報告編號:B6-2022-091901
報告來源:360CERT
報告作者:360CERT
更新日期:2022-09-19
本周收錄安全熱點45項,話題集中在安全漏洞、網絡攻擊方面,涉及的組織有:Uber、Kimsuky、Akamai、Gamaredon等。對此,360CERT建議使用360安全衛士進行病毒檢測、使用360安全分析響應平台進行威脅流量檢測,使用360城市級網絡安全監測服務QUAKE進行資產測繪,做好資產自查以及預防工作,以免遭受黑客攻擊。
2022年9月15日,AquaSec 的威脅分析師發布研究報告表示,自2022年9月初以來,他們的蜜罐上發現了 TeamTNT 活動的跡象,這表明該黑客組織又開始行動了。2020 年初,TeamTNT黑客組織主要針對雲環境進行攻擊,包括配置錯誤的 Kubernetes 集群、Docker API、Kubernetes UI 工具、Redis 服務器等。TeamTNT 宣布它將於 2021 年 11 月退出,然而,最近的攻擊帶有與 TeamTNT 相關的各種特徵,並依賴於該團伙先前部署的工具,這表明TeamTNT很可能已經捲土重來。研究人員觀察到據稱新的 TeamTNT 攻擊中使用了三種攻擊類型,其中最有趣的一種是利用被劫持服務器的計算能力來運行比特幣加密求解器。由於使用 Pollard 的 Kangaroo WIF 求解器,該攻擊被命名為「袋鼠攻擊」,該攻擊掃描易受攻擊的 Docker 守護程序,部署 AlpineOS 映像,刪除腳本(「k.sh」),並最終從 GitHub 獲取求解器。建議組織提高雲安全性,加強 Docker 配置,並及時進行安全更新。
詳情
http://urlqh.cn/n1ZSh
惡意軟件針對網絡日誌服務器和用於加密挖掘的Docker API日期: 2022-09-17標籤: 金融業, 信息技術, 雲安全, 加密貨幣, 網絡犯罪,被稱為Kinsing的惡意惡意軟件正在使用最近在Oracle WebLogic服務器中發現的漏洞和遺留漏洞來加速加密貨幣挖掘惡意軟件。趨勢科技發現,惡意軟件背後的一個出於經濟動機的網絡攻擊組織正在利用該漏洞運行Python腳本,這些腳本可以禁用操作系統(OS)安全功能,例如安全嵌入的Linux(SELinux)等等。惡意軟件具有獲取易受攻擊的服務器以選擇入侵殭屍網絡設備(如 Redis、SaltStack、Log4Shell、Spring4Shell)和阿特拉斯融合漏洞 (CVE-2022-26134) 的歷史。據報道,該惡意軟件還通過配置錯誤的開放Docker Daemon API端口參與活動容器環境,煽動加密挖掘並將惡意軟件傳播到其他容器主機設備。在最新一波的攻擊中,惡意行為者將一個兩年前的遠程代碼執行(RCE)錯誤(稱為CVE-2020-14882(CVSS評分9.8))武器化,以對抗未修補的漏洞,以奪取對服務器的控制權並通過惡意有效載荷對受害者造成傷害。
詳情
http://urlqh.cn/n0sTn
Hive 勒索軟件聲稱對貝爾加拿大子公司進行網絡攻擊日期: 2022-09-15標籤: 加拿大, 信息技術, BTS, 網絡犯罪,Hive 勒索軟件團伙聲稱對襲擊貝爾加拿大子公司貝爾技術解決方案 (BTS) 系統的攻擊負責。BTS 是一家擁有 4,500 多名員工的獨立子公司,專門為安大略省和魁北克省的住宅和小型企業客戶安裝貝爾服務。雖然這家加拿大電信公司沒有透露其網絡何時被破壞或攻擊發生,但 Hive 在其數據泄露博客中添加的新條目中聲稱,它在大約一個月前,即 2022 年 8 月 20 日加密了 BTS 的系統。BTS 的網站(通常可通過 bellsolutionstech.ca訪問)目前無法訪問,但加拿大貝爾公司在事件發生後在其自己的網站上發布了網絡安全警報。BTS 目前正在加拿大皇家騎警網絡犯罪部門的幫助下調查此事件,並已將違規行為通知了隱私專員辦公室。
詳情
http://urlqh.cn/n3TkY
新的惡意軟件捆綁包通過 YouTube 遊戲視頻進行自我傳播日期: 2022-09-15標籤: 信息技術, FIFA, Final Fantasy(最終幻想), Forza Horizon(極限競速地平線), Lego Star Wars(樂高星球大戰), Spider-Man(蜘蛛俠), YouTube, MakiseKurisu.exe, download.exe, upload.exe, 遊戲,一個新的惡意軟件包使用受害者的 YouTube 頻道上傳惡意視頻教程,宣傳流行視頻遊戲的虛假作弊和破解,以進一步傳播惡意包。自我傳播的惡意軟件捆綁包已在 YouTube 視頻中宣傳,目標是玩 FIFA、最終幻想、極限競速地平線、樂高星球大戰和蜘蛛俠的粉絲。這些上傳的視頻包含下載假破解和作弊的鏈接,但實際上,它們安裝了相同的自我傳播惡意軟件包,感染了上傳者。在卡巴斯基的一份新報告中,研究人員發現了一個包含惡意軟件集合的 RAR 存檔,其中最著名的是 RedLine,它是目前分布最廣泛的信息竊取程序之一。具體來說,RAR 包含運行三個惡意可執行文件的批處理文件,即「MakiseKurisu.exe」、「download.exe」和「upload.exe」,它們執行捆綁包的自我傳播。其中「upload.exe」用於將惡意軟件宣傳視頻上傳到 YouTube,使用被盜的 cookie 登錄受害者的 YouTube 帳戶並通過他們的頻道傳播捆綁包。
詳情
http://urlqh.cn/n0Rvu
美國、英國、加拿大和澳大利亞將伊朗政府機構與勒索軟件攻擊聯繫起來日期: 2022-09-15標籤: 美國, 英國, 加拿大, 澳大利亞, 伊朗, 政府部門, 漏洞利用,美國、英國、加拿大和澳大利亞的政府機構表示,與伊朗伊斯蘭革命衛隊 (IRGC) 相關的威脅組織一直在從事數據加密和勒索行動。這四個國家的機構表示,伊朗國家支持的與 IRGC 有關聯的威脅參與者一直在利用 Microsoft Exchange、Fortinet OS 和 VMware Horizon Log4j 中的已知漏洞進行初始訪問。這些高級持續威脅 (APT) 參與者實施的惡意攻擊涉及加密文件和竊取數據以從事「雙重勒索」活動。伊朗政府資助的 APT 參與者被發現掃描和利用漏洞,例如CVE-2018-13379、CVE-2019-5591和CVE-2020-12812 (FortiOS);CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207 ( ProxyShell );和CVE-2021-44228、CVE-2021-45046和CVE-2021-45105 (Log4Shell),針對各種實體,包括關鍵基礎設施組織。
