安全事件周报 (05.30-06.05)

阅读量    67163 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

0x01   事件导览

本周收录安全热点40项,话题集中在恶意程序网络攻击方面,涉及的组织有:海莲花AtlassianIlluminaZyxel等。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02   事件目录

恶意程序
排名前10位的Android银行木马针对的应用程序,下载量为10亿次
欧洲刑警组织确认删除基于 SMS 的 FluBot 间谍软件
FluBot Android恶意软件操作被执法部门关闭
APT-C-23新型变种揭秘
新型恶意软件EnemyBot
新的XLoader僵尸网络使用概率论来隐藏其服务器
数据安全
美国机构:卡拉库尔特勒索组织要求高达1300万美元的赎金
数百个Elasticsearch数据库成为勒索攻击的目标
超过360万MySQL服务器被发现在互联网上公开
网络攻击
黑客组织“海莲花”作战武器“Buni”最新曝光,瞄准Linux平台
SideWinder针对巴基斯坦的攻击活动
WatchDog黑客组织推出新的Docker加密劫持活动
微软介入禁止黎巴嫩组织针对以色列组织的OneDrive攻击
使用Cobalt Strike Beacon恶意软件针对乌克兰国家组织的网络攻击
网络司令部司令证实美国参加了进攻性网络行动
Conti 勒索软件针对英特尔固件进行隐形攻击
响尾蛇黑客在谷歌Play商店中种植假冒的Android VPN应用程序
Telegram的博客平台在网络钓鱼攻击中被滥用
勒索软件攻击哥斯达黎加公共卫生系统
乌克兰IT军在一周内袭击了800多家俄罗斯在线资源
意大利警告组织为即将到来的DDoS攻击做好准备
安全漏洞
Atlassian 修复了 Confluence 零日漏洞
CISA警告Illumina基因分析设备中存在严重漏洞
研究人员在广泛使用的智能手机芯片中发现了关键漏洞
0patch发布Windows MSDT零日漏洞非官方补丁
Zyxel:防火墙、接入点和控制器易受攻击
Microsoft Office 新0Day “Follina”
其他事件
美国警告“卡拉库尔特”网络勒索组织
研究人员利用物联网和 IT 设计攻击以提供针对 OT 的勒索软件
FBI阻止了波士顿儿童医院计划中的网络攻击-
FBI查获用于出售被盗数据、DDoS服务的域名
美国至少有16个州使用的投票系统存在漏洞,容易受到黑客攻击
黑客使用呼叫转移技巧窃取WhatsApp帐户
FBI警告乌克兰“慈善机构”骗局
新型网络钓鱼技术
沃达丰计划对定向广告进行运营商级用户跟踪
谷歌悄悄禁止Colab上的deepfake培训项目
网络钓鱼欺诈中的Intuit QuickBooks用户
三名尼日利亚人因恶意软件协助的金融犯罪被捕
到2027年,生物特征移动支付将超过1万亿美元

 

0x03   恶意程序

排名前10位的Android银行木马针对的应用程序,下载量为10亿次

日期: 2022-06-02
标签: 美国, 英国, 法国, 土耳其, 意大利, 澳大利亚, 印度, 金融业, Google Play商店, BianLian, Cabassous, Coper, EventBot, Exobot, FluBot, SharkBot, TeaBot(Anatsa), Xenomorph, Medusa, Android, 

排名前10的Android移动银行木马针对639个金融应用程序,这些应用程序在Google Play商店中的下载量总计超过10亿次。移动银行木马隐藏在看似良性的应用程序(如生产力工具和游戏)后面,并且通常会潜入Android的官方应用程序商店Google Play Store。一旦他们感染了设备,他们就会在合法的银行和金融应用程序之上覆盖登录页面,以窃取帐户凭据,监控抢夺OTP的通知,甚至通过滥用可访问性服务以用户身份执行操作来执行设备上的金融欺诈。美国拥有121个目标应用程序在最有针对性的国家名单中名列前茅。英国紧随其后的是55个应用程序,意大利有43个,土耳其有34个,澳大利亚有33个,法国有31个。针对大多数应用程序的特洛伊木马是Teabot,覆盖了639个跟踪应用程序中的410个,而Exobot还针对324个应用程序的相当大的池。下载量最大的目标应用程序是PhonePe,它在印度非常受欢迎,从Play商店下载了1亿次。

详情

https://t.co/94ewshyseW

欧洲刑警组织确认删除基于 SMS 的 FluBot 间谍软件

日期: 2022-06-01
标签: 澳大利亚, 比利时, 芬兰, 匈牙利, 爱尔兰, 西班牙, 瑞典, 瑞士, 荷兰, 美国, 信息技术, FluBot, 

欧洲刑警组织的欧洲网络犯罪中心 (EC3) 宣布执行一项涉及 11 个国家的国际执法行动,并将“FluBot”间谍软件被取缔。FluBot 于 2020 年 12 月首次出现在野外,但直到 2021 年才获得关注,当时它感染了世界各地的大量设备,特别是在芬兰和西班牙。与TangleBot非常相似,FluBot 通过文本消息将自身连接到设备,要求 Android 用户单击链接并安装应用程序(通常用于跟踪包裹递送或收听虚假语音邮件消息)。安装后,该应用程序将要求访问权限,恶意行为者使用这些权限来窃取银行应用程序凭据和加密货币帐户详细信息以及禁用内置安全功能。国际刑警组织表示,该恶意软件特别致命,因为它通过访问受感染智能手机的联系人并将自身转发到他们的设备而自动繁殖。由于 FluBot 恶意软件被伪装成应用程序,因此很难被发现。

