360公司：关于西北工业大学发现美国NSA网络攻击调查报告（之一）

 

1、360公司：关于西北工业大学发现美国NSA网络攻击调查报告（之一）

2022年6月22日，西北工业大学发布《公开声明》称，该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》，证实在西北工业大学的信息网络中发现了多款源于境外的木马程序样本，西安警方已对此正式立案调查。

中国国家计算机病毒应急处理中心和360公司第一时间成立技术团队开展调查工作，全程参与此案技术分析。技术团队先后从多个信息系统和上网终端中捕获到了木马程序样本，综合使用国内现有数据资源和分析手段，并得到欧洲、南亚部分国家合作伙伴的通力支持，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头，初步判明相关攻击活动源自美国国家安全局(NSA)的“特定入侵行动办公室”(Office of Tailored Access Operation，后文简称TAO)。

该系列研究报告将公布美国国家安全局(NSA)“信号特定入侵行动办公室”(TAO)对西北工业大学发起的上千次网络攻击活动中，某些特定攻击活动的重要细节，为全球各国有效防范和发现TAO的后续网络攻击行为提供可以借鉴的案例。[阅读原文]

 

2、今年第二次，三星证实部分美国用户信息被盗

三星发布公告，证实部分美国用户信息在 7 月发生的网络攻击事故中被盗。

三星称它在七月下旬检测到有未经授权的第三方从其美国系统中窃取了信息。8 月 4 日前后它确定部分客户信息被访问。三星表示客户的社会安全号码或信用卡和借记卡号码未受到影响，攻击者可能访问了客户姓名、联系人和人口统计信息、出生日期和产品注册信息。目前，三星表示正在加强系统安全，与执法部门协调调查。[阅读原文]

 

3、美国国税局数据泄露暴露12万纳税人个人信息

《华尔街日报》消息，美国官员们周五表示，美国国税局曾无意中公布涉及约12万人的机密信息，之后发现了这一错误并将这些数据从其网站上删除。

这些数据来自990-T表，该表通常用于那些拥有个人退休账户（IRA）、并从这些退休计划中赚取某种商业收入的人进行纳税申报。这些人员通常包括个人退休帐户投资于业主有限合伙企业、房地产或其他产生收入的资产的人，而不包括那些个人退休帐户只投资于证券的人。

被公布的信息包括姓名、联系信息和有关这些IRA收入的财务信息。据美国财政部周五发给国会主要议员的一封信，财政部确定这些被公布的信息不包括社会安全号码、全部个人收入信息或其他可能影响纳税人信用的数据。美国国税局和财政部将数据泄露归咎于去年开始网上提交990-T表时发生的人为编码错误。[阅读原文]

 

4、攻击打车APP，黑客在莫斯科制造巨大交通堵塞

近日，有黑客利用俄罗斯当地网约车应用程序Yandex Taxi同时召唤数十辆出租车前往同一地点，在莫斯科造成了严重的交通堵塞。虽然莫斯科在2021年被列为世界上交通最拥挤的城市，但这一事件与日常的交通堵塞无关。

Yandex Taxi在给俄罗斯国有媒体TASS的一份声明中表示：“9月1日上午，Yandex.Taxi遇到了黑客攻击，数十名司机收到了前往菲利地区的批量订单。”堵塞持续了大约40分钟，其检测和预防此类攻击的算法已经得到改进，以防止将来发生类似事件。

Yandex尚未确认是谁发动了袭击，但有黑客组织匿名者声称对此次事件负责。黑客组织表示，它与一个叫做“乌克兰IT军”的黑客团体合作，该团体是乌克兰副总理米哈伊洛·费多罗夫在俄罗斯首次入侵乌克兰时帮助组建的。

今年早些时候，“匿名者”组织宣称对俄罗斯发动了一场“网络战争”，并随后声称他们劫持了俄罗斯的电视频道，播放了这场在俄罗斯被认为是“非法”的战争的片段。自那以后，黑客活动分子泄露了大量数据，以及大量属于俄罗斯政府机构和大公司的电子邮件，这是一场针对俄罗斯的持续网络行动的一部分。[阅读原文]

 

5、新型网络钓鱼诈骗，盯上美国运通卡用户

网络安全公司 Armorblox 发现了针对美国运通客户的新网络钓鱼活动。研究人员称，为诱使持卡人打开钓鱼邮件，这些电子邮件的主题通常会标注为“关于您的帐户的重要通知”，试图敦促收件人打开它。打开后，该电子邮件会显示为来自美国运通的合法电子邮件通信，而内容会指导持卡人如何查看附加的安全加密消息。

打开附件后，受害者收到一条消息，宣布对关联帐户的额外验证要求。通过包含这样的语言，“这是您在我们暂停之前确认它的最后机会”向受害者灌输了紧迫感，并提示受害者完成作为全球更新的一部分所需的一次性验证过程来自美国运通团队。”单击消息中的链接后，受害者将被重定向到虚假的美国运通登录页面，其中包括公司的徽标和下载美国运通应用程序的链接。该页面旨在要求受害者输入他们的用户 ID 和密码。

据悉，该网络钓鱼活动通过 DKIM 和 SPF 电子邮件身份验证，绕过了本地 Google Workspace 电子邮件安全控制，目前已此类邮件已发送到16000 多个用户的地址。 [阅读原文]

 

6、SharkBot恶意软件潜入Google Play窃取账户信息

最新消息显示，SharkBot 恶意软件的新升级版本已“回归”Google Play商店，这一次该恶意软件的目标是通过安装数万次的应用程序登录Android用户的银行业务。

该恶意软件存在于两个 Android 应用程序中，这些应用程序在提交给 Google 的自动审查时没有任何恶意代码。但SharkBot实际会在用户安装并启动dropper应用程序后发生的更新中添加，此外还增加了从银行帐户登录中窃取 cookie 的功能。

安全研究人员称，暗藏恶意软件的两款应用程序分别是“Mister Phone Cleaner”和“Kylhavy Mobile Security”，下载总数为60000次。目前，这两款应用已在Google Play中删除。[阅读原文]