安全事件周报 (04-04 ~ 04-10)
2022-04-11 15:07

报告编号:B6-2022-041101

报告来源:360CERT

报告作者:360CERT

更新日期:2022-04-11

0x01   事件导览

本周收录安全热点42项,话题集中在恶意程序网络攻击方面,涉及的组织有:AnonymousUAC-0010UAC-0056FIN7等。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

0x02   事件目录

恶意程序
在垃圾邮件活动中分发的新元信息窃取器
SharkBot Android木马重现Google Play Store
BlackCat 勒索软件针对工业公司
针对Parrot TDS接管网络服务器活动的分析报告
新的FFDroider恶意软件窃取了Facebook,Instagram,Twitter帐户
新的Android间谍软件链接到俄罗斯黑客组织Turla
数据安全
黑客组织Anonymous称泄漏俄罗斯能源行业数据
Cash App 向 820 万美国客户通报了数据泄露情况
Trezor加密货币钱包成为网络钓鱼攻击的目标
Iberdrola遭遇数据泄露
网络攻击
Mirai 僵尸网络利用 Spring4Shell 漏洞
黑客组织ATW称入侵奢侈品公司Dior
黑客利用 Conti 泄露的勒索软件攻击俄罗斯公司
DDoS攻击迫使芬兰政府网站离线
黑客组织APT-C-23攻击以色列政府高级官员
UAC-0056在针对乌克兰组织的网络钓鱼攻击中分发Elephant框架
UAC-0010针对欧盟国家机构的网络攻击
UAC-0010针对乌克兰国家组织的网络攻击
Atlassian Jira、Confluence的中断影响全球客户
乌克兰电信运营商因员工证件泄露而遭受攻击
乌克兰警告网络攻击旨在入侵用户的 Telegram Messenger 帐户
UAC-0056针对乌克兰实体的新攻击活动
乌克兰发现与俄罗斯有关的"Gamaredon"攻击活动
安全漏洞
Palo Alto Networks防火墙、VPN易受OpenSSL漏洞攻击
微软在其云服务中检测到Spring4Shell攻击
安全分析
潜藏在风平浪静中的波澜——APT-C-00海莲花组织攻击活动动态浅析
Cado发现Denonia:第一个专门针对Lambda的恶意软件
其他事件
YouTube加密货币赠品骗局
针对Jupyter Infostealer的分析
微软破坏俄罗斯黑客在乌克兰攻击中使用的基础设施
微软瓦解俄罗斯黑客组织针对乌克兰的网络攻击
FIN7黑客组织成员被判刑
Meta表示破坏了俄罗斯针对乌克兰的间谍活动
爱尔兰银行因数据泄露被罚款463000欧元
Android 应用程序使用SDK收集数据
FBI 禁用俄罗斯情报局的“Cyclops Blink”僵尸网络
美国指控俄罗斯寡头,拆除网络犯罪行动
欧洲工业基础设施面临网络威胁
英特尔关闭了在俄罗斯的所有业务运营
德国关闭俄罗斯黑暗市场Hydra
美国网络司令部司令:已"加强"对乌克兰网络的保护
针对BlackGuard恶意软件的分析

0x03   恶意程序

在垃圾邮件活动中分发的新元信息窃取器

日期: 2022-04-10
标签: META, Mars Stealer, BlackGuard, TwoEasy, 僵尸网络, Edge, Chrome, 

已经发现一个在垃圾邮件活动分发了新的META恶意软件,这是一种新的信息窃取者恶意软件,似乎在网络犯罪分子中越来越受欢迎。

META是新颖的信息窃取者之一,还有Mars Stealer和BlackGuard。Bleeping Computer上个月首次报道了META,当时KELA的分析师警告其动态进入TwoEasy僵尸网络市场。

安全研究人员和ISC处理人员Brad Duncan看到的一项新的垃圾邮件活动证明,META被积极用于攻击,被部署用于窃取存储在Chrome,Edge和Firefox中的密码以及加密货币钱包。

详情

https://t.co/wRMy21XFDz

SharkBot Android木马重现Google Play Store

日期: 2022-04-09
标签: 美国, 信息技术, 谷歌(Google), SharkBot, Google Play Store, 

Check Point 研究人员在 Google Play 商店中发现了多个恶意 Android 应用程序,这些应用程序冒充防病毒应用程序来部署 SharkBot Android 特洛伊木马。该恶意银行木马最初于去年 11 月被发现,当时它仅通过第三方应用程序商店进行部署。一旦安装在 Android 设备上,恶意程序SharkBot就会利用 Android 的辅助功能服务权限在合法的银行应用程序之上显示虚假的覆盖窗口。因此,当受害者在模仿良性凭证输入表单的窗口中输入他们的用户名和密码时,被盗数据被发送到恶意服务器。SharkBot 使用 ATS 来绕过多因素身份验证机制,还采用了地理围栏功能和绕过技术。

详情

https://t.co/Z5XOF5it56

BlackCat 勒索软件针对工业公司

日期: 2022-04-07
标签: 美国, 南美, 制造业, 建筑业, DarkSide, BlackMatter, BlackCat, ALPHV, Noberus, 

