报告编号：B6-2022-062701

报告来源：360CERT

报告作者：360CERT

更新日期：2022-06-27

0x01   事件导览

本周收录安全热点56项，话题集中在恶意程序、网络攻击方面，涉及的组织有：Lyceum、QNAP、MEGA、APT28等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

Lyceum组织的新恶意软件

日期: 2022-06-24
标签: 伊朗, 信息技术, LYCEUM, Adobe, 

ClearSky发现了一种与伊朗Lyceum组织相关的新恶意软件，具有中高置信度。该文件从6月6日注册的域名下载，攻击者控制了同一范围内的至少两个IP。下载的文件是模拟Adobe更新的反向shell。反向shell由使用假Microsoft证书签名的父文件释放以及诱饵PDF文档和旨在实现持久化的可执行文件。

详情

恶意软件CopperStealer通过虚假破解软件传播

日期: 2022-06-26
标签: 信息技术, 金融业, 微软（Microsoft）, Apple, Meta Platforms, 亚马逊（Amazon ）, CopperStealer, Vidar Stealer, 网络钓鱼, 信息窃取, 

研究人员已检测到CopperStealer 恶意软件的更新样本，通过为应用程序和其他软件提供欺诈性破解的网站感染设备。黑客使用这些伪造的应用程序来执行一系列攻击。这个伪造的程序实际上包含恶意软件，是一个虚假的破解程序。下载的存档文件包括一个受密码保护的文本文件和另一个加密存档。 当键入文本文件中指定的密码时，解密的存档会显示可执行文件。此示例中有两个文件：CopperStealer和VidarStealer。CopperStealer 的主要功能是从某些浏览器窃取存储的登录信息，例如：用户名和密码、互联网 cookie。Vidar Stealer能够窃取用户的信用卡、用户名、密码、数据和桌面截图。Copper Stealer 和 Vidar Stealer可能导致许多系统感染、重大隐私问题、财务损失和身份盗用。用户应避免从第三方网站下载破解，并启用安全检测和预防技术来保护系统免受攻击。

详情

恶意Python库入侵了AWS数据和密钥

日期: 2022-06-26
标签: 信息技术, Python, 供应链安全, 

Sonatype 研究人员发现恶意 Python 程序包会将用户的 AWS 凭证和用户特征发布到可公开访问的端点，而不仅仅是利用敏感数据。一些带有 Sonatypes 的恶意包如下：loglib-modules、pyg-modules、Pygrata、hkg-sol-utils。这种包要么具有读取和网络钓鱼用户的秘密代码，要么使用执行此操作的依赖项。像“pygrata”这样的软件包依赖于未加密的 TXT 文件或恶意软件来窃取凭据，而不是包含代码本身。安全研究人员向 PyPI 安全团队报告了这一情况，目前这些恶意包被撤回了。软件供应链应当从一开始就受到保护，应当立即隔离自动恶意软件检测系统发现的任何可疑组件，同时研究人员也要进行主观评估。

详情

伪造侵犯版权电子邮件安装LockBit勒索软件

日期: 2022-06-26
标签: 韩国, 信息技术, LockBit 2.0, 邮件钓鱼, 

韩国研究人员发现，LockBit 勒索软件附属机构正在通过将恶意软件伪装成版权声明，感染用户设备。这些电子邮件的收件人会收到有关侵犯版权的警告，据称他们在未经创作者许可的情况下使用了媒体文件。这些电子邮件要求收件人从他们的网站上删除侵权内容，否则他们将面临法律诉讼。附件是一个受密码保护的 ZIP 存档，其中包含一个压缩文件，该文件又伪装成 PDF 文档的可执行文件，但实际上是 NSIS 安装程序。这种包装和密码保护的原因是为了逃避电子邮件安全工具的检测。如果受害者打开所谓的“PDF”以了解哪些图像被非法使用，恶意软件将使用 LockBit 2.0 勒索软件加载和加密设备。经过进一步分析，研究人员发现这些电子邮件还在分发 BazarLoader 或 Bumblebee 恶意软件加载程序。

