鑽石舞台

本周收錄安全熱點57項，話題集中在惡意程序、網絡攻擊方面，涉及的組織有：BlackCat、APT37、Lazarus、Apple等。對此，360CERT建議使用360安全衛士進行病毒檢測、使用360安全分析響應平台進行威脅流量檢測，使用360城市級網絡安全監測服務QUAKE進行資產測繪，做好資產自查以及預防工作，以免遭受黑客攻擊。

美國聯邦調查局 (FBI) 對 BlackCat 勒索軟件即服務 (RaaS) 發出警報，稱自去年 11 月出現以來，截至 2022 年 3 月，全球至少有 60 個實體受害。BlackCat 勒索軟件也稱為 ALPHV 和Noberus，是第一個以 Rust 編程語言編寫的惡意軟件。BlackCat/ALPHV 的許多開發人員和洗錢者都與 DarkSide / BlackMatter 有關聯，這表明他們擁有廣泛的網絡和勒索軟件操作經驗。BlackCat勒索軟件通常利用受損的用戶憑據來獲得對目標系統的初始訪問權限。FBI 敦促組織審查域控制器、服務器、工作站和活動目錄中是否有新的或無法識別的用戶帳戶，進行離線備份，實施網絡分段，應用軟件更新，並通過多因素身份驗證保護帳戶。

詳情

https://t.co/TV1TgCvmiZ

2022年3月18日，NK News與Stairwell威脅研究團隊共享了多個惡意文件，這些文件來自一場針對專門研究朝鮮問題的記者的網絡釣魚活動。這些信息是從韓國國家情報局（NIS）前局長的個人電子郵件中發送的。其中一個是名為GOLDBACKDOOR的新惡意軟件樣本。Stairwell以中高等的置信度將GOLDBACKDOOR歸因於APT37,它是BLUELIGHT惡意軟件的繼承者或與BLUELIGHT一起使用，因為兩個惡意軟件家族之間有技術重疊以及冒充關注朝鮮的韓國新聞網站Daily NK。

詳情

https://stairwell.com/wp-content/uploads/2022/04/Stairwell-threat-report-The-ink-stained-trail-of-GOLDBACKDOOR.pdf

Emotet 惡意軟件在被有效關閉一年多後再次強勢回歸。卡巴斯基稱，一場迅速加速且複雜的垃圾郵件活動正在用欺詐性電子郵件吸引目標，這些欺詐性電子郵件旨在誘騙受害者拆包和安裝 Emotet 或 Qbot 惡意軟件，這些惡意軟件可以竊取數據、在受感染的公司網絡上收集信息並橫向移動通過網絡在聯網計算機上安裝勒索軟件或其他木馬。2022年2月，卡巴斯基發現了 3,000 封與 Emotet 相關的惡意電子郵件，3月又發現了 30,000 封，語言包括英語、法語、意大利語、波蘭語、俄語和西班牙語。Emotet惡意軟件在4月威脅或感染了全球多達 10% 的組織，是2月份的兩倍。

詳情

https://t.co/8iaqjdbjR6

2022年4月21日，安全廠商Avast 發布了一份關於惡意軟件 Certishell 的技術報告。Certishell是一種專門針對捷克和斯洛伐克用戶的惡意軟件。該惡意軟件從Avast用戶群中的註冊表項啟動 powershell 代碼的惡意任務，通過歌曲和電影的非法副本以及遊戲和常用工具託管在捷克和斯洛伐克最流行的文件共享服務uloz.to之上。

詳情

https://t.co/G5MLlLlax8

eSentire的研究和報告負責人Keegan Keplinger在一份聲明中表示：「今年，more_eggs運營部門已經翻轉了社會工程腳本，針對的是帶有虛假簡歷的招聘經理，而不是針對具有虛假工作機會的求職者」。這家加拿大網絡安全公司表示，它發現並破壞了四起獨立的安全事件，其中三起發生在三月底。目標實體包括一家總部位於美國的航空航天公司、一家位於英國的會計企業、一家律師事務所和一家位於加拿大以外的人力資源機構。該惡意軟件被懷疑是名為Golden Chickens（又名Venom Spider）的威脅參與者的手筆，是一種隱蔽的模塊化後門套件，能夠竊取有價值的信息並在受感染的網絡中進行橫向移動。

詳情

https://t.co/DvmdqFle4m

BotenaGo是一種相對較新的惡意軟件，用谷歌的開源編程語言Golang編寫。Nozomi Networks Labs的研究人員最近發現了BotenaGo的一個新變體，它似乎來自泄露的源代碼。他們分析的樣本針對Lilin安全攝像頭DVR設備，這促使研究人員將其命名為「Lillin掃描儀」。Lillin BotenaGo變體最顯着的特徵是，VirusTotal掃描平台上的防病毒引擎無法檢測到它。其中一個原因是，它的作者已經刪除了原始BotenaGo中存在的所有漏洞，並且只專注於使用兩年前的關鍵遠程代碼執行缺陷來針對Lilin DVR。

詳情

https://t.co/lcjr6fyOLT

研究人員透露，在過去兩年中，一種與多個國家支持的活動有關的臭名昭着的間諜軟件變體被用來針對英國首相辦公室。近年來，加拿大非營利組織公民實驗室（Citizen Lab）一直積極參與跟蹤以色列NSO集團生產的Pegasus間諜軟件的使用情況。該公司正在被WhatsApp和蘋果起訴，此前科技巨頭的客戶成為秘密惡意軟件的目標。它也被用來破壞九名美國國務院官員的iPhone，它出現在去年年底。2022年4月18日，公民實驗室透露，在發現「英國官方網絡內出現多個疑似Pegasus間諜軟件感染事件」後，它也被迫在2020年和2021年通知英國政府。