勒索软件组织使用的数据盗窃工具被跟踪为 BlackCat、ALPHV 和 Noberus,这表明网络犯罪分子越来越有兴趣瞄准工业组织。BlackCat勒索软件组织以勒索软件即服务 (RaaS) 模式运作,于 2021 年 11 月出现,此后一直以全球组织为目标,包括美国的许多组织。几家网络安全公司发现BlackCat 与 BlackMatter和 DarkSide 勒索软件操作之间存在联系。在最近对南美一家石油、天然气、采矿和建筑公司的 BlackCat 攻击中,黑客部署了数据泄漏工具Fendr,这个工具针对那些通常在工业环境中发现的文件类型,如 CAD 图纸和一些数据库,以及 RDP 配置设置。在 2 月发布的一份报告中,工业网络安全公司 Claroty 表示,勒索软件经常攻击工业控制系统 (ICS) 或其他操作技术 (OT) 环境,并且影响通常很大。

详情

https://t.co/wsbyb6AfZD

针对Parrot TDS接管网络服务器活动的分析报告

日期: 2022-04-07
标签: 政府部门, 文化传播, FakeUpdate, SocGholish, JavaScript, 

最近几个月出现了一个新的交通方向系统(TDS),我们称之为Parrot TDS,使用数以万计的受感染网站,并正在接触来自世界各地的用户。TDS已经感染了托管超过16,500个网站的各种Web服务器,包括成人内容网站,个人网站,大学网站和地方政府网站。

Parrot TDS充当了进一步恶意活动的门户,以接触潜在的受害者。在这种特殊情况下,受感染网站的外观被一个名为FakeUpdate(也称为SocGholish)的活动所改变,该活动使用JavaScript显示虚假通知,供用户更新浏览器,提供更新文件以供下载。观察到的文件被传送给受害者是一个远程访问工具。

详情

https://t.co/5JGCdhBsnT

新的FFDroider恶意软件窃取了Facebook,Instagram,Twitter帐户

日期: 2022-04-06
标签: 金融业, Facebook, Instagram, 推特(Twitter), FFDroider, 

一个名为FFDroider的新信息窃取者已经出现,窃取存储在浏览器中的凭据和cookie以劫持受害者的社交媒体帐户。尤其是经过验证的帐户,是黑客的诱人目标,因为威胁行为者可以将其用于各种恶意活动,包括进行加密货币诈骗和分发恶意软件。

当这些帐户可以访问社交网站的广告平台时,它们更具吸引力,允许威胁行为者使用被盗的凭据来运行恶意广告。

详情

https://t.co/p2gTFhbuh2

新的Android间谍软件链接到俄罗斯黑客组织Turla

日期: 2022-04-06
标签: 俄罗斯, 信息技术, Process Manager, 间谍软件, 

威胁情报公司Lab52的研究人员发现了名为Process Manager的Android间谍软件。安装后,恶意软件会从主屏幕中删除其齿轮形图标并在后台运行,利用其广泛的权限来访问设备的联系人和通话记录,跟踪其位置,发送和阅读消息,访问外部存储,拍摄图片和录制音频。该间谍软件采用了相同的共享托管基础架构,该基础架构之前被确定为由俄罗斯黑客组织Turla使用。

详情

https://t.co/2p4Kk8GUpj

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 各主机安装EDR产品,及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

黑客组织Anonymous称泄漏俄罗斯能源行业数据

日期: 2022-04-08
标签: 俄罗斯, 美国, 能源业, 制造业, 农林牧渔, Aerogas, Forest, Anonymous(匿名者), 俄乌战争, 

2022年4月8日,黑客组织Anonymous称泄露了来自俄罗斯三个实体的40多万封新电子邮件,其中包括从事石油和天然气行业的工程公司 Aerogas 的10万封电子邮件(145 GB)、俄罗斯伐木和木材制造公司Forest / Форест 的 37,500 封电子邮件(35,7 GB)等。

详情

https://t.co/u3mjcAWaLE

Cash App 向 820 万美国客户通报了数据泄露情况

日期: 2022-04-05
标签: 美国, 金融业, Cash App, 数据泄露, 

Cash App向820万客户通知了数据泄露事件。Cash App的所有者Block,Inc.在Form 8-K SEC文件中披露,该违规行为发生在2021年12月10日,此前一名前员工在不再受雇于该公司时下载了内部Cash App报告。

Block表示,这些报告包括Cash App客户的全名以及与Cash App投资活动相关的经纪账户号码。对于一些客户,报告中披露了其他信息,包括投资组合价值,持仓以及一个交易日的可能交易活动。