详情

恶意Excel文件现在被用来传播改进的Emotet恶意软件

日期: 2022-06-25
标签: 信息技术, 微软（Microsoft）, Emotet, CVE-2017-11882, PowerShell, Excel, 

网络安全研究人员发现，臭名昭著的Emotet恶意软件再次改变了方法。在其最新的活动中，恶意软件能够访问和使用电子表格，文档和其他Microsoft程序，从而规避进入安全。僵尸网络的作者正在使用一个相对较新的模块，该模块从Google Chrome窃取支付卡信息。最新的恶意软件仍然使用许多与过去相同的攻击媒介，但这种新技术被认为在收集和使用被盗凭据方面更有效。据报道，Emotet正在使用64位shell代码以及更高级的PowerShell和活动脚本，近五分之一的恶意样本利用2017年Microsoft漏洞CVE-2017-11882”。

详情

黑客正在使用LNK文件部署恶意负载

日期: 2022-06-23
标签: 信息技术, Emotet, 

2022年6月上旬，McAfee Labs 的研究人员发现了一种复杂的技术，黑客利用垃圾邮件和恶意 URL 将 LNK 文件传递给受害者。这些文件命令 PowerShell、CMD 和 MSHTA 等真实应用程序下载恶意文件。 LNK 文件是链接到受害者桌面或整个系统中常见的应用程序或文件的快捷方式文件，并以 .LNK 扩展名结尾。LNK 文件可以由用户创建或由 Windows 操作系统自动创建。在最近发现的Emotet 恶意软件活动中，黑客通过手动访问附加的 LNK 文件来瞄准受害者。威胁攻击者将原始快捷方式图标替换为 .pdf 文件的图标，这样毫无戒心的受害者收到电子邮件附件，也无法发现差异。黑客可以使用 Windows 快捷方式文件将几乎所有恶意软件部署到目标端点，在这种情况下，Emotet 有效负载被下载到受害者的 %TEMP% 目录中。如果成功，恶意软件将使用“regsvr32.exe”加载到内存中，而原始释放器将从 %TEMP% 目录中删除。

详情

BlackGuard Stealer瞄准游戏社区

日期: 2022-06-20
标签: 文化传播, 信息技术, CountnerStrike, Telegram, Discord, BlackGuard Team, BlackGuard Stealer, 游戏社区, 

BlackGuard是一个相当新的信息窃取者，从2022年1月底开始，其商业模式是恶意软件即服务（MaaS）。该恶意软件在地下论坛和运营商的专用电报频道中出售。恶意软件将寻求获取资产信息窃取者经常寻找的资产信息，例如机器的信息，Cookie和浏览会话，各种电子邮件和VPN客户端的凭据以及即时消息应用程序的凭据，例如Telegram和Discord。此外，窃取者支持获取基于浏览器的加密货币钱包（如Metamask）的功能。BlackGuard Team在购买偷窃者时不提供任何交付方式。因此，希望购买窃取者的威胁行为者将需要应用自己的交付方法。在这种类型的威胁中，使用包含恶意文档的垃圾邮件活动是非常常见的，这些恶意文档将下载或加载BlackGuard窃取者示例。在这份报告中，当威胁行为者发布流行游戏CountnerStrike的补丁时，遇到了一种社会工程技术，大概是在游戏社区论坛或Discord频道上。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

Flagstar银行数据泄露影响150万客户

日期: 2022-06-21
标签: 美国, 金融业, Flagstar Bank, 数据泄露, 

总部位于密歇根州的Flagstar Bank在美国几个州拥有150多家分支机构，该公司披露了一起数据泄露事件，涉及威胁行为者访问包含150万人个人信息的文件。根据Flagstar网站上发布的数据泄露通知以及公司向当局提供的信息，该违规行为发生在2021年12月初。6月2日最终确定的一项调查显示，攻击者访问了存储个人信息的文件。该公司表示，它没有证据表明被泄露的信息已被滥用，但它已决定为受影响的个人提供两年的免费身份监控服务。

