报告编号：B6-2022-040601

报告来源：360CERT

报告作者：360CERT

更新日期：2022-04-06

0x01   事件导览

本周收录安全热点56项，话题集中在安全漏洞、网络攻击方面，涉及的组织有：Lazarus、XakNet、Apple、Yandex等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

与俄乌战争相关的第7个擦除器恶意软件AcidRain

日期: 2022-04-02
标签: 乌克兰, 俄罗斯, 政府部门, Viasat KA-SAT, AcidRain, 俄乌战争, 

2022年2月24日星期四，一次网络攻击使乌克兰的Viasat KA-SAT调制解调器无法运行。SentinelLabs的研究人员发现了新的恶意软件，将其命名为"AcidRain"。AcidRain是一种ELF MIPS恶意软件，旨在擦除调制解调器和路由器。SentinelLabs以中等置信度评估AcidRain和VPNFilter Stage 3破坏性插件之间存在开发相似性。2018年，联邦调查局和司法部将VPNFilter活动归因于俄罗斯政府。AcidRain是与俄罗斯入侵乌克兰相关的第7个擦除器恶意软件。

详情

Lazarus利用木马化的DeFi应用程序分发恶意软件

日期: 2022-04-02
标签: 金融业, Lazarus, DeFi, 

卡巴斯基最近发现了一个在2021年11月编译的木马化的DeFi应用程序。该应用程序包含一个名为DeFi钱包的合法程序，该程序保存和管理加密货币钱包，但在执行时还会植入恶意文件。该恶意软件是一个功能齐全的后门，其中包含足够的功能来控制受感染的受害者。在研究了这个后门的功能之后，发现与Lazarus组织使用的其他工具有许多重叠。

详情

俄罗斯安卓恶意软件记录用户隐私数据

日期: 2022-04-01
标签: 俄罗斯, 信息技术, 谷歌（Google）, Turla, Process Manager, 隐私窃取, 俄乌战争, 

Lab52 的研究人员发现了一个名为“Process Manager”的恶意 APK [ VirusTotal ]，它充当 Android 间谍软件，向黑客上传信息。这个Android 恶意软件与黑客组织Turla有关。Turla 是俄罗斯国家支持的黑客组织，使用定制恶意软件针对欧洲和美国系统，主要用于间谍活动。虽然尚不清楚Process Manager 是如何传播的，但一旦安装，这个恶意软件会使用齿轮形图标隐藏在 Android 设备上，伪装成系统组件。首次启动时，应用程序会提示用户允许其使用18种权限，这些权限对隐私构成严重风险，因为它允许应用程序获取设备的位置、发送和阅读文本、访问存储、使用相机拍照以及录制音频。建议 Android 用户查看他们授予的应用权限并撤销风险大的权限。

详情

MarsStealer恶意程序在乌克兰公民和国内组织中被大规模传播

日期: 2022-04-01
标签: 乌克兰, 教育行业, 信息技术, 科研服务, 乌克兰计算机应急响应小组（CERT-UA）, MarsStealer, 邮件钓鱼, 俄乌战争, 

乌克兰CERT-UA发现有关“新期刊录入计划”主题的电子邮件在乌克兰公民和国内组织中被大量分发，这封电子邮件的文本包含乌克兰教育和科学部关于“电子学习期刊”的消息，以及“程序”的链接和压缩文档的密码。如果打开压缩文档并运行EXE文件，计算机将受到恶意软件的影响，该恶意软件为MarsStealer。主要功能是收集有关计算机的信息，从互联网浏览器窃取身份验证数据，加密钱包插件，多因素身份验证程序，窃取文件，以及下载和运行可执行文件并截取屏幕截图。该攻击活动疑似为UAC-0041所为。

详情

威胁警报：针对Jupyter的勒索软件攻击

日期: 2022-03-31
标签: 信息技术, Jupyter Notebooks, Python, 

Nautilus团队发现了一种基于Python的勒索软件攻击，该攻击首次针对数据从业者使用的流行工具Jupyter Notebook。攻击者通过配置错误的环境获得初始访问权限，然后运行勒索软件脚本，该脚本对服务器上给定路径上的每个文件进行加密，并在执行后将其自身删除以隐藏攻击。由于 Jupyter 笔记本用于分析数据和构建数据模型，因此，如果这些环境未正确备份，此攻击可能会对组织造成重大损害。

Jupyter Notebook是一个开源的Web应用程序，数据专业人员使用它来处理数据，编写和执行代码，并可视化结果。

详情

"紫狐"黑客使用了FatalRAT的新变种

日期: 2022-03-28
标签: 信息技术, Purple Fox（紫狐）, Purple Fox, FatalRAT, 远程控制, 

Purple Fox恶意软件的运营商已经用一种名为FatalRAT的远程访问木马的新变体重新调整了他们的恶意软件库，同时还升级了他们的逃避机制以绕过安全软件。FatalRAT是一种基于C++的植入物，旨在运行命令并将敏感信息传回远程服务器，恶意软件作者使用新功能逐步更新后门。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

黑客组织Anonymous泄漏多个俄罗斯实体数据

日期: 2022-04-02
标签: 俄罗斯, 信息技术, 制造业, 商务服务, 居民服务, Mosekspertiza, Capital Legal Services, Anonymous（匿名者）, 俄乌战争, 

2022年4月2日，黑客组织Anonymous再次泄漏多个俄罗斯实体数据。包括俄罗斯东正教教堂的慈善机构（窃取了15GB 数据，发布了大约 57,500 封电子邮件）、利佩茨克机械厂（窃取了lmz48[.]ru 电子邮件、俄罗斯防空和坦克制造商（窃取了25GB数据）、莫斯科商会创建的国有公司 Mosekspertiza （窃取并发布了超过 150,000 封电子邮件、8,200 个文件和数百 GB 的数据库）和俄罗斯律师事务所 Capital Legal Services （窃取了大约 200,000 封电子邮件）。