详情

https://t.co/cezwJtlFg7

Trezor加密货币钱包成为网络钓鱼攻击的目标

日期: 2022-04-04
标签: 金融业, Trezor, 邮件钓鱼, 数据泄露, 

加密货币硬件钱包所有者正成为通过Mailchimp电子邮件分发服务传播的网络钓鱼骗局的目标。

加密钱包制造商Trezor在社交媒体上宣布,其客户收到通过Mailchimp提供支持的新闻通讯发送虚假的数据泄露通知。

该公司声称,网络钓鱼攻击的"内部人员"是罪魁祸首,Trezor表示,网络钓鱼攻击也针对其他加密货币公司。

详情

https://t.co/pclV6Wl7Pq

Iberdrola遭遇数据泄露

日期: 2022-04-04
标签: 西班牙, 英国, 能源业, Iberdrola, 数据泄露, 

据当地报道,西班牙能源巨头Iberdrola遭受了网络攻击,导致数据泄露,影响了超过一百万客户。

总部位于毕尔巴鄂的英国供应商苏格兰电力公司(Scottish Power)和其他公司的母公司表示,袭击发生在今年3月15日,导致客户ID号,家庭和电子邮件地址以及电话号码被盗,但不包括银行帐户详细信息或信用卡号等财务信息。

详情

https://t.co/YI4MoIHzkz

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施

0x05   网络攻击

Mirai 僵尸网络利用 Spring4Shell 漏洞

日期: 2022-04-09
标签: 信息技术, Mirai, CVE-2022-22965, CVE-2022-22963, Spring4Shell, SpringShell, 

最近Java 应用程序开发框架 Spring 中修补了两个严重漏洞:CVE-2022-22965(又名 Spring4Shell 和 SpringShell)和 CVE-2022-22963。这些漏洞可用于远程代码执行。在发布补丁之前,这些漏洞已被 Mirai 僵尸网络利用。2022年4月1日,中国网络安全公司奇虎 360 率先报告了 Mirai 对 Spring4Shell 的利用。2022年4月8日,趋势科技证实了这些报道,并补充说明 CVE-2022-22965 已被用于下载 Mirai 恶意软件。

详情

https://t.co/PyrQu2WqFd

黑客组织ATW称入侵奢侈品公司Dior

日期: 2022-04-10
标签: 法国, 俄罗斯, 居民服务, 制造业, 迪奥(Dior), AgainstheWest, 俄乌战争, 

2022年4月10日,黑客组织ATW(又称BlueHornet)宣称入侵了法国国际奢侈品品牌迪奥(Dior)。DataBreacher Christian Dior SE总部位于巴黎,主要经营时装、配饰、香水、化妆品、童装等高档消费品。并且附文:“由于迪奥从俄罗斯撤出,所以不会泄漏迪奥的任何数据。”

详情

https://t.co/qfH49R5nH7

黑客利用 Conti 泄露的勒索软件攻击俄罗斯公司

日期: 2022-04-09
标签: 俄罗斯, 乌克兰, 信息技术, 科研服务, 文化传播, 政府部门, Tensor, Roscosmos(俄罗斯航天局), VGTRK(俄罗斯电视和广播电台), NB65, 俄乌战争, Conti, 

在过去的一个月里,一个名为 NB65 的黑客组织利用 Conti 泄露的勒索软件源代码创建了自己的勒索软件,并且一直在入侵俄罗斯实体,窃取他们的数据并将其泄露到网上,并警告称这些攻击是由于俄罗斯入侵乌克兰造成的。声称受到攻击的俄罗斯实体包括文件管理运营商 Tensor、俄罗斯航天局 Roscosmos和国有的俄罗斯电视和广播电台 VGTRK。研究人员发现,NB65勒索软件使用了与通常的 Conti 勒索软件样本相同的 66% 的代码。NB65勒索软件在加密文件时,会将 .NB65 扩展名附加到加密文件的名称中,并且还将在整个加密设备中创建名为R3ADM3.txt的赎金记录。

详情

https://t.co/3ymQL0BdOD

DDoS攻击迫使芬兰政府网站离线

日期: 2022-04-08
标签: 俄罗斯, 乌克兰, 芬兰, 政府部门, 芬兰国防, 芬兰外交事务网站, DDoS, 俄乌战争, 

2022年4月8日,芬兰国防和外交事务网站在DDoS攻击后于被迫下线。美国国防部在格林尼治标准时间上午10点45分写道:“国防部网站 http://defmin.fi 目前正在受到攻击。我们目前正在调查。我们将在下面发布任何其他信息。它接着说:目前,我们将保持国防部网站关闭,直到网站上的有害流量消失。我们所有的公告都是可读的http://valtioneuvosto.fi。”

详情

https://t.co/ILFF62HZrt

黑客组织APT-C-23攻击以色列政府高级官员

日期: 2022-04-07
标签: 巴勒斯坦, 以色列, 信息技术, 政府部门, 居民服务, APT-C-23(Arid Viper/Desert Falcon), VolatileVenom, 社会工程, 后门, 

巴勒斯坦政治组织哈马斯支持的黑客组织APT-C-23被发现对在国防、法律、执法和政府机构工作的以色列官员进行“catfish”攻击,最终导致部署新的恶意软件。此次攻击活动代号为"Operation Bearded Barbie",其背后的攻击组织名为 Arid Viper,该组织在中东以外开展活动,也以 APT-C-23 和Desert Falcon的绰号而闻名。黑客使用伪造、被盗或人工智能生成的女性身份创建了几个虚假的 Facebook 个人资料,并通过这些个人资料接近目标。在通过与目标互动一段时间后获得目标的信任后,攻击者建议将对话迁移到据称更谨慎的 Android IM 应用程序,这实际上是 VolatileVenom 恶意软件。同时,黑客发送一个 RAR 文件的链接,该文件据称包含色情视频,但实际上是 BarbWire 后门的下载器。