詳情

https://t.co/rmmuNWz2on

2022年4月18日，CISA，聯邦調查局和美國財政部警告說，朝鮮Lazarus黑客組織正在針對加密貨幣和區塊鏈行業的組織提供特洛伊木馬化的加密貨幣應用程序。攻擊者使用社交工程來誘騙加密貨幣公司的員工下載和運行惡意的Windows和macOS加密貨幣應用程序。然後，Lazarus運營商使用這些特洛伊木馬工具訪問目標的計算機，在整個網絡中傳播惡意軟件，並竊取私鑰，從而發起欺詐性區塊鏈交易並從錢包中竊取受害者的加密資產。

詳情

https://t.co/bc825qNFsV

黑客正在通過偽造的Windows 11升級來吸引毫無戒心的用戶，該升級帶有竊取瀏覽器數據和加密貨幣錢包的惡意軟件。該活動目前處於活躍狀態，信息竊取者通過依靠中毒搜索結果來推送模仿微軟Windows 11促銷頁面的網站。Microsoft為用戶提供了一個升級工具，用於檢查其計算機是否支持該公司的最新操作系統（OS）。一個要求是對受信任的平台模塊 （TPM） 版本 2.0 的支持，該版本存在於不超過四年的計算機上。黑客正在掠奪那些跳到安裝Windows 11的用戶，而沒有花時間了解操作系統需要滿足某些規範。

詳情

https://t.co/XUzycUBkyr

1. 在網絡邊界部署安全設備，如防火牆、IDS、郵件網關等

2. 做好資產收集整理工作，關閉不必要且有風險的外網端口和服務，及時發現外網問題

3. 及時對系統及各個服務組件進行版本升級和補丁更新

4. 包括瀏覽器、郵件客戶端、vpn、遠程桌面等在內的個人應用程序，應及時更新到最新版本

5. 各主機安裝EDR產品，及時檢測威脅

6. 注重內部員工安全培訓

7. 不輕信網絡消息，不瀏覽不良網站、不隨意打開郵件附件，不隨意運行可執行程序

8. 勒索中招後，應及時斷網，並第一時間聯繫安全部門或公司進行應急處理

2022年4月17日，由研究人員發現了一個開放且不受密碼保護的數據庫，其中包含 12,976,279 條記錄。數據集的總大小為 58 GB，包含內容管理數據，包括員工 PII。經過進一步研究，幾乎所有記錄都包含指示 FOX 內容、存儲信息、內部 FOX 電子郵件、用戶名、員工 ID 號、附屬電台信息等的信息。FOX 安全團隊迅速採取行動，關閉了對不安全和公開暴露的數據庫的訪問。目前尚不清楚這些記錄暴露了多長時間，或者還有誰可能訪問了數據集。

詳情

https://t.co/PXCvpQTYqX

2022年4月19日，黑客組織Anonymous泄露了600多名俄羅斯聯邦安全局官員在莫斯科的個人資料。這些信息包括姓名、出生日期、註冊地址、護照號碼、債務、機票、SIM卡等。黑客組織Anonymous還講這些信息發布在了烏克蘭國防部主要情報局的政府網站上。

詳情

https://t.co/atXmuWWkjw

1. 及時備份數據並確保數據安全

2. 合理設置服務器端各種文件的訪問權限

3. 嚴格控制數據訪問權限

4. 及時檢查並刪除外泄敏感數據

5. 發生數據泄漏事件後，及時進行密碼更改等相關安全措施

6. 強烈建議數據庫等服務放置在外網無法訪問的位置，若必須放在公網，務必實施嚴格的訪問控制措施

近一周的勒索軟件攻擊導致哥斯達黎加政府計算機系統癱瘓，該國表示拒絕支付贖金。哥斯達黎加的財政部、社會保障機構的人力資源系統、勞工部以及其他政府機構都遭到攻擊。Conti聲稱對這次襲擊負責，但哥斯達黎加政府尚未證實其來源。2022年4月22日，勒索團伙Conti表示，它已經公布了 50% 的被盜數據，包括來自財政部和其他機構數據庫的超過 850 GB 的材料。Conti目前正在追求雙重勒索：加密政府文件以凍結機構的運作能力，並在沒有贖金的情況下將被盜文件發布到該組織在暗網上的勒索網站獲取資金。

詳情

https://t.co/nF506SWczJ

一位英特爾消息人士最近向思科 Talos 提供了 TeamTNT 網絡犯罪團隊受感染的 shell 腳本的修改版本，趨勢科技記錄了該腳本的早期版本。惡意軟件創建者在得知安全專家已經披露了其腳本的先前版本後修改了這些工具。這些腳本主要用於 Amazon Web Services （AWS），但它們也可能在本地、容器或其他 Linux 實例中使用。除了主要的憑據竊取腳本之外，還有多個TeamTNT有效負載專注於比特幣挖掘，持久性和橫向移動，這些策略採用的策略包括識別和安裝本地網絡中的所有Kubernetes pod。還包括一個包含分發系統服務器的用戶憑據的腳本和另一個具有 API 密鑰的腳本，該密鑰可能允許遠程訪問 tmate 共享登錄會話。旨在擊敗阿里雲安全技術的防禦規避功能包含在一些TeamTNT腳本中。

