安全事件周报 2023

报告编号：CERT-R-2023-173

报告来源：360CERT

报告作者：360CERT

更新日期：2023-05-22

本周收录安全热点58项，话题集中在网络攻击、恶意软件、安全漏洞，主要涉及的黑客组织有：NOBELIUM等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

“Greatness”, 一个名为钓鱼即服务的新服务已推出并提供附件与链接程序，可制作出非常类似微软365假网站的登录和欺骗页面，特别适用于针对商业用户。 Cisco Talos的研究人员在5月10日的博客中指出，自2022年中期以来，已观察到数个使用该服务的网络钓鱼攻击活动，并在12月和3月出现激增。这些网络钓鱼活动主要针对美国、英国、南非和加拿大的制造、保健和技术公司，其中超过50％的目标仅在美国。该钓鱼即服务采用钓鱼程序和API，通过代理Microsoft 365身份验证系统执行中间人攻击，并窃取受害者的认证凭据或Cookies。攻击者甚至会提示受害者进行真实的Microsoft 365页面的多因子身份验证请求，如SMS代码或推送通知。

详情

RapperBot僵尸网络恶意软件的新样本已添加了加密货币挖掘功能，旨在通过侵入英特尔x64计算机来进行加密货币挖掘。此前，开发人员将加密货币挖掘功能与僵尸网络恶意软件分开添加。自2022年6月以来，Fortinet的FortiGuard Labs研究人员一直在跟踪RapperBot的活动。今年1月底，僵尸网络和加密货币挖掘功能合并为单个单位。此次活动主要针对物联网设备，是一个综合性攻击。研究人员发现，该僵尸网络的挖矿代码现已集成到RapperBot中，并进行了双层XOR编码，有效地将挖矿池和Monero挖矿地址隐藏起来。此外，为了最大程度地提高挖矿性能，恶意软件会枚举受损系统上的运行进程，并终止对手矿工占用的资源。研究人员建议用户及时更新软件，禁用不必要的服务，更改默认密码，使用防火墙来阻止未经授权的请求，以保护设备免受RapperBot和类似恶意软件的威胁。

详情

网络安全研究人员发现一起持续的钓鱼攻击，利用独特的攻击链向目标系统传递XWorm恶意软件。攻击主要针对在德国的制造企业和医疗诊所等机构。这起攻击活动利用了“MEME＃4CHAN”的活动集群。研究人员指出，攻击活动利用了充满趣味的PowerShell代码，以及“遮蔽良好的XWorm载荷” 来感染受害者。此外，该组织使用了用户行为分析解决方案Securonix来追踪活动集群。Securonix的报告指出，攻击者使用ps1文件来侵入受害者计算机，并通过滥用PowerShell脚本来绕过反病毒扫描界面（AMSI），攻击受害者。目前，袭击者的确切来源尚不清楚，但该攻击方法与以前攻击旅游业的TA558组织类似。

详情

韩国网络安全公司AhnLab Security Emergency response Center (ASEC)警告称，CLR SqlShell种类的恶意软件攻击了管理不当的微软 SQL 服务器。攻击者利用CLR（通用语言运行环境）存储过程向MS SQL服务器注入恶意软件，从而利用xp_cmdshell命令在服务器中传播后门，以加密货币挖矿工具和勒索软件等攻击目的。攻击者利用SqlShell程序下载如 Metasploit、MrbMiner、MyKings 和 LoveMiner 等恶意负载。据悉，有多个不同的敌对组织使用了名为SqlHelper、CLRSQL和CLR_module的SqlShell，以提升被攻陷的服务器的权限，进而发起勒索软件、代理软件和网络侦察攻击。

详情

Secureworks CTU 发现俄罗斯市场上被盗日志增加了 670%，日志在九个月内从 200 万增加到 500 万。调查结果来自一份报告，该报告探讨了信息窃取者日益增长的威胁，这些威胁被广泛用于访问企业以实现货币化目的，包括勒索软件攻击。该报告揭示了欺骗用户的改进如何使检测和删除信息窃取者变得更加困难。多因素身份验证有助于最大限度地减少凭据被盗造成的损害，同时全面监控网络、云和主机，以及注意第三方软件的安装者及其来源，这些都是成功防御的重要组成部分Secureworks 说，信息窃取者。

详情

网络安全公司Check Point近日发现，黑客攻击者开始瞄准微软的Visual Studio Code扩展市场，将3个恶意Visual Studio插件上传，共计被下载了46,600次，用于窃取Windows开发人员的凭据、系统信息和建立受害者计算机上的远程外壳。这些恶意扩展于2023年5月4日被发现，并于5月14日被从VSCode商店中删除。任何仍在使用这些恶意扩展的开发人员都必须手动从其系统中删除它们，并运行完整的扫描程序以检测是否有感染遗留下来。由于黑客攻击者正在积极尝试感染Windows开发人员，因此建议VSCode扩展市场和所有用户支持的软件库的用户仅从经过验证的发布者安装扩展，务必检查扩展的源代码。

详情

自2020年以来，DCSO一直在监控一个未公开披露的恶意软件家族，该恶意软件家族属于Andariel组织，是朝鲜Lazarus组织的一个子组织。该恶意软件家族多年来基本保持不变，只出现过几次。然而，在2023年初，通过配置的命令与控制服务器发现该组织设法入侵了印度国家病毒学研究所，并可能用它来控制感染了恶意软件家族的计算机。