详情

https://t.co/lyqlFEK9Iu

FluBot Android恶意软件操作被执法部门关闭

日期: 2022-06-01
标签: 澳大利亚, 比利时, 芬兰, 匈牙利, 爱尔兰, 西班牙, 瑞典, 瑞士, 荷兰, 美国, 信息技术, FluBot Android, FluBot, 

欧洲刑警组织宣布取消FluBot操作,这是现存最大,增长最快的Android恶意软件操作之一。恶意软件行动的删除源于涉及十一个国家的执法行动,此前进行了复杂的技术调查,以确定FluBot最关键的基础设施。行动的参与者是澳大利亚、比利时、芬兰、匈牙利、爱尔兰、西班牙、瑞典、瑞士、荷兰和美国。FluBot是一种Android恶意软件,当受害者打开它们时,它会通过在合法应用程序的界面顶部覆盖网络钓鱼页面来窃取银行和加密货币帐户凭据。此外,它可以访问SMS内容并监控通知,因此可以动态抢夺双因素身份验证和OTP代码。它的迅速扩散是由于滥用受感染设备的联系人列表,通过他们信任的人向所有联系人发送短信。如果您认为FluBot可能感染了您的设备,Europol建议您执行恢复出厂设置,以擦除可能托管恶意软件的分区中的所有数据。

详情

https://t.co/4HZOJn1smO

APT-C-23新型变种揭秘

日期: 2022-05-31
标签: 信息技术, 

近期,暗影实验室捕获了几款间谍软件,此类恶意程序仿冒成正常的交友聊天类软件,诱导用户下载安装并同意权限和无障碍通知,在注册使用时会根据安卓版本选择隐藏或更改应用图标,隐藏活动入口,防止用户主动杀后台,后台运行通过FCM(Firebase Cloud Messaging)消息传递和SMS短信并远程操控手机执行监听并上传用户隐私信息,会通过进行远控指令的下发。

详情

https://mp.weixin.qq.com/s/Ael6-pEJUxGaTsgMIW3E8Q

新型恶意软件EnemyBot

日期: 2022-05-31
标签: 信息技术, Keksec, QakBot, EnemyBot, 物联网, 

一个快速发展的名为“ EnemyBot”的物联网恶意软件瞄准了内容管理系统(CMS)、网络服务器和 Android 设备。黑客组织“ Keksec”被认为是这种恶意软件传播的幕后黑手。根据安全研究团队AT&T对恶意软件代码库的分析,EnemyBot 大量借用其他僵尸网络使用的代码,如 Mirai、 Qbot 和 Zbot。研究人员还公布了一系列 Enemybot 目前正在利用的漏洞列表,包括 Log4shell 漏洞(CVE-2021-44228、 CVE-2021-45046)、 F5 BIG IP 设备(CVE-2022-1388)等。一些漏洞还没有被分配 CVE,比如 PHP 脚本框和 Adobe ColdFusion 11。这表明 Keksec 组织拥有充足的资源,该组织开发了恶意软件,以便在修补漏洞之前利用漏洞,从而提高其传播速度和规模。建议用户使用正确配置的防火墙,并专注于减少 Linux 服务器和物联网设备对互联网的暴露。监视网络流量,扫描出站端口并查找可疑的带宽使用情况。保持软件更新。

详情

https://t.co/Xw5IbEQD6o

新的XLoader僵尸网络使用概率论来隐藏其服务器

日期: 2022-05-31
标签: 信息技术, MoqHao, Formbook, Xloader, 

威胁分析师发现了新版本的XLoader僵尸网络恶意软件,该恶意软件使用概率论来隐藏其命令和控制服务器,从而难以破坏恶意软件的操作。这有助于恶意软件操作员继续使用相同的基础架构,而不会因已识别的IP地址被阻止而丢失节点的风险,同时还可以降低被跟踪和识别的机会。XLoader是一个信息窃取者,最初基于Formbook,针对Windows和macOS操作系统。它于2021年1月首次进入广泛部署。XLoader已经在2.3版本中伪装了它的实际命令和控制(C2)服务器,将真实域名隐藏在包含63个诱饵的配置中。

详情

https://t.co/j3DL8dY49q

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 各主机安装EDR产品,及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

 

0x04   数据安全

美国机构:卡拉库尔特勒索组织要求高达1300万美元的赎金

日期: 2022-06-01
标签: 美国, 信息技术, 网络安全和基础设施安全局(CISA), Infinitum IT, Advanced Intelligence, Arctic Wolf, Conti, Karakurt, 勒索攻击, 

根据联邦调查局,网络安全和基础设施安全局(CISA)和财政部的一项新警报,卡拉库尔特数据勒索组织正在以25,000至1300万美元的比特币赎金来隐藏受害者数据。美国机构表示,卡拉库尔特的受害者没有报告对受感染的机器或文件进行加密,但该团伙的成员威胁要拍卖被盗数据或将其发布给公众,除非他们收到赎金。受害者通常有一周的时间来支付。该团伙经营着一个泄漏网站,该域名在一月份之后的某个时候下线了。CISA表示,该网站已搬迁到“深网和暗网的其他地方”。Emsisoft威胁分析师Brett Callow表示,该组织自2021年年中以来一直活跃,被认为是Conti勒索软件集团的衍生产品。其他几家安全公司 – 包括Infinitum IT,Advanced Intelligence和Arctic Wolf – 发布的报告显示,Conti和Karakurt使用的基础设施之间存在具体联系。