詳情

https://t.co/pTVigi2Fvc

2022年4月23日，黑客組織Anonymous泄露了來自Enerpred的645000封電子郵件（432 GB），Enerpred是俄羅斯和獨聯體最大的液壓工具生產商，專注於能源、石化、煤炭、天然氣和建築行業。2022年4月21日，黑客組織Anonymous泄露了來自俄羅斯房地產投資公司 Accent Capital 的 365.000 封電子郵件（211 GB）。同日，泄露了Worldwide Invest 的 250,000 封電子郵件（130 GB），這是一家與愛沙尼亞和俄羅斯鐵路有聯繫的投資公司。

詳情

https://t.co/5rsCB2uRiR

https://t.co/5rsCB2uRiR

Linux服務器上的Docker API正成為Lemon_Duck殭屍網絡運營商大規模門羅幣加密挖掘活動的目標。加密採礦團伙對安全性差或配置錯誤的Docker系統構成了持續的威脅，近年來報道了多次大規模剝削活動。特別是LemonDuck，它以前專注於利用易受攻擊的Microsoft Exchange服務器，在此之前，它通過SSH暴力攻擊針對Linux機器，Windows系統容易受到SMBGhost的攻擊，以及運行Redis和Hadoop實例的服務器。根據2022年4月21日發布的Crowdstrike報告，正在進行的Lemon_Duck活動背後的威脅行為者正在將他們的錢包隱藏在代理池中。

詳情

https://t.co/zzITtArDKH

與俄羅斯有關的Shuckworm間諜組織（又名Gameredon）正在繼續對烏克蘭的組織發起網絡攻擊。自2014年首次出現以來，Shuckworm專注於攻擊烏克蘭。自俄羅斯入侵該國以來，這些攻擊有增無減。該組織最近活動的特點之一是在目標計算機上部署多個惡意軟件有效載荷，通常是同一惡意軟件（Backdoor.Pterodo）的不同變種，旨在執行類似的任務，並且都將與不同的命令和控制服務器進行通信。

詳情

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/shuckworm-intense-campaign-ukraine

據首席執行官稱，加拿大低成本航空公司Sunwing Airlines Inc的數千名乘客在航空公司使用的第三方系統遭到黑客攻擊後，面臨四天的航班延誤。由於4月17日下午開始的技術問題，乘客仍然滯留在國外，其他人的假期被推遲。在接受CP24採訪時，Sunwing Airlines首席執行官Mark Williams透露，該航空公司用於辦理登機手續和登機的系統被「破壞」。

詳情

https://t.co/51LbOrmMu5

俄羅斯國家支持的威脅組織 Gamaredon（又名 Armageddon/Shuckworm）正在使用惡意軟件Pteredo的多個新型變體對烏克蘭的目標發起攻擊。Gamaredon自 2014 年以來， 一直在發起針對烏克蘭政府和其他關鍵實體的網絡間諜活動。Gamaredon目前正在使用至少四種「Pteredo」惡意軟件變種。這些針對烏克蘭目標部署的不同變種最近都執行了類似的任務，但每個都與不同的命令和控制服務器 (C2) 服務器地址進行通信。這表明Gamaredon正在使用多個略有不同的惡意軟件變種來抵抗惡意軟件清理操作，保持後門持久性。

詳情

https://t.co/4xSElxJWPX

2022年4月19日哥斯達黎加證實，財政部的計算機系統在前一天對官方平台進行網絡攻擊後仍處于禁用狀態。該部在一份聲明中表示，當局在網絡攻擊後暫時禁用了被認為易受攻擊的平台，並補充說專家正在努力識別和解決問題。截至19日，稅務和海關平台已暫停供外部用戶使用。教育部和最高選舉法院的內部財務系統和薪金服務也被暫停。

詳情

https://t.co/tUxAZRuTOT

2022年4月20日，黑客組織Anonymous的分支GhostSec黑客組織稱，他們已經訪問了Metrospetstekhnika的一個IT系統，Metrospetstekhnika是俄羅斯地鐵的供應商。他們現在可能會擾亂系統，泄露公司數據。並且附上了幾張疑似是地鐵系統內部的圖片。

詳情

https://t.co/Te6gIPIbwl

禮品卡零售商Funky Pigeon經歷了網絡攻擊，導致該公司暫時暫停訂單。

WHSmith擁有的Funky Pigeon透露，作為預防措施，它已經將其系統脫機，以防止其履行客戶訂單。該公司的網站目前傳達的信息是：「哎呀！我們遇到了一些問題，目前無法接受新訂單。請稍後再試！」該零售商表示，它已將這一事件通知了監管機構和執法部門，目前正在外部網絡安全專家的幫助下進行調查。它向客戶保證，沒有支付數據存在風險，並且不認為任何帳戶密碼受到損害。

詳情

https://t.co/zLuZ8No9uL

2022年4月18日，厄瓜多爾首都基多市報告說，其技術基礎設施遭到BlackCat 勒索病毒的攻擊，此次攻擊旨在使所有信息和技術基礎設施不可用。Cabildo中央管理機構數據庫的 20% 內容受到影響。網絡攻擊的記錄時間在2022 年 4 月 16 日星期六凌晨。其政府制定的恢復計劃需要幾天時間，以防止其他感染了來自BlackCat 勒索病毒的計算機繼續通過網絡傳播。此次攻擊的目的是綁架信息以索取金錢。但其政府官員表示目前尚未收到所謂黑客的任何通信。

詳情

https://t.co/Ryo4AhEfop

金融系統Beanstalk透露，它在2022年4月17日遭受了flash load攻擊，導致1.82億美元的經濟損失，攻擊者竊取了8000萬美元的加密資產。由於這次攻擊，對Beanstalk市場的信任受到了損害，其分散的基於信用的BEAN穩定幣的價值已經從周日的略高於1美元暴跌至現在的0.11美元。該平台仍在調查這一事件，並公開致電DeFi社區和區塊鏈分析專家，以幫助他們挽救力所能及的。同時，它還邀請剝削者進行談判。PeckShield區塊鏈分析報告稱，黑客已向烏克蘭捐贈了25萬美元的被盜金額。