詳情
http://urlqh.cn/n0nds
俄羅斯黑客對烏克蘭組織使用新的信息竊取惡意軟件日期: 2022-09-15標籤: 烏克蘭, 俄羅斯, 信息技術, 政府部門, Gamaredon, 網絡犯罪, 俄烏戰爭,在新的間諜活動中,俄羅斯黑客一直在使用以前看不見的信息竊取惡意軟件瞄準烏克蘭實體,該活動仍在進行中。Cisco Talos 的安全研究人員將此次活動歸因於俄羅斯國家支持的威脅組織 Gamaredon,該組織長期以來主要針對烏克蘭政府、關鍵基礎設施、國防、安全和執法部門的組織。Gamaredon 也被稱為 Primitive Bear、Shuckworm、IronTiden 和 Callisto,它依靠社會工程和魚叉式網絡釣魚來建立對受害者系統的長期訪問權限。Cisco Talos 將新觀察到的間諜活動(2022 年 8 月)歸因於 Gamaredon,並注意到使用了一種新的信息竊取程序,該程序可以從受害計算機中提取特定文件類型並部署其他惡意軟件。新的惡意軟件有明確的說明來竊取具有以下擴展名的文件:.DOC、.DOCX、.XLS、.RTF、.ODT、.TXT、.JPG、.JPEG、.PDF、.PS1、.RAR、.ZIP、.7Z 和 .MDB。
詳情
http://urlqh.cn/n2cyj
攻擊者通過破壞FishPig擴展發起Magento供應鏈攻擊日期: 2022-09-14標籤: 英國, 信息技術, Fishpig, Magento, 供應鏈攻擊, 供應鏈安全,2022年9月14日,為流行的 Magento 開源電子商務平台開發擴展程序的英國公司 FishPig 宣布,在其分發服務器遭到入侵後,其付費軟件產品已被注入惡意軟件。Sansec 研究人員表示,FishPig 分發服務器在 8 月 19 日或之前遭到入侵。「從那時起,任何安裝或更新付費 Fishpig 軟件的Magento商店現在都可能運行 Rekoobe 惡意軟件。FishPig 表示,入侵可能發生在2022年 8 月 6 日後。他們沒有說明攻擊者是如何設法闖入服務器的,但可以確定攻擊者將惡意 PHP 代碼注入到大多數 FishPig 擴展中包含的 Helper/License.php 文件中。攻擊者利用了其自定義系統,該系統在擴展代碼可供下載之前對其進行加密,從而對用戶和惡意軟件掃描程序隱藏其存在。FishPig 敦促用戶假設所有付費的 FishPig Magento 2 模塊都已被感染,並建議他們升級所有 FishPig 模塊或從源代碼重新安裝現有版本。
詳情
http://urlqh.cn/n1Eg6
相關安全建議1. 在網絡邊界部署安全設備,如防火牆、IDS、郵件網關等
2. 做好資產收集整理工作,關閉不必要且有風險的外網端口和服務,及時發現外網問題
3. 及時對系統及各個服務組件進行版本升級和補丁更新
4. 包括瀏覽器、郵件客戶端、vpn、遠程桌面等在內的個人應用程序,應及時更新到最新版本
5. 各主機安裝EDR產品,及時檢測威脅
6. 注重內部員工安全培訓
7. 不輕信網絡消息,不瀏覽不良網站、不隨意打開郵件附件,不隨意運行可執行程序
8. 勒索中招後,應及時斷網,並第一時間聯繫安全部門或公司進行應急處理
2022年9月17日,總部位於紐約的緊急響應和救護車服務提供商 Empress EMS(緊急醫療服務)披露了一起泄露客戶信息的數據泄露事件。根據通知,該公司於 2022年7月14日遭受勒索軟件攻擊。對該事件的調查顯示,入侵者於2022年5月26日獲得了 Empress EMS 系統的訪問權限。大約一個半月後,即7月13日,黑客在部署前一天泄露了「一小部分文件」加密。其中一些文件包含患者姓名、服務日期、保險信息和社會安全號碼。Empress 告知美國衛生與公眾服務部,受此事件影響的人數為318,55。然而,實際受影響人數可能更多。Empress EMS 表示已加強其系統和協議的安全性,以防止未來發生類似事件。相關調查顯示,此次事件的幕後黑手可能是Hive 勒索軟件組織,該組織於 7 月 26 日在其網站上為 Empress EMS 數據泄露準備了一個非公開條目。2022年9月18日,DataBreaches.net發布了更多指向 Hive 的證據。此外,能夠檢索到被盜數據的樣本,並確認許多條目似乎屬於 Empress EMS 客戶。
詳情
http://urlqh.cn/mYXI6
Uber否認數據泄漏日期: 2022-09-18標籤: 美國, 信息技術, 優步(Uber), 車聯網安全,2022年9月15日,打車軟件Uber遭受網絡攻擊。2022年9月16日,Uber發表官方聲明,稱沒有證據表明該事件涉及對敏感用戶數據(如旅行歷史)的訪問,Uber所有的服務,包括 Uber、Uber Eats、Uber Freight 和 Uber Driver 應用程序都可以運行。安全研究員 Sam Curry表示,此次事件涉及一名 18 歲的青少年黑客,他通過社會工程誘騙 Uber 員工提供帳戶訪問權限,讓受害者接受多因素身份驗證 (MFA) 提示,該提示允許攻擊者註冊自己的設備。在獲得初步立足點後,攻擊者發現了一個內部網絡共享,其中包含具有特權管理員憑據的 PowerShell 腳本,授予對其他關鍵系統的全權訪問權限,包括 AWS、谷歌雲平台、OneLogin、SentinelOne 事件響應門戶和 Slack。目前尚不清楚該事件是否導致任何其他信息被盜,或者入侵者在優步網絡中停留了多長時間。優步沒有提供有關事件如何發展的更多細節,只是表示其調查和響應工作正在進行中。
詳情
http://urlqh.cn/n3XkF
