一系列定制的.NET恶意软件工具，包括“JackalControl”远程控制恶意程序、“JackalSteal”数据窃取工具、“JackalWorm”蠕虫木马、JacklPerInfo信息收集器和“JackalScreenWatcher”屏幕监控工具。Kaspersky称金鼠组织将攻击目标数量控制在较低水平，但这是一种复杂的威胁行为。

详情

https://www.bleepingcomputer.com/news/security/goldenjackal-state-hackers-silently-attacking-govts-since-2019/

https://www.bleepingcomputer.com/news/security/goldenjackal-state-hackers-silently-attacking-govts-since-2019/

白象组织使用BADNEWS和Remcos商业木马的最新攻击活动

日期: 2023-05-25
标签: Microsoft Exchange服务器
4

近期，安天CERT捕获到一起白象组织针对我国相关单位的攻击活动。在本次攻击活动中，攻击者向目标投递钓鱼邮件，邮件附件为一个包含恶意LNK文件的压缩包，LNK文件用于下载BADNEWS远控木马，最终实现对目标的信息窃取、远程控制等功能。进一步关联分析发现，LNK系列攻击与近期针对南亚地区的军事政治等目标的网络攻击相关，关联到的攻击使用技术成熟的商业远控工具如Remcos，也是通过LNK类型诱饵，或文件名以军政题材命名的EXE程序、钓鱼网站等作为攻击前导，为此攻陷、注册了相当数量的网络基础设施来支撑载荷分发和控制通联。分析研判后发现关联到的攻击具有明显的印度方向背景，攻击目标暂不涉及我国，目前仅发现与白象组织存在数字证书上的关联重叠。

详情

https://mp.weixin.qq.com/s/g8oSytVgRSV2773kwZYUHA

https://mp.weixin.qq.com/s/g8oSytVgRSV2773kwZYUHA

针对乌克兰、哈萨克斯坦、吉尔吉斯斯坦、蒙古、以色列、印度的网络间谍活动UAC-0063

日期: 2023-05-25
标签: Microsoft Exchange服务器
4

CERT-UA发现在2023年4月18日和2023年4月20日，有攻击者向乌克兰国家部门发送了钓鱼邮件，据称来自塔吉克斯坦驻乌克兰大使馆的官方邮箱，其中第一个包含带有宏的文档形式的附件，第二个包含对同一文档的引用。在计算机和技术研究过程中，确定在2023年4月25日，在未知情况下，在计算机上创建了额外的程序：LOGPIE键盘记录器和CHERRYSPY后门。对基础设施和相关文件的进一步研究可以得出结论，该组织感兴趣的对象包括蒙古、哈萨克斯坦、吉尔吉斯斯坦、以色列和印度的组织。上述攻击行动是以间谍活动为目的进行的，CERT-UA自2021年以来一直以UAC-0063进行跟踪。

详情

https://cert.gov.ua/article/4697016

https://cert.gov.ua/article/4697016

分析Bluenoroff组织的RustBucket攻击行动

日期: 2023-05-25
标签: Microsoft Exchange服务器
4

2023年4月，Jamf的安全研究人员发布了一份关于Bluenoroff的RustBucket的报告，这是一种新观察到的针对macOS平台的恶意软件。Sekoia.io分析师进一步调查了Bluenoroff的基础设施，并在本报告中分享了他们的发现。最近的Bluenoroff行动说明了攻击者在他们的恶意软件开发工作中转向跨平台语言，从而进一步扩大攻击范围。虽然其他朝鲜APT组织，包括Lazarus、Kimsuky和Reaper已经被报道针对macOS，但这是第一次观察到Bluenoroff针对macOS用户。

详情

https://blog.sekoia.io/bluenoroffs-rustbucket-campaign/

https://blog.sekoia.io/bluenoroffs-rustbucket-campaign/

智库警告称，量子攻击将引发大萧条

日期: 2023-05-25
标签: Microsoft Exchange服务器
7

根据哈德逊研究所智库的一份报告，专家警告称，由量子计算机驱动的网络攻击可能会对美国经济造成毁灭性影响。攻击可以解锁加密算法，暴露银行记录等安全数据。该研究所发现，对美国金融部门的量子网络攻击将使经济损失 3.3 万亿美元。金融部门必须采取紧急行动来保护自己免受此类攻击，即使对手可以获得该技术可能还需要数年时间。量子计算机有望释放计算能力的指数级飞跃，有可能被黑客利用。报告称，金融部门应采用美国国家标准技术研究院后量子密码学标准，并更换过时的加密系统。