详情

Hive勒索软件攻击加州医疗机构PHP

日期: 2022-03-29
标签: 美国, 卫生行业, Partnership HealthPlan, Hive, 勒索攻击, 

2022年3月29日，Hive 声称，他们在2022年3月19日对加利福尼亚州的医疗机构 Partnership HealthPlan进行攻击，并且在对其文件进行加密的过程中中窃取了 400 GB 的文件。目前已经泄露了 850万条记录，包括姓名、社会安全号码、出生日期、地址、联系信息等。这些文件加密使Partnership HealthPlan无法处理治疗身份验证请求。

详情

Lapsus$ 声称 IT 巨头 Globant 遭到黑客攻击

日期: 2022-03-30
标签: 信息技术, Globant, Lapsus$, 

2022年3月30日，Lapsus$黑客组织泄露了据称是从IT巨头Globant窃取的文件。

黑客提供了大约70 Gb的数据，他们声称这些数据代表了Globant的客户源代码。SecurityWeek已联系Globant寻求评论，但尚未收到回复。

除了源代码之外，网络犯罪分子还在他们的Telegram频道上发布了一个用户名和密码列表，他们声称这些用户名和密码可用于访问Globant使用的各种开发平台，包括GitHub，Jira，Crucible和Confluence。

详情

Shutterfly在Conti勒索软件攻击后披露数据泄露事件

日期: 2022-03-29
标签: 批发零售, 文化传播, Shutterfly, Conti, 

2022年3月29日，在线零售和摄影制造平台Shutterfly披露了一项数据泄露事件，该数据泄露事件为Conti勒索软件攻击窃取数据后暴露了员工信息。

Shutterfly是通过各种品牌为消费者，企业和教育提供与摄影相关的服务，包括 Shutterfly.com，BorrowLenses，GrooveBook，Snapfish和Lifetouch。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

Ola Finance DeFi平台遭黑客攻击，近500万美元被盗

日期: 2022-03-31
标签: 金融业, Ola Finance, 漏洞利用, reentrancy, 加密货币, 

2022年3月31日，分散式贷款平台Ola Finance表示遭到黑客攻击，报告称约有467万美元的加密货币被盗。

Ola Finance证实了区块链分析公司PeckShield的报告，216，964.18 USDC，507，216.68 BUSD，200，000.00 fUSD，550.45 WETH，26.25 WBTC和1，240，000.00 FUSE在攻击中被盗，这涉及利用"reentrancy"漏洞。

这些错误允许攻击者在原始交易被批准或拒绝或需要退还资金之前在循环中反复提取资金。

详情

XakNet团队入侵了乌克兰外交部的服务器

日期: 2022-03-31
标签: 乌克兰, 俄罗斯, 政府部门, 国际组织, 乌克兰外交部, XakNet, 俄乌战争, 

来自XakNet团队的黑客活动分子声称对从乌克兰外交部服务器窃取商业信件负责。非法获得的材料被泄露给俄罗斯新闻出版物Mash，该出版物已经开始发布最有趣的发现。 据记者称，提供给他们的档案包含数十万封信件 - 外交照会，通知，索赔。这些主题大多是相关的：武器贸易，与北约和英国的联合演习，谈判援助的外国旅行。 使用模板请求，乌克兰外交官要求所有人提供资金，支持，对俄罗斯公民的严厉制裁，并试图通过第三方获取有关俄罗斯导弹的详细信息。

详情

Deep Panda的新攻击活动

日期: 2022-04-01
标签: 金融业, 科研服务, 交通运输, VMware, Deep Panda, 漏洞利用, Log4Shell, 

在过去的一个月里，FortiEDR发现了APT组织Deep Panda的一次攻击活动。该组织利用了VMware Horizon服务器中的Log4Shell漏洞。目标的性质是机会主义，因为不同国家和部门在同一日期发生了多起攻击。受害者属于金融、学术、化妆品和旅游业。在利用漏洞后，Deep Panda在受感染的计算机上部署了一个后门。根据后门的取证线索，FortiEDR发现了一个用被盗的数字证书签名的新颖内核rootkit，Winnti组织也使用相同的证书来签署他们的一些工具。

详情

网络钓鱼使用 Azure 静态网页冒充Microsoft

日期: 2022-03-31
标签: 美国, 信息技术, 微软（Microsoft）, 网络钓鱼, Azure, Office 365, Outlook, OneDrive, 

网络钓鱼攻击正在滥用 Microsoft Azure 的静态 Web 应用服务来窃取 Microsoft、Office 365、Outlook 和 OneDrive 凭据。Azure 静态 Web 应用程序是一项 Microsoft 服务，可帮助从 GitHub 或 Azure DevOps 代码存储库构建和部署全栈 Web 应用程序到 Azure，它允许开发人员使用自定义域来标记 Web 应用程序。而Azure的自定义品牌和网络托管功能可以被黑客用于托管静态登陆网络钓鱼页面。这些网络钓鱼活动中使用的一些登录页面和登录表单看起来几乎与 Microsoft 官方页面完全相同。此次网络钓鱼活动还使用 Microsoft 的 Azure Blob 存储提供的 *.blob.core.windows.net 通配符证书来针对Office 365和Outlook用户。

详情

黑客组织Anonymous称攻陷俄罗斯的投资公司

日期: 2022-04-01
标签: 俄罗斯, 金融业, 信息技术, Marathon Group, Anonymous（匿名者）, 俄乌战争, 

2022年4月1日，黑客组织Anonymous声称已经攻陷了俄罗斯的Marathon Group，并发布了其 62,000 封电子邮件。Marathon Group 是一家俄罗斯投资公司，目前受到欧盟制裁。Marathon Group旗下还有挖掘加密货币，专注于区块链生态系统和数字资产的生成的活动。