详情

https://t.co/eifXobmK52

UAC-0056在针对乌克兰组织的网络钓鱼攻击中分发Elephant框架

日期: 2022-04-07
标签: 乌克兰, 政府部门, 乌克兰计算机应急响应小组(CERT-UA), UAC-0056, Elephant, 邮件钓鱼, 俄乌战争, 

最近开发的名为Elephant的恶意软件框架正在通过欺骗性的乌克兰政府电子邮件地址在有针对性的鱼叉式网络钓鱼活动中传播。四个恶意软件组件用于窃取凭据、文档以及提供对受感染计算机的远程访问。其中两个组件于2022年3月由乌克CERT-UA首次披露。他们将这两个组件命名为GraphSteel和GrimPlant。在调查这些事件时,发现Elephant框架也是通过带有欺骗性乌克兰电子邮件地址的网络钓鱼电子邮件发送的。Elephant是一个用Go编写的恶意软件框架。该活动已被CERT-UA归因于UAC-0056。

详情

https://www.intezer.com/blog/research/elephant-malware-targeting-ukrainian-orgs/

UAC-0010针对欧盟国家机构的网络攻击

日期: 2022-04-07
标签: 乌克兰, 欧洲, 国际组织, 乌克兰计算机应急响应小组(CERT-UA), UAC-0010, 

2022年3月,乌克兰CERT-UA发现了多个名为“Assistance.rar”、“Necessary_military_assistance.rar”的RAR压缩文件。这些文件中的每一个都包含名为“向乌克兰提供军事人道主义援助的必要事项清单.lnk”、“向乌克兰提供军事人道主义援助.lnk”的恶意快捷方式文件。此外,发现交付方式是带有指向上述RAR压缩文件链接的电子邮件。根据文件名称和电子邮件文本中使用英文,以及这封信被发送给拉脱维亚政府的事实,清楚地表明了UAC-0010对欧洲政府机构的攻击活动。

详情

https://cert.gov.ua/article/39086

UAC-0010针对乌克兰国家组织的网络攻击

日期: 2022-04-07
标签: 乌克兰, 俄罗斯, 政府部门, 乌克兰计算机应急响应小组(CERT-UA), UAC-0010, 俄乌战争, 

乌克兰CERT-UA 披露了在乌克兰分发主题为“俄罗斯联邦战犯信息”的电子邮件的攻击活动。该电子邮件包含HTML文件“俄罗斯联邦的战犯.htm”,打开该文件将在计算机上创建一个RAR文件“Viyskvi_zlochinci_RU.rar”。文件包含一个文件标签“摧毁乌克兰的战犯(家庭地址、照片、电话号码、社交网络上的页面).lnk”,打开该文件将下载一个包含VBScript代码的HTA文件,下载并运行powershell脚本“get.php”。后者的任务是确定计算机的唯一标识符,将此信息通过HTTP POST请求传送到C2服务器。该活动与UAC-0010组织有关。

详情

https://cert.gov.ua/article/39138

Atlassian Jira、Confluence的中断影响全球客户

日期: 2022-04-07
标签: 信息技术, Atlassian, 

持续的中断影响了许多 Atlassian 客户,导致他们的 Jira 和 Confluence 实例在超过二十四小时内无法访问。

中断始于美国东部时间昨天凌晨5点左右,Jira和Confluence客户不再能够访问他们的云实例。尝试访问它们时,会显示一个错误,指出页面不可用或正在维护中。

详情

https://t.co/PhRxGfUIjJ

乌克兰电信运营商因员工证件泄露而遭受攻击

日期: 2022-04-06
标签: 俄罗斯, 乌克兰, 信息技术, 微软(Microsoft), Ukrtelecom, 思科(Cisco), ISSP, 乌克兰国家特别通信和信息保护局 (SSSCIP), 俄乌战争, 

2022年4月初,俄罗斯黑客使用泄露的员工凭证对乌克兰国家电信供应商 Ukrtelecom发起了网络攻击,严重破坏了乌克兰的互联网服务。然而此次攻击在 15 分钟内就被检测到了。黑客还曾试图更改员工帐户的密码以及访问设备和防火墙的登录密码。此次攻击事件导致整个乌克兰的互联网严重 中断,网络流量一度下降至战前水平的 13%。Ukrtelecom 限制了覆盖范围,以确保武装部队和关键基础设施的服务不会中断。在遭受攻击15 小时后,全部服务得到了恢复。乌克兰国家特别通信和信息保护局 (SSSCIP)、思科、微软和 ISSP都参与了此次事件的补救。

详情

https://t.co/J5XnENv98r

乌克兰警告网络攻击旨在入侵用户的 Telegram Messenger 帐户

日期: 2022-04-06
标签: 乌克兰, 俄罗斯, 信息技术, Telegram, UAC-0094, 网络钓鱼, Telegram Messenger, 俄乌战争, 

