绿盟威胁情报周报（2023.10.30-2023.11.05）

本周热点概览

威胁通告

Atlassian Confluence身份验证不当漏洞通告（CVE-2023-22518）

热点资讯

五角大楼遭俄罗斯黑客入侵：国防部陷入混乱，632,000名员工数据泄露
乌克兰“IT军队”攻击俄罗斯运营商
新型攻击利用苹果芯片漏洞窃取Safari浏览器敏感信息
俄罗斯黑客访问美司法部、国防部超过 600,000 名雇员的数据
Apple推出联系人密钥验证提高 iMessage 安全性
CCleaner用户数据遭MOVEit大规模黑客攻击
支持哈马斯的黑客组织用 BiBi-Linux Wiper 攻击以色列
webshell静态免杀的一些思路
乌克兰 IT 军队扰乱了俄罗斯占领地区的互联网提供商
美国安部门追踪全球黑客活动的新利器：私企全网日志数据

威胁通告

Atlassian Confluence身份验证不当漏洞通告（CVE-2023-22518）

标签：CVE-2023-22518

发布时间：2023-11-01 11:00:00 GMT

概述：近日，绿盟科技CERT监测到Atlassian官方修复了Atlassian Confluence Data Center and Server身份验证不当漏洞（CVE-2023-22518）。未经身份验证的远程攻击者通过构造恶意请求可在一定程度绕过目标系统身份验证，并通过后台接口获得接管服务器的权限，最终可实现远程代码执行，由于攻击者无法泄露任何系统数据，因此不会影响机密性；但该漏洞利用会导致 Confluence 数据清空，对数据完整性产生不可逆的影响。请受影响用户尽快采取措施进行防护。

链接：https://nti.nsfocus.com/threatNotice

热点资讯

五角大楼遭俄罗斯黑客入侵：国防部陷入混乱，632,000名员工数据泄露

标签：五角大楼

概述：据彭博社报道，今年早些时候，国防部（五角大楼）和司法部约632,000名员工的电子邮件地址在一次黑客攻击中被访问，这使得包括航空公司、大学和其他美国机构在内的组织数量在很大程度上受到一系列数据泄露的影响。归咎于一个俄罗斯的犯罪集团Clop。

链接：https://ti.nsfocus.com/security-news/IlNyG

乌克兰“IT军队”攻击俄罗斯运营商

标签：IT军队

概述：乌克兰自愿“IT军队”是一支由政府领导的网络志愿者组织，旨在对抗俄罗斯的网络攻击和宣传。该组织通过Telegram频道发布任务，要求志愿者对俄罗斯的网站和基础设施进行分布式拒绝服务(DDoS)攻击，以干扰其正常运行。该组织还要求志愿者举报YouTube上散布关于乌克兰战争谎言的频道。乌克兰“IT军队”的目标包括俄罗斯的能源巨头Gazprom，俄罗斯的银行和政府网站，以及俄罗斯的新闻网站。该组织还将白俄罗斯作为俄罗斯的盟友之一，对其注册的网站进行攻击。乌克兰“IT军队”的行动引起了国际红十字会(ICRC)的关注，该组织发布了针对平民黑客参与冲突的行为准则。这些准则包括禁止对医疗和人道主义设施、民用对象和生存必需品进行网络攻击，禁止使用自动传播和无差别破坏的恶意软件或其他工具或技术，禁止发出暴力威胁以在平民中传播恐怖，禁止煽动违反国际人道法的行为等。

链接：https://ti.nsfocus.com/security-news/IlNxk

新型攻击利用苹果芯片漏洞窃取Safari浏览器敏感信息

标签：NSA

概述：研究人员在周四发布的报告中，揭露了一种高度复杂的、持续多年的间谍框架，它与美国国家安全局(NSA)相关的恶意软件有相似之处。报告描述了一个名为StripedFly的框架，它能够截屏、获取系统版本信息、窃取网站登录用户名、密码和其他自动填充数据、访问Wi-Fi网络信息(包括密码)、录制麦克风音频，并识别和窃取敏感文件。StripedFly依赖于一个定制的EternalBlue漏洞利用程序——一种2016年泄露到网上的NSA恶意软件——来感染受害者。