详情

互联网扫描发现160万个网站泄露的秘密

日期: 2022-06-20
标签: 信息技术, 谷歌（Google）, 亚马逊（Amazon ）, 数据泄露, 

安全研究人员显然已经发现了超过160万个网站泄露的秘密，其中包括超过395，000个由100万个最受欢迎的域名泄露的秘密。在专门为该任务开发的工具的帮助下，RedHunt Labs的研究人员通过对数百万个网站主页的“非侵入性”探测以及流行框架中使用的调试页面抛出的异常来寻找信息泄露漏洞。两个庞大的扫描中的第一个专注于流量最大的一百万个网站。它发现了395，713个秘密，其中四分之三（77%）与Google服务reCAPTCHA，Google Cloud或Google OAuth有关。仅Google的reCAPTCHA就占了这些秘密的一半以上（212，127）， 而前五大暴露的秘密类型是由消息传递应用程序LINE和亚马逊网络服务（AWS）完成的。第二阶段涉及扫描大约5亿台主机，发现了1，280，920个秘密，最常见的是Stripe，其次是Google reCAPTCHA，Google Cloud API，AWS和Facebook。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

Cunning Kitten–针对中东相关人士的威胁组织

日期: 2022-06-24
标签: 中东, 政府部门, Cunning Kitten, APT舆情, 

安恒信息中央研究院猎影实验室追踪到一系列针对中东相关政治活动人士的攻击活动。经研究，这些活动来自于一个新的威胁组织，这一攻击者至少自2021年9月便开始活跃，为方便追踪，将其命名为Cunning Kitten。Cunning Kitten的攻击目标聚焦于世界各地的使用波斯语的相关人士，选取相关人士关心的政治话题发起攻击。

详情

黑客从 Harmony Horizon Bridge 窃取价值 1 亿美元的加密货币

日期: 2022-06-26
标签: 美国, 信息技术, 金融业, Horizon, Harmony, 加密货币, 

2022年06月24日，Harmony发布公告表示，其开发的以太坊与 Harmony 之间的的资产跨链桥 Horizon 遭到攻击，损失金额约为 1 亿美元，包括超1.3万枚以太坊及 5000枚BNB。这家美国加密货币初创公司已通知 FBI，并要求协助进行调查，以查明罪魁祸首并追回被盗资产。到目前为止，Frax (FRAX)、Wrapped Ether (wETH)。Aave (AAVE), SushiSwap (SUSHI), Frax Share (FXS), AAG (AAG), Binance USD (BUSD), Dai (DAI), Tether (USDT), Wrapped BTC (wBTC), and USD Coin (USDC)通过此漏洞从桥上被盗。然而，安全研究人员和区块链开发商 Ape Dev 早在2022年4月2日就发出了警告称，Horizon 桥的安全性取决于多重签名，这是一个只需要两个签名即可启动交易的钱包。黑客可以利用这个漏洞执行非常简单的攻击，让 2 位所有者签署价值高达 3.3 亿美元的转让协议。

详情

Novel ToddyCat APT 攻击 Microsoft Exchange Server

日期: 2022-06-25
标签: 中国, 俄罗斯, 伊朗, 印度, 英国, 政府部门, 微软（Microsoft）, ToddyCat APT, Samurai, ProxyLogon, Microsoft Exchange, 

研究人员发现ToddyCat APT至少自2020年12月以来一直瞄准亚洲和欧洲企业的Microsoft Exchange服务器。ToddyCat APT小组在2021年2月加强了其攻击，并正在寻找具有ProxyLogon漏洞的未修补的Microsoft Exchange服务器来发起攻击。一个名为Samurai的被动后门和一个新的忍者木马在跟踪该组织的活动时被发现。这两种类型的恶意软件都会接管受感染的设备，并在整个网络中横向迁移。该团伙在三个不同国家渗透一些组织（同时被其他中国支持的黑客使用FunnyDream后门进行黑客攻击）。来自政府和军事部门的知名组织是目标受害者。该小组专注于实现与地缘政治目标相关的基本目标。