详情

https://t.co/WzeHLeVs1O

数百个Elasticsearch数据库成为勒索攻击的目标

日期: 2022-06-01
标签: 信息技术, Elasticsearch, 勒索攻击, 

黑客瞄准了安全性较差的Elasticsearch数据库,并用赎金票据替换了450个索引,要求620美元来恢复内容,总需求为279,000美元。威胁行为者为付款设定了七天的最后期限,并威胁要在此之后将需求增加一倍。他们说,如果又过了一周而没有得到报酬,受害者将失去指数。那些支付金额的人被承诺一个下载链接到他们的数据库转储,据说这将有助于将数据结构快速恢复到其原始形式。Group-IB最近的一份报告显示,2021年,在网络上发现了超过10万个Elasticsearch实例,约占2021年308,000个暴露数据库的30%。根据同一份报告,数据库管理员平均需要170天才能意识到他们犯了配置错误,从而为恶意行为者留下了足够的时间来执行攻击。正如Secureworks所强调的那样,任何数据库都不应该面向公众,除非它对于它们的角色至关重要。此外,如果需要远程访问,管理员应为授权用户设置多重身份验证,并将访问权限限制为仅相关个人。将这些服务外包给云提供商的组织应确保供应商的安全策略与其标准兼容,并且所有数据都得到充分保护。

详情

https://t.co/g8NCdxKIJo

超过360万MySQL服务器被发现在互联网上公开

日期: 2022-05-31
标签: 中国, 美国, 德国, 新加坡, 荷兰, 波兰, 信息技术, Cobalt Strike, 数据泄露, MySQL数据库, 

超过360万台MySQL服务器在互联网上公开并响应查询,使其成为黑客和勒索者的有吸引力的目标。在这些可访问的MySQL服务器中,有230万台通过IPv4连接,其中130万台设备通过IPv6连接。拥有最容易访问的MySQL服务器的国家是美国,超过120万。其他数量可观的国家是中国,德国,新加坡,荷兰和波兰。MySQL数据库服务器可能导致灾难性的数据泄露,破坏性攻击,勒索要求,远程访问木马(RAT)感染,甚至钴罢工妥协。这些情况都会对受影响的组织造成严重后果,因此应用适当的安全实践并删除通过简单的网络扫描无法访问的设备至关重要。

详情

https://t.co/3zx8etqu0d

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施

 

0x05   网络攻击

黑客组织“海莲花”作战武器“Buni”最新曝光,瞄准Linux平台

日期: 2022-06-02
标签: 中国, 能源业, 卫生行业, 交通运输, 科研服务, APT-C-00(海莲花), Buni, 

海莲花至少自2012年开始活跃,长期针对中国能源行业、海事机构、边防机构、卫生部门、海域建设部门、科研院所和航运企业等进行网络攻击。在历史攻击手法中,APT32 一直在尝试不同方法以实现在目标系统上执行恶意代码和绕过安全检测。微步情报局于去年下半年捕获到了APT32的一个未公开的Linux后门 “Buni”,发现其近期又再度开始活跃。

详情

https://mp.weixin.qq.com/s/zHLY81XeNL8afYaPtd0Myw

SideWinder针对巴基斯坦的攻击活动

日期: 2022-06-02
标签: 印度, 巴基斯坦, 政府部门, SideWinder, 邮件钓鱼, 

Group-IB威胁情报研究人员发现了APT组织SideWinder的新恶意基础设施和定制工具,该组织被认为来自印度,近年来主要针对巴基斯坦。 通过模仿政府和组织机构的合法域名以及钓鱼邮件等方式 ,下发代号为SideWinder.AntiBot.Script的定制工具 ,该工具会针对巴基斯坦地区用户执行特定的攻击载荷。

详情

https://blog.group-ib.com/sidewinder-antibot

WatchDog黑客组织推出新的Docker加密劫持活动

日期: 2022-06-03
标签: 信息技术, TeamTNT, WatchDog, Docker, 

WatchDog黑客组织正在开展一项新的加密劫持活动,该活动采用先进的技术进行入侵,蠕虫状传播和规避安全软件。黑客组织的目标是公开的 Docker 引擎 API 端点和 Redis 服务器,并且可以快速从一台受感染的计算机转移到整个网络。威胁参与者的目的是通过使用安全性较差的服务器的可用计算资源挖掘加密货币来产生利润。WatchDog 通过使用开放端口 2375 破坏配置错误的 Docker 引擎 API 端点来启动攻击,从而以默认设置授予它们对守护程序的访问权限。涉及的脚本有:cronb.sh、ar.sh、c.sh、d.sh。

详情

https://t.co/k9czqYzjTj

微软介入禁止黎巴嫩组织针对以色列组织的OneDrive攻击

日期: 2022-06-02
标签: 黎巴嫩, 以色列, 制造业, 信息技术, 交通运输, 政府部门, 农林牧渔, 卫生行业, 金融业, 微软(Microsoft), 微软威胁情报中心(MSTIC), 伊朗情报和安全部(MOIS), Polonium, CVE-2018-13379, OneDrive, 

2022年6月2日,微软表示,它检测到并禁用了来自黎巴嫩一家名为钋的集团针对OneDrive的攻击。这家科技巨头表示,这些事件是钋对以色列组织发起的更大一波攻击的一部分。微软威胁情报中心(MSTIC)表示,它确定该组织正在与隶属于伊朗情报和安全部(MOIS)的黑客协调其努力。为了进一步解决这种滥用问题,微软已经暂停了由钋行为者创建的20多个恶意OneDrive应用程序,通知了受影响的组织,并部署了一系列安全情报更新,这些更新将隔离钋运营商开发的工具。自2月份以来,微软已经看到钋发起了几次攻击,针对涉及制造业,IT,运输系统,国防工业基地,政府机构和服务,食品和农业,金融服务和医疗保健的以色列公司。该公司补充说,它仍在调查该组织如何接触到受害者,但指出,在大约80%的攻击中,微软看到受害者正在运行Fortinet设备。虽然仍然不确定原因,但微软表示,他们认为该组织可能正在利用CVE-2018-13379。