详情

安全研究员发现，Lemon Group已经在全球180个国家的Android设备上预装了恶意软件，利用手机用户的设备偷取短信和一次性密码、展示不需要的广告、建立社交媒体账户等。研究员称，受害者有可能会成为黑客感知的目标。过去几年来，几个网络罪犯集团都在预装的Android设备上建立了盈利模式。这些恶意软件比以前更加危险。例如特里亚达 (Triada) 可以破坏安卓操作系统，并拦截所有来往的短信消息和交易证明码。柠檬组织对应的恶意软件 Guerrilla 成功寄生在所有被感染设备上，具有多种不同的插件，包括拦截多个消息平台的SMS 变量账户 (SMS PVA)插件。研究员细节介绍了该网络的多种金融收益方式，对此介绍了多项保护建议。

详情

研究人员发现了两个名为“nodejs-encrypt-agent”的npm JavaScript库和注册表中的恶意软件，并呼吁用户警惕此类情况。恶意软件利用其版本号和名称与正常软件相似，以达到欺骗用户的目的。攻击者通过npm中常见的任意命名库的漏洞来窃取机密信息，由此引发了供应链攻击。ReversingLabs警告说，这是一种新兴趋势，黑客利用npm中的某些拼写错误，企业可能会无意中下载恶意软件。研究人员表示，即使恶意软件只被下载了几百次，开发人员也容易成为攻击者的受害者。企业和开发人员需采取严密安全措施，例如检查依赖的库的名称和声誉，手动检查源代码，确保正确的库纳入项目，在独立环境中安装和执行，检查异常。

详情

针对东南亚赌博业务的网络活动“ChattyGoblin”从2021年10月份开始兴起，其新的攻击策略是以聊天机器人为目标攻击客户服务代理。研究人员通过追踪该活动发现其背后有中国政府支持的威胁团体，而该团体主要依赖于Comm100和LiveHelp这两个应用程序。ESET描绘了一次针对菲律宾某赌博公司的攻击案例：攻击者使用一个C#编写的滴管程序，并通过LiveHelp100聊天软件进行下载。该滴管程序部署了一个基于SharpUnhooker工具的第二个C#可执行文件，用密码保护的ZIP存档存放了ChattyGoblin攻击的第二阶段。最终有效载荷是一个Cobalt Strike信标，使用duckducklive[.]top作为其C & C服务器。

详情

据披露，丰田汽车公司超过10年的一个云上存储服务配置错误导致215万客户记录暴露在互联网上。敏感数据来自丰田汽车公司基于云的连接服务，该服务允许司机流媒体、使用位置数据查找被盗车辆、接收闪存维护提醒，并在发生事故时发送紧急救援请求。连接服务只影响日本地区的客户。丰田在其声明中称，对数据的任何未经授权访问都不会标识出具体客户，并表示没有观察到第三方对数据的使用或滥用。丰田的这次安全漏洞被认为是由于数据处理规则的解释不足和完整性不够导致的。丰田将与母公司紧密合作，对员工进行彻底的教育，防止再次发生类似事件，引入审核云设置的系统，进行对云环境的设置调查，并持续监测设置状态。这并不是丰田今年的首个安全事故。就在三月份，黑客利用了丰田的C360客户关系管理软件中的漏洞，在墨西哥曝光了大量公司客户的个人数据。

详情

2023年5月，Pharmacy services provider PharMerica发现，医疗数据被黑客窃取，影响超过580万名患者。黑客于2023年3月12日入侵了PharMerica系统，窃取了5,815,591人的姓名、地址、出生日期、社会安全号码(SSN)、药物和医疗保险信息。PharMerica于3月14日发现被盗，其调查于3月21日确定了客户数据已被窃取。该公司发出关于数据泄露的通知，仅在5月12日星期五发送给受影响的个人。黑客声称是Money Message勒索软件团伙在3月28日实施了此次攻击。在此次黑客攻击中，团伙声称窃取了4.7TB的数据，其中至少包含160万个唯一的个人信息记录。加上PharMerica医疗数据，Money Message还声称攻击了Health service provider BrightSpring。受影响的个人可以根据PharMerica的推荐，通过Experian使用一年的身份保护欺诈监控服务减少受到恶意攻击带来的风险和影响。

详情

医疗保健公司PharMerica通知超过5.81万名患者，他们的数据在3月份的网络攻击中被访问并窃取。这家老年护理药房解决方案提供商于5月12日向缅因州司法部报告了此次违规事件。外部调查显示，黑客在两天内访问了其系统，并在此期间窃取了患者数据，包括姓名、联系信息、社保号码、处方药和医疗保险信息。PharMerica是一家财富1000强公司，全美有超过180个设施，是2023年迄今为止报告的最大的单一实体事件，也成为了医疗保健安全事故创纪录的一年。在2022年的前8次数据泄露事件中，每次影响到超过95万名患者，三次与易受攻击的Fortra GoAnywhere MFT实例有关。此外，NextGen和Regal Medical Group等公司还报告遭到黑客攻击。

详情

WordPress Advanced Custom Fields 插件最近修复了一个漏洞，而攻击者在一枚POC漏洞公开约24小时之后就开始积极利用此漏洞。CVE-2023-30777是一个高危的反射型跨站脚本漏洞，可能导致未经认证的攻击者窃取敏感信息并提升他们在受影响的WordPress站点上的权限。该漏洞是由Patchstack网站安全公司于2023年5月2日发现的，并在插件供应商发布6.1.6版本的安全更新后，于5月5日披露。从单个威胁演员的攻击企图来看，采用了基本的骗术和社交工程方法，因此管理员需要立即升级插件以保护自己的网站不会被攻击。