详情

Viasat证实卫星调制解调器被 AcidRain 恶意软件清除

日期: 2022-03-31
标签: 美国, 俄罗斯, 乌克兰, 科研服务, 信息技术, 美国卫星互联网通信供应商Viasat, AcidRain, 俄乌战争, 

2022年3月31日，美国卫星互联网通信供应商Viasat证实卫星调制解调器被 AcidRain 恶意软件清除。AcidRain于2022年3月15日首次被发现，旨在暴力破解设备文件名并擦除它可以找到的每个文件，以便在未来的攻击中轻松重新部署。部署后，它会通过受感染的路由器或调制解调器的整个文件系统。它还使用所有可能的设备标识符擦除闪存、SD/MMC 卡和它可以找到的任何虚拟块设备。在 AcidRain 的数据擦除过程完成后，恶意软件会重新启动设备，使其无法使用。根据上传到 VirusTotal 的 AcidRain 二进制文件的名称，它可能是“乌克兰行动”的缩写，SentinelOne 表示，该恶意软件可能是专门为针对乌克兰的行动而开发的，并可能用于在 KA-SAT 网络攻击中擦除调制解调器。迄今为止，AcidRain 是在针对乌克兰的攻击中部署的第七种数据擦除恶意软件。

详情

谷歌声称多个国家利用乌克兰入侵进行网络钓鱼攻击

日期: 2022-03-30
标签: 乌克兰, 俄罗斯, 朝鲜, 金融业, 俄乌战争, 

2022年3月30日，谷歌的威胁分析小组表示，已经有证据表明，一系列国家支持的威胁行为者正在利用最近入侵乌克兰的行为，通过恶意电子邮件和链接窃取凭据。

谷歌的比利·伦纳德（Billy Leonard）在一篇博客文章中表示，"越来越多的"有经济动机的团体以及来自伊朗、朝鲜和俄罗斯的政府支持的行为者正在利用这场战争作为几种不同类型攻击的借口。

详情

谷歌称俄罗斯网络钓鱼攻击针对北约和欧洲军方

日期: 2022-03-30
标签: 北约, 欧洲, 俄罗斯, 政府部门, 国际组织, COLDRIVER, 俄乌战争, 

2022年3月30日，谷歌威胁分析小组 (TAG) 发布报告表示，越来越多的黑客现在正在利用俄乌冲突，针对包括乌克兰在内的东欧和北约国家进行网络钓鱼和恶意软件攻击。报告重点强调了俄罗斯黑客组织COLDRIVER针对北约卓越中心和东欧军队进行了凭据网络钓鱼攻击，并且还瞄准了一家乌克兰国防承包商和几个美国的非政府组织 (NGO) 和智囊团。

详情

黑客利用Microsoft Exchange传播恶意软件IcedID

日期: 2022-03-30
标签: 信息技术, 微软（Microsoft）, IcedID（BokBot）, 对话劫持, 社会工程, Microsoft Exchange, 

以色列安全研究人员发现了一种全新的电子邮件网络钓鱼活动，该活动采用对话劫持策略，利用易受攻击的 Microsoft Change 服务器将 IcedID 信息窃取恶意软件发送到受感染的设备上。最近一波攻击发生在 2022 年 3 月中旬，据信针对的是能源、医疗保健、法律和制药行业的企业。IcedID（也称为 BokBot）是一种银行木马类型的恶意软件，该恶意软件已发展成为更精细的入门级恶意软件。 银行木马能够与远程服务器通信并下载下一阶段的植入程序和软件，这些植入程序和软件允许黑客执行后续活动并在受影响的网络中横向移动以传播额外的恶意软件。

详情

俄罗斯黑客入侵匈牙利外交部网络活动分析

日期: 2022-03-29
标签: 俄罗斯, 匈牙利, 国际组织, 政府部门, 信息技术, 联邦安全局（FSB）, 俄罗斯军事情报局GRU, 

彼得·西雅尔托（Péter Szijjártó）（匈牙利外长）很久以前就知道，俄罗斯的情报部门已经攻击并入侵了他们外交和贸易部（MFA）的IT系统。到2021年下半年，俄罗斯人已经完全破坏了外交部的计算机网络和内部通信，并且还入侵了用于传输"受限制"和"机密"国家机密和外交信息的加密网络，这些网络只能在严格的安全措施下使用。

根据掌握的一份内部文件，外交部在2022年1月仍然受到针对性攻击。俄罗斯黑客入侵外交部通信渠道的细节由前政府官员等分享，他们从直接了解此事的官员那里得知了这一事件。

据前情报官员称，网络攻击线索表明，为俄罗斯情报部门工作的黑客组织显然是针对匈牙利外交部的行动的幕后黑手。这些黑客为联邦安全局（FSB）和俄罗斯军事情报局GRU工作，FSB以前也是由普京领导的。据消息人士透露，这些黑客组织长期以来一直被匈牙利国家当局所熟知，并且他们众所周知，因为他们至少十年来一直在不断攻击匈牙利政府网络。俄罗斯对匈牙利的攻击主要与针对其他北约国家的黑客攻击有关，西方联盟的成员定期合作并共享信息，以识别这些进攻性网络行动。