详情

https://t.co/HK9ieohjSI

使用Cobalt Strike Beacon恶意软件针对乌克兰国家组织的网络攻击

日期: 2022-06-02
标签: 乌克兰, 国际组织, 乌克兰计算机应急响应小组(CERT-UA), Cobalt Strike Beacon, CVE-2021-40444, CVE-2022-30190, 俄乌战争, 

乌克兰CERT-UA政府的计算机应急小组确定了一份文件“应计薪酬变化.docx”,通过电子邮件在乌克兰国家组织之间分发。发现该文档包含指向外部对象的链接(包含JavaScript代码的HTML文件),在利用漏洞CVE-2021-40444和CVE-2022-30190后,执行该对象将启动PowerShell命令,下载EXE文件“ms-msdt.exe”并使用Cobalt Strike Beacon恶意软件击败计算机。CERT-UA 启动了阻止域名和相应服务器的措施。

详情

https://t.co/RfOdhyb3Wc

网络司令部司令证实美国参加了进攻性网络行动

日期: 2022-06-01
标签: 美国, 乌克兰, 俄罗斯, 政府部门, 国际组织, 美国网络司令部司令, 俄乌战争, 

美国网络司令部司令保罗·中曾根将军首次证实,美国为支持乌克兰进行了进攻性网络行动。中曾根接受英国电视新闻频道天空新闻采访时说:“我们已经进行了一系列全方位的行动:进攻,防御和信息行动。”虽然将军没有提供具体细节,但他表示,这些行动是合法的,并且在军方的民事监督下进行。Nakasone此前表示,他的机构在12月部署了一个“向前追寻”的团队,以帮助乌克兰加强其网络防御和网络以应对主动威胁。但他的最新言论似乎是美国官员首次公开表示,美国参与了应对俄罗斯入侵乌克兰的进攻性网络行动。

详情

https://t.co/vkcGm2u4B6

Conti 勒索软件针对英特尔固件进行隐形攻击

日期: 2022-06-02
标签: 信息技术, 英特尔, Conti, TrickBot, 

根据网络犯罪集团成员之间交换的消息,Conti开发人员已经创建了概念验证(PoC)代码,利用Intel的管理引擎(ME)覆盖flash并获得SMM(系统管理模式)执行。Conti可以访问承载UEFI/BIOS固件的闪存,绕过写保护,并在受损系统上执行任意代码。最终目标是放弃一个SMM植入物,该植入物将以最高的系统权限(ring-0)运行,同时几乎无法从操作系统级安全工具中检测到。重要的是要注意,与TrickBot针对UEFI固件缺陷的模块相反,该模块帮助Conti感染,后来由勒索软件组进行,新发现表明恶意工程师正在努力发现ME中新的未知漏洞。为了防止这些威胁,请为您的硬件应用可用的固件更新,监控ME的配置更改,并定期验证SPI闪存的完整性。

详情

https://t.co/dWkecTpaO4

响尾蛇黑客在谷歌Play商店中种植假冒的Android VPN应用程序

日期: 2022-06-01
标签: 斯里兰卡, 巴基斯坦, 美国, 阿富汗, 政府部门, Google Play商店, Group-IB, SideWinder, NordVPN, 

名为SideWinder的高级威胁行为者的网络钓鱼活动涉及Google Play商店上发布的适用于Android设备的虚假VPN应用程序以及过滤受害者以更好地定位的自定义工具。最近一项归因于响尾蛇(又名响尾蛇,剃刀虎,T-APT-04,APT-C-17,硬核民族主义者)的网络钓鱼活动针对巴基斯坦的公共和私营部门组织。今年早些时候,网络安全公司Group-IB的研究人员发现了一份网络钓鱼文件,该文件通过一份文件引诱受害者,该文件提议“正式讨论美国从阿富汗撤军对海上安全的影响”。Group-IB表示,过去还观察到响尾蛇克隆政府网站(例如斯里兰卡的政府门户网站)以窃取用户凭据。Group-IB发现的另一个链接是从官方Android应用商店Google Play下载的,这是“Secure VPN”应用程序的假版本,在撰写本文时仍然存在于Google Play上,下载量刚刚超过10次。研究人员指出,SideWinder的假冒安全VPN应用程序可用的描述是从合法的NordVPN应用程序复制的。在运行时,伪造的Secure VPN应用程序向可能由攻击者拥有的两个域发出几个请求,但在调查期间这些域不可用,并且对根目录的请求重定向到合法的NordVPN域。

详情

https://t.co/4u8lsqyMFr

Telegram的博客平台在网络钓鱼攻击中被滥用

日期: 2022-06-01
标签: 信息技术, Telegram, Telegraph, INKY, 邮件钓鱼, 网络钓鱼, 

Telegram的匿名博客平台Telegraph正在被网络钓鱼行为者积极利用,他们利用该平台宽松的政策来设置临时登录页面,导致帐户凭据被盗。Telegraph是一个博客平台,允许任何人发布任何内容,而无需创建帐户或提供任何身份详细信息。根据一份报告显示,网络钓鱼行为者广泛使用Telegraph来创建看起来像网站登录页面或登录门户的网络钓鱼网站。INKY从2019年底到2022年5月的数据显示,网络钓鱼电子邮件中包含电报链接的情况最近急剧上升,因为今年超过90%的检测事件发生。网络钓鱼电子邮件的传递率非常好,因为这些链接托管在Telegraph上,该平台未被任何电子邮件安全解决方案标记为危险或可疑。INKY看到的案例差异很大,表明Telegraph的滥用来自多个团体/参与者,而不是特定的威胁集群。网络钓鱼行为者不断尝试新的途径,用户不应仅仅因为电子邮件通过了保护而信任该电子邮件。如果它的正文中有链接,请将光标悬停在其上以查看其重定向位置,然后再单击。