黑客出售219,000名新加坡客戶的星巴克被盜數據日期: 2022-09-16標籤: 新加坡, 信息技術, 住宿餐飲業, Starbucks, 網絡犯罪, 數據泄露,美國咖啡連鎖店星巴克(Starbucks)的新加坡分部承認,它遭受了一起數據泄露事件,影響了超過219,000名客戶。他們被破壞的第一個線索是在9月10日,當時一名威脅行為者提出在一個受歡迎的黑客論壇上出售一個包含219,675名星巴克顧客敏感細節的數據庫。9月16日,星巴克新加坡公司致函通知客戶數據泄露事件,並解釋說黑客可能竊取了以下詳細信息:名字、性別、出生日期、手機號碼、電子郵箱、住宅地址。此違規行為僅涉及使用星巴克移動應用程序下訂單或使用連鎖店在線商店從該連鎖店在新加坡經營的125家商店之一購買商品的客戶。
詳情
http://urlqh.cn/n4qiU
印度尼西亞總統的文件據稱在 BreachForums 頁面上泄露日期: 2022-09-13標籤: 印度尼西亞, 政府部門,2022年9月9日,黑客Bjorka宣布其竊取了印度尼西亞總統佐科維多多 (Jokowi) 的數據,並且在 BreachForums 頁面上泄露了文件。黑客Bjorka曾在2022年8月泄露了包含 1.05 億印度尼西亞公民的 20 GB 信息的數據集,引起公眾轟動後。在他的上傳中,Bjorka解釋說他已經獲得了對總統郵件系統的訪問權限,並竊取了近 680,000 份文件,其中包括來自國家情報局 (BIN) 的信件。匿名推特用戶「Darktracer」首先報道了這一說法,他轉發了 Bjorka 據稱被盜總統文件清單的截圖。「泄露」文件的主題似乎是非機密的,例如 2019 年獨立日升旗儀式的彩排。然而,總統秘書處負責人赫魯·布迪·哈托諾(Heru Budi Hartono)駁斥了黑客的說法,稱這封信的內容都沒有被黑客入侵。
詳情
http://urlqh.cn/mZRaN
攻擊者破壞PVC製造商Eurocell的員工數據日期: 2022-09-13標籤: 英國, 信息技術, 商務服務, Eurocell, 數據泄露,據一家律師事務所稱,一家領先的英國 PVC 製造商一直在聯繫現任和前任員工,以通知他們「重大」數據泄露事件。總部位於德比郡的 Eurocell 也是 UPVC 門窗和屋頂產品的分銷商,在致受影響者的一封信中披露了這一消息。根據海耶斯康納的說法,該公司顯然在其中解釋說,未經授權的第三方獲得了對其系統的訪問權限。受損數據包括就業條款和條件、出生日期、近親、銀行賬戶、NI 和稅務參考號、工作權文件、健康和福利文件、學習和發展記錄以及紀律和申訴文件。對於潛在的欺詐者來說,這是很多信息,可用於隨後的網絡釣魚甚至敲詐勒索。據報道,Eurocell 表示沒有數據濫用的證據,但這不會給受影響的人帶來多少安慰。也不清楚有多少員工會受到影響。
詳情
http://urlqh.cn/n1uay
相關安全建議1. 及時備份數據並確保數據安全
2. 合理設置服務器端各種文件的訪問權限
3. 嚴格控制數據訪問權限
4. 及時檢查並刪除外泄敏感數據
5. 發生數據泄漏事件後,及時進行密碼更改等相關安全措施
6. 強烈建議數據庫等服務放置在外網無法訪問的位置,若必須放在公網,務必實施嚴格的訪問控制措施
2022年9月17日,一個名為名為「TeaPots」的黑客入侵了 Rockstar Game 的 Slack 服務器和 Confluence wiki,俠盜獵車手 6 遊戲視頻和源代碼被泄露。這些視頻和源代碼於2022年9月17日首次在 GTAForums 上泄露,一個名為「teapotuberhacker」的黑客分享了一個指向包含 90 個被盜視頻的 RAR 存檔的鏈接。這些視頻似乎是由開發人員調試遊戲中的各種功能創建的,例如攝像機角度、NPC 跟蹤和罪惡城的位置。此外,部分視頻還包含主角與其他 NPC 之間的語音對話。黑客表示,他們正在接受超過 10,000 美元的 GTA V 源代碼和資產報價,但目前不出售 GTA 6 源代碼。該名黑客還聲稱是最近對優步網絡攻擊的幕後黑手,相關情況待進一步調查。
詳情
http://urlqh.cn/n25nX
偽獵者APT組織對韓定向攻擊:瞄準基金會代表和平昌和平論壇政界人士日期: 2022-09-15標籤: 中國, 韓國, 信息技術, 涉我輿情, APT輿情,偽獵者APT組織於2021年由國內安全廠商披露,據悉,其最早攻擊時間可以追溯到2018年,歷史攻擊目標為包含中國在內的人力資源和貿易相關機構。近期微步情報局監控發現,該組織從2021年12月份至今依然活躍,在今年6月,該組織對韓國境內目標發起定向攻擊活動。通過分析攻擊事件,有如下發現:
- 本批次攻擊活動目標人員包括漢斯賽德爾基金會韓國代表Bernhard Seliger博士、以及可能與2022平昌和平論壇相關的政界人士。
- 攻擊事件時間節點包括兩個:2022年2月上旬針對2022平昌和平論壇相關人士的攻擊;2022年6月中旬對Bernhard Seliger博士的定向攻擊。均為魚叉郵件類型的攻擊。
- 攻擊者用於攻擊載荷託管、C&C通信的網絡資產包括公開免費的雲端存儲站點(如bitbucket.org、statcounter.com)和攻擊者私有C&C資產。木馬回連地址會涉及這兩類的多個url地址。
詳情
http://urlqh.cn/mZ9Ll
來自Kimsuky組織的突刺:多種攻擊武器針對韓國的定向獵殺日期: 2022-09-15標籤: 韓國, 信息技術, Kimsuky, APT輿情,近日,奇安信紅雨滴團隊在日常高價值樣本狩獵過程中,捕獲到多例Kimsuky組織針對韓國地區的攻擊樣本。此次的攻擊活動有如下特點:
- 使用PIF可執行文件格式偽裝成PDF文件,後續載荷為PebbleDash木馬;
- 部分樣本誘餌被韓國DRM軟件加密,疑似由Kimsuky組織在其他攻擊活動中所竊取,用於實施定向攻擊;
- 樣本擅用加解密算法來躲避相關殺軟的靜態查殺;
詳情
http://urlqh.cn/n36a5
UNC4034的新網絡釣魚活動日期: 2022-09-15標籤: 朝鮮, 信息技術, UNC4034, APT輿情,2022年7月,在對一家媒體行業的公司進行主動威脅搜尋活動期間,Mandiant發現了一種新穎的魚叉式網絡釣魚方法,被跟蹤為UNC4034的威脅集群採用,其疑似與朝鮮有關的威脅集群有重疊。UNC4034通過WhatsApp與受害者建立聯繫,並引誘他們下載偽裝成虛假工作機會的惡意ISO軟件包,最終將通過木馬化的PuTTY實用程序安裝AIRDRY.V2後門。該攻擊活動可能是「Operation Dream Job」活動的延伸,這些活動利用了不同的攻擊鏈,其中包含ISO文件和木馬化的二進制文件,而不是武器化的文檔。