詳情

https://t.co/dIcDQQrvAP

1. 積極開展外網滲透測試工作，提前發現系統問題

2. 減少外網資源和不相關的業務，降低被攻擊的風險

3. 做好產品自動告警措施

4. 及時對系統及各個服務組件進行版本升級和補丁更新

5. 包括瀏覽器、郵件客戶端、vpn、遠程桌面等在內的個人應用程序，應及時更新到最新版本

6. 注重內部員工安全培訓

2022年4月22日，美國國土安全部（DHS）表示參加其「黑客國土安全部」漏洞賞金計劃的漏洞賞金獵人在外部國土安全部系統中發現了122個安全漏洞，其中27個被評為嚴重性。國土安全部向450多名經過審查的安全研究人員和道德黑客頒發了總計125600美元的獎勵，根據漏洞的嚴重程度，每個漏洞的獎勵高達5000美元。

詳情

https://t.co/sZP79hDZk2

Apple 開發的開源音頻編解碼器ALAC受到嚴重漏洞的影響，牽連數百萬台 Android 設備。這些漏洞被稱為ALHACK，可以使用特製的音頻文件觸發，並可能導致遠程代碼執行。Apple 於 2004 年推出了 Apple Lossless Audio Codec (ALAC)，並在2011年將 ALAC 開源。如今，開源 ALAC 代碼已被許多其他供應商用於非 Apple 設備中。雖然Apple 一直在不斷改進編解碼器的專有版本，但開源代碼在過去 11 年中從未更新過，使用該代碼的第三方供應商也沒有更新代碼確保其安全。目前至少有兩家主要的移動芯片組製造商——高通和聯發科——已將其用於音頻解碼器。大約三分之二的 Android 用戶的隱私處於危險之中。

詳情

https://t.co/GallF9QoI5

研究人員Michael Heinzl在俄羅斯公司Elcomplus的SmartPTT SCADA產品中發現了九個漏洞，該產品將SCADA / IIoT系統的功能與專業無線電系統的調度軟件相結合。此外，SmartICS（一家專門從事SCADA和工業物聯網可視化平台的Elcomplus部門）製造的產品似乎也受到一些漏洞的影響，因為它們共享代碼。受影響的產品被包括美國在內的90個國家的2000多個組織使用

詳情

https://t.co/EDclVsT9nk

RainLoop是許多組織使用的基於Web的開源電子郵件客戶端。Sonar報告說，使用Shodan搜索引擎識別了數千個暴露在互聯網上的實例。Sonar的研究人員發現，RainLoop 1.16.0 （這是該應用程序的最新版本，大約在一年前發布） 受到存儲的跨站點腳本（XSS）漏洞（CVE-2022-29360）的影響，該漏洞可以針對默認配置進行利用。攻擊者可以通過簡單地向 RainLoop 用戶發送經特殊設計的電子郵件來利用此漏洞。一旦受害者打開惡意電子郵件，就會在瀏覽器中執行隱藏的JavaScript有效負載，而無需其他用戶交互。

詳情

https://t.co/gm8S3uJGOz

2022年4月22日，網絡附加存儲（NAS）設備製造商QNAP表示它正在調查其陣容，以了解上個月在Apache HTTP服務器中解決的兩個安全漏洞所產生的潛在影響。嚴重缺陷（跟蹤為 CVE-2022-22721 和 CVE-2022-23943）在 CVSS 評分系統上的嚴重性評級為 9.8，並影響 Apache HTTP 服務器版本 2.4.52 及更早版本 ：

• CVE-2022-22721- 緩衝區可能溢出，限制XMLRequestBody非常大或無限

• CVE-2022-23943- Apache HTTP Server mod_sed中的越界寫入漏洞

這兩個漏洞以及 CVE-2022-22719 和 CVE-2022-22720 均由項目維護人員作為版本 2.4.53 的一部分進行了修復，該版本於 2022 年 3 月 14 日發布。

詳情

https://t.co/VtHJ7C3EDf

網絡設備製造商思科已發布安全更新，以解決其產品中的3個高嚴重性漏洞，這些漏洞可能被利用來導致拒絕服務 (DoS) 條件並控制受影響的系統。這三個漏洞分別是：CVE-2022-20783（CVSS 分數：7.5）、CVE-2022-20773（CVSS 評分：7.5）和CVE-2022-20732（CVSS 評分：7.8）。這三個漏洞分別影響Cisco TelePresence 協作終端 (CE) 軟件和 Cisco RoomOS 軟件、 Cisco Umbrella 虛擬設備 (VA) 和Cisco Virtualized Infrastructure Manager思科還解決了其產品組合中的10 個中等嚴重性錯誤，包括 Webex Meeting、統一通信產品、Umbrella Secure Web Gateway 和 IOS XR 軟件。

詳情

https://t.co/kb09IxZYV1

ESET 研究人員在各種聯想筆記本電腦型號中發現三個漏洞，允許具有管理員權限的攻擊者將用戶暴露於固件級惡意軟件。這三個漏洞分別是：SMM 任意讀/寫漏洞 CVE-2021-3970、禁用 SPI 閃存保護漏洞 CVE-2021-3971、禁用 UEFI 安全啟動漏洞CVE-2021-3972。CVE-2021-3971、CVE-2021-3972–影響原本打算僅在聯想消費類筆記本電腦製造過程中使用的 UEFI 固件驅動程序。但它們也被錯誤地包含在生產 BIOS 映像中，而沒有正確停用。攻擊者可以激活這些受影響的固件驅動程序，以在操作系統運行時從特權用戶模式進程直接禁用 SPI 閃存保護（BIOS 控制寄存器位和受保護範圍寄存器）或 UEFI 安全啟動功能。這意味着利用這些漏洞將允許攻擊者在受影響的設備上部署並成功執行 SPI 閃存或 ESP 植入程序。