详情

https://t.co/5dzTeYW4ec

勒索软件攻击哥斯达黎加公共卫生系统

日期: 2022-05-31
标签: 哥斯达黎加, 政府部门, 哥斯达黎加公共卫生机构, Conti, Hive, 勒索攻击, 

2022年5月31日,哥斯达黎加政府机构计算机系统再次遭遇黑客攻击,导致该国公共卫生机构的系统被迫紧急系统,数千人的医疗保健服务受到影响。据政府称,社会保障机构的 1,500 台服务器中至少有 30 台感染了勒索软件。自从2022年4月勒索软件团伙Conti袭击哥斯达黎加政府后,该勒索软件团伙又多次攻击多个哥斯达黎加政府机构,尤其是其财政部,该机构仍未恢复对其部分系统的控制权。此次攻击以低置信度归因于勒索软件团伙Hive。

详情

https://t.co/ylLuInGasy

乌克兰IT军在一周内袭击了800多家俄罗斯在线资源

日期: 2022-05-30
标签: 乌克兰, 俄罗斯, 信息技术, 政府部门, 金融业, 乌克兰IT军队, 俄乌战争, 

乌克兰 IT 军队在一周内攻击了 800 多个俄罗斯在线资源——银行、证券交易所和保险服务。据Ukrinform 报道,乌克兰数字化转型部在Telegram上发布了这一消息,称:“本周,IT 军队成功创造了俄罗斯在线服务遭到攻击的记录!从 5 月 23 日至 29 日,超过 800 个俄罗斯在线资源遭到攻击。”特别是,一些俄罗斯银行的客户无法使用网上银行服务,也无法使用智能手机进行金融交易。由于这些攻击,小额贷款服务也变得遥不可及。为了抵御网络攻击的冲击并恢复正常运营,俄罗斯交易所不得不切断其海外客户的访问权限。

详情

https://t.co/QWlXP7OTOy

意大利警告组织为即将到来的DDoS攻击做好准备

日期: 2022-05-30
标签: 乌克兰, 俄罗斯, 意大利, 意大利计算机安全事件响应小组(CSIRT), Killnet, DDoS, 俄乌战争, 

2022年5月30日,意大利计算机安全事件响应小组(CSIRT)发布了一项紧急警报,以提高人们对针对国家实体的网络攻击高风险的认识。意大利组织提到的网络攻击类型是DDoS(分布式拒绝服务),它可能不是灾难性的,但由于服务中断和中断,仍可能造成财务或其他方面的损害。Killnet是一个亲俄黑客组织,两周前袭击了意大利,使用了一种名为“Slow HTTP”的旧但仍然有效的DDoS方法。因此,这次CSIRT提出的防御措施与这种类型的攻击有关,但也包括有关良好安全实践的各种通用建议。Killnet针对意大利组织是该组织最近针对几个国家的实体的结果,其中包括意大利,以支持乌克兰对俄罗斯的抵抗。

详情

https://t.co/oLHzyyo3II

相关安全建议

1. 积极开展外网渗透测试工作,提前发现系统问题

2. 减少外网资源和不相关的业务,降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

6. 注重内部员工安全培训

 

0x06   安全漏洞

Atlassian 修复了 Confluence 零日漏洞

日期: 2022-06-03
标签: 中国, 信息技术, Atlassian, 美国网络安全和基础设施安全局 (CISA), CVE-2022-26134, 

Atlassian 已发布安全更新,以解决 Confluence 服务器和数据中心中一个关键的零日漏洞(CVE-2022-26134),该漏洞在野外被积极利用,以后门暴露互联网的服务器。该漏洞会影响所有受支持的 Confluence Server 和 Data Center 版本,并允许未经身份验证的攻击者在未修补的服务器上远程执行代码。由于它被披露为一个被积极利用的错误,网络安全和基础设施安全局(CISA)也将其添加到其“已知利用漏洞目录”中,要求联邦机构阻止所有互联网流量到其网络上的Confluence服务器。该公司现已发布补丁,并建议所有客户将其设备升级到版本7.4.17,7.13.7,7.14.3,7.15.2,7.16.4,7.17.4和7.18.1,其中包含此漏洞的修复。

详情

https://t.co/NhuioO9VvN

CISA警告Illumina基因分析设备中存在严重漏洞

日期: 2022-06-02
标签: 美国, 科研服务, 美国网络安全和基础设施安全局 (CISA), Illumina, CVE-2022-1517, CVE-2022-1518, CVE-2022-1519, CVE-2022-1521, CVE-2022-1524, DNA, 

美国网络安全和基础设施安全局(CISA)发布了一份公告,警告Illumina基因分析设备中存在严重漏洞,这些漏洞可能允许远程,未经身份验证的攻击者接管受影响的产品。这些缺陷影响了Illumina Local Run Manager(LRM),它被设计用于临床诊断的测序仪器用于人的DNA测序,各种遗传条件的测试以及研究。漏洞包括:CVE-2022-1517、CVE-2022-1518 和 CVE-2022-1519、CVE-2022-1521、CVE-2022-1524。Illumina发布了更新以防止远程利用这些错误,并正在努力为它们提供完整的补丁。

详情

https://t.co/bjs6356U1s

研究人员在广泛使用的智能手机芯片中发现了关键漏洞

日期: 2022-06-02
标签: 中国, 制造业, Check Point Software Technologies, 紫光展锐, CVE-2022-20210, 芯片, 

网络安全公司Check Point的分析师发现了一个影响全球最大芯片制造商之一的漏洞。关键漏洞 CVE-2022-20210 的 CVSS 得分为 9.4,影响紫光展锐的智能手机芯片组。该公司(前身为展讯)生产的预算芯片组可为从智能手机到智能电视的2/3/4/5G设备供电。Check Point表示,该漏洞存在于调制解调器固件中,并影响4G和5G UNISOC芯片组。攻击者可能使用无线电台发送格式错误的数据包,该数据包将重置调制解调器,从而剥夺用户进行通信的可能性。如果不打补丁,蜂窝通信可能会被攻击者阻止。除了提供CVE-2022-20210工作原理的详细细分外,研究人员还表示,他们发现了“当NAS处理程序功能从非访问层(NAS)消息外部读取数据时,存在几个越界读取问题。