详情

黑客利用去年的Follina漏洞在酒店业的目标中部署XWORM远程访问木马程序和窃取数据。研究人员称利用Follina漏洞提供了覆盖和隐蔽程度更高的方法，以下载快速执行Powershell脚本并安装XWORM RAT。该攻击文件呈现出4Chan和meme的外观和备注。通过Follina，攻击者能够轻松制作包含恶意代码的Microsoft Word文件，并下载和执行该代码以启动XWORM窃取数据，例如可以访问设备的麦克风和摄像头，并进行键盘记录，以及发起分布式拒绝服务（DDoS）攻击。此攻击采取了许多传统的模糊技术，并伴随着特定的4Chan段子，以增加对研究人员的隐蔽性。

详情

史泰登岛的里士满大学医学中心 (RUMC) 正在从勒索软件攻击中恢复，这是两周内第二家报告与勒索软件相关的中断的美国医院。一周前，攻击发生在拥有近 500 个床位的医院，恢复团队正在调查攻击的范围、它对患者数据的影响，并在一家网络安全公司的支持下使系统恢复在线至全面运行状态。 RUMC 发言人表示，“夜间创伤和中风服务除外”对服务的影响有限。仍在提供患者服务，患者可以入院，包括紧急护理和夜间外伤和中风服务。

详情

一个名为“Camaro Dragon”的黑客组织一直在用定制的“马壳”后门恶意软件感染住宅 TP-Link 路由器，以攻击欧洲外交机构。网络安全公司 Check Point Research 于 2023 年 1 月发现了该植入程序，并指出该恶意软件允许对设备进行完全访问，后门恶意软件利用包含其他恶意组件的自定义 SquashFS 文件系统。虽然该公司尚未确定攻击者如何将恶意固件注入 TP-Link 路由器，但它表明被利用的漏洞包括强制管理员凭据和使用自定义固件映像远程更新设备。建议网络管理员在边缘设备上安装所有可用的安全补丁，并禁用他们对管理面板的远程访问。

详情

Lacroix 位于法国、德国和突尼斯的网站遭到有针对性的网络攻击。该公司的回应是暂时关闭了每个地点的一些在线系统，并表示一些本地基础设施已经加密，并补充说正在进行分析以识别任何被泄露的数据。该公司现已在调查期间对启动和管理流程实施了部分措施。由于网络安全专家确保攻击被完全遏制，并且需要使用必要的备份系统来恢复服务，因此预计这三个站点的运营将一直关闭到周一。目前尚不清楚何时恢复生产。

详情

Geacon，是一种基于Go语言开发的实现Beacon的工具，该工具来自广泛使用的渗透测试套件Cobalt Strike，越来越多地被用于攻击macOS设备。Geacon和Cobalt Strike都是合法组织用来模拟攻击其网络并改进防御的工具，但威胁行为者也利用它们进行攻击。最近，SentinelOne的安全研究人员在监控Geacon的活动时发现VirusTotal上的有效载荷数量增加了。尽管其中一些显示出红队操作的迹象，但其他仍然带有恶意攻击的特征。从历史数据来看，自2022年11月以来，免费版的一个Geacon分支的Mach-O有效载荷一直在开发中。SentinelOne在VirusTotal提交中发现了两次恶意的Geacon部署，这是在4月5日和4月11日。其中一次是以Xu Yiqing的简历为名的脚本文件，该文件旨在确认它在macOS系统上运行并从中国IP地址的命令和控制服务器上获取一个未签名的Geacon有效载荷。Geacon有效载荷支持网络通信，数据加密和解密，可以下载其他有效载荷，并从受攻击的系统中窃取数据。

详情

AhnLab安全应急响应中心(ASEC)最近证实，Kimsuky组织正在向Web服务器分发恶意代码。Kimsuky是一个被确定为受朝鲜支持的威胁组织，自2013年以来一直活跃。早期对韩国境内与朝鲜有关的研究机构进行过攻击，2014年对韩国能源机构进行过攻击，2017年以来还对韩国以外的国家进行过攻击。Kimsuky的攻击案例主要使用鱼叉式钓鱼等社会工程攻击，但本文处理的是针对Web服务器的攻击。Kimsuky在攻击成功后安装了Metasploit Meterpreter恶意软件后门，同时也证实了安装Go语言开发的代理恶意软件的历史。本次攻击目标为韩国某建筑公司的Windows IIS Web服务器，推测可能是因为未打补丁或管理不当。

详情

一个名为 RA Group 的新勒索软件组织被发现在其攻击中使用泄露的 Babuk 源代码，目标是美国和韩国的制造、财富管理、保险提供商和制药公司。攻击者使用双重勒索策略，并建立了一个数据泄露站点，如果不满足要求，该站点会威胁发布泄露的数据。思科 Talos 跟踪了该组织的发展，最早发现的是 4 月 27 日的三名受害者，随后是 28 日的第四名受害者。 RA Group 的崛起是 2021 年 9 月 Babuk 勒索软件源代码泄露后趋势的一部分。该源代码已被许多不同的勒索软件家族采用，并暴露了包括 Atlassian Confluence 和 Oracle WebLogic Server 在内的软件中的可利用漏洞。

详情

BatLoader是一个黑客组织，最近被观察到利用谷歌搜索广告进行恶意活动，向ChatGPT和Midjourney提供仿冒网页。这是由网络安全公司eSentire的威胁响应团队（TRU）在周二发布的声明中描述的。BatLoader利用Microsoft推出的新的应用商店安装文件格式（MSIX）来感染设备，并在成功安装恶意负载时记录启动时间和受害者IP地址。对此，eSentire还建议加强对伪装成合法应用程序的恶意软件的认知，确保最新的防病毒签名和下一代AV或EDR解决方案的终端保护，并考虑实施Windows Defender应用程序控制来管理包装应用。