詳情

https://t.co/5H0VLPet7i

1. 及時對系統及各個服務組件進行版本升級和補丁更新

2. 包括瀏覽器、郵件客戶端、vpn、遠程桌面等在內的個人應用程序，應及時更新到最新版本

KrebsOnSecurity 最近審查了LAPSUS$網絡犯罪組織成員之間的私人聊天消息副本。日誌顯示 LAPSUS$在2022年3月份多次入侵德國電信品牌T-Mobile，竊取了一系列公司項目的源代碼。T-Mobile 表示，此次入侵中沒有客戶或政府信息被盜。LAPSUS$ 成員不斷針對T-Mobile員工，他們訪問公司內部工具來為SIM 交換攻擊打下基礎。這些未經授權的SIM 交換攻擊允許攻擊者攔截目標的短信和電話，包括通過 SMS 發送的用於密碼重置的任何鏈接，或為多因素身份驗證發送的一次性代碼。

詳情

https://t.co/92eHjDlPKw

近日，Varonis的安全研究人員在受委託調查一名客戶的勒索軟件攻擊事件時，發現了Hive 勒索軟件團伙利用ProxyShell，黑掉了Microsoft Exchange 服務器。在利用 ProxyShell 之後，黑客在可訪問的 Exchange 目錄中植入了四個 Web Shell，並以高權限執行 PowerShell 代碼以下載 Cobalt Strike stagers。在所有文件都被泄露後，一個名為「Windows.exe」的勒索軟件有效負載被刪除並在多個設備上執行。在加密組織的文件之前，Golang 有效負載刪除了卷影副本，禁用了 Windows Defender，清除了 Windows 事件日誌，終止了文件綁定進程，並停止了安全帳戶管理器以使警報失效。此次事件表明，對於黑客來說，ProxyShell漏洞仍有利用空間，來攻擊易受攻擊的服務器。

詳情

https://t.co/pCBSrmevHp

近日，國家計算機病毒應急處理中心對「蜂巢」（Hive）惡意代碼攻擊控制武器平台（以下簡稱「蜂巢平台」）進行了分析，蜂巢平台由美國中央情報局（CIA）數字創新中心（DDI）下屬的信息作戰中心工程開發組（EDG，以下簡稱「美中情局工程開發組」）和美國著名軍工企業諾斯羅普·格魯曼（NOC）旗下XETRON公司聯合研發，由美國中央情報局（CIA）專用。蜂巢平台屬於「輕量化」的網絡武器，其戰術目的是在目標網絡中建立隱蔽立足點，秘密定向投放惡意代碼程序，利用該平台對多種惡意代碼程序進行後台控制，為後續持續投送「重型」武器網絡攻擊創造條件。美國中央情報局（CIA）運用該武器平台根據攻擊目標特徵定製適配多種操作系統的惡意代碼程序，對受害單位信息系統的邊界路由器和內部主機實施攻擊入侵，植入各類木馬、後門，實現遠程控制，對全球範圍內的信息系統實施無差別網絡攻擊。

詳情

https://www.cverc.org.cn/head/zhaiyao/news20220419-hive.htm

根據網絡安全公司CPR的最新研究，LinkedIn 已成為迄今為止網絡釣魚攻擊中被模仿最多的品牌。在「大辭職」期間，冒充 LinkedIn 的電子郵件網絡釣魚攻擊激增了 232%。調查結果反映了社會工程詐騙從航運公司和科技巨頭轉向社交媒體網絡的新興趨勢。2022 年第一季度，社交網絡是最具針對性的類別，其次是航運。繼 LinkedIn 之後，在網絡釣魚攻擊中最常被冒充的品牌是 DHL (14%)、谷歌 (7%)、微軟 (6%)、聯邦快遞 (6%)、WhatsApp (4%)、亞馬遜 (2%)、馬士基 ( 1%）、速賣通（0.8%）和蘋果（0.8%）。

詳情

https://t.co/KwQPgIrWuf

2022年4月18日，Citizen Lab的安全研究員發現了一種新的零點擊 iMessage 漏洞利用，用於在屬於加泰羅尼亞政治家、記者和活動家的 iPhone 上安裝 NSO Group 間諜軟件。這個iOS零點擊漏洞名為HOMAGE，會影響 iOS 13.2 之前的部分版本（最新的穩定 iOS 版本為 15.4）。間諜軟件秘密地滲透到手機（和其他設備）中，能夠閱讀文本、聽電話、收集密碼、跟蹤位置、訪問目標設備的麥克風和攝像頭，以及從應用程序中獲取信息，還可以監控加密的通話和聊天，甚至可以在感染結束後保持對受害者雲帳戶的訪問。Citizen Lab 並未最終將這些黑客行動歸咎於特定政府，但一系列間接證據表明與西班牙政府內的一個或多個實體存在密切聯繫。此外NSO Group 的間諜軟件也針對歐盟委員會、英國政府、芬蘭外交官、美國國務院。