详情

疑似Gamaredon使用PseudoSteel对乌克兰国家机构进行网络攻击

日期: 2022-03-29
标签: 乌克兰, 美国, 政府部门, 俄乌战争, 

乌克兰CERT-UA发现了名为“Information_about_Loss_of_Servicemen_of_Ukraine.docx.exe”的SFX文件，其中包含诱饵文件“Loss-1001.docx”以及UPX压缩文件“googleupdate.exe”。分析结果表明，上述EXE文件为恶意程序PseudoSteel，使用 C++ 编程语言开发，会收集以下扩展名的文件（.txt、.doc、.docx、.pdf、.xls、.xlsx、.ppt、.pptx、.odt、.rtf、.zip、.rar、*.7z)并上传到攻击者的FTP服务器。在配置中定义了可能的文件搜索位置列表（%SYSTEMDRIVE%、%USERPROFILE%\Documents、%USERPROFILE%\Desktop、%TMP%、USB设备,也可以指定任何路径）。CERT-UA以较低的置信度将该活动归因于Gamaredon。

详情

乌克兰军方互联网服务提供商（ISP）遭受网络攻击

日期: 2022-03-28
标签: 乌克兰, 俄罗斯, 政府部门, 信息技术, ISP, 乌克兰国家特别通信和信息保护局（SSSCIP）, 俄乌战争, 

3月28日，乌克兰军方互联网服务提供商（ISP）遭到网络攻击，导致网络离线。

乌克兰国家特别通信和信息保护局（SSSCIP）证实，对Ukrtelecom的"强大"攻击被击退，但网络中断。一些客户受到限制，以便为军事用户和其他高优先级用户保留通信网络。目前尚不清楚谁是这次袭击的幕后黑手，但怀疑自然转向了俄罗斯。

详情

由于遭受网络攻击，俄罗斯联邦航空运输局（Rosaviatsia）改用纸质文件

日期: 2022-03-29
标签: 俄罗斯, 交通运输, 政府部门, 俄罗斯联邦航空运输局（Rosaviatsia）, 俄乌战争, 

2022年3月26日，俄罗斯联邦航空运输局遭到了强大的网络攻击，电子文件管理系统崩溃，互联网接入中断，大约65TB的数据被破坏。此次攻击还导致俄罗斯联邦航空运输局一年半内的所有电子邮件及其副本都丢失了。2022年3月29日，据报道，由于无法上网以及电子文件管理系统出现故障，俄罗斯联邦航空运输局正在改用纸质文件、快递和俄罗斯邮政的方式进行工作。

详情

研究人员发现NPM供应链攻击“完全自动化”

日期: 2022-03-28
标签: 信息技术, Checkmarx, RED-LILI, NPM, 供应链, 自动化攻击, 

2022年3月28日，Checkmarx 的研究人员发出警报，他们发现黑客组织RED-LILI 已经“完全自动化”了 NPM 帐户创建过程，以发起难以检测的依赖混淆攻击，交付“数百个恶意程序包”到 NPM 生态系统。通常，攻击者使用一个匿名的一次性 NPM 帐户发起攻击。但在此次攻击过程中，黑客已经完全自动化了 NPM 帐户的创建过程，并开设了专用帐户。黑客发布了大约 800 个包，其中大多数每个包都有一个唯一的用户帐户，在大约一周的时间里爆发。 虽然软件包名称是有条不紊地挑选出来的，但发布它们的用户的名称是随机生成的字符串，例如“5t7crz72”和“d4ugwerp”。

详情

被黑的WordPress网站被用作对乌克兰发起DDoS攻击的工具

日期: 2022-03-28
标签: 乌克兰, 信息技术, 金融业, 政府部门, 科研服务, DDoS, WordPress, 俄乌战争, 

2022年3月38日，MalwareHunterTeam 发现了一个 WordPress 站点被黑客入侵，并被插入一个恶意脚本，该脚本使用访问者的浏览器对10个乌克兰网站执行分布式拒绝服务(DDoS) 攻击。这些网站包括乌克兰政府机构、智囊团、乌克兰国际国防军招募网站、金融网站和其他亲乌克兰网站。DDoS 攻击将在用户不知道发生的情况下在后台发生，除了浏览器速度变慢。研究人员表示，有数百个 WordPress 网站被入侵以进行这些攻击，但许多网站运营商却没有积极应对。

详情

乌克兰主要互联网服务提供商Ukrtelecom的流量中断

日期: 2022-03-28
标签: 信息技术, Ukrtelecom, 俄乌战争, 

2022年3月28日，乌克兰主要互联网服务提供商Ukrtelecom的网络流量周一中断，导致自上个月底俄罗斯军队入侵以来该国最普遍的互联网中断之一。乌克兰政府官员将中断归因于网络攻击。

详情

VGTRK（全俄国家电视和广播公司）被入侵

日期: 2022-03-28
标签: 俄罗斯, 文化传播, VGTRK（全俄国家电视和广播公司）, NB65, Anonymous（匿名者）, 俄乌战争, 

2022年3月28日，黑客组织匿名者在推特上声称黑客组织 'NB65' （@xxNB65）入侵并破坏了VGTRK（全俄国家电视和广播公司），并准备发布 870GB的数据。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

新漏洞允许针对罗克韦尔 PLC 的 Stuxnet 式攻击

日期: 2022-03-31
标签: 美国, 制造业, Claroty, 美国网络安全和基础设施安全局 (CISA), Stuxnet, 漏洞利用, CVE-2022-1161, CVE-2022-1159, CompactLogix, ControlLogix, GuardLogix, FlexLogix, DriveLogix, SoftLogix, 

工业网络安全公司Claroty的研究人员发现了两个严重的漏洞，这些漏洞可能允许恶意行为者对罗克韦尔自动化制造的可编程逻辑控制器（PLC）发起Stuxnet式的攻击。

2022年3月31日，美国网络安全和基础设施安全局（CISA）和罗克韦尔自动化分别发布了这两个漏洞的公告。

其中一个安全漏洞，被跟踪为CVE-2022-1161并被归类为"严重"，影响各种CompactLogix，ControlLogix，GuardLogix，FlexLogix，DriveLogix和SoftLogix控制器。第二个漏洞被跟踪为CVE-2022-1159，评级为"高严重性"，影响了在工程工作站上运行的Studio 5000 Logix Designer编程软件。