详情

网络威胁组织UNC3844最近利用Microsoft Azure虚拟机（VM）的串行控制台特性进行攻击，以安装第三方远程管理软件的方式劫持VM，并在客户云环境中进行攻击，从而突破Azure传统安全探测。据Mandiant Intelligence的研究人员透露，这种攻击方法的最终目的是通过Living-off-the-land（LotL）攻击窃取数据，用于获得金钱利益。UNC3844可以通过SIM交换获得完整的Azure租户访问权限，然后对用户、Azure环境配置和各种VM的信息进行攻击和修改。UNC3844的攻击体现了攻击者对逃避策略和目标的增长和演变。为了防止此类攻击，Mandiant建议限制远程管理通道的访问权限，并在可能的情况下禁用SMS作为多因素认证方法。其次应审查用户帐户权限，实施适当的条件访问身份验证策略，并根据Microsoft的指导配置最低权限访问串行控制台。

详情

APT28，又名 Sofacy、PawnStorm、Fancy Bear，与俄罗斯GRU相关，以其网络间谍和破坏活动而闻名，观察到它使用多种网络钓鱼技术针对乌克兰。这些技术包括使用HTTP webhook服务（例如Pipedream和Webhook），被攻陷的Ubiquity路由器来窃取受害者的凭据，“Browser in the Browser”技术向受害者显示虚假的登录页面等。攻击者大多数攻击都是针对在乌克兰人中很受欢迎的UKR.NET网络邮件服务，但他们可能会对支持乌克兰的西方社会使用其他网络邮件服务。

详情

2023年5月中旬，FBI和CISA发布联合警告称，教育机构成为勒索软件的攻击目标，因为PaperCut服务器存在严重漏洞，黑客可以利用此漏洞进行远程代码执行。在广泛使用的PaperCut NG和PaperCut MF的某些版本中，这个漏洞被评为10分中的9.8分，允许未经身份验证的远程代码执行。 PaperCut在2023年3月发布了补丁程序，但是根据FBI的说法，一个自称为Bl00dy Ransomware Gang的组织从4月中旬开始使用该漏洞进行攻击，可以使用这份联合声明中提供的检测方法，并了解与Bl00dy Ransomware Gang活动相关的指标。FBI和CISA都建议没有立即打补丁的组织应该假设受到了威胁并查找恶意活动，如果发现潜在问题，组织应该应用FBI和CISA的事件响应建议。

详情

Kiddowares的“家长控制-儿童专用”安卓应用程序存在多个漏洞，攻击者可以利用这些漏洞上传任意文件到受保护的设备上，窃取用户凭据，让孩子绕过家长限制而不被父母察觉。该应用程序有500万次下载量，在Google Play上提供了监控和地理位置功能、网络访问和购买限制、屏幕时间管理、有害内容屏蔽、远程设备访问等功能。SEC Consult的研究人员发现，“Kids Place”应用程序3.8.49及其早期版本存在五个漏洞，可能影响其用户的安全和隐私。因此，用户必须升级到3.8.50或更高版本。该问题已于2023年2月14日被修复。

详情

思科公司（Cisco）警告客户，多款小型商用级别交换机存在四个公开利用代码的关键远程代码执行漏洞。所有四个漏洞以9.8/10的CVSS基础分数获得了几乎最高的严重性评级。成功利用漏洞允许未经身份认证的攻击者以root特权在受攻击的设备上执行任意代码。这些漏洞是由于针对目标交换机的web界面发送的请求的不正确验证而引起的。思科公司的警告称，设备固件版本的漏洞不一定都会受到影响，可能会出现受其中一个漏洞影响但未受其他漏洞影响的情况。该公司还表示，由于这些设备已进入生命周期结束阶段，Small Business 200系列智能交换机，Small Business 300系列管理交换机和Small Business 500系列堆叠管理交换机的固件将不会被修补。Cisco正在修补其Prime Collaboration Deployment（PCD）服务器管理工具的跨站脚本（XSS）漏洞。过去几周中，美国、英国和思科发布了一份联合声明，警告称俄罗斯军方黑客组织APT28一直在使用定制的“Jaguar Tooth”恶意软件对Cisco IOS路由器进行攻击。

详情

Sierra Wireless AirLink、Teltonika Networks RUT 和 InHand Networks InRouter 工业蜂窝路由器供应商面临其云管理平台中 11 个漏洞的风险。这些错误以及许多 IIoT 设备连接到内部 OT 网络和互联网这一事实，使 OT 在制造、石油钻井平台和其他领域面临远程代码执行的风险。影响可能是由于路由器通过反向外壳获得根访问权限而受到损害，以及其他媒介。网络管理员的建议包括禁用未使用的云功能、在连接到互联网之前注册设备、限制从 IIoT 设备访问路由器以及避免易受攻击的设计。供应商还应将 IT 和 OT 安全分开考虑。

详情

WordPress插件允许组织快速扩展其网站的功能，无需编写任何代码或具有高级技术技能。但是，近年来，它们也是网站操作者最大的风险来源。最新的一个例子是一个插件中的严重权限提升漏洞，该插件名为Essential Addons for Elementor Plugin，超过1百万WordPress网站使用。漏洞跟踪为CVE-2023-32243，影响插件版本5.4.0至5.7.1，允许未经身份验证的攻击者升级到WordPress网站上的任何用户的特权，包括管理员的特权。安全研究人员于5月8日发现了漏洞，WPDeveloper于5月11日发布了新版本的软件（版本5.7.2），该软件解决了该漏洞。厂家称新版本配有安全增强功能，在软件的登录和注册表单中。