详情

https://www.scmagazine.com/news/emerging-technology/quantum-attack-would-trigger-great-depression-think-tank-warns

https://www.scmagazine.com/news/emerging-technology/quantum-attack-would-trigger-great-depression-think-tank-warns

Kimsuky使用定制的侦察工具包进行持续的攻击行动

日期: 2023-05-22
标签: CopperStealer恶意软件
4

SentinelLabs一直在追踪针对信息服务以及支持与朝鲜有关的人权活动家和叛逃者的组织的攻击行动，该攻击行动主要目的是收集目标机器信息和文件，为后续精准攻击打下基础。根据所使用的基础设施、恶意软件交付方法和恶意软件实施，SentinelLabs非常有信心地评估该行动是由Kimsuky组织精心策划的。该行动还展示了Kimsuky通过CHM文件分发恶意软件的一贯方法，例如键盘记录和剪贴板内容窃取恶意软件。根据他们的作案手法，Kimsuky分发了RandomQuery变种。

详情

https://www.sentinelone.com/labs/kimsuky-ongoing-campaign-using-tailored-reconnaissance-toolkit/

https://www.sentinelone.com/labs/kimsuky-ongoing-campaign-using-tailored-reconnaissance-toolkit/

针对中东和南亚的政府和外交实体的新APT组织GoldenJackal

日期: 2023-05-22
标签: CopperStealer恶意软件
4

GoldenJackal是一个APT组织，自2019年开始活跃，通常针对中东和南亚的政府和外交实体。尽管他们多年前就开始了攻击行动，但这个组织还没有被公开披露过。卡巴斯基的研究人员于2020年年中开始对该组织进行监控，并观察到持续的攻击活动，表明这是一个有能力且隐秘的APT组织。该组织的主要特征是一组.NET恶意软件工具集：JackalControl、JackalWorm、JackalSteal、JackalPerInfo和JackalScreenWatcher。

详情

https://securelist.com/goldenjackal-apt-group/109677/

https://securelist.com/goldenjackal-apt-group/109677/

Microsoft 365网络钓鱼攻击使用加密的RPMSG消息

日期: 2023-05-25
标签: ILOVEYOU蠕虫
0

攻击者现在使用加密的RPMSG附件通过被入侵的Microsoft 365帐户发送针对性的网络钓鱼攻击，从而窃取Microsoft凭证，并旨在逃避电子邮件安全网关的检测。RPMSG文件（也称为受限权限消息文件）是使用Microsoft的权限管理服务（RMS）创建的加密电子邮件消息附件，并通过限制授权收件人的访问来为敏感信息提供额外的保护。想要阅读RPMSG文件的收件人必须使用其Microsoft帐户进行身份验证或获取一次性密钥来解密内容。Trustwave最近发现，现在正在利用RPMSG的身份验证要求来使用虚假登录表单欺骗目标，以便提供其Microsoft凭证。攻击者使用受信任的云服务（如Microsoft和Adobe）发送网络钓鱼邮件和托管内容，因此检测和对抗此类网络钓鱼攻击可能会非常具有挑战性。

详情

https://www.bleepingcomputer.com/news/security/microsoft-365-phishing-attacks-use-encrypted-rpmsg-messages/

https://www.bleepingcomputer.com/news/security/microsoft-365-phishing-attacks-use-encrypted-rpmsg-messages/

“Magalenha行动”攻击为巴西网络犯罪生态系统提供了窗口

日期: 2023-05-25
标签: ILOVEYOU蠕虫
1

网络安全公司SentinelLabs发布报告指出，早在今年的一个活动，攻击者试图窃取葡萄牙银行的客户个人和财务信息。研究人员称其为“Magalenha行动”，值得注意的是该行动的后续“PeepingTitle”多功能后门，以及其散布式的网络间谍方法。研究人员评估“Magalenha”的肇事者很可能是巴西人，其代码中出现了“巴西式”葡萄牙语，而“PeepingTitle”与巴西的Maxtrilha恶意软件系列有相关性。整个活动提供了一个了解当今巴西网络犯罪生态系统的窗口。在第一阶段，攻击者采用网络钓鱼邮件、欺骗性的网站和相关的社交工程技巧来吸引目标。会见后，攻击对象无意中执行一个恶意的Visual Basic脚本，这个脚本吸取登录葡萄牙的能源公司和葡萄牙税收和海关局的登录页面，用来分散注意力，另外可下载PeepingTitle后门运行。这种后门可追踪受害者访问的网站。如果有人访问属于葡萄牙金融机构的域名，就会唤醒恶意软件，与C2服务器进行连接，截屏、窃取数据，可能还会进行进一步的恶意软件组织。