详情

日本汽车面料供应商TB川岛宣布网络攻击

日期: 2022-06-25
标签: 美国, 中国, 泰国, 印度尼西亚, 制造业, TB Kawashima, LockBit, 数据泄露, 

2022年6月24日，TB Kawashima宣布，其子公司之一，一家泰国销售公司，已被入侵，促使立即采取行动，包括关闭攻击者访问的设备。该公司通报称，丰田纺织集团的生产和销售活动没有受到影响，所有业务均以正常参数运行。该公司没有确认，但有理由怀疑它正在处理来自LockBit勒索软件组的攻击。TB Kawashima是汽车，飞机，剧院和火车的内饰面料制造商，在美国，中国，泰国，印度尼西亚和印度设有办事处和工厂。虽然没有关于这次攻击的官方信息，但LockBit勒索软件组织声称TB Kawashima是他们最近在数据泄露网站上的受害者之一。6月25日，威胁行为者已经开始泄露据称在网络攻击期间被盗的数据。

详情

瞄准能源企业：Lyceum组织以军事热点事件为诱饵针对中东地区的定向攻击

日期: 2022-06-23
标签: 中东, 能源业, LYCEUM, 邮件钓鱼, C2, APT, 

近期，国外安全厂商zscaler发布报告披露Lyceum组织利用新的DNS后门攻击能源部门，该后门允许攻击者远程执行系统命令并在受感染的机器上上传或下载数据。同时，奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中也捕获了该组织近期的攻击样本。根据捕获的攻击样本托管网址推测，初始攻击入口可能是鱼叉式钓鱼邮件，诱骗受害者点击下载docm文件或者伪装的SCR屏幕保护程序。攻击样本被下载执行后，会释放一个诱饵文件来迷惑受害者。

详情

CALISTO组织继续其凭据收集活动

日期: 2022-06-23
标签: 俄罗斯, 政府部门, 谷歌（Google）, Callisto, 网络钓鱼, APT, C2, 

2022年3月30日，Google TAG发布了几个与CALISTO相关的IOC，CALISTO是一个与俄罗斯有关的威胁组织，也被称为COLDRIVER，过去曾针对几个西方非政府组织、智库和国防部门。根据Google TAG的说法，攻击者使用新创建的Gmail帐户进行鱼叉式网络钓鱼活动。CALISTO在其VPS上使用Evilginx来捕获受害者的凭据。这个众所周知的开源工具在受害者和合法网站之间创建一个SSL反向代理，以捕获Web凭据、2FA令牌。

详情

巴西零售巨头Fast Shop遭受勒索攻击

日期: 2022-06-23
标签: 巴西, 批发零售, Fast Shop, 勒索, 勒索攻击, 

2022年上半年，勒索软件和勒索组织特别关注超市和零售商。瑞典、特立尼达、南部非洲多个国家的大型连锁超市都遭受了勒索攻击。2022年6月中旬，巴西零售巨头Fast Shop在被黑客接管并发送了几条关于网络攻击的消息后，重新控制了其推特账户。但2022年6月23日，黑客再次接管了该公司的推特账户，并表示他们一直在对Fast Shop的IT和云系统发起“勒索攻击”。黑客声称已经从 VCenter 和各种云服务、AWS、AZURE、IBM GITLAB 获得了一些 TB 的数据访问权限。这些数据包括源代码、PCI 数据、各种用户和公司数据。目前尚不清楚背后的勒索组织。

详情

Hive 声称对阿根廷多媒体公司 Artear 的攻击负责

日期: 2022-06-23
标签: 阿根廷, 文化传播, Artear, Hive, 勒索, 

2022年6月1日， 阿根廷多媒体公司Artear 遭到了勒索攻击。Arte Radiotelevisivo Argentino (Artear)是Grupo Clarín旗下的一家公司，致力于制作和播放各种电视频道，例如El Trece的主要开放和有线电视信号。2022年6月23日，Artear证实了背后的攻击者是勒索团伙。Hive声称已从Artear.com下载了总大小超过 1.4Tb 的重要信息，并且已泄露该公司的合同、nda 和其他协议文件、公司私人信息（预算、计划、投资、公司银行、报表等）、高管信息和员工信息等。DataBreaches 提供了一个文件树和大量似乎来自 Artear 的文件样本。样本包含发票、员工合同、健康保险相关信息、宣誓书、一些护照、身份证和体检。

