报告编号：B6-2022-030701

报告来源：360CERT

报告作者：360CERT

更新日期：2022-03-07

0x01   事件导览

本周收录安全热点54项，话题集中在恶意程序、网络攻击方面，涉及的组织有：avast、Kronos、沃达丰、news corp等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

伊朗黑客利用 Telegram 恶意软件攻击中东政府组织

日期: 2022-03-02
标签: [UNC3313 GRAMDOOR STARWHALE 伊朗 中东]

一个与伊朗有关的黑客组织 UNC3313 被发现部署了两个新的目标恶意软件，分别被跟踪为 GRAMDOOR 和 STARWHALE。这些后门被用在 2021 年 11 月对一个中东政府实体的攻击中。据网络安全公司 Mandiant 称，UNC3313 黑客组织与 MuddyWater 国家资助的组织有关。2022年 1 月，美国情报机构公开将 MuddyWater 归类为伊朗情报与安全部 (MOIS) 的下属部门，该部门至少自 2018 年以来一直活跃。

详情

TeaBot Android银行恶意软件再次通过Google Play商店应用程序传播

日期: 2022-03-01
标签: [Android Google Play TeaBot]

一个旨在窃取凭据和短信的Android银行木马TeaBot再次通过Google Play商店针对400多个银行和金融应用程序，影响了来自俄罗斯，中国和美国的用户。

TeaBot也被称为Anatsa，于2021年5月首次出现，通过伪装成看似无害的PDF文档和QR码扫描仪应用程序来伪装其恶意功能，这些应用程序通过官方Google Play商店分发，而不是第三方应用程序商店或通过欺诈性网站分发。

详情

俄乌战争中出现新型蠕虫HermeticWizard和恶意软件IsaacWiper

日期: 2022-03-01
标签: [HermeticWiper 俄乌战争 乌克兰 IsaacWiper HermeticWizard]

在俄罗斯于 2 月 24 日入侵乌克兰前后，此次新发现的恶意软件IsaacWiper就已经被部署在对乌克兰组织和政府的网络攻击中。研究人员还一并发现了

一种名为HermeticWizard的新型蠕虫，该蠕虫在 WMI 和 SMB 扩展模块的帮助下，会掉落称为HermeticWiper的第二个擦除器。目前研究人员正在评估关于 IsaacWiper与 HermeticWiper 的联系。

详情

TrickBot Malware Gang将其AnchorDNS后门升级到AnchorMail

日期: 2022-03-01
标签: [IBM TrickBot Conti]

IBM Security X-Force发现了TrickBot恶意软件后门AnchorDNS的改进版本，被称为新的升级变体AnchorMail。"AnchorMail"是使用基于电子邮件的[命令和控制]服务器，通过TLS使用SMTP和IMAP协议与之通信。TrickBot背后的网络犯罪行为者ITG23又名Wizar Spider以其开发Anchor恶意软件框架而闻名，该组织还受益于与Conti勒索软件卡特尔的共生关系，后者利用TrickBot和BazarLoader有效载荷来获得部署文件加密恶意软件的立足点。

详情

俄乌网络战中的新型恶意软件HermeticRansom

日期: 2022-03-01
标签: [HermeticRansom HermeticWiper 恶意软件 俄乌战争]

卡巴斯基的研究人员分析了 HermeticRansom 恶意软件（也称为 Elections GoRansom）。HermeticRansom 与另一种称为 HermeticWiper 的恶意软件同时攻击计算机，最近被用在乌克兰的网络攻击中。HermeticRansom 被用作辅助 HermeticWiper 攻击的干扰器。HermeticRansom 是用 Golang 编写的。它不使用任何混淆机制，加密方法本身相当繁琐且效率低下，是一个相当简单的密码器。

详情

微软称乌克兰在遭受入侵数小时前被新型FoxBlade恶意软件攻击

日期: 2022-02-28
标签: [俄乌战争 乌克兰 FoxBlade 微软]