详情

https://www.darkreading.com/endpoint/-operation-magalenha-attacks-window-brazil-cybercrime-ecosystem

https://www.darkreading.com/endpoint/-operation-magalenha-attacks-window-brazil-cybercrime-ecosystem

2022年高级网络钓鱼攻击激增356%

日期: 2023-05-25
标签: ILOVEYOU蠕虫
2

据Perception Point的2023年度报告显示，2022年高级网络钓鱼攻击尝试次数增长了356%，总攻击次数增长了87%。其中，恶意行为人继续广泛使用包括人工智能（AI）和机器学习（ML）在内的新工具，自动化生成复杂攻击，包括社交工程和逃避技术。网络存储和亚马逊S3桶的高级攻击增长明显。Phishing是最具普遍性的威胁，占据了所有攻击的67.4%，去年还出现了业务电子邮件妥协（BEC）攻击的显著增加，增长了83%。微软是被仿冒的品牌中最多的，被恶意邮件仿冒3.3倍于第二名的LinkedIn。电话诈骗攻击也有了显著增长（363%）。报告指出，高级攻击仅占威胁总数的2%，但它们很复杂，可以对组织造成重大损害。Perception Point的首席执行官Yoram Salinger表示，需要通过有效的预防和快速补救服务来保护公司免受现代威胁。

详情

https://www.infosecurity-magazine.com/news/advanced-phishing-attacks-surge?utm_source=twitterfeed&utm_medium=twitter

https://www.infosecurity-magazine.com/news/advanced-phishing-attacks-surge?utm_source=twitterfeed&utm_medium=twitter

对开源项目情有独钟的Patchwork组织

日期: 2023-05-25
标签: ILOVEYOU蠕虫
3

近期，深信服深瞻情报实验室监测到Patchwork组织的最新攻击动态。Patchwork组织，又称摩诃草、白象、APT-Q-36、APT-C-09，是一个来自于南亚地区的境外APT组织。在本次攻击活动中，获取到Patchwork组织投递的恶意lnk文件，该文件用于下载第二阶段BADNEWS远控。另外，在分析过程中观察到Patchwork组织使用多种开源组件用于其攻击活动，本文将对该组织使用的多种开源组件进行披露。

详情

https://mp.weixin.qq.com/s/DhQj9-0QLwVSQYH_uGDw2g

https://mp.weixin.qq.com/s/DhQj9-0QLwVSQYH_uGDw2g

APT34利用新后门PowerExchange攻击阿拉伯联合酋长国的政府

日期: 2023-05-25
标签: ILOVEYOU蠕虫
3

去年，FortiEDR研究实验室发现了多起同时针对阿拉伯联合酋长国政府实体的攻击行动。有些被归类为已知威胁，例如JS_POWMET和AdKoob，还有一个仍未被识别。这个孤立的案例是一个自定义的、有针对性的基于PowerShell的后门PowerExchange。通过分析发现该后门与在xHunt攻击活动中使用的TriFive后门有共同点，TriFive后门与APT34有关。此外，现有的威胁情报显示，阿联酋的多个相关实体之前至少被APT34攻击过一次。根据这些信息，怀疑这次攻击背后的威胁组织是APT34。

详情

https://www.fortinet.com/blog/threat-research/operation-total-exchange-backdoor-discovered

https://www.fortinet.com/blog/threat-research/operation-total-exchange-backdoor-discovered