详情

立陶宛警告针对政府网站的 DDoS 攻击增加

日期: 2022-06-23
标签: 俄罗斯, 立陶宛, 政府部门, 信息技术, 金融业, 交通运输, 能源业, 立陶宛国家网络安全中心 (NKSC), Legion – Cyber Spetsnaz RF, 俄乌战争, 

2022年6月23日，立陶宛国家网络安全中心 (NKSC) 发布了一项公开警告，称针对该国公共当局的分布式拒绝服务 (DDoS) 攻击急剧增加。DDoS 是一种特殊类型的网络攻击，它会导致 Internet 服务器被大量请求和垃圾流量所淹没，从而使合法访问者和用户无法访问托管站点和服务。据 NKSC 称，由于这些网络攻击，立陶宛的运输机构、金融机构和其他大型实体经历了暂时的服务中断。NCSC 敦促关键信息基础设施和国家信息资源的所有管理者采取额外的安全措施，并遵循 NCSC 的建议，以防止服务中断攻击。2022 年 6 月 21 日，一个名为“Legion – Cyber Spetsnaz RF”的俄罗斯黑客组织在 Telegram 上发布了针对许多立陶宛实体的网络战。这些实体包括大型银行、物流公司、互联网提供商、机场、能源公司、大众媒体集团以及各种国家和部委网站。俄罗斯黑客通过 DDoS 攻击立陶宛网站，因为该国政府响应欧盟制裁，在俄罗斯和加里宁格勒飞地之间实施了有限的货物运输封锁。

详情

日本汽车软管制造商遭勒索软件袭击，关闭生产控制系统

日期: 2022-06-23
标签: 美国, 日本, 制造业, Nichirin-FLEX USA, 勒索, 勒索攻击, 

日本日林公司（Nichirin Co.）的一家美国子公司制造和销售汽车软管和软管零件，遭到勒索，导致该子公司的网络和生产控制系统关闭。受影响的子公司是位于德克萨斯州的 Nichirin-FLEX USA，该公司于 2022 年 6 月 14 日经历了“未经授权的外部访问”，导致其服务器感染了勒索软件。为了防止威胁蔓延到母公司和全球其他 Nichirin 子公司的网络，受影响的网络已被关闭。Nichirin-FLEX USA还表示，冒充公司的恶意电子邮件已发送至公司外部的目标。Nichirin-FLEX USA警告收件人不要回复、访问 URL 或打开其中包含的附件。

详情

APT-C-56（透明部落）伪装印度国防部邮件攻击的跟踪简报

日期: 2022-06-22
标签: 印度, 政府部门, APT-C-56, CrimsonRAT, APT舆情, 

近日，360高级威胁研究院在日常情报挖掘中发现并捕获到了透明部落攻击印度国防部的文档，恶意文档最终释放CrimsonRAT。之前透明部落就曾经试图攻击印度国防部，此次捕获的文档与之前的攻击文档从内容到流程基本相同，最后释放的还是上次的攻击RAT，仅文档发生了一点变化，暂时尚不能确定是否仅是测试文档，还是上次攻击未被发现披露的IOC。

详情

MuddyWater针对中东的攻击活动

日期: 2022-06-22
标签: 伊朗, 政府部门, MuddyWater, APT舆情, 

自2020年最后一个季度以来，MuddyWater一直在针对中东国家开展“长期”攻击活动。lab52收集了从2020年11月到2022年1月的样本，由于最近发现的样本，表明此攻击活动目前可能仍处于活跃状态。据称由伊朗政府赞助并与伊朗革命卫队有关的Muddy Water组织的最新的活动可以在维护伊朗地区主权的动态范围内进行。