详情

Beastmode僵尸网络通过新的路由器漏洞提升DDoS能力

日期: 2022-04-01
标签: 制造业, 信息技术, Totolink, Beastmode, 漏洞利用, DDoS, CVE-2022-26210, CVE-2022-26186, CVE-2022-25075, CVE-2021-45382, CVE-2021-4045, CVE-2017-17215, CVE-2016-5674, 僵尸网路, 路由器, 

一个基于Mirai的分布式拒绝服务（DDoS）僵尸网络被跟踪为Beastmode（又名B3astmode）已经更新了其漏洞利用列表，包括几个新的攻击，其中三个针对各种型号的Totolink路由器。

Totolink是属于Zioncom的一个流行的电子子品牌，最近发布了固件更新，以修复三个严重性严重的漏洞。

DDoS僵尸网络的作者没有浪费任何时间，并将这些缺陷添加到他们的武器库中，以利用Totolink路由器所有者应用安全更新之前的机会窗口。

详情

Trend Micro（趋势科技）修复了主动利用的远程执行代码漏洞

日期: 2022-03-31
标签: 日本, 信息技术, 趋势科技（Trend Micro）, CVE-2022-26871, 

日本网络安全软件公司趋势科技（Trend Micro）修补了Apex Central产品管理控制台中的一个高严重性安全漏洞，该漏洞可以让攻击者远程执行任意代码。

Apex Central 是一个基于 Web 的管理控制台，可帮助系统管理员管理整个网络中的趋势科技产品和服务（包括防病毒和内容安全产品和服务）。

该漏洞 （CVE-2022-26871） 是文件处理模块中一个高严重性的任意文件上传弱点，未经身份验证的攻击者可以滥用该漏洞进行远程执行代码。

2022年3月31日，趋势科技表示，它观察到有人试图在野外利用该漏洞，作为持续攻击的一部分。

详情

Apple紧急修复用于破解 iPhone、Mac 的0day漏洞

日期: 2022-03-31
标签: 美国, 信息技术, Apple, iPhone, iPad, Mac, 

2022年3月31日，Apple 的安全响应团队发布了紧急补丁，以解决攻击者用来入侵 iPhone、iPad 和 Mac 的两个零日漏洞——CVE-2022-22675和CVE-2022-22674。CVE-2022-22674是英特尔显卡驱动程序中的越界写入漏洞，其允许许应用程序读取内核内存。CVE-2022-22675是AppleAVD 中的越界读取漏洞 ，它将使应用程序能够以内核权限执行任意代码。Apple 在 iOS 15.4.1、iPadOS 15.4.1 和 macOS Monterey 12.3.1 中对这些漏洞进行了修复，分别改进了输入验证和边界检查。目前，Apple 披露了在野外的积极利用。

详情

Zyxel修补影响防火墙和VPN设备的关键漏洞

日期: 2022-03-31
标签: 信息技术, 网络设备公司合勤科技（Zyxel）, CVE-2022-0342, VPN, firewall, 

网络设备公司合勤科技（Zyxel）已更新了其多个企业级防火墙和VPN产品的固件，以解决一个严重性漏洞，该漏洞可能使攻击者能够对受影响设备进行管理员级别的访问。

合勤科技的安全公告表示产品是指USG/ ZyWALL，USG FLEX，ATP，VPN和NSG（星云安全网关）系列的产品。该漏洞被跟踪为CVE-2022-0342，非常严重，允许攻击者在没有身份验证的情况下利用它来获得对设备的管理访问权限。

详情

Spring Java框架零日漏洞允许执行远程代码

日期: 2022-03-29
标签: 信息技术, CVE-2022-22963, Spring4Shell, Spring Core, 

Spring Core Java框架中一个名为"Spring4Shell"的新零日漏洞（CVE-2022-22963）已被公开披露，允许在应用程序上执行未经身份验证的远程代码。

Spring是一个非常流行的应用程序框架，它允许软件开发人员快速轻松地开发具有企业级功能的Java应用程序。然后，这些应用程序可以部署在具有所有必需依赖项的独立包上，例如Apache Tomcat。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   安全分析

超过一半的数据安全事件是由内部人员造成的

日期: 2022-04-01
标签: 欧洲, 非洲, 中东, 信息技术, 零信任, 内部威胁, 

安全公司Imperva称， 70% 的欧洲、中东和非洲组织没有内部风险策略。调查发现，在过去一年内，59% 的敏感数据泄漏事件是由内部威胁造成的。内部威胁很难检测到，因为内部用户可以合法访问关键系统，这使得防火墙和入侵检测系统等传统安全解决方案无法解决这类内部威胁。企业组织大多不重视内部威胁，这就给组织数据的安全性造成了重大风险。Imperva 建议组织建立一个专门的职能部门来处理内部风险，并在构建项目时遵循零信任原则。

详情

CrowdStrike将WhisperGate擦除器归因于Lorec53

日期: 2022-04-01
标签: 信息技术, 政府部门, EMBER BEAR, UAC-0056, Lorec53, Lorec Bear, Bleeding Bear, Saint Bear, WhisperGate, 情报收集, 

EMBER BEAR，又名UAC-0056、Lorec53、Lorec Bear、Bleeding Bear、Saint Bear，自2021年初以来一直针对东欧的政府和军事组织，可能从目标网络收集情报。EMBER BEAR的主要动机可能是将入侵期间获得的访问和数据武器化，以支持信息行动（IO），旨在制造公众对目标机构的不信任，并降低政府对抗俄罗斯网络行动的能力。CrowdStrike Intelligence以中等置信度将使用WhisperGate擦除器对乌克兰网络的破坏性活动归因于EMBER BEAR。