AGRIUS利用新型勒索软件Moneybird攻击以色列

日期: 2023-05-25
标签: ILOVEYOU蠕虫
3

在应对针对以色列组织的勒索软件攻击时，Check Point事件响应小组(CPIRT)和CPR发现了一种名为Moneybird的新型勒索软件。尽管有效载荷是独一无二的，但攻击中展示的TTP与Agrius组织有明显的重叠。该组织使用新勒索软件Moneybird针对以色列的目标，这与Agrius过去针对以色列其他的攻击行动相似，该组织曾攻击过Shirbit和Bar Ilan大学。Agrius勒索软件行动主要与名为Apostle的定制勒索软件相关，该勒索软件最初是一个擦除器。使用C++编写的新勒索软件值得注意，因为它展示了该组织不断扩展的能力和在开发新工具方面的持续努力。

详情

https://research.checkpoint.com/2023/agrius-deploys-moneybird-in-targeted-attacks-against-israeli-organizations/

https://research.checkpoint.com/2023/agrius-deploys-moneybird-in-targeted-attacks-against-israeli-organizations/

网络犯罪分子利用ChatGPT的炒作获利

日期: 2023-05-25
标签: ILOVEYOU蠕虫
6

欺诈分子正在趁OpenAI的人工智能聊天工具ChatGPT的热度，制作“FleeceGPT”应用程序，从而通过数百美元的订阅获取用户。Genie AI Chatbot以7美元每周或70美元每年的费率为用户提供ChatGPT服务。网络安全公司Sophos和Palo Alto Networks的研究人员发现，欺诈分子正在创建仿冒的ChatGPT网站，以诱使用户下载恶意软件或共享个人数据，而其他人正在冒充ChatGPT浏览器扩展程序，Meta本月早些时候警告称，有“侵略性和持续性”的恶意软件家族正在使用OpenAI语言模型。Sophos的报告还指出，如果用户在订阅之前未注意费用或忘记了订阅情况，开发人员会刻意通过广告轰炸用户，直到他们订阅为止，用户需要通过其应用程序商店帐户采取特定步骤才能停止订阅。

详情

https://www.scmagazine.com/news/cybercrime/from-fleeceware-to-phishing-sites-cybercriminals-cash-in-on-chatgpt-hype

https://www.scmagazine.com/news/cybercrime/from-fleeceware-to-phishing-sites-cybercriminals-cash-in-on-chatgpt-hype

BlackCat勒索软件攻击Windows内核驱动程序

日期: 2023-05-25
标签: ILOVEYOU蠕虫
7

黑猫勒索软件组织(ALPHV)使用恶意的Windows内核驱动程序进行攻击，以逃避安全软件的检测。据趋势科技称，该恶意驱动程序是一种“POORTRY”的改进版本。于去年晚些时候，微软、Mandiant、Sophos和SentinelOne在勒索软件攻击事件中观察到该驱动程序。POORTRY恶意软件是一种使用盗窃的Microsoft Windows硬件开发者计划中合法账户的密钥签名的Windows内核驱动程序。黑客使用这种恶意驱动程序来终止运行在Windows设备上的安全软件，以逃避检测。黑猫勒索软件组织尝试使用Microsoft签名的POORTRY驱动程序，但随着该代码签名密钥被吊销，其检测率已明显提高。该组织随后使用泄露的跨签名证书签署的POORTRY内核驱动程序的更新版本来提升其权限，并停止与安全代理相关的进程，可能证明该问题与UNC3944/Scattered Spider黑客组织存在联系。Trend Micro建议系统管理员对症状和恶意驱动程序进行识别，并向Windows驱动程序阻止列表添加黑客使用的恶意驱动程序。同时，系统管理员还应确保启用“驱动程序签名强制执行”，以阻止安装没有有效数字签名的任何驱动程序。

详情

https://www.bleepingcomputer.com/news/security/malicious-windows-kernel-drivers-used-in-blackcat-ransomware-attacks/

https://www.bleepingcomputer.com/news/security/malicious-windows-kernel-drivers-used-in-blackcat-ransomware-attacks/

德国武器制造商Rheinmetall AG证实BlackBasta勒索软件攻击

日期: 2023-05-25
标签: ILOVEYOU蠕虫
8

德国汽车制造商和军工制造商Rheinmetall AG证实遭受了BlackBasta勒索软件攻击，影响了其民用业务。攻击发生于2023年5月20日，BlackBasta发布了Rheinmetall的记录，并公开了黑客声称从该公司窃取的数据样本。泄露的数据样本包括保密协议、技术图纸、护照扫描件和采购订单。Rheinmetall的发言人证实了攻击事件，并澄清只影响了其民用部门。然而，由于公司拥有严格分离的IT基础设施，其军工业务并未受到影响。该公司已通知有关执法部门并向科隆公共检察官办公室提交了刑事申诉书。BlackBasta勒索软件组织最近一直活跃，成功攻击了很多知名机构，如ABB和Yellow Pages Group，并且被怀疑与英国政府和军队有关的服务承包商Capita的网络入侵事件有关。