微软表示，在2月24日俄罗斯入侵乌克兰前几个小时，新型恶意软件FoxBlade已将乌克兰网络作为攻击目标。微软在2月23日将该恶意软件描述为木马，可以在所有者不知情的情况下使用计算机“进行分布式拒绝服务 (DDoS) 攻击”。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

医疗保健公司Mon Health披露第二起数据泄露事件

日期: 2022-03-02
标签: [美国 卫生行业 Mon Health]

医疗保健公司Mon Health在 2021年12月18日发现遭受了第一次网络攻击，当时它的一些 IT 系统被中断，但几周后才得知潜在的数据被盗。2021年3月初，Mon Health披露了第二次数据泄漏，受影响的数据包括姓名、地址、出生日期、社会安全号码、健康保险索赔号码、病历号码、患者帐号、医疗信息和各种其他数据，大约影响40万人。

详情

加利福尼亚州律师协会的机密信息被网站泄露

日期: 2022-03-02
标签: [信息泄露 律师 商务服务 美国]

Judyrecords.com 是一个涵盖全国法院案件记录的网站。该网站泄露了有关 260,000 件律师纪律案件的敏感信息，包括案件编号、有关各种案件和状态的信息、受访者、文件日期和证人被删除的名字。State Bar 官员于 2 月 24 日星期六晚开始调查，并为该网站未经授权显示个人数据而道歉。律师协会以诚意保护机密数据的全部责任，目前正在尽一切努力快速解决问题并保护受访者免受进一步攻击。

详情

乌克兰研究员LawrenceAbrams泄露Conti勒索软件源代码

日期: 2022-03-01
标签: [Conti 数据泄漏 俄乌战争]

2022年2月27日，一名乌克兰研究人员使用 Twitter 句柄 @ContiLeaks 泄露了 393 个 JSON 文件，其中包含  从 Conti 和 Ryuk 勒索软件团伙的私人 XMPP 聊天服务器获取的超过 60,000 条内部消息。据悉是因为Conti的亲俄立场，这位乌克兰研究人员发起了网络攻击。2022年2月28日，该研究人员不断泄露更具破坏性的 Conti 数据，其中包括自 2020 年 6 月（即Conti 勒索软件首次启动时）以来包含 107,000 条内部消息的额外 148 个 JSON 文件 。后来又于晚间发布了更多数据，包括该团伙管理面板的源代码、BazarBackdoor API、存储服务器的屏幕截图等等。

详情

Nvidia证实公司数据在遭受网络攻击后被盗

日期: 2022-03-01
标签: [数据泄漏 网络攻击 NVIDIA 芯片 制造业]

芯片制造商 Nvidia 于2022年2月底遭受网络攻击，目前该公司已确认公司数据被盗。黑客可以访问专有信息数据和员工登录数据。这背后的黑客组织 LAPSUS$ 声称其已经掠夺了 1TB 的数据，包括与属于该组织的硬件和软件相关的文件。事件发生后，Lapsus$ 要求以加密货币作为赎金，但Nvidia尚未作出回应。

详情

Conti泄密事件中的“Zoom”乌龙

日期: 2022-03-01
标签: [Zoom Conti 数据泄漏]

2022年3月1日，@z0man在Twitter上称从Conti泄漏的数据中可以看到，Conti攻击了Zoom（线上会议软件），并附上了一张有许多文件名的屏幕截图。目前Zoom官方还没有进行回应。有研究人员称ZOOM更可能指的是 ZOOMINFO，因为他们有一个公司帐户并用于英特尔。

详情

黑客团体Anonymous辟谣窃取俄罗斯公民资金事件

日期: 2022-03-01
标签: [俄罗斯 乌克兰 Anonymous]

2022年3月1日，黑客组织Anonymous在Twitter上进行辟谣，称假Anonymous账户在 3 月 3 日声称他们将从俄罗斯公民那里窃取资金并发送到乌克兰这起事件是假的。并称Anonymous不会攻击人民，而是攻击政府。https://twitter.com/YourAnonTV/status/1498404104250572804

Conti组织成员开始泄露俄罗斯数据

日期: 2022-02-28
标签: [Conti 俄乌战争]

2月28日，Conti组织成员开始泄露俄罗斯政府数据。可以在此处下载泄露的Conti数据：https:// share.vx-underground.org/Conti/。目前在网络上已经建立了索引：https:// intelx.io/?did=64ea2187-8ae9-4053-ba46-06413b809713...