詳情
http://urlqh.cn/n2NgY
Akamai 在歐洲阻止了新的破紀錄 DDoS 攻擊日期: 2022-09-15標籤: 歐洲, 信息技術, DDoS, 網絡犯罪,2022年9 月 12 日發生的新分布式拒絕服務 (DDoS) 攻擊打破了 Akamai 最近在 7 月份記錄的先前記錄。DDoS 攻擊是一種網絡攻擊,會用虛假請求和垃圾流量淹沒服務器,使合法訪問者和客戶無法訪問它們。網絡安全和雲服務公司 Akamai 報告稱,最近的攻擊似乎來自同一威脅參與者,這意味着運營商正在進一步增強他們的集群能力。9 月 12 日,當發送到目標網絡的「垃圾」流量達到 704.8 Mpps 的峰值時,這些攻擊達到了前所未有的水平,比 7 月份的攻擊高出大約 7%。除了攻擊量之外,攻擊者還擴大了他們的攻擊目標,之前的攻擊範圍相當狹窄,主要集中在公司的主要數據中心。這一次,威脅參與者將火力分散到歐洲和北美的六個數據中心位置。此外,Akamai 檢測並阻止了 201 次累積攻擊,而 7 月份為 75 次,並記錄了來自 1813 個 IP 的流量來源,而此前為 512 次。這些持續的大規模攻擊背後的動機仍然未知,但自今年年初以來,東歐地區一直處於黑客活動的中心。
詳情
http://urlqh.cn/n2REn
攻擊者在憑證獲取活動中濫用Facebook廣告管理器日期: 2022-09-15標籤: 文化傳播, 商務服務, 信息技術, Meta(原Facebook), 網絡釣魚,攻擊者通過發送看似來自 Facebook Ads Manager 的電子郵件來利用 Facebook 品牌的力量。該計劃是誘騙受害者在 Facebook 潛在客戶生成表格上提供他們的憑據和信用卡信息。根據 Avanan 的安全研究團隊發布的一份報告,攻擊者正在發送網絡釣魚消息,這似乎是 Meta 的「Facebook AdManager」團隊發出的緊急警告。這些消息聲稱受害者沒有遵守公司的廣告政策,如果目標不就虛構的違規行為提出上訴,廣告帳戶將被終止。「申訴表」鏈接將訪問者帶到一個憑證收集站點,該站點使用真正的 Facebook 潛在客戶生成表單收集密碼和信用卡信息。該活動的一個有趣方面是,攻擊者不是使用託管在某處可疑 IP 上的收穫網站,而是利用 Facebook 廣告系統創建惡意的潛在客戶生成表單。這種方法用一塊石頭殺死兩隻鳥:對於初學者來說,它欺騙了許多電子郵件平台使用的惡意鏈接的自動檢查。Avanan 團隊將使用合法站點稱為靜態高速公路。
詳情
http://urlqh.cn/n1PIH
TA453組織的新攻擊活動分析日期: 2022-09-14標籤: TA453, 網絡釣魚, 社會工程, APT輿情,在整個2021年末和2022年期間,Proofpoint研究人員觀察到TA453不斷創新其攻擊方法以收集情報。在2022年6月下旬,捕獲到了利用多角色模擬(MPI)的攻擊活動。在MPI中,TA453將他們的社會工程提升到一個新的水平,使用多個角色攻擊研究人員。該技術使TA453能夠利用社會心理學原理來攻擊其目標,並提高攻擊者網絡釣魚的真實性。
詳情
http://urlqh.cn/mZDZd
英國女王去世消息被用在針對微軟的網絡釣魚中日期: 2022-09-14標籤: 英國, 政府部門, 微軟(Microsoft), 網絡釣魚,2022年9月14日,Proofpoint 的 Threat Insight 團隊發布報告稱,發現有攻擊者正在冒充「微軟團隊」,在網絡釣魚攻擊活動中利用伊麗莎白二世女王去世的消息來引誘受害者訪問惡意網站。單擊網絡釣魚電子郵件中嵌入的按鈕後,目標會被發送到網絡釣魚登錄頁面,要求受害者輸入其 Microsoft 憑據。除了 Microsoft 帳戶詳細信息外,攻擊者還試圖竊取受害者的多因素身份驗證 (MFA) 代碼來接管他們的帳戶。攻擊者還試圖誘騙潛在受害者交出包括銀行詳細信息在內的敏感信息。雖然這種惡意活動似乎有限,英國國家網絡安全中心(NCSC)也於2022年9月14日稱,已經發現了此類網絡釣魚攻擊,目前正在對其進行調查。
詳情
http://urlqh.cn/n107a
Lorenz勒索組織利用 Mitel VoIP 系統破壞商業網絡日期: 2022-09-14標籤: 美國, 中國, 墨西哥, 信息技術, CVE-2022-29499,2022年9月14日,網絡安全公司北極狼的研究人員發布報告表示,據觀察,Lornenz 勒索軟件操作背後的運營商利用 Mitel MiVoice Connect 中現已修補的關鍵安全漏洞,在目標環境中獲得立足點,以進行後續惡意活動。最初的惡意活動源自位於網絡外圍的 Mitel 設備。Lorenz 利用了CVE-2022-29499,這是一個影響 MiVoice Connect 的 Mitel Service Appliance 組件的遠程代碼執行漏洞,以獲取反向外殼,隨後使用Chisel作為隧道工具進入環境。與許多其他勒索軟件組織一樣,Lorenz 以通過在加密系統之前竊取數據進行雙重勒索而聞名,攻擊者針對位於美國的中小型企業 (SMB),在較小程度上針對中國和墨西哥。
詳情
http://urlqh.cn/n2sRA
伊朗軍方使用欺騙性角色來瞄準核安全研究人員日期: 2022-09-13標籤: 伊朗, 以色列, 政府部門, TA453, APT輿情,根據新的研究,與伊朗伊斯蘭革命衛隊有聯繫的黑客在網絡釣魚電子郵件中使用多個角色,以針對提供有關以色列和幾個海灣國家,亞伯拉罕協議和核軍備控制的信息的組織和人員。網絡安全公司Proofpoint在9月13日發布的一份報告將該活動與伊朗國家贊助的威脅行為者TA453聯繫起來,後者也被研究人員稱為Charming Kitten、PHOSPHORUS和APT42。該組織正在使用在PEW研究中心,外交政策研究所,英國查塔姆研究所和科學雜誌Nature工作的真實個人的欺騙性電子郵件地址,以進行魚叉式網絡釣魚攻擊,這些攻擊具有多個虛假角色的電子郵件。
詳情
http://urlqh.cn/n1kMD
相關安全建議1. 積極開展外網滲透測試工作,提前發現系統問題