详情

https://www.bleepingcomputer.com/news/security/arms-maker-rheinmetall-confirms-blackbasta-ransomware-attack/

https://www.bleepingcomputer.com/news/security/arms-maker-rheinmetall-confirms-blackbasta-ransomware-attack/

IT员工冒充勒索软件团伙勒索雇主

日期: 2023-05-25
标签: ILOVEYOU蠕虫
9

一名28岁的英国男子因未经授权的计算机访问和勒索雇主而被定罪。据南东地区有组织犯罪部门的新闻发布称，这名罪犯名叫阿什利·莱尔斯，于2018年2月在牛津一家公司担任IT安全分析师，该公司受到了勒索软件攻击。由于他在公司的角色，莱尔斯参与了内部调查和应急响应工作，但在此期间，他试图从攻击中牟取私利，试图诈骗雇主付以赎金，并将其指向自己控制的加密货币钱包。他还透过访问一位董事的私人电子邮件，并更改了最初的勒索电子邮件和提供的付款地址。随着公司涉及丑闻的调查仍在进行中，他的雇主发现了他未经授权的私人邮件访问，并追查到了他家里的 IP 地址。尽管莱尔斯意识到调查已经接近他，因此已从他的个人设备中删除了所有数据，但警方仍然能够恢复证据。五年后，莱尔斯承认罪行，将在2023年7月11日返回法院听取判决。根据英国法律，未经授权的计算机访问最高可判2年监禁，勒索则最高可判14年监禁。

详情

https://www.bleepingcomputer.com/news/security/it-employee-impersonates-ransomware-gang-to-extort-employer/

https://www.bleepingcomputer.com/news/security/it-employee-impersonates-ransomware-gang-to-extort-employer/

古巴勒索软件声称对《费城问询者报》进行网络攻击

日期: 2023-05-25
标签: ILOVEYOU蠕虫
9

本月早些时候，古巴勒索软件集团声称对费城询问报实施了网络攻击。攻击暂时中断了该报的发布，影响了一些业务操作。在5月14日，费城询问报透露，公司遭受了网络攻击，因此IT团队不得不关闭计算机系统防止攻击扩散。报纸还与Kroll的取证专家合作进行“异常活动”的调查。网络攻击影响了周日印刷版报纸的发布，所以直投的订阅者收到了上周五出版的早期版本，并被邀请在未受影响的报纸网站（inquirer.com）上了解最新新闻。今天，古巴勒索软件集团在其勒索门户网站上宣布声称实施了此次网络攻击，并宣称于2023年5月12日从报纸计算机上窃取了文件。窃取的数据，现在已在勒索软件集团的勒索门户网站上公开发布，包括财务文件、与银行员工的通信、账户流动、资产负债表、税收文件、补偿和源代码。 由于所有窃取的文件均免费提供，表明该报拒绝支付赎金，因此勒索过程已经陷入僵局。

详情

https://www.bleepingcomputer.com/news/security/cuba-ransomware-claims-cyberattack-on-philadelphia-inquirer/

https://www.bleepingcomputer.com/news/security/cuba-ransomware-claims-cyberattack-on-philadelphia-inquirer/

伊朗黑客使用新的Moneybird勒索软件攻击以色列组织

日期: 2023-05-25
标签: 间谍恶意软件
1

2023年5月下旬，一名疑似伊朗支持的黑客组织“Agrius”在以色列地区部署新型勒索软件“Moneybird”。该组织自2021年以来一直以多个化名活跃于中东地区，利用数据擦除进行破坏性攻击。研究人员发现，Agrius是通过利用公共服务器的漏洞获取企业网络的初始控制权，并借助以色列VPN节点隐藏其攻击主机，以安全通信等方式进行攻击。此次攻击的目标是尽可能造成商业中断，而非锁定受影响计算机。研究人员指出，由于每个文件的加密需要生成独特密钥，因此数据恢复和文件解密将极具挑战性。此次攻击袭击的文件只有企业网络中一个常见共享文件夹，因此内容可能不是非常敏感。