，大型 conti.7z 文件之后将被编入索引。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

欧洲政府收到来自乌克兰军方账户的恶意电子邮件

日期: 2022-03-02
标签: [俄罗斯 欧洲 政府部门 UNC1151 邮件钓鱼 俄乌战争 乌克兰]

网络安全公司 Proofpoint 2022年3月2日称，参与管理乌克兰难民危机的欧洲政府人员的电子邮件账户中收到了属于乌克兰武装部队成员的可能受损的电子邮件账户发出的恶意电子邮件。而在俄罗斯发动入侵后不久，乌克兰政府称，乌克兰军事人员和相关个人收到了网络钓鱼电子邮件，由此引发此次事件。这次攻击被归咎于 UNC1151，该组织与白俄罗斯有关，专门从事虚假信息活动。

详情

DanaBot 对乌克兰国防部发起 DDoS 攻击

日期: 2022-03-02
标签: [乌克兰国防部 DanaBot DDoS 俄乌战争 乌克兰 政府部门]

2022 年 3 月 2 日，使用 DanaBot 的黑客对乌克兰国防部的网络邮件服务器发起了分布式拒绝服务 (DDoS) 攻击。DDoS 攻击是通过利用 DanaBot 使用下载和执行命令传递第二阶段恶意软件有效负载而发起的。目前尚不清楚这是否是个人黑客行为、国家支持的行为，或者可能是虚假标记操作。

详情

针对乌克兰网站的漏洞攻击尝试激增十倍

日期: 2022-03-03
标签: [教育行业 theMx0nday WordPress 俄乌战争 乌克兰 俄罗斯]

随着俄乌战争的进行，漏洞利用尝试激增，至少 30 所乌克兰大学的网站遭到了表示支持俄罗斯的黑客组织的入侵。从入侵开始前一天到 2 月 28 日的攻击次数至少是攻击前的两倍。这是一个名为“theMx0nday”的巴西威胁组织造成的，该组织在网上表达了对俄罗斯的支持，它有从受害者那里窃取敏感信息的历史。

详情

近 26 万人加入乌克兰志愿黑客的“IT 军队”

日期: 2022-03-02
标签: [俄乌战争 乌克兰 网络战]

乌克兰数字部长@FedorovMykhailo组建了一支由26万名自愿黑客组成的军队，在网络空间与俄罗斯作战-尽管互联网专家正在呼吁极客和其他“黑客激进主义者”远离潜在的非常危险的计算机战争，但一支志愿黑客大军正在网络空间中崛起以保卫乌克兰。互联网专家认为这些志愿黑客大军即将面临巨大的法律风险。

详情

UNC1151 针对乌克兰武装部队人员进行鱼叉式网络钓鱼活动

日期: 2022-03-02
标签: [网络钓鱼 乌克兰 APT舆情 UNC1151]

2022年1 月中旬，基辅政府指责白俄罗斯 APT 组织 UNC1151 破坏了数十个乌克兰政府网站。最近，乌克兰计算机应急响应小组 (CERT-UA) 已就针对乌克兰军事人员的私人电子邮件帐户的持续鱼叉式网络钓鱼活动发出警告，并将此活动归咎于与白俄罗斯有关的 UNC1151 网络间谍团伙。

详情

乌克兰地图工具Liveuamap因 DDoS 攻击而下线

日期: 2022-03-01
标签: [乌克兰 app DDoS攻击]

Liveuamap是记者和救援组织用来追踪乌克兰冲突的工具。2022年3月1日早些时候，Liveuamap成为了持续约 18 小时的 DDoS 攻击的目标。该网站由乌克兰记者和软件开发人员于 2014 年创立，主要在东欧国家以外地区运营。2022年3月2日美国东部时间下午 12:48，Liveuamap称在 Cloudflare 的帮助下，它的网站正在慢慢恢复在线，但app仍然存在一些问题。