详情

开源密码管理器 KeePass 存在一个漏洞，即使数据库处于安全状态，该漏洞也可能使拥有受损设备的威胁参与者能够从内存中提取主密码。据 vdohney 报道，一种概念验证工具展示了从应用程序内存中以明文形式提取 KeePass 主密码的能力，但前一两个字符除外。任何使用“SecureTextBoxEx”自定义密码输入框的 KeePass 工作区都可能受到影响，包括最新版本的 KeePass。信息窃取恶意软件可以通过目标计算机或转储程序内存和 KeePass 数据库访问 KeePass，将其发回给攻击者，以便离线检索明文密码。 KeePass 已建议将在 6 月初通过 2.54 版发布修复程序。

详情

黑客现在正在大规模的互联网扫描中，积极寻找数千个WordPress网站上易受攻击的方便附件Elementor插件的版本，试图利用本月早些时候披露的重要帐户密码重置漏洞进行攻击。该漏洞是CVE-2023-32243，影响5.4.0到5.7.1版本的Elementor的必备控件，允许未经身份验证的攻击者任意重置管理员帐户的密码并控制网站。Wordfence于5月16日公布一份报告，声称观察了其探查插件版本的数百万次尝试，并阻止了至少6,900次攻击尝试。该公司还指出，在漏洞公开后的一天，Wordfence记录了5,000,000次探测扫描，寻找插件的“readme.txt”文件以确定网站是否易受攻击。插件的用户应该立即安装可用的安全更新，并立即安装5.7.2或更高版本。

详情

Wemo Mini Smart Plug V2 存在一个安全漏洞，称为 CVE-2023-27217，允许黑客通过控制插入设备的任何电子设备来远程操作。该安全漏洞意味着网络攻击者可以接管网络，包括可以打开或关闭任何连接的小工具。这些插头提供了一种使旧电子设备（例如灯和风扇）变得智能的方法，使用内部 Wi-Fi 和通用即插即用协议 (UPNP) 端口连接到互联网网络。制造商 Belkin 拒绝修复该漏洞，称该产品已达到其生命周期的尽头。大约 17,000 条评论促成了该设备在亚马逊上的四星评级，表明它仍然有很大的需求。建议客户避免将 UPNP 端口暴露在互联网上，同时隔离敏感网络。

详情

苹果公司已发布多个安全更新，涵盖了iOS、iPadOS、macOS、tvOS、watchOS和Safari Web浏览器，以解决三个新的零日漏洞，据称正在被攻击者积极利用。其中Webkit漏洞CVE-2023-32409、CVE-2023-28204和CVE-2023-32373，分别增强了边界检查、完善了输入验证和内存管理。苹果公司对贡献这些修补程序的研究员进行了褒奖和感谢。这三个漏洞可以通过定向的攻击方式，部署间谍软件，获取异议人士、记者和人权活动家等用户的敏感信息。苹果公司自2023年初以来，已修复了六个活跃攻击的零日漏洞，在此次更新中共发布了以上所有修补程序。

详情

根据一份新报告，Group-IB 已经渗透并分析了 Qilin 的内部运作，揭示了勒索软件团伙针对关键部门及其复杂技术的洞察力。据 Group-IB 称，麒麟（也称为 Agenda 勒索软件）自 2022 年 8 月被发现以来已成为一个重大威胁。它一直在积极针对关键行业的公司进行高度定制和规避的勒索软件攻击。 Rust 变体对勒索软件攻击特别有效，可以更轻松地将恶意软件定制到 Windows、Linux 和其他操作系统。 Qilin 能够为 Windows 和 ESXi 版本生成样本。 2022 年 7 月至 2023 年 5 月期间，该组织在其专门的泄密网站上发布了有关 12 名受害者的信息。

详情

据报道，能源公司的28%首席信息安全官（CISO）可能没有意识到源自暗网的网络威胁，也没有在积极监控这些威胁。这些指称来自于最新发布的Searchlight Cyber威胁情报报告。该报告还显示，有超过四分之一（27%）的能源行业CISO认为暗网上的活动对他们公司没有影响。该报告指出，最流行威胁来源于暗网的是针对能源行业的网络攻击。这些竞拍会经常在著名黑客论坛上举行，如Exploit、RaidForums、BreachForums等。大多数的竞拍帖子由攻击者发布，这些攻击者专门从事初始访问市场，而且他们发布的“拍卖”影响着不同组织。报告还强调了威胁参与者在讨论和分享工控系统（ICS）的教程、论文和文档，这些涉及到PLC终端和其他工业系统组件。最近Group-IB的威胁情报团队揭示了Qilin勒索软件组针对关键部门的新攻击。

详情

自2022年5月以来，Insikt Group一直在跟踪威胁组织OilAlpha正在进行的行动，并将其与可能支持亲胡塞运动的威胁攻击者联系起来。该组织极有可能将与非政府、媒体、国际人道主义和发展部门相关的实体作为目标。几乎可以肯定，目标实体在也门、安全、人道主义援助和重建事务上有共同利益。据报道，该组织的行动包括针对参加沙特阿拉伯政府主导的谈判的人员； 使用模仿与沙特阿拉伯政府和阿联酋人道主义组织（以及其他组织）有关实体的欺骗性Android应用程序。怀疑攻击者的目标是对也门政治和安全发展感兴趣的实体以及在也门开展业务的人道主义和非政府组织部门。