2. 減少外網資源和不相關的業務,降低被攻擊的風險
3. 做好產品自動告警措施
4. 及時對系統及各個服務組件進行版本升級和補丁更新
5. 包括瀏覽器、郵件客戶端、vpn、遠程桌面等在內的個人應用程序,應及時更新到最新版本
6. 注重內部員工安全培訓
2022年9月上旬,CISA 的研究員 Maxim Rupp 發布了一份關於Kingspan TMS300 CS 水箱管理系統因缺乏充分實施的訪問控制指南而受到嚴重漏洞影響的報告,該漏洞允許未經身份驗證的黑客查看或更改產品的設置。Kingspan TMS300 CS 水箱管理系統由總部位於愛爾蘭的 Kingspan 建築材料公司的水和能源部門設計,具有有線和無線多罐液位測量、警報以及互聯網或本地網絡連接功能,被全球 40 多個國家/地區的組織使用。黑客只需搜索特定的 URL,這些 URL 可以通過瀏覽 Web 界面或通過暴力攻擊來識別。該漏洞被跟蹤為 CVE-2022-2757 ,CVSS 評分為 9.8。黑客可以利用該漏洞來更改各種設置,包括幾乎來自世界任何地方的與傳感器、儲罐詳細信息和警報閾值相關的設置,只要他們可以訪問設備的 Web 界面。目前,該漏洞尚未被修復。
詳情
http://urlqh.cn/n1rLz
航空公司無線局域網設備中發現的主要漏洞日期: 2022-09-17標籤: 日本, 信息技術, 交通運輸, Contec, 航空公司,研究人員在 LAN 設備中發現了兩個名為 CVE-2022-36158 和 CVE-2-22-36159 的關鍵漏洞。這兩個主要漏洞是在flexlan系列中發現的,flexlan是一種在航空公司提供互聯網服務的LAN設備。這些漏洞是在名為FXA3000和FXA2000的Flexlan系列中檢測到的,並且與一家名為Contec的日本公司有關。研究人員在分析第一個漏洞時表示,在對固件執行逆向工程期間,發現了一個隱藏的網頁,該網頁不在無線LAN管理器接口列表中。他們還補充說,它簡化了在具有root權限的設備上執行Linux命令的過程。研究人員提到,第一個漏洞可以訪問所有系統文件以及允許訪問整個設備的telnet端口。關於第二個漏洞,研究人員說,它利用了硬編碼的弱加密密鑰和後門帳戶。在進行研究的同時,研究人員還能夠在暴力攻擊的幫助下在幾分鐘內恢復並訪問影子文件。該文件包含兩個用戶的哈希值,包括 root 和用戶。
詳情
http://urlqh.cn/n0OcC
伊朗伊斯蘭革命衛隊附屬APT組織利用漏洞進行數據勒索和磁盤加密日期: 2022-09-15標籤: 伊朗, 美國, 澳大利亞, 政府部門, Yazd, APT輿情,自2021年初以來,已經發現伊朗政府支持的APT組織掃描或利用以下已知的漏洞以獲得對各種目標實體的初始訪問權限:CVE-2018-13379、CVE-2020-12812、CVE-2019-5591和CVE-2021-34473。還觀察到其利用CVE-2021-34473並結合CVE-2021-34523和CVE-2021-31207漏洞攻擊美國網絡。NCSC認為,總部位於伊朗的Yazd公司正在積極瞄準英國組織。此外,ACSC認為這些APT組織在澳大利亞使用CVE-2021-34473來訪問系統。APT組織可以利用這種訪問權限進行進一步的惡意活動,包括部署工具以支持勒索操作以及竊取數據。
詳情
http://urlqh.cn/n1WAN
使用高通TrustZone攻擊Android內核日期: 2022-09-14標籤: 信息技術, 高通, 谷歌(Google), CVE-2021-1961, Android, 移動安全,2022年9月14日,安全研究人員發布研究報告,描述了一個特殊的 Android 內核漏洞利用,它利用 TrustZone 來破壞內核。CVE-2021-1961 是 Qualcomm 的 TrustZone (QSEE) 的通信協議中的一個漏洞。它允許攻擊者破壞協議中的內存管理數據,研究人員利用它來指示 TrustZone 修改 Android 內核內存,從而在物理內存地址上實現任意讀/寫原語。研究人員還將這個強大的原語變成了一個可靠的漏洞利用,它可以開箱即用,無需針對每個設備/版本進行調整。
詳情
http://urlqh.cn/n10Jz
CISA命令機構修補兩個Windows和iOS漏洞日期: 2022-09-14標籤: 美國, 信息技術, 美國網絡安全和基礎設施安全局 (CISA), 微軟(Microsoft), Apple,2022年9月14日,CISA 在其被廣泛利用的安全漏洞列表中添加了兩個新漏洞,包括 Windows 權限提升漏洞和影響 iPhone 和 Mac 的任意代碼執行漏洞。Windows 通用日誌文件系統驅動程序中的特權提升漏洞被跟蹤為 CVE-2022-37969,使本地攻擊者能夠在成功利用後獲得 SYSTEM 特權。CISA在一次主動的進攻特遣部隊漏洞搜尋任務中發現了這個 0Day 漏洞,並且還在野外發現了一個特權升級 (EOP) 漏洞,利用了這個通用日誌文件系統 (CLFS) 漏洞。Apple於2022年9月12日修補了任意代碼執行漏洞 (CVE-2022-32917),並確認該漏洞作為 iOS 和 macOS 內核中的零日漏洞在攻擊中被利用。CISA 已給予聯邦民事行政部門機構 (FCEB) 機構三周時間,直到2022年10月10日,以解決這兩個安全漏洞並阻止可能針對其系統的攻擊。
詳情
http://urlqh.cn/n1RWr
研究人員在Microsoft Teams中發現嚴重安全漏洞日期: 2022-09-14標籤: 美國, 信息技術, 微軟(Microsoft), Microsoft Teams,2022年9月15日,安全分析師在 Microsoft Teams 的桌面應用程序中發現了一個嚴重的安全漏洞,該漏洞使黑客可以訪問身份驗證令牌和啟用了多因素身份驗證 (MFA) 的帳戶。Microsoft Teams 是一個通信平台,包含在 365 產品系列中,被超過 2.7 億人用於交換文本消息、視頻會議和存儲文件。新發現的安全漏洞具體是指Microsoft Teams 以明文形式存儲用戶身份驗證令牌,而不保護對它們的訪問,會影響適用於 Windows、Linux 和 Mac 的應用程序版本。在安裝了 Microsoft Teams 的系統上具有本地訪問權限的攻擊者可以竊取令牌並使用它們登錄受害者的帳戶。這種攻擊不需要特殊權限或高級惡意軟件即可造成重大的內部損害。研究人員稱,通過「控制關鍵職位——比如公司的工程主管、首席執行官或首席財務官——攻擊者可以說服用戶執行對組織有害的任務。」由於不太可能發布補丁,研究人員 建議用戶切換到 Microsoft Teams 客戶端的瀏覽器版本。