乌克兰技术安全和情报部门警告称,新一波网络攻击旨在获取用户 Telegram 账户的访问权限,并将此次攻击被归因于黑客组织“UAC-0094”。此次攻击起源于 Telegram 消息,提醒收件人已从位于俄罗斯的新设备检测到登录,并敦促用户通过单击链接确认其帐户。该 URL 实际上是一个网络钓鱼域,会提示受害者输入他们的电话号码以及通过 SMS 发送的一次性密码,然后黑客使用这些密码来接管帐户。

详情

https://t.co/6nNcZcPDPs

UAC-0056针对乌克兰实体的新攻击活动

日期: 2022-04-05
标签: 文化传播, UAC-0056, 俄乌战争, 

UAC-0056也被称为SaintBear、UNC2589和TA471,是一个自2021年初以来一直活跃的网络间谍组织,主要针对乌克兰和格鲁吉亚。据了解,该组织于2022年1月对多台乌克兰政府计算机和网站进行了擦除器攻击。三月初,Cert-UA披露了UAC-0056使用名为GrimPlant、GraphSteel以及CobaltStrike Beacon的恶意植入物攻击乌克兰的国家组织。3月下旬,Malwarebytes威胁情报小组发现了该组织针对乌克兰几个实体的新活动,其中包括私人电视频道ICTV。与以前试图说服受害者打开URL并下载第一阶段有效载荷或分发虚假翻译软件的攻击不同,在本次活动中,攻击者正在使用带有宏的Excel文档发起鱼叉式网络钓鱼攻击。

详情

https://blog.malwarebytes.com/threat-intelligence/2022/04/new-uac-0056-activity-theres-a-go-elephant-in-the-room/

乌克兰发现与俄罗斯有关的"Gamaredon"攻击活动

日期: 2022-04-05
标签: 乌克兰, 俄罗斯, 国际组织, 政府部门, 乌克兰组织, 欧盟(EU Lawmakers), 乌克兰计算机应急响应小组(CERT-UA), 俄乌战争, 

乌克兰计算机应急响应小组(CERT-UA)发现了新的网络钓鱼攻击,将攻击称为世界末日(Gamaredon),并将其归因于俄罗斯威胁组织。

恶意电子邮件试图用乌克兰战争为主题诱饵欺骗收件人,并用以间谍为重点的恶意软件感染目标系统。

CERT-UA已经确定了两个单独的案例,一个针对乌克兰组织,另一个针对欧盟的政府机构。

详情

https://t.co/REJM4f1Fzn

相关安全建议

1. 积极开展外网渗透测试工作,提前发现系统问题

2. 减少外网资源和不相关的业务,降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

Palo Alto Networks防火墙、VPN易受OpenSSL漏洞攻击

日期: 2022-04-06
标签: 信息技术, Palo Alto Networks, CVE-2022-0778, 

2022年4月6日,美国网络安全公司 Palo Alto Networks 警告客户,其部分防火墙、VPN 和 XDR 产品容易受到三周前披露的高严重性 OpenSSL 无限循环漏洞(跟踪为CVE-2022-0778)的影响。黑客可以利用此安全漏洞触发拒绝服务状态并远程使运行未修补软件的设备崩溃。尽管攻击者可以在没有用户交互的情况下在低复杂度攻击中滥用 OpenSSL 无限循环漏洞,但 OpenSSL 团队表示,成功利用的影响仅限于触发拒绝服务(DoS)。OpenSSL 团队在两周前公开披露该漏洞时发布了补丁。

详情

https://t.co/PQ4ojNlnVi

微软在其云服务中检测到Spring4Shell攻击

日期: 2022-04-05
标签: 信息技术, 微软(Microsoft), CVE-2022-22965, 

微软表示,它们正在跟踪针对其云服务中关键的Spring4Shell(又名SpringShell)远程执行代码(RCE)漏洞的"少量漏洞利用尝试"。

Spring4Shell漏洞(跟踪为CVE-2022-22965)影响了Spring框架,该框架被描述为"使用最广泛的Java轻量级开源框架"。攻击者可以通过向运行Spring Core框架的服务器发送特制的查询来利用这个Spring Core安全漏洞,以便在Tomcat根目录中创建Web shell。

详情

https://t.co/uExZ7WFkqO

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

0x07   安全分析

潜藏在风平浪静中的波澜——APT-C-00海莲花组织攻击活动动态浅析

日期: 2022-04-07
标签: 政府部门, APT-C-00(海莲花), 

APT-C-00(海莲花)组织,是一个有政府背景的境外黑客组织,攻击目标主要是东亚国家的企业和政府部门,自2015年360曝光海莲花以来,360高级威胁研究院一直持续跟进监测海莲花组织的最新攻击。

自2020年起,海莲花组织的攻击逐渐从鱼叉式网络钓鱼转变为使用渗透的方式对目标进行攻击活动,在其后续的内网横向移动过程中多为使用DLL侧加载技术以逃避一些安全软件的检测。