详情

勒索软件组织 CONTI 几乎所有的专有基础设施都已泄露。

日期: 2022-03-01
标签: [Conti 俄乌战争]

2022年3月1日推特账号DarkOwl（@darkowlcyber）发布推文表示：勒索软件组织 CONTI 几乎所有的专有基础设施都已泄露。

详情

黑客Lorian Synaro称其入侵了俄罗斯劳动和社会保护部系统，致其下线

日期: 2022-02-28
标签: [Lorian Synaro 俄罗斯 政府部门]

2022年2月28日，黑客Lorian Synaro在Twitter上称其入侵了俄罗斯劳动和社会保护部系统，并导致其网站下线。

详情

俄罗斯航空航天部队总部外部停车场遭闭路电视黑客攻击

日期: 2022-02-28
标签: [ATW 俄罗斯 航空航天]

2022年2月28日，黑客组织ATW在Twitter上称他们入侵了俄罗斯航空航天部队总部外部停车场闭路电视，并附上一张疑似现场的图片。

详情

黑客组织Aonymous称已攻破俄罗斯中央银行

日期: 2022-03-01
标签: [俄罗斯 银行 金融业 Anonymous]

2022年3月1日，黑客组织Aonymous在Twitter上称已攻破俄罗斯中央银行，撰文“Say hello to the central bank of Russia”，并附上一张疑似数据库的照片。

详情

黑客组织ATW称入侵了俄罗斯联邦经济发展部、圣彼得堡市政府

日期: 2022-02-28
标签: [ATW 俄罗斯 网络攻击]

2022年2月28日，黑客组织ATW在Twitter上称入侵了俄罗斯联邦经济发展部，并称会将数据泄漏。随后，又称入侵了圣彼得堡市政府，并附上一张疑似后台系统的图片。

详情

AMD 俄罗斯泄密事件

日期: 2022-03-01
标签: [网络攻击 AMD 俄罗斯]

黑客组织ATW于2022年3月1日在Twitter上宣称其攻破俄罗斯AMD，并称 “AMD 俄罗斯泄密事件将在 5 分钟后在 Telegram 中上线。”AMD是一家是一家专注于微处理器及相关技术设计的跨国公司。

详情

俄罗斯官方的黑客竞赛平台被攻破

日期: 2022-03-01
标签: [ATW 俄乌战争]

2022年3月1日，黑客组织ATW在Twitter上称俄罗斯官方黑客竞赛平台被破坏。

详情

秋明地区的信息技术中心被攻破

日期: 2022-03-01
标签: [ATW 俄乌战争]

2022年3月1日，黑客组织ATW在Twitter上称秋明州信息技术中心被攻破，并且数据很快将传出来。

详情

杜布纳州立大学和一些联合核研究所的数据被破坏

日期: 2022-03-01
标签: [ATW 俄乌战争]

2022年3月1日，黑客组织ATW在Twitter上称杜布纳州立大学和一些联合核研究所的数据已被破坏。

详情

ATW称俄罗斯政府承包商被破坏

日期: 2022-03-01
标签: [ATW 俄乌战争]

2022年3月1日，黑客组织ATW在Twitter上称俄罗斯政府承包商“promen48[.]ru”已被破坏，并附上一张疑似承包商的图片。

详情

俄罗斯新闻媒体 TASS、Izvestia等被Anonymous入侵

日期: 2022-02-28
标签: [新闻媒体 Anonymous 俄乌战争]

俄罗斯新闻媒体 TASS、Izvestia、Fontaka、RBC 和 Kommersant 的网站被Anonymous入侵。

详情

Microsoft：乌克兰网络攻击袭击民用数字目标

日期: 2022-02-28
标签: [Microsoft 俄乌战争]

2022年2月28日，Microsoft提请注意乌克兰以民用数字为目标的网络攻击激增，并警告说，新的"数字战争"包括对应急响应服务和人道主义援助工作的破坏性恶意软件攻击。

微软总裁布拉德史密斯说："我们仍然特别关注最近对乌克兰民用数字目标的网络攻击，包括金融部门，农业部门，应急响应服务，人道主义援助工作以及能源部门组织和企业。"