詳情

https://t.co/RcH9zscRvT

研究人員對PYSA勒索軟件操作進行了為期18個月的分析顯示，網絡犯罪卡特爾從2020年8月開始遵循五個階段的軟件開發周期，惡意軟件作者優先考慮功能以提高其工作流程的效率。這包括一個用戶友好的工具，如全文搜索引擎，以方便提取元數據，並使威脅行為者能夠快速找到和訪問受害者信息。PYSA是Mespinoza勒索軟件的繼任者，於2019年12月首次被觀察到，並已成為2021年第四季度檢測到的第三大最普遍的勒索軟件。

詳情

https://t.co/UrruyA5Yfm

安天CERT監測到一起目標為韓國獎學金基金會、重工企業等多個機構的竊密攻擊活動。攻擊者利用釣魚郵件的方式投遞惡意載荷，主題為「請求基礎產業報價」的報價單，以此誘導受害者解壓並執行壓縮包中的LokiBot竊密木馬，導致用戶的隱私和信息泄露。LokiBot竊密木馬執行後，會自動收集受害者的瀏覽器數據、電子郵件、遠程連接憑據等數據並回傳至攻擊者服務器，造成受害者數據泄露。LokiBot還支持接收C2命令、執行下載其他惡意代碼等功能，對受害者數據產生更多威脅。

詳情

https://mp.weixin.qq.com/s/lnCAGb_lMTzRL-CwnOzVCg

西班牙當局承諾對Pegasus間諜軟件的使用進行透明調查，他們開始調查指控數十名加泰羅尼亞獨立支持者的手機被黑客入侵，這些間諜軟件只出售給政府機構。2022年4月24日，總統和與議會關係部長費利克斯·博拉尼奧斯宣布：該國情報機構的內部調查，一個分享其結果的特別議會委員會，以及西班牙監察員的單獨調查將被安排，以表明馬德里的中央當局「沒有什麼可隱瞞的」。

詳情

https://t.co/tKZDQ8GGCo

近日，摩托羅拉宣布成立公共安全威脅聯盟(PSTA)，這是一個公共安全社區的網絡威脅情報共享中心。摩托羅拉將公共安全威脅聯盟 (PSTA)描述為一個信息共享和分析組織 (ISAO)，並指出它得到了美國網絡安全和基礎設施安全局 (CISA) 的認可。PSTA 對所有公共安全機構開放，它的作用是幫助成員共享和分析來自多個來源的信息，以改善公共安全組織的網絡安全態勢。它旨在幫助各機構提高防禦能力和復原力。信息來源多種多樣，包括執法、EMS、移動通信系統、商業安全產品和 ISAO 合作夥伴等。這些信息用於創建更多情報，包括報告、API、威脅列表、暗網情報、SOC 情報和 MDR 數據。

詳情

https://t.co/67INqdnAWM

2022年4月22日，美國能源部 (DOE) 宣布將向六個大學團隊提供 1200 萬美元的資金，用於開發防禦和緩解工具，以保護美國能源輸送系統免受網絡攻擊。這些網絡安全工具將專注於檢測、阻止和減輕破壞美國電網內關鍵控制的企圖，推進異常檢測、人工智能和機器學習以及基於物理的分析，以加強下一代能源系統的安全性。這些由美國政府資助的研發項目背後的團隊還將致力於創新技術，使能源輸送系統能夠在網絡攻擊後快速生存和恢復。

詳情

https://t.co/LSvmrE6VQj

2021 年7月27日，美國呼吸保健提供商SuperCare Health 在其系統上發現了未經授權的活動。2022 年2月4日，SuperCare Health發現數據泄漏，泄露的數據可能包括姓名、地址、出生日期、醫院或醫療組、患者帳號、病歷編號、健康保險信息等。2022年3月下旬，SuperCare Health 才開始通知患者數據安全事件。該事件已向美國衛生與公眾服務部的民權侵犯門戶辦公室報告，影響了 318,379 人。隨後，針對 SuperCare Health 的投訴被提交到美國加利福尼亞中區地方法院。投訴稱，SuperCare Health違反了《加利福尼亞州醫療信息保密法》和《加利福尼亞州不公平競爭法》，並且未能採取充分和合理的措施來保護其數據系統免受網絡攻擊。

詳情

https://t.co/Q46lg4kH9F

2022年2月初，SentinelLabs觀察到了兩個名為「Nokoyawa」的新Nemty變體的樣本。SentinelLabs認為Nokoyawa是之前的Nemty菌株Karma的進化。3月份，TrendMicro表示這種勒索軟件與Hive有一定關係。SentinelLabs評估Hive和Nokoyawa是不同的，後者不是Hive RaaS的品牌重塑。

在這篇文章中，將更廣泛地研究Nokoyawa和Karma勒索軟件之間的相似之處。之前的研究人員強調了Nokoyawa和Hive勒索軟件之間攻擊鏈的相似之處，得出的結論是「Nokoyawa可能與Hive有關，因為這兩個家族在攻擊鏈中有着一些驚人的相似之處，從使用的工具到它們執行各種步驟的順序。現在的分析發現與之前結論矛盾，研究人員評估Nokoyawa顯然是Karma（Nemty）的進化，與Hive沒有重大的代碼相似之處。

詳情

https://t.co/CyJLrmFUoj

加泰羅尼亞地區政府負責人指責西班牙情報機構對其東北地區的獨立運動進行了大規模政治間諜活動，並表示因此與西班牙國家當局的關係「擱置」。名為 Pegasus 的 NSO 間諜軟件惡意程序悄悄地滲透手機以獲取其數據，並有可能將它們變成其所有者的間諜設備。至少有 65 人成為 Pegasus 或類似間諜軟件的目標，這些間諜軟件僅出售給政府機構以針對犯罪分子和恐怖分子。西班牙政府沒有否認也沒有證實它是否使用了 Pegasus 或其他難以檢測的間諜軟件。