詳情
http://urlqh.cn/n4PSw
新型網絡間諜活動針對亞洲政府實體日期: 2022-09-14標籤: 信息技術, 政府部門, 科研服務,2022年9月14日,賽門鐵克 Threat Hunter 團隊的安全研究人員發布研究報告稱,發現了針對亞洲政府以及國有航空航天和國防公司、電信公司和 IT 組織的新網絡間諜活動。該行動背後的黑客組織是早先與「ShadowPad」RAT(遠程訪問木馬)(遠程訪問木馬)相關聯的不同集群。在最近的活動中,黑客組織使用了更廣泛的工具集。情報收集攻擊至少從 2021 年初就開始了,並且仍在進行中。當前的活動似乎幾乎完全集中在亞洲政府或公共實體上,例如:政府首腦/總理辦公室、與金融相關的政府機構、政府擁有的航空航天和國防公司、國有電信企業、國有信息技術組織、國有媒體公司等。
詳情
http://urlqh.cn/n2VSr
軟件製造商違規行為影響多達20萬台服務器日期: 2022-09-14標籤: 英國, 信息技術, 製造業, Fishpig, 網絡犯罪, 漏洞利用,Fishpig是一家總部位於英國的電子商務軟件製造商,被多達20萬個網站使用,在發現其分發服務器的安全漏洞允許犯罪分子秘密後門客戶系統後,敦促客戶重新安裝或更新所有現有的程序擴展。未知的威脅參與者利用他們對FishPig系統的控制來進行供應鏈攻擊,該攻擊通過Rekoobe感染了客戶系統,這是一個在六月份發現的複雜的後門。Rekoobe 偽裝成一個良性的 SMTP 服務器,可以通過與通過互聯網處理攻擊者的啟動TLS 命令相關的秘密命令來激活。激活後,Rekoobe會提供一個反向外殼,允許威脅參與者遠程向受感染的服務器發出命令。Sansec建議客戶暫時禁用任何付費的Fishpig擴展程序,運行服務器端惡意軟件掃描程序以檢測任何已安裝的惡意軟件或未經授權的活動,然後重新啟動服務器以終止任何未經授權的後台進程。
詳情
http://urlqh.cn/n1JHi
微軟2022年9月補丁日日期: 2022-09-13標籤: 美國, 信息技術, 微軟(Microsoft), 微軟補丁日,2022年9月13日,微軟發布2022年9月的安全更新通告,總共修復 63 個漏洞,其中包括2個被積極利用的 0day 漏洞。這些漏洞包括18個提權漏洞、1 個安全功能繞過漏洞、30個遠程代碼執行漏洞、7 個信息披露漏洞、7 個拒絕服務漏洞和16 個Edge - Chromium 漏洞。其中一個被積極利用的0day漏洞被跟蹤為 CVE-2022-37969,是Windows 通用日誌文件系統驅動程序特權提升漏洞,成功利用此漏洞的攻擊者可以獲得系統權限。另一個公開披露的漏洞被跟蹤為CVE-2022-23960,是緩存推測限制漏洞。建議用戶立即進行相關的安全更新。
詳情
http://urlqh.cn/n1Xpv
WPGateway中的零日漏洞在野外被積極利用日期: 2022-09-13標籤: 信息技術, Wordfence, 漏洞利用,2022年9月8日,Wordfence威脅情報團隊意識到一個被積極利用的零日漏洞(CVE-2022-3180),該漏洞被用來將惡意管理員用戶添加到運行WPGateway插件的站點。該公司向Wordfence Premium, Wordfence Care, and Wordfence Response客戶發布了防火牆規則,以阻止同一天(2022 年 9 月 8 日)的攻擊。仍在運行免費版Wordfence的網站將在30天後(2022年10月8日)獲得相同的保護。在過去 30 天內,Wordfence 防火牆已成功阻止了針對此漏洞的 460 多萬次針對此漏洞的攻擊,這些攻擊針對超過 280,000 個站點。如果您安裝了WPGateway插件,強烈建議您立即將其刪除,直到補丁可用,並在WordPress儀錶板中檢查惡意管理員用戶。
詳情
http://urlqh.cn/n0fcp
相關安全建議1. 及時對系統及各個服務組件進行版本升級和補丁更新
2. 包括瀏覽器、郵件客戶端、vpn、遠程桌面等在內的個人應用程序,應及時更新到最新版本
思科Talos發現Gamaredon針對烏克蘭用戶的攻擊活動,並通過RAR壓縮文件分發惡意LNK文件。該活動是在2022年8月觀察到的持續間諜活動的一部分,旨在向烏克蘭受害者機器分發信息竊取惡意軟件,並大量使用多個模塊化PowerShell和VBS腳本作為感染鏈的一部分。根據這些發現和Gamaredon基本完全針對烏克蘭的行動歷史,幾乎肯定這一最新的活動是直接針對烏克蘭的實體。
詳情
http://urlqh.cn/n2xNm
「電幕行動」(Bvp47)技術細節報告(二)——關鍵組件深度揭秘日期: 2022-09-13標籤: 中國, 教育行業, 涉我輿情,在2015年對國內某國家重要關鍵信息基礎設施的Solaris系統取證中,盤古實驗室提取到了一份獨立存活於Solaris平台看起來與Bvp47關係密切的樣本,後經確認,樣本文件內容與「影子經紀人」(The Shadow Brokers)揭露出的「飲茶」(Suctionchar_Agent)木馬程序原文件一致。該木馬程序搭配Bvp47中的Dewdrop、Incision等模塊和控制程序tipoff,可以輕鬆竊取目標系統用戶在執行ssh、passwd、sudo等命令時的賬號密碼,隨即將其隱蔽保存在目標系統中。基於特徵的入侵分析取證發現,國內大量重要組織機構受到了這個美國國家安全局(NSA)來源的「飲茶」(Suctionchar_Agent)木馬程序的侵襲,其中就包括了近期披露的被網絡滲透的西北工業大學。
詳情
http://urlqh.cn/n1Bqt