详情

2023年5月左右，S2W的威胁研究和情报中心Talon在VirusTotal中发现了疑似来自Kimsuky组织的新恶意软件样本。Naver登录所需的cookie值被插入到恶意软件中，并使用支持使用Chrome Devtools协议的客户端程序ChromeDP进行登录。S2W Talon将此恶意软件命名为“AlphaSeed”。AppleSeed与AlphaSeed的文件加密方式、邮件传输线程、使用的邮箱名称等有相似之处，而且Kimsuky过去有利用NavRAT并使用Naver邮件执行命令的历史。所以以高置信度评估Kimsuky可能是AlphaSeed恶意软件的幕后黑手。

详情

AhnLab安全紧急响应中心(ASEC)证实，被称为国家支持的攻击组织Lazarus最近对Windows IIS Web服务器进行了攻击。 一般来说，当攻击者通过扫描发现存在漏洞的Web服务器时，就会安装Webshell或者利用版本匹配的漏洞执行恶意命令。恶意行为是由IIS Web服务器进程w3wp.exe执行的。因此，可以推测攻击者在使用管理不当或易受攻击的Web服务器作为初始入侵媒介后，还执行了恶意命令。攻击者通过Windows IIS Web服务器进程w3wp.exe将正常应用程序（Wordconv.exe）和程序引用的恶意DLL（msvcr100.dll）放置在同一个文件夹路径下，利用正常应用程序执行恶意程序。这种类型的攻击在MITRE ATT&CK中被归类为DLL侧加载(T1574.002) 技术。

详情

Hagga是一个以信息窃取为动机的威胁组织，2019年3月首次被Unit 42的研究人员公开披露。一直以来，Hagga组织与盲眼鹰组织被当成两个独立的组织进行追踪，但是Hagga组织与盲眼鹰组织的TTP保持有一定的相似性，并且两者最终载荷多为商业木马或者开源木马，导致难以对两者从TTP上进行区分。现阶段暂时没有强有力的证据证明Hagga组织与盲眼鹰组织的关系，但国外有安全研究员猜测Hagga组织可能会出售自己的黑客服务。

详情

一名黑客组织被怀疑与一系列先进持续性威胁攻击活动有关，这些攻击活动发生在2020年至2022年期间的乌克兰。名为Red Stinger的组织袭击了乌克兰的许多机构，包括军事、交通和关键基础设施，并窃取了多个实体的机密数据。研究人员称，这一组织的所属国家并不清楚，因为该组织袭击的实体有些与俄罗斯有关，而有些则与乌克兰有关。该组织的攻击方式十分高明，其攻击链包括使用恶意安装程序触发DBoxShell等恶意软件启动被感染的Windows机器，并通过定制工具窃取数据。该组织的攻击行动可能会持续几个月。历经多次袭击，该组织或许会在未来的事件中留下更多线索。

详情

赛门铁克在南亚和东南亚发现了一场有针对性的黑客活动，该活动似乎至少从 2018 年开始就使用了“强大”的后门 Merdoor。该活动的目标包括政府、航空、教育和电信行业。被赛门铁克称为 Lancefly 的负责组织也被发现使用自定义版本的 ZXShell。目前对最初的入侵是如何发生的知之甚少，但赛门铁克怀疑它可能涉及网络钓鱼诱饵或 SSH 暴力破解。 ZXShell 是一个具有用于从受感染主机中提取敏感数据的功能的 Rootkit。它也被认为是一些中国支持的黑客组织的首选恶意软件。

详情

美国国土安全部网络安全与基础设施安全部门（CISA)、美国联邦调查局（FBI）和澳大利亚网络安全中心（ACSC）发布了一份联合网络安全咨询（CSA），其中包含了被称为Bianlian的勒索软件和数据勒索组织的技术细节，微软和Sophos也参与了这份咨询。该咨询旨在减少Bianlian和其它勒索软件事件的可能性和影响，建议各组织采取CISA和国家标准与技术研究院制定的跨行业网络安全绩效目标（CPGs）的建议防范措施。这份联合咨询是CISA“停止勒索软件”行动的一部分。

详情

Group-IB和Bridewell的研究人员共同研究了如何使用公开可用的工具来监控已知的SideWinder基础设施，并揭示可用于未来攻击的新恶意服务器。这篇博文提供了以前未知的属于SideWinder的基础设施的详细信息，共检测到55个以前未知的IP地址，SideWinder可以在未来的攻击中使用这些地址。已识别的网络钓鱼域名模仿新闻、政府、电信和金融部门的各种组织。

详情

隐私浏览器Brave Browser 推出了全新的“遗忘浏览”功能，能够防止网站在你随后的访问中重新识别你的身份。该功能在关闭网站时，不仅会清除你指定的网站上的cookie，还会清除本地存储和缓存中的数据。而此功能也将自动注销用户并在用户再次访问更换网站时，防止再次识别。用户可以在浏览器的设置菜单中启用“遗忘浏览”，无论是为所有网站（全局默认）还是为指定的网站列表设置。Brave强调，虽然浏览器具有强大的第三方跟踪保护功能，但源头跟踪带来的隐私问题仍有所忽略。因为用户会自行选择要访问的网站，自然可以更好地掌控他们的个人数据。但是任由网站无限期地重新识别访问者仍存在风险，包括聚合更多数据以进行定向广告并将多个访问者帐户与同一人或同一家庭关联，从而突破隐私保护屏障。