详情

透明部落（Transparent Tribe）黑客针对印度官员的新黑客活动

日期: 2022-03-29
标签: 阿富汗, 印度, 政府部门, 思科（Cisco）, Transparent Tribe, CrimsonRAT, 

Transparent Tribe一直是印度次大陆高度活跃的APT组织，他们的主要目标是阿富汗和印度的政府和军事人员。这项运动（通过基于Windows的远程访问特洛伊木马CrimsonRAT后门目标的活动）进一步推动了这种针对性以及他们建立长期间谍访问的中心目标。

思科Talos详细介绍的最新一组攻击涉及利用模仿合法政府和相关组织的虚假域来提供恶意有效负载，包括用于安装的基于Python的阶段。

详情

0x08   其他事件

美国众议院通过网络犯罪度量法案

日期: 2022-03-29
标签: 美国, 政府部门, 美国联邦调查局 (FBI), 

2022年3月29日，美国众议院通过了一项法案《Better Cybercrime Metrics Act

(S.2629),》，该法案将改变联邦政府跟踪、衡量和报告网络犯罪的方式。该法案将鼓励地方和联邦执法机构向联邦调查局 (FBI) 报告其管辖范围内的网络犯罪。与其他类型的财产犯罪一样，要求报告网络犯罪指标和网络犯罪类别。该法案进一步要求司法部的司法统计局和人口普查局将与网络犯罪和网络犯罪相关的问题纳入其年度全国犯罪受害调查。简化网络犯罪数据的收集和分析将使美国政府能够采取更全面的方法来应对网络犯罪。这项工作不是孤立地进行数据收集和分析，而是使美国政府和更广泛的安全界能够更全面地了解问题，从而在网络攻击和网络犯罪方面制定更有效的防御策略。

详情

来自南亚的金刚象组织VajraEleph ——针对巴基斯坦军方人员的网络间谍活动披露

日期: 2022-04-01
标签: 政府部门, VajraEleph, 网络间谍, 

2022年2月，奇安信病毒响应中心移动安全团队关注到自2021年6月起至今，一个来自南亚某国背景的APT组织主要针对巴基斯坦军方展开了有组织、有计划、针对性的军事间谍情报活动。经过短短9个月的攻击，该组织已影响数十名巴基斯坦军方人员。这部分受害人员主要为巴基斯坦国家的边防军（FC）和特种部队（SSG），尤其是俾路支省边防军（FC BLN）；此外还包含少量的联邦调查局（FIA）和警察（Police）。另攻击还影响了少量的尼泊尔人员，但我国国内用户不受其影响。

详情

NSA雇员因不当处理绝密信息而被起诉

日期: 2022-03-31
标签: 美国, 政府部门, 美国国家安全局（NSA）, 起诉, 

2022年3月31日，司法部表示，一名国家安全局雇员早上被捕，并被指控向无权接收的人发送机密国家安全信息。

60岁的马里兰州居民马克·罗伯特·昂肯霍尔茨（Mark Robert Unkenholz）曾在国家安全局（NSA）的一个部门工作，该部门与私营企业打交道，并持有最高机密许可，允许他获取机密信息。他可以访问的敏感数据 - 或司法部所称的"国防信息"（NDI） - 如果处理不当，可能被用来伤害美国或帮助外国对手。

详情

新型恶意软件BlackGuard的分析

日期: 2022-03-30
标签: 信息技术, BlackGuard, Zscaler ThreatLabz, VPN, Messengers, 

最近，Zscaler ThreatLabz团队偶然发现了BlackGuard，一个复杂的窃取者，广告出售。Blackguard目前作为恶意软件即服务出售，终生价格为700美元，每月价格为200美元。

BlackGuard有能力窃取与加密钱包，VPN，Messengers，FTP凭据，保存的浏览器凭据和电子邮件客户端相关的所有类型的信息。本文章分享了此窃取者用于窃取信息和逃避使用混淆进行检测的技术的分析和屏幕截图，以及用于反调试的技术。

详情

黑客通过伪造的请求从Meta获取用户数据

日期: 2022-03-30
标签: 美国, 信息技术, Meta（原Facebook）, 

2022年3月30日，一位公司消息人士表示，Facebook所有者Meta在去年向假装是执法官员的黑客提供了用户信息，强调了在紧急情况下采取措施的风险。

网络专家布莱恩·克雷布斯（Brian Krebs）在3月29日写道，犯罪黑客一直在损害与警方或政府相关的电子邮件帐户或网站，并声称他们不能等待法官的命令以获取信息，因为这是"生死攸关的紧迫问题"。

详情

FBI宣布了“鹰扫行动”的结果，逮捕65名嫌疑人

日期: 2022-03-30
标签: 美国, 政府部门, 信息技术, 美国联邦调查局 (FBI), 美国司法部（DoJ）, BEC, 

2022年3月30日，FBI宣布了“鹰扫行动”的结果，在美国和海外逮捕了 65 名嫌疑人。“鹰扫行动”是美国司法部、FBI和国际执法合作伙伴开展的打击BEC诈骗集团的行动，为期三个月。BEC 是一种复杂的骗局，通常针对通过电汇付款的企业员工。这些熟练的诈骗者通常可以访问公司的电子邮件帐户或欺骗他们的电子邮件地址，以发送合法且适时的电汇请求。然而，为转账提供的银行账户由犯罪分子控制。“鹰扫行动”自2021年9月开始，针对 BEC 诈骗者，这些诈骗者共欺骗了 500 多名美国受害者并造成超过 5100 万美元的损失。