详情

https://t.co/haUkRt3JaL

0patch发布Windows MSDT零日漏洞非官方补丁

日期: 2022-06-01
标签: 美国, 信息技术, 微软(Microsoft), CVE-2022-30190, Follina, 0day, 

0patch发布针对Windows MSDT零日漏洞“Follina”免费非官方补丁,可用来阻止针对 Windows 系统的持续攻击。该漏洞现在被跟踪为CVE-2022-30190  ,被 Redmond 描述为 Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞,它影响仍在接收安全更新的所有 Windows 版本(Windows 7+ 和 Server 2008+)。成功利用此零日漏洞的攻击者可以使用调用应用程序的权限执行任意代码,以安装程序、查看、更改或删除数据,或在用户权限允许的情况下创建新的 Windows 帐户。0patch 没有禁用 MSDT URL 协议处理程序(如 Microsoft 建议的那样),而是 添加了对用户提供的路径的清理 (当前在 Windows 脚本中缺失),以避免使 Windows 诊断向导无法在所有应用程序的操作系统中运行。

详情

https://t.co/OEpCdh7Dlf

Zyxel:防火墙、接入点和控制器易受攻击

日期: 2022-05-31
标签: 信息技术, 网络设备公司合勤科技(Zyxel), 漏洞利用, CVE-2022-0734, CVE-2022-26531, CVE-2022-26532, CVE-2022-0910, 

2022年5月31日,Zyxel 发布网络安全公告,提醒管理员注意影响各种防火墙、接入点和接入点控制器产品的各种漏洞,包括CVE-2022-0734、CVE-2022-26531、CVE-2022-26532、CVE-2022-0910等。 虽然这些漏洞尚未被赋予高严重性等级,但这些漏洞可能被恶意攻击者作为利用链的一个方面加以利用,所以仍需重视。此外,Zyxel 产品被大型企业使用,其中任何可利用的缺陷都会立即吸引黑客。虽然 Zyxel 已经发布了防火墙和接入点的软件更新,但为受 CVE-2022-26531 和 CVE-2022-26532 影响的 AP 控制器获取修补程序的唯一方法是联系当地的 Zyxel 支持团队。目前,CVE-2022-30525,(CVSS 分数:9.8)已被积极利用。

详情

https://t.co/bwcakJnVvG

Microsoft Office 新0Day “Follina”

日期: 2022-05-31
标签: 信息技术, 微软(Microsoft), 

2022年5月27日,一位安全研究员“nao_sec”在 Twitter 上报告说,他们在 VirusTotal 恶意软件扫描服务中发现了一个有趣的恶意文档。该文档使用 Word 远程模板功能从远程网络服务器检索 HTML 文件,该服务器又使用 ms-msdt MSProtocol URI 方案加载一些代码并执行一些 PowerShell。即使禁用了宏,代码也会被执行——恶意 Word 文档通常用于通过宏执行代码。Microsoft Defender 当前似乎无法阻止执行。研究人员决定将该零日漏洞命名为“Follina”,该漏洞可用于在运行各种 Windows 和 Office 版本的系统上远程执行任意代码。

详情

https://t.co/d6bg6o00j1

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

 

0x07   其他事件

美国警告“卡拉库尔特”网络勒索组织

日期: 2022-06-02
标签: 美国, 金融业, 美国联邦调查局 (FBI), 美国网络安全和基础设施安全局 (CISA), 财政部和金融犯罪执法网络(FinCEN), Karakurt(Karakurt Team、Karakurt Lair), Conti, MimiKatz, BlackByte, Black Basta, Cobalt Strike, 勒索攻击, 

美国的几个政府机构已经发布了一个联合网络安全警报,警告组织一个名为“Karakurt”的数据勒索组织。该组织也被称为Karakurt Team和Karakurt Lair,它不依靠恶意软件来加密受害者的文件,而是泄露数据并威胁说,如果未在特定时间内支付赎金,则出售或公开发布。通常,卡拉库尔特黑客给他们的受害者一周的时间来付款,赎金要求在25,000美元到1300万美元之间,从联邦调查局(FBI),网络安全和基础设施安全局(CISA),财政部和金融犯罪执法网络(FinCEN)读取联合警报。在最近的一份报告中,网络安全公司AdvIntel指出,Karakurt是Conti网络的一部分,与Black Basta和BlackByte一起作为一个自治组织运营,这两个组织依靠数据盗窃和勒索将受害者系统的访问货币化。

详情

https://t.co/hH9kNd0l5o

研究人员利用物联网和 IT 设计攻击以提供针对 OT 的勒索软件

日期: 2022-06-01
标签: 信息技术, ELECTRUM, Sandworm, TeleBots, Conti, TrickBot, R4IoT, 双重勒索, 

关键行业必须为专门针对 OT 的新一波勒索软件攻击做好准备。Forescout 的 Vedere Labs 发布了“勒索软件”攻击的概念证明 (PoC),该攻击使用物联网进行访问,使用 IT 进行遍历,使用 OT(尤其是 PLC)进行引爆。它被称为R4IoT,被描述为下一代勒索软件。这个 PoC 令人担忧的方面是它不需要任何新东西。之所以选择物联网访问,是因为物联网设备的增长通常比网络的其他部分受到的防御关注更少。这种访问可能会增加。随着防御者在抵御双重勒索方面做得更好,攻击者将再次进化。最明显的路径将是攻击运营技术 (OT) 而不仅仅是 IT。针对 OT 的攻击更难以实现,但其影响同样更难以缓解。未来对关键行业 OT 的攻击是不可避免的,因为关键行业更有可能支付敲诈勒索,而且支付速度很快。