详情

丰田在疑似网络攻击后关闭日本工厂

日期: 2022-02-28
标签: [丰田 俄乌战争 网络攻击]

据路透社报道，2月28日，在日本加入西方盟国阻止一些俄罗斯银行访问SWIFT国际支付系统并承诺向乌克兰提供1亿美元紧急援助的几个小时后，丰田供应商Kojima Industries Corp.的发言人表示，公司受到了"某种网络攻击"的打击。Kojima Industries Corp是丰田的一家零部件供应商，该公司的工厂将于3月1日关闭，使该公司全球约三分之一的产量停产。

详情

莫斯科交易所遭到网络攻击

日期: 2022-02-28
标签: [俄乌战争 莫斯科]

2月28日，莫斯科证券交易所的网站处于离线状态，无法访问。乌克兰IT军在Telegram上发布了一条消息，称仅用了五分钟就使该网站无法访问。

全球互联网连接跟踪公司NetBlocks的一位发言人告诉福布斯："我们可以确认莫斯科交易所网站已关闭，但我们无法了解事件的根本原因或中断的程度。

详情

乌克兰称其“IT军队”已摧毁了俄罗斯的主要网站

日期: 2022-02-28
标签: [乌克兰 俄乌战争]

乌克兰网络警察部队声称发动了攻击，导致俄罗斯主要网站和国家在线门户网站下线，该部队现在公开参与网络战。随着执法机构网站详细信息的公布，该部队的专家已与志愿者联手攻击俄罗斯和白俄罗斯的网络资源。

详情

黑客组织Anonymous针对俄罗斯国家媒体

日期: 2022-02-28
标签: [Anonymous 俄乌战争]

2月28日，黑客组织Anonymous声称对扰乱亲克里姆林宫的俄罗斯媒体网站的工作负责，以抗议入侵乌克兰。该组织的目标是国家新闻机构TASS和RIA Novosti的网站，以及收购报纸Kommersant和Izvestiya以及Forbes Russia杂志的网站。

详情

Meta：乌克兰官员是Ghostwriter黑客针对的军事目标

日期: 2022-02-28
标签: [Meta 俄乌战争]

2月28日，Facebook（现称为Meta）表示，它删除了与白俄罗斯有联系的黑客组织（UNC1151或Ghostwriter）使用的帐户，该账号在其平台上针对乌克兰官员和军事人员。Facebook还阻止了威胁行为者用来试图破坏乌克兰用户帐户的多个网络钓鱼域。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

Log4shell漏洞目前主要用于DDoS僵尸网络和加密矿工

日期: 2022-03-02
标签: [Log4Shell 漏洞分析]

Log4Shell漏洞仍被威胁行为者用来部署各种恶意软件有效载荷，包括将设备招募到DDoS僵尸网络中以及植入加密矿工。

根据梭子鱼的一份报告，过去几个月的特点是Log4Shell目标的下降和飙升，但开发尝试的数量保持相对稳定。在分析了这些攻击之后，确定大多数利用尝试来自美国的IP地址，其次是日本，中欧和俄罗斯。

详情

CISA将最近披露的Zimbra漏洞添加到其漏洞利用的漏洞目录中

日期: 2022-02-28
标签: [CISA Zimbra]

美国网络安全和基础设施安全局（CISA）将Zimbra电子邮件平台中最近披露的零日漏洞

添加到了其已知被利用的漏洞目录中。

漏洞为 CVE-2022-24682（CVSS 分数：6.1），涉及 Zimbra 协作套件中日历功能中的跨站点脚本 （XSS） 漏洞，攻击者可能利用该漏洞诱使用户下载任意 JavaScript 代码，只需单击链接即可利用网络钓鱼邮件中的 URL。CISA 已授权联邦机构在 2022 年 3 月 11 日之前应用安全更新。

除了CVE-2022-24682之外，CISA还在目录中添加了三个漏洞：CVE-2017-8570、CVE-2017-0222、CVE-2014-6352。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x08   时间线

2022-03-07 360CERT发布安全事件周报