本文将浅析海莲花组织的部分攻击动态:

- 使用VBS脚本进行环境信息探测;

- 使用开源免杀加载器的趋势有所上升;

- 投递修改系统程序代码的定制化攻击载荷。

详情

https://mp.weixin.qq.com/s/tBQSbv55lJUipaPWFr1fKw

Cado发现Denonia:第一个专门针对Lambda的恶意软件

日期: 2022-04-06
标签: 信息技术, Cado Labs, Lambda, Denonia, 

Cado Labs发布了一个针对恶意软件分析的案例,这些恶意软件专门设计用于在 AWS Lambda 环境中执行。我们将此恶意软件命名为Denonia,以攻击者为其通信的域命名。该恶意软件对命令和控制流量使用较新的地址解析技术,以逃避典型的检测措施和虚拟网络访问控制。尽管第一个示例相当无害,因为它只运行加密挖掘软件,但它展示了攻击者如何使用高级云特定知识来利用复杂的云基础架构,并预示着未来潜在的更邪恶的攻击。从我们看到的遥测来看,到目前为止,Denonia的分布是有限的。

详情

https://t.co/w8CYRhDjCm

0x08   其他事件

YouTube加密货币赠品骗局

日期: 2022-04-10
标签: 信息技术, 文化传播, YouTube, 网络欺诈, 加密货币, 

安全公司Group-IB称一个诈骗团伙通过在 YouTube 上承诺提供加密货币赠品赚了大约 170 万美元。这个诈骗团伙在 2 月 16 日至 18 日期间上传了了 36 个 YouTube 视频,有至少 16.5万次观看。这些视频频道都是被黑客入侵或在黑市上被购买的。这些频道指向至少 29 个网站的链接,其中包含有关如何将加密货币投资翻倍的说明。 “投资者”将收到一小笔虚拟货币,并被承诺将获得两倍的回报。一些受害者被提示输入助记词来“链接”他们的钱包,具体取决于所使用的加密货币和钱包类型。 欺诈者因此能够控制他们的钱包并提取他们的所有资金。诈骗者在短短三天内就收到了 281 笔交易,总额近 170 万美元。目前,受害者的确切人数和被盗总量尚不清楚。 加密货币爱好者应当对免费赠品持怀疑态度,不要在网上分享机密数据。

详情

https://t.co/uxbiaBxRe0

针对Jupyter Infostealer的分析

日期: 2022-04-10
标签: 信息技术, Jupyter Infostealer, SolarMarker, 

研究人员最近发现了SolarMarker的一个新变种Jupyter Infostealer,这是一个恶意软件家族,主要使用SEO操纵来说服人们下载恶意文档。SolarMarker 使用防御规避功能从受害者的 Web 浏览器中提取自动填充数据、保存密码和存储信用卡信息。它提供了在信息窃取者中不寻常的额外功能,例如来自C2服务器的文件传输和命令执行。Jupyter将自己伪装成各种程序和安装程序。恶意软件的主文件扩展名已更改为MSI,它通过多种技术执行其混淆的PowerShell脚本。Jupyter通常托管在冒充真实主机的虚假下载网站上。这些网站通常提供免费的PDF书籍。这些可以被受害者意外访问或通过垃圾邮件中的链接访问。

详情

https://t.co/xVIg9Arckk

微软破坏俄罗斯黑客在乌克兰攻击中使用的基础设施

日期: 2022-04-08
标签: 俄罗斯, 美国, 政府部门, 信息技术, 国际组织, 微软(Microsoft), 俄罗斯GRU军事情报部门, Strontium, APT28, Fancy Bear, Pawn Storm, Sednit, Tsar Team, 俄乌战争, 

2022年4月7日,微软表示,它试图通过夺取臭名昭着的国家支持的威胁组织利用的一些域名来破坏俄罗斯政府对乌克兰发起的网络攻击。

微软表示,它扣押了该组织使用的七个域名,分别是Strontium,APT28,Fancy Bear,Pawn Storm,Sednit和Tsar Team。与俄罗斯GRU军事情报部门有联系的网络间谍组织在过去几年中针对世界各地的许多组织进行了行动。

这家科技巨头于4月6日获得了一项法院命令,允许其挖掘这些域名,据称这些域名曾被用来针对乌克兰的媒体和其他组织。该公司表示,美国和欧盟的政府机构和智库 - 特别是那些参与外交政策的机构 - 也是目标。

详情

https://t.co/Nq3Wb2mjT8

微软瓦解俄罗斯黑客组织针对乌克兰的网络攻击

日期: 2022-04-07
标签: 俄罗斯, 乌克兰, 美国, 欧洲, 信息技术, 文化传播, 政府部门, 微软(Microsoft), 俄罗斯军事情报局GRU, Strontium, 俄乌战争, 