详情

https://t.co/mPNqnLdAcY

FBI阻止了波士顿儿童医院计划中的网络攻击-

日期: 2022-06-01
标签: 美国, 伊朗, 政府部门, 卫生行业, 波士顿儿童医院, 美国联邦调查局 (FBI), 

2021年6月1日,美国联邦调查局局长克里斯托弗·雷表示,联邦调查局挫败了由伊朗政府赞助的黑客对波士顿一家儿童医院进行的计划中的网络攻击。在 2014 年黑客攻击医院的计算机网络后,FBI就和波士顿儿童医院密切合作。FBI表示没有将针对医院的计划袭击归咎于特定动机,但他指出,伊朗和其他国家一直在雇佣网络雇佣军代表他们进行袭击。FBI强调私营公司需要与 FBI 合作,以挫败勒索软件团伙和民族国家黑客,并补充说,建立这些关系是成功的关键。

详情

https://t.co/bvoW00SI4O

FBI查获用于出售被盗数据、DDoS服务的域名

日期: 2022-06-01
标签: 美国, 政府部门, 美国司法部(DoJ), 美国联邦调查局 (FBI), DDoS, 

2022年6月1日,美国司法部和联邦调查局宣布,他们已经查获了与在线销售被盗个人信息和分布式拒绝服务 (DDoS) 攻击相关的域名,这些攻击可能会破坏对网站的访问。 查获的具体域名是 weleakinfo.to、ipstress.in 和 ovh-booter.com。WeLeakInfo.to 出售订阅服务,允许其用户搜索包含在 10,000 多起数据泄露事件中被盗信息的数据库。大约 70 亿条记录包含各种个人身份信息 (PII),包括姓名、电子邮件地址、用户名、电话号码和在线帐户的密码。另外两个域 ipstress.in 和 ovh-booter.com 用于提供引导程序或压力源攻击服务,客户可以要求他们选择的网站或 Web 平台在大规模分布式拒绝服务 (DDoS) 中被关闭) 攻击。这一国际执法行动还逮捕了一名嫌疑人,没收了服务器基础设施,并在多个地点进行了搜查。

详情

https://t.co/uSPnU36oFA

美国至少有16个州使用的投票系统存在漏洞,容易受到黑客攻击

日期: 2022-05-31
标签: 美国, 政府部门, 商务服务, Dominion Voting Systems, 漏洞利用, 选举, 

美国网络安全机构在发给州选举官员的一份咨询报告中称,来自至少 16 个州使用的电子投票系统Dominion Voting Systems存在软件漏洞,如果不加以解决,它们很容易受到黑客攻击。对此,美国网络安全和基础设施局 (CISA) 表示,没有证据表明Dominion Voting Systems设备中的缺陷已被利用来改变选举结果。密歇根大学计算机科学家 J. Alex Halderman 认为,使用数字技术记录选票是危险的,因为计算机天生就容易受到黑客攻击,使用手工标记的纸质选票是最安全的投票方式。为了防止或检测对这些漏洞的利用,该咨询的建议包括确保投票机始终安全并受到保护;对机器进行严格的选举前和选举后测试以及选举后的审计;并鼓励选民验证印刷选票上的人类可读部分。

详情

https://t.co/jG1dSmr5ye

黑客使用呼叫转移技巧窃取WhatsApp帐户

日期: 2022-05-31
标签: 信息技术, WhatsApp, 移动网络运营商, 

黑客使用一个技巧,允许攻击者劫持受害者的WhatsApp帐户,并访问个人消息和联系人列表。该方法依赖于移动运营商的自动服务将呼叫转发到不同的电话号码,以及WhatsApp通过语音呼叫发送一次性密码(OTP)验证码的选项。攻击者只需几分钟即可接管受害者的WhatsApp帐户,但他们需要知道目标的电话号码并准备进行一些社交工程。BleepingComputer已经使用Verizon和沃达丰的移动服务测试了这种方法,并得出结论,具有合理场景的攻击者可能会劫持WhatsApp帐户。根据公开数据,Sasi的帖子指的是Airtel和Jio移动运营商,截至2020年12月,每家运营商的客户都超过4亿。防范这种类型的攻击就像在WhatsApp中打开双因素身份验证保护一样简单。此功能可防止恶意行为者在向消息传递应用注册手机时要求 PIN 来控制帐户。

详情

https://t.co/WhS3qDlq21

FBI警告乌克兰“慈善机构”骗局

日期: 2022-05-31
标签: 乌克兰, 俄罗斯, 信息技术, 俄乌战争, 

根据美国联邦调查局 (FBI) 的说法,诈骗者声称正在收集捐款以帮助乌克兰难民和战争受害者,同时冒充合法的乌克兰人道主义援助组织。自俄乌战争以来,安全供应商以针对这类似的骗局发布了大量报告和警报。目前,这些骗局逐渐升级,诈骗者前后冒充乌克兰政府、乌克兰危机救济基金、和平法案和联合国儿童基金会。乌克兰政府也在积极寻求加密货币捐赠这一事实可能也无意中为此类骗局增加了可信度。联邦调查局建议那些想向乌克兰慈善机构和受俄罗斯战争影响的人捐款的人,要经常检查他们通过在线交流方式收到的信息。