详情

工业安全解决方案提供商Dragos遭到了勒索软件攻击，股东盗取了公司130GB的数据，包括政府合同等详细信息。黑客利用新员工泄露的个人电子邮件地址进入系统。此后，黑客未能布置勒索软件，转而威胁公司高管，试图勒索赎金。然而，公司安全控制非常有效，避免了黑客在公司内部移动，并成功窃取数据。Dragos宣布没有追随黑客的要求向其付款，并采取措施加强入职流程以避免此类事件。

详情

FBI和CISA联合发布警告称，Bl00dy勒索软件团伙现在还在积极利用PaperCut远程代码执行漏洞来获取对网络的初始访问。美国网络安全和基础设施安全局提到，网络威胁行动者已将攻击重点集中在教育部门，该部门公开暴露了该漏洞。警告称，“根据FBI的信息，在2023年5月初，Bl00dy勒索软件团伙攻击了教育机构分部的受害者网络，其中PaperCut服务器对CVE-2023-27350存在漏洞，并公开暴露于互联网。”该漏洞编号为CVE-2023-27350，是一种影响大约在100个国家使用的PaperCut MF和PaperCut NG的打印管理软件的严重性远程代码执行漏洞。尽管此漏洞已经在PaperCut NG和MF版本20.1.7、21.2.11和22.0.9中修复，但组织机构缓慢安装更新，使其容易遭受攻击。因为还有许多PoC利用未被检测出来，这就提高了组织机构的风险。

详情

新的勒索软件团伙“RA Group”针对美国和韩国的医药、保险、财富管理和制造业公司进行攻击。他们于2023年4月开始运营，发布了一个暗网数据泄露网站，通过传统的“双重勒索”策略勒索受害者。研究人员表示，“RA Group”使用基于已泄露源代码的“Babuk”勒索软件，此软件在2021年关闭。此外，至少有九个不同的勒索软件团伙使用了Babuk源代码，该代码已在俄罗斯黑客论坛上泄露。此外，“RA Group”攻击中，勒索注释、执行文件都是根据个别目标量身定制的。同时，“RA Group”使用间歇式加密（alternating encryption）的方式来加密数据，该方式可以加快文件的加密，但可能会让部分数据被恢复。

详情

23 岁的英国公民约瑟夫·詹姆斯·奥康纳（Joseph James O'Connor），被称为“PlugwalkJoe”，已在纽约认罪，承认他参与了备受瞩目的 Twitter 名人账户黑客事件和其他涉及被盗加密货币的计算机犯罪。奥康纳将面临最高 77 年的监禁，定于 6 月 23 日宣判。此案引起了广泛关注，涉及入侵巴拉克奥巴马、埃隆马斯克和乔等知名人士的 Twitter 帐户拜登，以及其他名人、政客和商人。奥康纳使用社会工程技术非法访问帐户，参与勒索和网络跟踪等活动。这些指控与他通过非法 SIM 交换攻击参与窃取加密货币有关。美国司法部合并了两个案件——加利福尼亚北部地区最初处理 Twitter 案件，而纽约南部地区处理加密货币犯罪。

详情

美国司法部正在进行一项名为Operation PowerOFF的全球行动，以取缔代理分散式拒绝服务攻击（DDoS）服务。该行动的第三波行动在日前完成，共搜查并关闭了13个提供代理DDoS服务的域名。这些服务可以让用户购买，以攻击指定业务的服务器，以便造成暂时或持久的服务不可用，影响其业务的持续稳定性。这些攻击被称为“booter”服务，由于其潜在的低门槛，已经在近年来大量出现。公开声明表示，这些服务已对学区网站、大学、金融机构和政府等数百万个受害者服务器发起数百万次攻击。通过当局的调查，许多此前的booter服务已经不再在线上运营。

详情

研究人员发现，一种名为Greatness的“钓鱼即服务”（PhaaS）平台已被网络犯罪分子借助，自2022年中期以来一直针对Microsoft 365云服务的企业用户，有效降低了钓鱼攻击的门槛。此类PhaaS套件使用附件和链接构建程序，创建逼真的诱骗和登录界面，从而窃取用户的企业验证凭据。Greatness仅专注于Microsoft 365钓鱼页面，提供具有预填写受害者电子邮件和适当公司标志、背景图像等特点的假页面。针对该套件的攻击主要针对美国、英国、澳大利亚、南非和加拿大的制造业、医疗保健和技术实体，且在2022年12月和2023年3月期间活动有所增加。 Greatness等Phishing（钓鱼）工具包为黑客提供了负担得起且可扩展的一站式攻击平台，使他们可以设计与各种在线服务相关的逼真的登录页面，并绕过双因素身份验证（2FA）保护。

详情

韩国指控四名工会领袖涉嫌为朝鲜从事间谍活动，涉案人员涉嫌在韩国军事基地拍照，并利用其工会身份煽动反美和反日情绪。据称，被指控的间谍未被透露名字，但被描述为现任和前任KCTU高管。他们被控违反国家安全法的多项规定，该法规定向朝鲜提供军事或国家机密是由极刑或无期徒刑惩罚。在政治背景下，本案可能引发韩国的政治争议。KCTU是韩国拥有超过一百万成员的工会，通常被认为是与中左翼民主党政治联盟。这项指控可能会引起政治争议，因为韩国保守派总统尹寿禄政府被认为正在加强对反对派人士与朝鲜情报机构之间的关联进行调查。