详情

https://www.bleepingcomputer.com/news/security/iranian-hackers-use-new-moneybird-ransomware-to-attack-israeli-orgs/

https://www.bleepingcomputer.com/news/security/iranian-hackers-use-new-moneybird-ransomware-to-attack-israeli-orgs/

美国制裁泄露被盗DC警方数据的俄罗斯勒索团伙

日期: 2023-05-25
标签: 间谍恶意软件
2

美国财政部对俄罗斯网络犯罪分子 Mikhail Matveev 实施了经济制裁，他被称为“WazaWaka”，是 2020 年以来主要勒索软件行动的“核心人物”。据当局称，Matveev 负责使用 Hive、LockBit 和 Babuk 识别和入侵目标勒索软件变体，并跟进受害者的勒索要求。这三个组织针对近 2,800 名受害者，收取了超过 2 亿美元的赎金。财政部指出，这些团体与克里姆林宫以及俄罗斯情报机构之间存在非正式的共生关系，后者不参与但默许他们的活动。制裁措施包括悬赏 1000 万美元，奖励导致 Matveev 被捕的信息。

详情

https://www.scmagazine.com/news/ransomware/us-sanctions-russian-ransomware-operator-who-leaked-stolen-dc-police-data

https://www.scmagazine.com/news/ransomware/us-sanctions-russian-ransomware-operator-who-leaked-stolen-dc-police-data

针对Linux和VMware ESXi系统的新“MichaelKors”勒索软件即服务

日期: 2023-05-25
标签: 间谍恶意软件
3

据网络安全公司CrowdStrike报告，新的勒索软件服务（RaaS）MichaelKors于2023年4月成为针对Linux和VMware ESXi系统的最新文件加密恶意软件。该公司表示，这一发展表明网络犯罪分子正日益将注意力转向ESXi。由于ESXi的设计不支持第三方代理或杀毒软件，这一趋势尤其值得注意。与此同时，VMware ESXi hypervisor的针对性攻击已经成为几个勒索软件组织采取的一种策略，这种技术称为"hypervisor jackpotting"。攻击者可以使用被攻陷的凭据，随后获得提升的特权，并通过已知的漏洞逃脱环境，以实现其目的。CrowdStrike建议组织采取措施，包括避免直接访问ESXi主机、启用两步验证、定期备份ESXi数据存储卷、应用安全更新以及进行安全姿态审查，以减轻hypervisor jackpotting带来的影响。

详情

https://thehackernews.com/2023/05/new-michaelkors-ransomware-as-service.html

https://thehackernews.com/2023/05/new-michaelkors-ransomware-as-service.html

黑客组织FIN7携Cl0p勒索软件回归

日期: 2023-05-25
标签: 间谍恶意软件
4

网络犯罪组织FIN7最近被发现使用Cl0p (aka Clop)勒索软件，这是自2021年底以来该组织的首次勒索软件攻击活动。微软在2023年4月发现了这一活动，并使用新的分类法“Sangria Tempest”跟踪财务动机的攻击者。FIN7自2012年以来一直活跃，善于攻击软件、咨询、金融服务、医疗设备、云服务、媒体、食品和饮料、交通和公用事业等组织。该组织另一个值得注意的策略是利用虚假安全公司Combi Security和Bastion Secure来招募员工进行勒索软件攻击和其他操作。最近这些展示了FIN7继续依靠其他勒索软件家族来针对受害者的信心。这标志着FIN7将其变现策略转向勒索途径，而非支付卡数据盗窃。

详情

https://thehackernews.com/2023/05/notorious-cyber-gang-fin7-returns-cl0p.html

https://thehackernews.com/2023/05/notorious-cyber-gang-fin7-returns-cl0p.html

美国联邦贸易委员会将打击生物识别技术、健康应用程序数据隐私违规行为

日期: 2023-05-25
标签: 间谍恶意软件
5

美国联邦贸易委员会 (FTC) 正在通过更新的健康违规通知规则 (HBNR)、围绕生物识别技术的收集、使用和营销的政策声明和指南，加强对消费者驱动的健康应用程序和技术开发商的执法。 HBNR 澄清将包括违反安全、用户同意语言和其他功能。除了在针对 Premom 采取执法行动后发出的罚款外，生育应用程序还需要改进其隐私和安全政策。开发人员将需要遵循政策和最佳实践，以根据患者健康记录的扩展定义来保护健康数据。除了监管计划，联邦贸易委员会还警告企业不要就生物识别信息技术的有效性、准确性或性能做出虚假营销声明。