详情

https://t.co/3U0yWZubBm

新型网络钓鱼技术

日期: 2022-05-30
标签: 信息技术, 网络钓鱼, 

研究人员发现了一种将恶意链接潜入电子邮件收件箱的新方法,该方法利用了浏览器和电子邮件收件箱读取web域的方式之间的差异。攻击者使用中间的“@”符号制作了一个不寻常的链接。普通的电子邮件安全过滤器将其解释为评论,但浏览器将其解释为合法的 Web 域。因此,网络钓鱼电子邮件成功绕过了安全措施,但当目标点击内部链接时,它们仍然被定向到虚假登录页面。

详情

https://t.co/J8S5VdjK2J

沃达丰计划对定向广告进行运营商级用户跟踪

日期: 2022-05-30
标签: 德国, 信息技术, 沃达丰(Vodafone ), Bild.de, 

沃达丰正在试行一种名为TrustPid的新广告ID系统,该系统将作为移动互联网服务提供商(ISP)级别的持久用户跟踪器。新系统在德国处于测试阶段,旨在无法从网络浏览器设置中或通过cookie阻止或IP地址屏蔽绕过。移动运营商计划为每个客户分配一个固定 ID,并将所有用户活动与其关联。ID将基于许多参数,以便系统能够保持持久性。然后,移动 ISP 根据该 ID 创建个人资料,并帮助广告商向每个客户提供有针对性的广告,而无需透露任何身份详细信息。目前,两家公司都没有透露参与TrustPiD试点阶段的用户数量,但德国最大的网站之一 Bild.de 已披露其正在参与该计划。

详情

https://t.co/SkU0zUqKZT

谷歌悄悄禁止Colab上的deepfake培训项目

日期: 2022-05-30
标签: 美国, 信息技术, 谷歌(Google), deepfake, 

2022年5月上旬,谷歌在其 Colaboratory(Colab)服务上悄悄禁止了 deepfake 项目,结束了为此目的大规模利用平台资源的行为。Colab 是一种在线计算资源,允许研究人员直接通过浏览器运行 Python 代码,同时使用包括 GPU 在内的免费计算资源来支持他们的项目。由于 GPU 的多核特性,Colab 非常适合训练 深度伪造模型等机器学习项目 或执行数据分析。Deepfakes 可以在视频剪辑上交换人脸,已被用于传播假新闻、制作复仇色情片或娱乐。谷歌这一新限制的影响预计将在 deepfake 世界中产生深远影响,因为许多用户利用 Colab 的预训练模型 来启动他们的高分辨率项目。

详情

https://t.co/AdKKsCR4am

网络钓鱼欺诈中的Intuit QuickBooks用户

日期: 2022-05-30
标签: 美国, 金融业, Intuit, 网络钓鱼, 

总部位于美国的金融软件公司Intuit已向其客户发出有关新的QuickBooks网络钓鱼活动的警告。目前的网络钓鱼活动是该公司今年的第五大安全威胁,涉及欺骗消费者,让他们相信自己的帐户已被暂停。伪造的Intuit支持团队消息中的恶意软件会将目标发送到网络钓鱼网站,如果犯罪分子单击“完成验证”按钮,他们可能会窃取个人数据或在受感染的设备上安装恶意软件。根据Intuit的说法,发件人“与Intuit无关,不是Intuit的授权代理商,Intuit也不允许他们使用Intuit的徽标”。建议客户不要打开这些网络钓鱼邮件。它还建议消费者从电子邮件收件箱中删除通信,以避免个人数据被盗和可能的恶意软件感染。打开电子邮件的客户单击了链接或下载了可能有害的附件,应采取以下预防措施:

• 立即删除下载的附件。

• 密码应定期更改。

• 在可能已被黑客入侵的计算机上运行完整扫描。

• Intuit 还提供了全面的安全建议列表,可帮助客户避免常见的网络攻击,如网络钓鱼电子邮件、客户服务诈骗和身份盗用。

详情

https://t.co/q8G76ywQLr

三名尼日利亚人因恶意软件协助的金融犯罪被捕

日期: 2022-05-30
标签: 北非, 能源业, 金融业, SilverTerrier, Bec, Loki Password Stealer, Agent Tesla, Formbook, RedLine, LokiBot, Wakbot, AveMaria, 

国际刑警组织宣布在拉各斯逮捕三名尼日利亚男子,他们涉嫌使用远程访问木马(RAT)重新路由金融交易并窃取帐户凭据。代号为“杀人蜂”的国际行动由国际刑警组织在11个东南亚国家的执法机构的帮助下领导。根据2022年5月30日发布的一份报告,该团伙的目标包括中东,北非和东南亚的大型企业组织和石油和天然气公司。三名被捕男子之一亨德里克斯·奥莫鲁姆(Hendrix Omorume)因持有欺诈性文件,通过虚假借口获得金钱以及冒名顶替而面临一年监禁。另外两名男子仍在接受审判,他们只面临可能用于BEC(商业电子邮件入侵)攻击的欺诈性文件的单一指控。

详情

https://t.co/yt2ICfZUa9

到2027年,生物特征移动支付将超过1万亿美元

日期: 2022-05-30
标签: 英国, 美国, 信息技术, 金融业, 生物特征, 移动支付, 

一项新的研究显示,预计未来五年,经过生物特征验证的远程移动支付量将增长 383%,到 2027 年全球达到 395 亿。通过手机使用面部和指纹识别将导致相关支付价值在截至 2027 年期间惊人地增长 365%。Apple Pay 等 OEM 解决方案以及欧盟引入的强客户身份验证 (SCA) 检查将成为这一增长的重要推动力。为了保持信任并减少欺诈,金融机构正在实施升级认证,根据风险评分将某些交易升级为生物识别批准。因此,供应商必须提供多种身份验证方式,并开发新技术以确保生物识别安全。

详情

https://t.co/AE51Qz1rph

 

0x08   产品侧解决方案

若想了解更多信息或有相关业务需求,可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

 

0x09   时间线

2022-06-06 360CERT发布安全事件周报

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多