詳情

https://t.co/MzjA1MnM1p

美國財政部外國資產控制辦公室（OFAC）本周對幾家俄羅斯組織實施了制裁，其中包括在俄羅斯虛擬貨幣採礦業運營的多家公司。制裁針對礦業公司BitRiver，該公司成立於2017年，在俄羅斯設有三個辦事處。OFAC對一家控制BitRiver資產的瑞士控股公司以及該公司在俄羅斯的其他10家子公司實施了制裁。OFAC的行動將阻止BitRiver從美國獲得採礦硬件或其他設備。

詳情

https://t.co/1bNRgdYyEP

2022年4月20日，一位聯合國朝鮮問題專家表示，朝鮮正在通過網絡活動資助其被禁止的核計劃和導彈計劃。聯合國目前正在對朝鮮實施最嚴厲的制裁。儘管出現這種情況，朝鮮還是加快了導彈試驗。聯合國成員認為網絡活動已經成為朝鮮逃避聯合國制裁為其核計劃和導彈計劃籌集資金的「絕對基礎」。例如，朝鮮黑客最近盜竊了與視頻遊戲 Axie Infinity 相關的價值 6.18 億美元的加密貨幣；美國聯邦調查局上周將 3 月 23 日發生的大規模網絡搶劫與朝鮮網絡犯罪團伙 Lazarus 聯繫起來。聯邦調查局表示，它將繼續揭露和打擊朝鮮利用包括網絡犯罪和加密貨幣盜竊在內的非法活動。

詳情

https://t.co/uSPkki8ols

2022年4月21日，兩黨眾議院二人組提出了一項立法，旨在加強能源部門應對未來網絡攻擊和其他數字威脅的能力。Deborah Ross（D-N.C）和Mike Carey（R-Ohio）的能源網絡安全大學領導計劃法案將在能源部內創建一個贈款計劃，為研究生和博士後研究人員提供經濟援助網絡安全和能源基礎設施。該措施還將允許研究人員在美國能源部的國家實驗室學習，並促進與歷史上黑人學院和大學以及其他少數族裔服務機構的聯繫。

詳情

https://t.co/wjvXvfQW9P

Pwn2Own Miami 2022 是一場專注於工業控制系統 (ICS) 的黑客競賽，於2022年4月19日至4月21日與 S4x22 ICS 安全會議同時舉行，參賽者的總獎金為 400,000 美元。本次比賽由趨勢科技的零日倡議 (ZDI) 組織，11 名參賽者針對 ICS 和 SCADA 產品進行了 26 次零日攻擊（以及幾次錯誤衝突），獲得了 40萬美元的收入。此次比賽針對多個生產類別：控制服務器、OPC 統一架構 (OPC UA) 服務器、數據網關和人機界面 (HMI)。在 Pwn2Own 期間利用的安全漏洞被報告後，供應商有 120 天的時間發布補丁。

詳情

https://t.co/3p6kqRO6c2

2022年4月20日，包括美國在內的五個盟國警告說，「不斷發展的情報」表明俄羅斯準備對支持烏克蘭的競爭對手發動強大的網絡攻擊。「五眼」情報共享網絡的成員 - 美國，英國，加拿大，澳大利亞和新西蘭 - 表示，莫斯科也可能涉及現有的網絡犯罪集團對政府，機構和企業發動攻擊。警報稱，俄羅斯國家贊助的網絡行為者有能力破壞IT網絡，從中竊取大量數據同時保持隱藏狀態，部署破壞性惡意軟件，並通過「分布式拒絕服務」攻擊鎖定網絡。該警報確定了十幾個黑客組織，這些組織既是俄羅斯情報和軍事機構的一部分，也是私人運營的，它們構成了威脅。

詳情

https://t.co/vN1wpJnFzb

Metamask 是一個在線加密錢包，允許用戶存儲他們的加密資產，如比特幣、以太坊等，以及不可替代的代幣 (NFT)。近日，MetaMask 警告其社區可能通過 Apple 的 iCloud 服務進行網絡釣魚攻擊。早在2022年4月17日，MetaMask就警告其客戶，如果在應用程序上啟用了 iCloud 備份選項，他們帳戶的加密密碼（稱為 MetaMask 保險庫）將被上傳到蘋果的雲服務。因此，利用客戶 iCloud 帳戶的網絡釣魚帳戶也將危及他們的密碼，從而危及他們的加密錢包。而此前，一位名為「revive_dom」的蘋果用戶在 Twitter 上聲稱從他的 MetaMask 加密錢包中丟失了價值 65 萬美元的加密資產。

詳情

https://t.co/8CcAVJokUp

2022年4月20日，網絡安全和基礎設施安全局（CISA）主任Jen Easterly宣布擴大聯合網絡防禦合作組織（JCDC），以納入包括安全供應商，集成商和分銷商在內的行業領導者。加入JCDC-ICS計劃的廣泛公司名單包括Bechtel，Claroty，Dragos，GE，Honeywell，Nozomi Networks，Schneider Electric，Schweitzer Engineering Laboratories，Siemens和Xylem等巨頭。