详情

https://www.scmagazine.com/news/identity-and-access/ftc-to-crack-down-on-biometric-tech-health-app-data-privacy-violations

https://www.scmagazine.com/news/identity-and-access/ftc-to-crack-down-on-biometric-tech-health-app-data-privacy-violations

生育应用程序 Premom 被指控与第三方共享用户健康数据

日期: 2023-05-25
标签: 间谍恶意软件
6

生育应用程序 Premom 被指控与中国的两家公司共享其用户的个人和健康数据，而未通知消费者未经授权的披露。联邦贸易委员会 (FTC) 已对 Premom 及其母公司 Easy Healthcare 采取行动。拟议的命令将对违反 FTC 的健康违规通知规则处以 100,000 美元的民事罚款，并要求通知第三方删除相关数据。用户还将被告知违规行为和联邦贸易委员会的行动。 Premom 必须实施一项安全和隐私计划，为消费者数据提供强有力的保护，并禁止其在未来对隐私做法进行虚假陈述。健康数据高度敏感，容易受到利用，联邦贸易委员会表示，收集这些信息的公司应该意识到，它不会容忍滥用健康隐私。

详情

https://www.scmagazine.com/news/application-security/ftc-says-fertility-app-premom-shared-user-health-data-with-third-parties

https://www.scmagazine.com/news/application-security/ftc-says-fertility-app-premom-shared-user-health-data-with-third-parties

Meta因转移数据被欧盟处以13亿美元罚款

日期: 2023-05-25
标签: 间谍恶意软件
7

爱尔兰数据保护委员会（DPC）宣布，Facebook违反了《欧洲通用数据保护条例》（GDPR）第46条第1款，因此被罚款13亿美元。该委员会发现Facebook将平台欧盟用户的数据转移到美国，而数据保护法规因各州而异，不足以保护欧盟数据主体的权利。GDPR第46条第1款禁止向缺乏保护措施和法律救济机制的国家或国际组织转移个人数据。由于此违规行为，DPC对Facebook母公司Meta Ireland处以记录性1.2亿欧元（13亿美元）罚款，并要求在裁定之日起五个月内中止所有违反GDPR的数据转移。此外，Meta将被要求在裁决公告后六个月内停止处理或持有违法从欧盟转移至美国的任何数据。 Meta通过一篇博客文章回应了决定，并表示无缝的跨境数据传输对业务连续性至关重要。该公司认为，行政罚款和限制令将对其在欧洲的服务产生严重影响。

详情

https://www.bleepingcomputer.com/news/technology/eu-slaps-meta-with-13-billion-fine-for-moving-data-to-us-servers/

https://www.bleepingcomputer.com/news/technology/eu-slaps-meta-with-13-billion-fine-for-moving-data-to-us-servers/

五角大楼爆炸骗局在经过验证的推特账号推送后疯传

日期: 2023-05-25
标签: 间谍恶意软件
8

高度逼真的人工智能生成图像，在Twitter上引起爆炸的假象，导致美国股票市场在2023年5月22日早些时候短暂下跌。许多已验证的Twitter帐户放大了伪装在弗吉尼亚州阿灵顿五角大楼附近的爆炸图像的推文，包括一个拥有数百万粉丝的俄罗斯国家媒体帐户和冒充彭博新闻社的已验证帐户。虽然这些病毒式的图片乍一看似乎是真实的，但看起来充满了人工智能生成的线索，证明这整件事都是一个骗局。 Twitter现已暂停支付验证的Twitter Blue，并增加了Twitter Blue高级订阅服务，允许付费用户每月支付8美元以获得蓝色勾选和一些额外功能，包括减少广告，搜寻中的优先排序和编辑推文的权限，但这种机制也促进了虚假信息和冒充漏洞的滋生。

详情

https://www.bleepingcomputer.com/news/security/pentagon-explosion-hoax-goes-viral-after-verified-twitter-accounts-push/

https://www.bleepingcomputer.com/news/security/pentagon-explosion-hoax-goes-viral-after-verified-twitter-accounts-push/