详情

“Brokenwire”攻击方法能远程中断电动汽车充电

日期: 2022-03-30
标签: 英国, 瑞士, 教育行业, 制造业, 交通运输, Brokenwire, 

来自英国牛津大学和瑞士Armasuisse联邦机构的研究人员已经确定了一种新的攻击方法，可用于远程中断电动汽车的充电。

这种名为Brokenwire的攻击方法涉及向目标车辆无线发送恶意信号，以引起电磁干扰并破坏充电会话。该攻击针对的是组合充电系统（一种广泛使用的直流快速充电技术），并中断了充电器与车辆之间的通信。

详情

研究人员揭露Mars Stealer使用Google Ads进行的恶意活动

日期: 2022-03-29
标签: 信息技术, Mars Stealer, 社会工程, 恶意软件破解, keygens, 

在利用破解版本的恶意软件窃取存储在Web浏览器和加密货币钱包中的信息的活动中观察到一种名为Mars的新生信息窃取者。

2022年3月29日，Morphisec恶意软件研究员Arnold Osipov在发布的一份报告中表示："Mars Stealer正在通过社会工程技术，垃圾邮件活动，恶意软件破解和keygens进行分发"。

详情

美国政府警告针对 UPS 设备的攻击

日期: 2022-03-30
标签: 美国, 政府部门, 美国网络安全和基础设施安全局（CISA）, UPS, 

美国网络安全和基础设施安全局（CISA）和能源部发布了关于减轻对不间断电源（UPS）设备的攻击的指南。

这两个政府组织都意识到针对联网UPS设备的威胁行为者 - 通常滥用默认登录凭据 - 他们建议立即删除对这些设备的管理界面的互联网访问。

UPS 设备设计用于在正常电源丢失时提供应急电源，可连接到网络以进行电源监控和日常维护，或仅为方便起见。

为了防止针对UPS的潜在攻击，建议组织在其环境中枚举所有此类设备，并确保它们无法从互联网访问。

详情

Privid：一个保护隐私的监控视频分析系统

日期: 2022-03-29
标签: 信息技术, 麻省理工学院计算机科学与人工智能实验室（CSAIL）, Privid, 

一群学者设计了一个名为"Privid"的新系统，该系统能够以保护隐私的方式进行视频分析，以解决入入性跟踪问题。

Privid建立在差分隐私的基础上，这是一种统计技术，可以收集和共享有关用户的汇总信息，同时保护个人隐私。

这是通过向结果添加随机噪声来防止重新识别攻击来实现的。添加的噪声量是一种权衡 - 添加更多的噪声会使数据更加匿名，但也使数据变得不那么有用 - 它由隐私预算决定，这确保了结果仍然准确，同时配置得足够低以防止数据泄漏。

详情

欧洲警方破获数百万美元投资诈骗团伙

日期: 2022-03-29
标签: 欧洲, 俄罗斯, 波兰, 信息技术, 金融业, 比特币, 

欧洲警方在打击以加密货币投资欺诈为中心的多产有组织犯罪行动后逮捕了 100 多人。多达 200 名假冒交易员通过电话向受害者打电话，以投资机会为诱饵进行诈骗，其中许多人从事与比特币相关的诈骗以及外汇和商品交易。这些诈骗团伙的工作人员会说英语、印地语、俄语和波兰语，也侧面显示了了大多数受害者的国籍。据欧洲刑警组织称，该集团估计每月通过此类骗局赚取高达 300 万欧元（330 万美元）的收入 。多年来，呼叫中心诈骗一直是网络犯罪分子和欺诈者的主要赚钱工具。根据 FBI 的数据，呼叫中心诈骗现在是网络犯罪分子的第二大赚钱利器，到 2021 年使受害者损失了近 15 亿美元。

详情

Yandex正在向俄罗斯发送iOS用户的数据

日期: 2022-03-29
标签: 俄罗斯, 信息技术, Yandex, iOS, 

据一位安全研究人员称，一家俄罗斯科技公司Yandex正在向俄罗斯发送从从未使用过其应用程序的iOS应用程序用户那里收集的数据。在《金融时报》的一份报告中，研究人员扎克·爱德华兹（Zach Edwards）解释了第三方应用程序如何使用Yandex公司创建的开发人员工具来收集iOS用户的数据。Yandex是俄罗斯最大的科技公司，运营着该国第二大搜索引擎。Yandex API AppMetrica是一个软件开发工具包，为开发人员提供了一种方便的方式，可以快速，廉价地为其应用程序获取分析数据。但是，使用该工具的开发人员允许Yandex访问其用户的数据。

详情

白宫提出109亿美元网络安全预算

日期: 2022-03-28
标签: 美国, 政府部门, 信息技术, 美国网络安全和基础设施安全局 (CISA), 

2022年3月28日，白宫公布了总统乔·拜登 2023 年 5.8 万亿美元的预算计划，预算要求包括用于民用网络安全相关活动的大约 109 亿美元，与 2022 年相比增加了 11%。其中很大一部分（25 亿美元）已分配给国土安全部的网络安全和基础设施安全局 (CISA)，这比2021年增加了近 5 亿美元。由于来自俄罗斯的威胁越来越大，总统敦促美国公司加强其系统的安全性大约一周后，提出了增加 2023 年网络安全预算的提议。