詳情

https://t.co/uyBeGnUHxN

2022年4月19日，身份和訪問管理提供商 Okta 表示，對 1 月份 Lapsus$ 攻擊事件的調查得出結論，該事件的影響遠小於預期。這起攻擊事件發生在2022年1月21日，當時 LAPSUS$ 黑客組織未經授權遠程訪問了 Sitel 支持工程師的工作站。但直到近兩個月後，當對手在他們的 Telegram 頻道上發布Okta 內部系統的屏幕截圖時，此次事件才被發現。此次調查結果表明，Lapsus$ 黑客組織的攻擊僅持續了 25 分鐘，只有 2 名客戶受到影響。攻擊者無法成功執行任何配置更改、MFA 或密碼重置，也無法直接對任何 Okta 帳戶進行身份驗證。Okta 因其延遲披露和對事件的處理而受到批評，它表示已終止與 Sitel 的關係，並正在對其客戶支持工具進行更改。

詳情

https://t.co/MzDxEo2vY6

2022年4月19日，北約合作網絡防禦卓越中心（CCDCOE）啟動了第十三期「鎖定盾牌」，這是其年度實彈網絡防禦演習。《鎖定盾牌》在愛沙尼亞首都塔林舉行，將持續到4月22日。來自32個國家的2000多名參與者，這項複雜的國際網絡演習旨在促進國家，行業以及公共和私人組織之間的合作與協調，以準備應對國家贊助的網絡攻擊。今年的活動將涉及大約5500個虛擬化系統，這些系統將面臨8000多個網絡攻擊。

詳情

https://t.co/2aGrISqKiF

近日，隨着俄烏衝突的加劇，美國高級官員加強了俄羅斯對美國關鍵國家基礎設施 (CNI) 進行網絡攻擊的警告。美國司法部 (DoJ)和 美國網絡安全與基礎設施安全局 (CISA)正在採取應對可能的俄羅斯網絡攻擊的準備。其政府官員表示，發現俄羅斯APT組織正在探索機會，尋找美國系統在關鍵基礎設施和企業方面的弱點，關鍵基礎設施應該假設它們將成為目標並做好相應準備。由於美國及其盟國對俄羅斯實施經濟制裁，美國的能源和金融部門很可能成為俄羅斯網絡犯罪分子的目標。

詳情

https://t.co/TqXvJJwrvD

哥倫比亞大學的研究人員開發了一種新穎的算法，可以通過智能手機，語音助手和一般連接設備中的麥克風阻止流氓音頻竊聽。該算法可以預測性地工作。它推斷用戶接下來要說什麼，並實時生成阻塞性可聽見的背景噪音（耳語）以掩蓋聲音。這項研究和語音竊聽干擾系統的發展證明了系統性監管在無限制地收集數據以進行有針對性的營銷方面存在失敗。

詳情

https://t.co/N5hjQLd6A7

2022年4月18日，卡巴斯基透露，它發現了Yanluowang 勒索軟件加密算法中的一個漏洞，接着發布了針對這個勒索軟件的解密工具Rannoh。Yanluowang 勒索軟件於 2021 年 10 月首次被發現，已被用於針對企業實體的人為、高度針對性的攻擊。一旦部署在受感染的網絡上，Yanluowang 就會停止管理程序虛擬機，結束所有進程，並對附加 .yanluowang 擴展名的文件進行加密。Yanluowang 勒索軟件的漏洞允許通過已知明文攻擊解密受影響用戶的文件。這種勒索軟件使用不同的方法對大於 3GB 和小於 3GB 的文件進行加密：較大的文件在每 200MB 後以 5MB 的條帶部分加密，而較小的文件則從頭到尾完全加密。如果原始文件大於 3 GB，則可以這個解密工具可以解密受感染系統上無論大小的所有文件。但如果原始文件小於 3 GB，則只能解密小文件。

詳情

https://t.co/7gBBf2NZSK

2022年4月18日，美國聯邦調查局 (FBI)、網絡安全和基礎設施安全局 (CISA) 和美國財政部 (Treasury)聯合發布了關於TraderTraiter的警報，稱TraderTraiter是朝鮮APT組織Lazarus Group使用的一系列惡意電子應用程序。TraderTraitor 一詞描述了一系列使用跨平台 JavaScript 代碼和使用 Electron 框架的 Node.js 運行時環境編寫的惡意應用程序。惡意應用程序源自各種開源項目，聲稱是加密貨幣交易或價格預測工具。

詳情

https://t.co/yHlAEpIFky

威脅行為者正在針對T-Mobile客戶進行持續的詐騙活動，通過使用SMS（短消息服務）組消息發送的不可阻止的文本進行惡意鏈接。新澤西州網絡安全與通信集成小組（NJCCIC）針對這一新的SMS網絡釣魚活動發出警告。

詳情

https://t.co/99LbqmjMCq

若想了解更多信息或有相關業務需求，可移步至http://360.net

360CERT的安全分析人員利用360安全大腦的QUAKE資產測繪平台(quake.360.cn)，通過資產測繪技術的方式，對該漏洞進行監測。可聯繫相關產品區域負責人或(quake#360.cn)獲取對應產品。

360安全大腦的安全分析響應平台通過網絡流量檢測、多傳感器數據融合關聯分析手段，對網絡攻擊進行實時檢測和阻斷，請用戶聯繫相關產品區域負責人或(shaoyulong#360.cn)獲取對應產品。

針對以上安全事件，360cert建議廣大用戶使用360安全衛士定期對設備進行安全檢測，以做好資產自查以及防護工作。

2022-04-25 360CERT發布安全事件周報

一直以來，360CERT對全球重要網絡安全事件進行快速通報、應急響應。為更好地為政企用戶提供最新漏洞以及信息安全事件的安全通告服務，現360CERT推出了安全通告特製版報告訂閱服務，以便用戶做資料留存、傳閱研究與查詢驗證。

今後特製報告將不再提供公開下載，用戶可掃描下方二維碼進行服務訂閱。