本周,微软的数字犯罪部门瓦解了一起俄罗斯APT组织针对乌克兰关键机构的攻击。微软最近观察到来自黑客组织Strontium(与俄罗斯 GRU 相关) 的针对乌克兰实体的攻击。Strontium 正在使用基础设施来攻击包括媒体组织在内的乌克兰机构、美国和欧盟参与外交政策的政府机构和智囊团。微软认为 Strontium 正试图建立对其目标系统的长期访问权限,为物理入侵提供战术支持并泄露敏感信息。目前,微软已将其发现的活动和已采取的行动通知了乌克兰政府。并且在本周之前,微软已经进行了 15 次行动,以夺取对 100 多个 Strontium 控制域的控制权。

详情

https://t.co/JKQ4BPGuFe

FIN7黑客组织成员被判刑

日期: 2022-04-07
标签: 美国, 信息技术, FIN7, 

一名乌克兰男子今天在华盛顿西区被判处5年徒刑,因为他在黑客组织FIN7的犯罪工作。32岁的Denys Iarmak曾担任FIN7的高级黑客,该组织称他为“渗透测试人员”。2019年11月,应美国执法部门的要求,他在泰国曼谷被捕。在量刑听证会上,首席美国地区法官里卡多·马丁内斯(Ricardo S. Martinez)指出,伊尔马克在COVID大流行和现在的乌克兰战争期间都被拘留。Iarmak是该组织中第三位在美国被判刑的FIN7成员。2021年4月16日,FIN7成员Fedir Hladyr被判处10年徒刑。2021年6月24日,FIN7成员Andrii Kolpakov被判处七年监禁。

详情

https://t.co/V7H9rZokIl

Meta表示破坏了俄罗斯针对乌克兰的间谍活动

日期: 2022-04-07
标签: 俄罗斯, 乌克兰, 美国, 信息技术, 政府部门, 文化传播, 能源业, 科研服务, Meta(原Facebook), 俄乌战争, 

2022年4月7日,Meta表示,过去两个月俄罗斯针对乌克兰进行间谍活动的几项社交媒体活动已被其中断。Meta删除了一个由 27 个 Facebook 帐户、两个页面、三个群组和四个 Instagram 帐户组成的小型网络,该网络在俄罗斯和乌克兰运营,主要针对乌克兰。Meta观察到来自俄罗斯和白俄罗斯政府关联的团体利用该网络,针对乌克兰电信业以及乌克兰国防和能源部门进行网络间谍活动,这些间谍活动针对一些技术平台以及乌克兰、俄罗斯和国外的记者和活动家。

详情

https://t.co/kJR5TFvUYQ

爱尔兰银行因数据泄露被罚款463000欧元

日期: 2022-04-07
标签: 爱尔兰, 金融业, 爱尔兰银行, 罚款, 

爱尔兰银行因2018年11月至2019年6月期间影响客户个人信息的一系列数据泄露事件而被数据保护委员会(DPC)罚款463000欧元。

DPC表示,它调查了该银行制造的一系列数据泄露事件,这些事件影响了超过50000名客户。这些通知涉及爱尔兰银行向中央信用登记处(CCR)提供的数据中的信息损坏,中央信用登记处是一个存储贷款信息的系统。该银行因违规行为以及与受影响客户沟通的延迟而被罚款。

详情

https://t.co/pv9IMqYlwz

Android 应用程序使用SDK收集数据

日期: 2022-04-07
标签: 巴拿马, 信息技术, Google Play商店, SDK, 

移动恶意软件分析师警告说,Google Play商店中提供了一组应用程序,这些应用程序从超过4500万次安装中收集了敏感的用户数据。

这些应用程序通过第三方SDK收集这些数据,该SDK包括捕获剪贴板内容,GPS数据,电子邮件地址,电话号码,甚至用户的调制解调器路由器MAC地址和网络SSID的功能。如果由于服务器/数据库安全性差而被滥用或泄露,这些敏感数据可能会给用户带来重大的隐私风险。

详情

https://t.co/ZHxy5ZrYNL

FBI 禁用俄罗斯情报局的“Cyclops Blink”僵尸网络

日期: 2022-04-06
标签: 俄罗斯, 美国, 政府部门, 信息技术, 美国联邦调查局 (FBI), 俄罗斯军事情报局GRU, Cyclops Blink, 僵尸网络, 俄乌战争, 

2022年4月6日,美国政府宣布已经消除了由俄罗斯主要情报机构 ( GRU ) 控制的大型硬件设备僵尸网络。“ Cyclops Blink ”恶意软件是针对防火墙设备和 SOHO 网络设备的大型僵尸网络的枢纽。Cyclops Blink已直接与与俄罗斯政府相关的 APT 组织相关联。此次行动从易受攻击的连接互联网的防火墙设备中复制并删除了恶意软件。 尽管该行动不涉及访问全球数千台受感染设备上的 Sandworm 恶意软件,但司法部表示,禁用 C2 机制使这些机器人脱离了 Sandworm C2 设备的控制。此次行动成功修复了数千台受感染的设备,但大多数最初受感染的设备仍然受到感染。