美国政府制裁支持朝鲜的“非法”IT工作者大军

日期: 2023-05-25
标签: 间谍恶意软件
9

2023年5月23日，美国财政部外国资产控制办公室（OFAC）宣布对四个实体和一名个人施加制裁，因其参与非法IT工作人员计划和网络攻击，为朝鲜武器发展计划提供资金支持。OFAC在周二发布的新闻稿中表示，朝鲜非法收入增长战略严重依赖于数千名隐藏自身身份以在海外公司就业的IT工作者。为了获得瞄准的公司的工作机会，他们采用各种欺骗性策略，包括使用窃取的身份、虚假身份和伪造或虚假文件。虽然位于中国和俄罗斯，他们正在将通过这些努力获得的收入，流向为其发动核武器项目提供资金的基金。每年，一些这样的朝鲜IT工作者可以聚集高达30万美元的工资，同时有意掩盖他们的真实身份、下落和国籍。受制裁的朝鲜民主主义人民共和国（DPRK）实体名单包括劳动纪律和监狱伦理委员会、统一航空产业公司等。此外，去年OFAC还对使用的朝鲜Lazarus Group黑客洗钱的Tornado Cash和Blender.io加密货币混合器进行了制裁。

详情

https://www.bleepingcomputer.com/news/security/us-sanctions-orgs-behind-north-koreas-illicit-it-worker-army/

https://www.bleepingcomputer.com/news/security/us-sanctions-orgs-behind-north-koreas-illicit-it-worker-army/

谷歌支付3990万美元终止华盛顿的位置跟踪和隐私诉讼

日期: 2023-05-26
标签: 安卓间谍软件
0

Google将向华盛顿州支付3990万美元的和解款项，并实施法院命令的改革，以增加其位置跟踪设置的透明度。此次和解旨在解决有关谷歌误导位置跟踪行为的指控。华盛顿州检察官Bob Ferguson最初就此事对谷歌提起了诉讼，指控谷歌“欺骗消费者并使他们相信他们可以控制”该平台如何收集和使用他们的位置数据。该诉讼声称消费者无法有效地阻止谷歌不仅收集和储存他们的数据，而且从中获利。此前，据AP数据显示，谷歌使用欺骗和不公平的做法获取了用户的“同意”接受跟踪，这使得用户几乎无法阻止谷歌收集他们的位置数据。法院命令的新数据隐私要求包括在启用基于位置的帐户设置时向用户提供更多信息，包括位置数据的来源、目的和保留时间，并确保用户可以查看位置跟踪详细信息。

详情

https://www.scmagazine.com/news/privacy/google-pays-39-9m-to-end-washingtons-location-tracking-privacy-lawsuit

https://www.scmagazine.com/news/privacy/google-pays-39-9m-to-end-washingtons-location-tracking-privacy-lawsuit

黑客将德国邮件营销平台SuperMailer合法软件用于网络钓鱼活动

日期: 2023-05-26
标签: 安卓间谍软件
1

研究人员发现黑客将德国邮件营销平台SuperMailer合法软件用于网络钓鱼活动，以逃避电子邮件网关防御。Cofense称，这些邮件占到公司5％的电子邮件钓鱼的比例。黑客借助SuperMailer定制功能和发送能力以及逃匿策略，向不同行业的收件箱发送合法的网络钓鱼邮件。SuperMailer稀有但具有独特功能。它可以与几个电子邮件系统兼容，允许黑客跨多个服务发送，降低了拦截可能性。再加上该软件的模板定制功能，可以自动填充收件人姓名，组织名称等，增强了邮件的合法性。因此，钓鱼邮件非常难以拦截。Cofense称，建议组织员工时刻保持警惕，对来自不同来源的电子邮件进行检查和鉴别。

详情

https://www.darkreading.com/endpoint/supermailer-abuse-email-security-super-sized-credential-theft

https://www.darkreading.com/endpoint/supermailer-abuse-email-security-super-sized-credential-theft

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

2023-05-22 360CERT发布安全周报

一直以来，360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务，现360CERT推出了安全通告特制版报告订阅服务，以便用户做资料留存、传阅研究与查询验证。

今后特制报告将不再提供公开下载，用户可扫描下方二维码进行服务订阅。