邁克菲公司的研究團隊已經觀察到一種新的惡意軟件。發現此惡意軟件正在攻擊日本的NTT DOCOMO客戶。通過Google Play商店分發的惡意軟件假裝是合法的移動安全應用程序,但實際上,它是一種欺詐惡意軟件,旨在竊取密碼並濫用反向代理,專注於NTT DOCOMO移動服務客戶。邁克菲分析團隊向谷歌通報了該惡意軟件的惡名。作為回應,谷歌已使該應用程序在谷歌Play商店中不可用,並刪除了與惡意軟件關聯的已知谷歌雲端硬盤文件。除此之外,谷歌播放盾現在通過禁用應用程序並顯示警告來提醒客戶。
詳情
http://urlqh.cn/n0Pyf
虛假的加密貨幣贈品網站今年增加了兩倍日期: 2022-09-16標籤: 金融業, 信息技術, 加密貨幣, 網絡犯罪,2022年上半年,推廣加密貨幣贈品騙局以引誘輕信的受害者的網站數量增加了300%以上,主要針對使用名人深度偽造的英語和西班牙語人士。網絡安全公司Group-IB的安全研究人員已經確定了2022年為此目的註冊的2,000多個域名。9月16日發布的一份報告指出,與去年同期相比,涉及加密貨幣的虛假贈品數量增加了五倍。這些網站中的每一個的平均覆蓋人數約為15,000名觀眾。如果這些數據是準確的,詐騙者的目標群體約為3000萬人。使用被認為更值得信賴的頂級域(TLD)(「.COM」,「.NET」和「.ORG」)也為這一成功做出了貢獻。Group-IB表示,詐騙者濫用幾個視頻平台,在直播中推廣虛假贈品,其中包括埃隆·馬斯克,加林豪斯,邁克爾·賽勒和凱茜·伍德的深度偽造品。YouTube在名單上排名第一,其次是Twitch。
詳情
http://urlqh.cn/n1orq
COBALT MIRAGE的勒索軟件活動日期: 2022-09-15標籤: 伊朗, 信息技術,Secureworks對2022年6月勒索軟件事件的分析揭示了有關伊朗COBALT MIRAGE組織運營的詳細信息。在此事件中,該組織利用了ProxyShell漏洞(CVE-2021-34473、CVE-2021-34523和CVE-2021-31207)。攻擊很可能是機會主義,而不是有針對性的。該次攻擊行動和以往的攻擊模式相同,部署了多個web shell和TunnelFish。然後,他們使用COBALT MIRAGE常用的密碼啟用了默認帳戶,並使用BitLocker加密了多個服務器。
詳情
http://urlqh.cn/n4bG8
紐約Empress EMS 被 Hive 勒索軟件攻擊日期: 2022-09-15標籤: 美國, 居民服務, Empress EMS, 快遞運輸,2022年9 月 9 日,紐約Empress EMS聯繫 HHS 報告了一起影響 318,558 名患者的事件。根據他們網站上的通知,未經授權的個人於 5 月 26 日訪問了他們的系統,並於 7 月 13 日複製了他們所說的「一小部分文件」。7 月 14 日,Empress 在他們的文件被加密時發現了漏洞。他們的披露沒有透露勒索軟件組是 Hive。通過 Hive 7 月 15 日的電子郵件向 Empress 提供的文件樣本(也提供給 DataBreaches)包括 Empress EMS 的一些患者的受保護健康信息。Hive 聲稱有超過 100,000 個社會安全號碼作為他們泄露的數據的一部分。Empress EMS 目前沒有出現在 Hive 的泄密站點上,儘管它在 7 月份短暫出現過足夠長的時間,足以被 RedPacket Security 檢測到並在推特上發布。截至本文發布時,Empress 並未列在 Hive 的泄密站點上,DataBreaches 不認為 Hive 已傾倒或泄露任何敏感信息(或者,至少目前還沒有)。
詳情
http://urlqh.cn/n28pW
黑客將 PuTTY SSH 客戶端木馬後門部署到媒體公司日期: 2022-09-15標籤: 文化傳播, 信息技術, 亞馬遜(Amazon ), 後門,根據 2022年發月15日發布的Mandiant 技術報告,朝鮮黑客正在使用木馬化版本的 PuTTY SSH 客戶端在目標設備上部署後門。負責此次活動的威脅集群是「UNC4034」(又名「Temp.Hermit」或「Labyrinth Chollima」)。該活動中的一個新元素是使用木馬化版本的 PuTTY 和 KiTTY SSH 實用程序來部署後門,在本例中為「AIRDRY.V2」。該組織的最新活動似乎是「夢想工作行動」活動的延續,該活動自 2020 年 6 月以來一直在進行,這次針對的是媒體公司。攻擊從威脅參與者通過電子郵件接近他們的目標開始,並在亞馬遜提供豐厚的工作機會,然後與 WhatsApp 進行通信,在那裡他們共享一個 ISO 文件(「amazon_assessment.iso」)。ISO 包括一個文本文件(「readme.txt」),其中包含一個 IP 地址和登錄憑據,以及 一個非常流行的開源 SSH 控制台應用程序PuTTY (PuTTY.exe) 的木馬化版本。
詳情
http://urlqh.cn/mZxqm
SparklingGoblin 部署新的 Linux 後門日期: 2022-09-14標籤: 中國, 教育行業, 信息技術, SparklingGoblin APT, Spectre RAT, SideWalk, 涉我輿情,ESET 研究人員發現了 SideWalk 後門的 Linux 變體,這是 SparklingGoblin APT 小組使用的多個自定義植入程序之一。該變體於 2021 年 2 月針對一所香港大學部署,該大學在 2020 年 5 月的學生抗議活動中已成為 SparklingGoblin 的目標。最初將此後門命名為 StageClient,但現在將其簡稱為 SideWalk Linux。以前已知的 Linux 後門——Spectre RAT,首先由 360 Netlab記錄——實際上也是 SideWalk Linux 變體,與我們確定的樣本有多個共性。SparklingGoblin 是一個 APT 組織,其戰術、技術和程序 (TTP) 與 APT41 和 BARIUM 部分重疊。它使用基於 Motnug 和 ChaCha20 的加載程序、CROSSWALK 和 SideWalk 後門,以及 Korplug(又名 PlugX)和 Cobalt Strike。雖然該集團主要針對東亞和東南亞,但我們也看到 SparklingGoblin 針對全球範圍廣泛的組織和垂直行業,特別關注學術領域。SparklingGoblin 是可以訪問 ShadowPad 後門的組織之一。
詳情