详情

https://t.co/uU99tvbRMA

美国指控俄罗斯寡头,拆除网络犯罪行动

日期: 2022-04-06
标签: 美国, 俄罗斯, 政府部门, 美国司法部(DoJ), 俄乌战争, 

2022年4月6日,美国官员们表示,拜登政府指控一名与克里姆林宫有联系的俄罗斯寡头违反美国政府的制裁,并破坏了俄罗斯军事情报机构发起的网络犯罪行动。

司法部表示正在加快追踪俄罗斯非法资产,以及美国检察官帮助欧洲同行收集俄罗斯在乌克兰战争期间犯下的潜在战争罪行的证据。司法部还宣布,它已经关闭了一个僵尸网络

- 一个通常用于恶意活动的被劫持计算机网络 - 由俄罗斯军事情报机构GRU控制。

详情

https://t.co/FX7bvtMS5z

欧洲工业基础设施面临网络威胁

日期: 2022-04-05
标签: 欧洲, 中国, 俄罗斯, 伊朗, 朝鲜, 信息技术, 制造业, 能源业, 建筑业, Xenotime, Magnallium, Electrum, Allanite, Chrysene, Kamacite, Covellite, Vanadinite, Parisite, Dymalloy, ICS, OT, 

根据工业网络安全公司 Dragos 的一份新报告,恶意网络行为者对欧洲的工业基础设施构成严重威胁,已知至少有 10 个黑客组织以欧洲组织为目标。在过去几年中,针对具有工业控制系统 (ICS) 或其他运营技术 (OT) 环境的组织的威胁组数量显着增加。Dragos 公司追踪的 10 个威胁组织已经针对欧洲实体开展了破坏性攻击。这些组织被跟踪为 Xenotime、Magnallium、Electrum、Allanite、Chrysene、Kamacite、Covellite、Vanadinite、Parisite 和 Dymalloy。其中一些团体与中国、俄罗斯、伊朗和朝鲜有关。如果没有资产可见性,组织就无法正确保护他们的 OT 环境,因为防御者无法保护他们看不到的东西。工业运营商应评估和实施最小权限原则,以限制未经授权访问 OT 环境。

详情

https://t.co/otYSSu1YnH

英特尔关闭了在俄罗斯的所有业务运营

日期: 2022-04-05
标签: 乌克兰, 俄罗斯, 美国, 制造业, 英特尔, 俄乌战争, 

2022年4月5日,美国芯片制造商英特尔宣布,它已暂停在俄罗斯的所有业务运营,加入了因入侵乌克兰而撤出该国的科技公司。

英特尔上个月已经暂停了向俄罗斯和白俄罗斯客户的所有发货,此前美国政府发布了全面制裁,阻止向这些国家出口技术。英特尔将关闭该国的所有业务运营,英特尔继续加入国际社会,谴责俄罗斯对乌克兰的战争,并呼吁迅速恢复和平。

详情

https://t.co/ejl1sAW8Xk

德国关闭俄罗斯黑暗市场Hydra

日期: 2022-04-05
标签: 德国, 信息技术, 金融业, Hydra, 暗网, 

德国联邦警察扰乱了一个俄语暗网市场,该市场专门从事非法毒品销售,伪造文件,拦截数据和非法数字服务。

在与美国司法部协调的一项行动中,当局在2022年4月5日,关闭了九头蛇市场的德国服务器,扣押了2500万美元的比特币,他们声称这是犯罪收益。

Hydra至少自2015年以来一直活跃。法兰克福的检察官表示,在其被摧毁时,电子商务平台是世界上最大的暗网市场,仅在2020年就产生了价值13.4亿美元的销售额。

详情

https://t.co/GPUXeIaOYW

美国网络司令部司令:已"加强"对乌克兰网络的保护

日期: 2022-04-05
标签: 乌克兰, 美国, 政府部门, 信息技术, 美国网络司令部司令, 美国国家安全局(NSA), 俄乌战争, 

2022年4月5日,美国网络司令部司令保罗·中曾根将军表示,自莫斯科于2月开始入侵以来,他的组织已经"加紧"增强乌克兰的网络和网络防御能力,以应对俄罗斯的数字攻击。

国家安全局的Naksone在参议院军事委员会的书面证词中说:"我们向乌克兰提供远程分析支持,并进行了与乌克兰境外关键网络保持一致的网络防御活动 - 直接支持任务合作伙伴"。该司令部还增加了派往东欧的"狩猎前进小组"的数量,以发现潜在的网络漏洞。

详情

https://t.co/HEEdza5nmk

针对BlackGuard恶意软件的分析

日期: 2022-04-04
标签: 俄罗斯, 信息技术, BlackGuard, Zscaler ThreatLabz, 

一种以前未记录在案的名为BlackGuard的"复杂"信息窃取恶意软件正在俄罗斯地下论坛上以每月200美元的价格出售。

Zscaler ThreatLabz研究人员Mitesh Wani和Kaivalya Khursale在上周发布的一份报告中表示:"BlackGuard有能力窃取与加密钱包,VPN,Messengers,FTP凭据,保存的浏览器凭据和电子邮件客户端相关的所有类型的信息"。

详情

https://t.co/UdFqVUZRF3

0x09   产品侧解决方案

若想了解更多信息或有相关业务需求,可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

0x0a   时间线

2022-04-11 360CERT发布安全事件周报