链接：https://ti.nsfocus.com/security-news/IlNwI

俄罗斯黑客访问美司法部、国防部超过 600,000 名雇员的数据

标签：MOVEit

概述：黑客利用 MOVEit 中的弱点渗透到美国联邦雇员数据系统中，导致未经授权访问敏感数据。

链接：https://ti.nsfocus.com/security-news/IlNyc

Apple推出联系人密钥验证提高 iMessage 安全性

标签：Apple

概述：苹果周五推出了联系人密钥验证，这是一项旨在提高 iMessage 服务安全性的新功能。

链接：https://ti.nsfocus.com/security-news/IlNxa

CCleaner用户数据遭MOVEit大规模黑客攻击

标签：MOVEit

概述：CCleaner是一款广受欢迎的优化软件，但其开发商Gen Digital近日向用户确认，该软件在5月份发生的MOVEit大规模黑客攻击中，泄露了大量付费用户的个人信息。据悉，黑客利用了MOVEit文件传输工具的一个漏洞，该工具被CCleaner和数千个组织用于在互联网上传输大量敏感数据。黑客窃取了用户的姓名、联系方式和购买的产品信息。Gen Digital的发言人Jess Monney证实，受影响的信息包括用户的电话号码、电子邮件地址和账单地址。Monney表示，受影响的用户不到2%，但拒绝提供具体的数字。CCleaner有数百万用户。目前尚不清楚为什么CCleaner花了几个月才向受影响的用户披露这一事件。MOVEit大规模黑客攻击始于5月份，迅速成为今年(到目前为止)受害者最多的黑客事件。这个前所未有的漏洞使得臭名昭著的Clop勒索软件能够从数千个存储数据在这些互联网连接系统上的组织中窃取敏感数据。

链接：https://ti.nsfocus.com/security-news/IlNwM

持哈马斯的黑客组织用 BiBi-Linux Wiper 攻击以色列

标签：BiBi-Linux Wiper

概述：一个支持哈马斯的黑客组织正在使用一种名为BiBi-Linux wiper的新型Linux软件攻击以色列实体。在取证调查中，Security Joes事件响应小组发现了一个新的Linux Wiper恶意软件，名为BiBi-Linux Wiper。

链接：https://ti.nsfocus.com/security-news/IlNyw

免杀|webshell静态免杀的一些思路

标签：webshell

概述：顾名思义静态查杀就是杀软会检查webshell文件的内容，提取的文件特征将与已知的恶意模式进行比对。这些恶意模式可以是已知的病毒特征、恶意软件代码片段等。比如正则表达式检测是否有危险函数这种。绕过的原理也很简单，就是让杀软的规则无法匹配到恶意代码。

链接：https://ti.nsfocus.com/security-news/IlNxM

乌克兰 IT军队扰乱了俄罗斯占领地区的互联网提供商

标签：IT军队

概述：乌克兰IT军黑客活动暂时扰乱了俄罗斯占领的一些领土的互联网服务。属于乌克兰 IT 军组织的乌克兰黑客活动分子在一些被俄罗斯军队占领的地区暂时禁用了互联网服务。黑客活动分子对俄罗斯三大互联网提供商“Miranda-media”、“Krimtelekom”和“MirTelekom”进行了 DDoS 攻击。IT 军团正在邀请支持者通过安装他们的软件来联合其行动。

链接：https://ti.nsfocus.com/security-news/IlNxu

美国安部门追踪全球黑客活动的新利器：私企全网日志数据

标签：DSS

概述：数字媒体调查网站404 Media近日报道称，《信息自由法案》从美国国防安全局（DSS，现名“国防反情报和安全局”，DCSA）获取的内部文件显示，这家联邦反情报机构正从一家私营互联网公司手中购买数据，以便对黑客活动进行更快速、更便捷的追踪。

链接：https://ti.nsfocus.com/security-news/IlNxS

绿盟威胁情报中心

绿盟威胁情报中心（NSFOCUS Threat Intelligence center, NTI）是绿盟科技为落实智慧安全3.0战略，促进网络空间安全生态建设和威胁情报应用，增强客户攻防对抗能力而组建的专业性安全研究组织。其依托公司专业的安全团队和强大的安全研究能力，对全球网络安全威胁和态势进行持续观察和分析，以威胁情报的生产、运营、应用等能力及关键技术作为核心研究内容，推出了绿盟威胁情报平台以及一系列集成威胁情报的新一代安全产品，为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力，帮助用户更好地了解和应对各类网络威胁。

绿盟威胁情报中心官网：https://nti.nsfocus.com/

绿盟威胁情报云：https://ti.nsfocus.com/

点击下方“阅读原文”查看更多

↓↓↓