详情

加州一家VoIP服务供应商 XCast Labs 被指控违反电话营销规定，向美国消费者发送数十亿条非法推销电话。起诉方 DoJ 和 FTC 在上周五宣布对这家位于洛杉矶的公司提起民事执行诉讼。控诉称，XCast Labs 的服务向收件人发出预先记录的营销信息，其中许多人都在全国不希望接听电话名单上。这些电话包括对政府机构进行欺诈的诈骗电话和“其他虚假或误导性陈述以引诱购买”。部分电话使用虚假身份信息隐藏来电者的真实来源或者未能标明营销服务的销售方。新提出的诉讼寻求货币民事罚款并颁布永久禁令以防止 XCast Labs 未来违反法规。自动化垃圾邮件和诈骗电话仍然是监管机构和政府的重大全球性挑战。根据 Juniper Research 的报告显示，这些电话对受害者的成本将从2022年增加9％，今年将达到580亿美元。

详情

Ubiquiti前雇员被判入狱6年，他在公司工作时冒充匿名黑客和举报者，试图勒索价值近200万美元的加密货币。37岁的Nickolas Sharp在2021年12月被逮捕，据称他利用自己的内部权限作为高级开发人员窃取机密数据，并发送匿名电子邮件，要求网络技术提供商支付50比特币（当时约为200万美元）以换取窃取的信息。 Ubiquiti没有屈服于赎金要求，而是协调执法机构，最终在追踪到一个用他的PayPal账户购买的Surfshark账户的VPN连接后，确定Sharp是黑客。Sharp还被指控篡改了会话文件名，试图让其他同事看起来像是负责任他的恶意会话，这顺便也加剧了他的罪名。除了制造假冒的安全漏洞，导致Ubiquiti的股价在2021年3月下跌约20％，且市值缩水超过40亿美元。 Sharp面临监禁、缓刑和支付赔偿，以及放弃用于涉案的个人财产。

详情

美国司法部指控一名名叫米哈伊尔·巴夫洛维奇·马特维夫（Mikhail Pavlovich Matveev）的俄罗斯公民涉嫌参与了三起勒索软件行动，针对美国的受害者。Matveev与与俄罗斯相关的勒索软件变体（包括Hive、LockBit和Babuk）的联系引起了执法机构的关注。美国财政部的外国资产控制办公室将Matveev制裁，指控他发动了针对美国实体（包括美国关键基础设施组织和执法部门）的网络攻击。2022年，Matveev以无线电后盾Boriselcin为代表，5月和6月更名为Wazawaka，之后转向Uhodiransomwar和m1x。Matveev与LockBit、Babuk和Hive勒索软件团伙合作，对医疗保健机构和执法机构实施攻击。美国国务院还宣布了一项高达1000万美元的奖励，以获取与涉嫌跨国有组织犯罪的Matveev有关的信息。

详情

研究人员发现，许多企业的VMware环境中使用ESXi hypervisor作为虚拟基础设施管理平台，而这个技术并不支持第三方恶意软件检测功能，使该技术成为勒索软件运营商日益青睐的目标。例如近期，研究人员发现使用MichaelKors勒索软件作为服务 (RaaS) 的攻击者正在瞄准ESXi/Linux系统。研究还发现，一些已知的勒索软件家族也在针对ESXi hypervisor进行攻击。由于ESXi hypervisor不支持原生恶意软件检测能力，再加上其受欢迎程度，成为现代攻击者极具吸引力的目标。用户需要密切关注该问题并持续更新防护措施。

详情

全研究人员在SentinelOne博客中警告称，黑客现正在使用一种名为Geacon的Go语言实现的Cobalt Strike工具，针对苹果的macOS系统实施攻击。Geacon在四年前在GitHub上出现了，都一直没有引起多大关注。安全研究人员在VirusTotal上发现最近几个月有多个Geacon有效载荷，部分与合法企业红队演习相关，而另一些则属于恶意活动的产物。一个恶意示例是一个名为“Xu Yiqing’s Resume”的AppleScript applet，可以下载一个未签名的Geacon有效载荷。SentinelOne表示，这是提醒所有人企业Mac系统现在受到各种威胁行动攻击的一个例子。

详情

蒙大拿州州长 Greg Gianforte 签署了一项法案，该法案将从 2024 年 1 月 1 日起禁止在该州的个人设备上使用 TikTok。该视频共享平台声称该禁令侵犯了蒙大拿州居民的第一修正案权利，并将在法庭上对该立法提出质疑。拥有 TikTok 的中国媒体集团字节跳动因潜在的中国政府监控及其隐私做法而面临审查。该禁令将停止提供该平台的应用商店，但不会阻止当前用户访问该平台。

详情

2023年5月18日，一名伊利诺伊州男子在密苏里州的法庭上承认经营暗网盗刷网站并出售上万张窃取的信用卡信息。据起诉书称，40岁的迈克尔·米哈洛（Michael Mihalo）是暗网上知名的卡盗销售商，在2016年与两名合谋者设立Skynet市场，销售窃取的信用卡信息，并张贴管理论坛。据起诉书指出，直到2019年10月，他们进行了数万笔交易，总交易额超过100万美元，并且还在暗网AlphaBay、Wall Street和Hansa上出售盗银行卡信息。米哈洛因串谋利用访问设备和洗钱各个罪名认罪，最高可判入狱25年。此前，他的一名同伙因参与信用卡“验卡”认罪，面临5年监禁。今年早些时候，美国当局关闭了俄罗斯Try2Check平台，该平台用于确认窃取的信用卡信息的合法性。他们起诉了该网站的所有者的丹尼斯-库尔科夫，丹尼斯-库尔科夫自该网站2005年上线以来挣了约1800万美元。

详情

若想了解更多信息或有相关业务需求，可移步至http://360.net

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

2023-05-15 360CERT发布安全周报