详情

战争临近，欧盟面临网络安全漏洞的警告

日期: 2022-03-29
标签: 欧洲, 信息技术, 政府部门, 欧盟（EU Lawmakers）, 欧盟计算机应急响应小组（CERT-EU）, 

2022年3月29日，欧洲审计法院表示，欧盟必须加大力度保护自己的组织。根据 ECA 的数据，针对欧盟机构的网络攻击正在“急剧”增加。近年来网络安全已跃升至欧洲的政治议程。2020年，欧盟首次实施网络制裁，将多名俄罗斯、中国和朝鲜黑客列入黑名单。尽管如此，欧洲审计员表示，欧盟组织未能制定一些必要的网络安全控制措施，并且在该领域的支出不足，许多人员缺乏系统的网络安全培训和信息共享。由于欧盟的组织之间紧密相连，任何地方的漏洞都可能产生连锁效应。审计人员还敦促提供更多资源来支持欧盟机构的计算机应急响应小组（CERT-EU），并且还称欧盟机构网络“尚未达到与威胁相称的网络准备水平”。

详情

乌克兰拆除俄罗斯5个虚假信息机器人农场

日期: 2022-03-28
标签: 乌克兰, 俄罗斯, 信息技术, 政府部门, 乌克兰安全局 (SSU), 俄乌战争, 

2022年3月28日，乌克兰安全局 (SSU) 宣布，自与俄罗斯的战争开始以来，他们已经发现并关闭了 5 个拥有超过 100000 个虚假社交媒体账户传播虚假新闻的机器人农场。该网络在哈尔科夫、切尔卡瑟、捷尔诺波尔和扎卡尔帕蒂亚运营，旨在通过散布有关俄罗斯入侵和捍卫者地位的虚假信息来阻止乌克兰公民并造成恐慌。根据 SSU 的公告，该网络的目标是破坏各个地区的社会政治局势，从而遏制乌克兰民兵的抵抗。该行动的归属指向俄罗斯特种部队，其成员已面临刑事诉讼，但SSU 公告中未提及逮捕运营商。

详情

研究人员破解本田汽车的遥控无钥匙系统（CVE-2022-27254）

日期: 2022-03-28
标签: 日本, 制造业, 本田, CVE-2022-27254, 车联网安全, 

2022年3月28日，一位研究人员发布了概念验证 (PoC) 视频，以展示攻击者如何远程解锁本田汽车的车门，甚至启动其引擎。汽车制造商的远程无钥匙系统中的漏洞 ( CVE-2022-27254 ) 似乎自2016 年至2020 年都在影响相关制造商。这其中的漏洞在于，相同的未加密射频 (RF) 信号被发送用于解锁/锁定车门、打开行李箱或远程启动发动机的命令。因此，处于中间人位置的攻击者可以窃听请求，然后使用它来发起重放攻击。如果攻击者位于易受攻击的车辆附近，他们可以记录车主发送的远程信号以无线打开和启动车辆，然后自己执行相同的动作。根据研究人员的说法，如果用户不使用他们的 RF 遥控钥匙，并且本田实施“滚动代码”系统，每次用户按下遥控钥匙上的按钮时都会生成一个新代码，从而提供更安全的服务，则可以防止攻击。

详情

美国提出医疗网络安全法案

日期: 2022-03-28
标签: 美国, 政府部门, 卫生行业, 美国医疗保健和公共卫生 (HPH) 部门, 美国卫生与公众服务部 (HHS), 美国网络安全和基础设施安全局 (CISA), 

美国立法者提出了一项医疗网络安全法案 ( S.3904 )，旨在加强美国医疗保健和公共卫生 (HPH) 部门的网络安全。医疗中心可以挽救生命并保存大量敏感的个人信息，这使它们成为网络攻击的主要目标。该法案通过加强美国对网络战的抵御能力来保护患者的数据和公共健康。该法案的一个关键目标是改善美国卫生与公众服务部 (HHS) 与美国网络安全和基础设施安全局 (CISA) 之间的合作。如果获得批准，该法案将授权对医疗运营商进行网络安全培训，以提高对网络安全风险的认识以及减轻风险的最有效方法。

详情

美国公布下一年网络预算请求

日期: 2022-03-28
标签: 美国, 政府部门, 国土安全部网络安全和基础设施安全局（CISA）, 网络预算提案, 

2022年3月28日，美国总统乔·拜登（Joe Biden）公布了下一年5.8万亿美元的预算请求，这将使联邦在网络安全方面的支出增加数十亿美元。

2023财年预算提案指出："网络威胁已成为提供关键政府服务的最大风险，本届政府致力于解决根本原因问题并采取转型措施实现联邦网络安全现代化"。

该文件补充说，拟议的投资"将与政府的优先事项保持一致，重点是解决根本原因的结构性问题，促进联邦机构之间更强有力的合作与协调，并解决阻碍政府技术愿景的能力挑战。

详情

俄罗斯因设备短缺而面临互联网中断

日期: 2022-03-28
标签: 俄罗斯, 政府部门, 信息技术, 制造业, 俄乌战争, 

俄罗斯最大的创业联盟俄罗斯 RSPP 通信和 IT 委员会警告称，由于缺乏可用的电信设备，即将发生大规模的互联网服务中断。委员会还编制了一份文件，反映了俄罗斯该行业目前面临的实际挑战，并提出了一套专门为缓解这些挑战而制定的建议。委员会强调电信运营商设备的储备只能再维持六个月。随着西方设备供应商退出市场，不再向俄罗斯实体销售零部件，最早的服务中断可能最早在今年夏天开始。此外，可供购买的设备价格上涨了 40%，如果卢布继续贬值，服务提供商的经济问题将更加严峻。

详情

德国当局扣押间谍软件公司FinFisher的账户

日期: 2022-03-28
标签: 德国, 信息技术, German Authorities, FinFisher, 

德国当局查封了属于间谍软件公司FinFisher的账户，调查该公司是否违反出口法，是否将其产品出售给专制政府。

2022年3月28日，慕尼黑检察官证实，该公司的账户被扣押，尽管该措施不会立即生效，因为FinFisher正在进行破产程序。

详情

0x09   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x0a   时间线

2022-04-06 360CERT发布安全事件周报