http://urlqh.cn/n1eXB
國會調查揭示了美國電話記錄的秘密海關和邊境保護數據庫日期: 2022-09-15標籤: 美國, 政府部門, 數據庫,根據該機構與民主黨參議員羅恩·懷登 (Ron Wyden) 共享的信息,海關和邊境保護局每年對多達 10,000 名美國人的手機和其他電子設備進行無證搜查,並將這些設備中的信息上傳到龐大的政府數據庫。該數據庫保留了長達 15 年的記錄,其中包括短信、通話記錄、聯繫人列表、照片和其他敏感記錄。懷登在隨信附上的新聞稿中說。「CBP 不應將通過數千次未經授權的電話搜索獲得的數據轉儲到中央數據庫,將數據保留十五年,並允許數千名國土安全部員工隨時搜索美國人的個人數據。」CBP 沒有詳細說明數據庫中包含的美國人的確切數量,但在 6 月與 Wyden 辦公室的簡報中表示,它每年檢查和保存「不到 10,000 個」設備的數據。
詳情
http://urlqh.cn/n0bXp
FBI:黑客從醫療保健支付處理器中竊取數百萬美元日期: 2022-09-14標籤: 美國, 信息技術, 衛生行業, 美國聯邦調查局 (FBI), 網絡釣魚,2022年9月14日,美國聯邦調查局 (FBI) 發出警報,稱黑客針對醫療保健支付處理器將付款路由到攻擊者控制的銀行賬戶。僅2022年一年,攻擊者在訪問客戶賬戶和更改支付細節後,從醫療保健公司竊取了超過 460 萬美元。FBI 表示,它收到了多份報告,其中黑客使用公開的個人詳細信息和社會工程學來冒充受害者訪問醫療保健門戶、網站和支付信息。黑客會向醫療保健支付處理器的財務部門發送網絡釣魚電子郵件。他們還在修改 Exchange Server 的配置並為目標帳戶設置自定義規則,以此收到受害者郵件的副本。建議企業定期進行網絡安全評估、培訓員工識別和報告網絡釣魚、通過硬件令牌對所有帳戶和登錄憑據進行多因素身份驗證。
詳情
http://urlqh.cn/n0LgO
美國政府指控10名伊朗公民發起勒索攻擊日期: 2022-09-14標籤: 伊朗, 美國, 政府部門, 衛生行業, 交通運輸, 教育行業, 網絡犯罪,2022年9月14日,美國財政部外國資產控制辦公室 (OFAC) 公布了一系列制裁和指控,指控10名伊朗國民與該國軍方合作,對數百家美國醫院、政府、非營利組織和企業發起勒索軟件攻擊。OFAC表示,黑客自 2020 年以來一直很活躍,攻擊了新澤西市兒童醫院、交通服務提供商、醫療保健機構、緊急服務提供商和教育機構等。OFAC 還制裁了兩家公司——Najee Technology Hooshmand Fater 和 Afkar System Yazd Company——據稱黑客在這些公司工作。美國政府表示這些人和這些公司與伊朗伊斯蘭革命衛隊(IRGC)「有關聯」,並稱與 IRGC 相關的勒索軟件團體「正在威脅美國和其他國家的人身安全和經濟」。
詳情
http://urlqh.cn/n0sXh
新型網絡釣魚技術MPI日期: 2022-09-13標籤: 伊朗, 科研服務, TA453, 社會工程學, 網絡釣魚, MPI,2022年9月13日,Proofpoint 的研究人員發布報告稱,發現與伊朗有關的黑客組織TA453正在使用一種新型網絡釣魚技術。該黑客組織使用多個角色和電子郵件帳戶來引誘目標認為這是一個真實的電子郵件對話。攻擊者向目標發送一封電子郵件,同時抄送他們控制的另一個電子郵件地址,然後從該電子郵件中回復,進行虛假對話。Proofpoint 的研究人員將其命名為「多角色模擬」(MPI),該技術利用「社會證明」的心理學原理來模糊邏輯思維,並為網絡釣魚線程添加可信度元素。在所有情況下,黑客都使用個人電子郵件地址(Gmail、Outlook、AOL、Hotmail)作為發件人和被抄送人的地址,而不是來自冒充機構的地址,這可作為判斷可以活動的跡象。
詳情
http://urlqh.cn/mYUZs
阿根廷首都立法機關遭受勒索攻擊日期: 2022-09-13標籤: 阿根廷, 政府部門, 網絡犯罪,2022年9月13日,阿根廷首都布宜諾斯艾利斯的立法機關宣布遭受了勒索軟件攻擊,稱其內部操作系統遭到破壞,WiFi 連接中斷。布宜諾斯艾利斯立法機構表示,襲擊於2022年9月11日開始,並摧毀了大樓的 WiFi 網絡以及其他系統。布宜諾斯艾利斯立法機構表示迅速採取了必要措施以確保工作的連續性,並且計劃恢復 WiFi 網絡,並慢慢讓其他系統重新上線。布宜諾斯艾利斯立法機構說:「我們正在與相關領域和該領域的專家合作,以儘快使所有流程恢復正常。」該事件已報告給阿根廷的幾個執法機構。截至2022年9月13日下午,布宜諾斯艾利斯立法機關的網站仍處於關閉狀態。目前背後的攻擊者尚未查明。
詳情
http://urlqh.cn/n1OAv
若想了解更多信息或有相關業務需求,可移步至http://360.net
360城市級網絡安全監測服務360CERT的安全分析人員利用360安全大腦的QUAKE資產測繪平台(quake.360.cn),通過資產測繪技術的方式,對該漏洞進行監測。可聯繫相關產品區域負責人或(quake#360.cn)獲取對應產品。
360安全分析響應平台360安全大腦的安全分析響應平台通過網絡流量檢測、多傳感器數據融合關聯分析手段,對網絡攻擊進行實時檢測和阻斷,請用戶聯繫相關產品區域負責人或(shaoyulong#360.cn)獲取對應產品。
360安全衛士針對以上安全事件,360cert建議廣大用戶使用360安全衛士定期對設備進行安全檢測,以做好資產自查以及防護工作。
360威脅情報平台(TIP)360威脅情報平台(TIP)一款構建全面情報管理、賦能、評價、分享能力的新一代本地化情報平台。可以用來增強對關鍵威脅的檢測;可以自動化識別報警中的重點事件;還可以提供情報分析、外部攻擊面管理、行業威脅情報等高階能力,幫助組織全面應對數字時代的安全風險。
2022-09-19 360CERT發布安全事件周報
一直以來,360CERT對全球重要網絡安全事件進行快速通報、應急響應。為更好地為政企用戶提供最新漏洞以及信息安全事件的安全通告服務,現360CERT推出了安全通告特製版報告訂閱服務,以便用戶做資料留存、傳閱研究與查詢驗證。
今後特製報告將不再提供公開下載,用戶可掃描下方二維碼進行服務訂閱。
https://cert.360.cn/
進入官網查看更多資訊
留言列表