详情

黑客组织Anonymous针对多个俄罗斯实体发起攻击

日期: 2022-06-23
标签: 乌克兰, 俄罗斯, 信息技术, 政府部门, 制造业, 交通运输, 莫斯科厄瓜多尔大使馆, Anonymous（匿名者）, 俄乌战争, 

2022年6月22日，Anonymous发布了来自俄罗斯克拉斯诺亚尔斯克边疆区最大城市克拉斯诺亚尔斯克公共商会的 69,000 封电子邮件（41.1 GB）。克拉斯诺亚尔斯克是西伯利亚大铁路的重要枢纽，也是俄罗斯最大的铝生产商之一。2022年6月23日，黑客组织Anonymous又通过DDoSecrets发布了 2018 年至 2022 年 3 月期间俄罗斯的 30,000 多封电子邮件以及来自莫斯科厄瓜多尔大使馆的 40,000 个文件。

详情

CALISTO将持续其证书收集活动

日期: 2022-06-22
标签: 乌克兰, 政府部门, 能源业, COLDRIVER（Calisto）, 俄乌战争, 

2022年3月30日，Google TAG发布了几个与CALISTO相关的国际石油公司，CALISTO是与俄罗斯有关的威胁行为者，也被称为COLDRIVER，过去曾针对几个西方非政府组织，智囊团和国防部门，根据Google TAG的说法，运营商使用新创建的Gmail帐户进行鱼叉式网络钓鱼活动。根据TAG的调查结果，CALISTO至少在一次攻击活动中使用了Google Docs和Microsoft One驱动器上托管的诱饵文档，以诱使受害者单击指向网络钓鱼域的链接，旨在显示文档的内容。该策略包括使用合法服务作为凭据网络钓鱼的代理，其目的是绕过受害者邮件网关的控制，因为电子邮件本身不再包含恶意链接。Google TAG将CALISTO的行动与俄罗斯情报和安全部门联系起来。目前已经能够高置信度链接24个与CALISTO操作相关的Evilginx操作的独特域。

详情

UAC-0098针对乌克兰关键基础设施的网络攻击活动

日期: 2022-06-21
标签: 乌克兰, 俄罗斯, 政府部门, UAC-0098, CVE-2022-30190（Follina）, 俄乌战争, 

乌克兰CERT-UA检测到恶意文档“Imposition ofpension.docx”，将打开一个HTML文件并执行JavaScript代码(CVE-2022-30190)，该代码将下载并运行恶意程序Cobalt Strike Beacon。与协调主体合作，发现上述DOCX文档包含在受密码保护的“Imposition of Penalty Sanctions.zip”文件中，该文件又通过电子邮件分发，据称是代表乌克兰国家税务局。该活动是持续的，并跟踪为UAC-0098。

详情

APT28使用CredoMap恶意软件攻击乌克兰

日期: 2022-06-21
标签: 乌克兰, 俄罗斯, 信息技术, APT28（Fancy Bear）, CVE-2022-30190（Follina）, 俄乌战争, 

乌克兰CERT-UA发现了一个恶意文件“核恐怖主义是非常真实的威胁.rtf”，其打开将下载HTML文件并执行JavaScript代码（CVE-2022-30190），最终将下载和启动CredoMap恶意软件。根据特征集，乌克兰CERT-UA认为可以将本次检测到的活动与APT28组织的活动相关联。

详情

英国快递公司遭受网络攻击导致服务中断

日期: 2022-06-21
标签: 英国, 交通运输, Yodel, 快递运输, 

英国快递服务公司Yodel的服务因网络攻击而中断，网络攻击导致包裹分发和在线订单跟踪延迟。2022年6月21日，Yodel在其网站上发表了一份公开声明，确认服务中断是由于网络事件造成的，并通知用户“包裹可能会比预期更晚到达”，但该公司没有公布有关该事件的任何细节。而在2022年6月中旬，Yodel 的包裹跟踪和客户服务就受到了影响，一些Yodel的客户声称他们至少四天没有包裹信息。Yodel建议其客户避免回复要求提供个人信息或参考需要此类详细信息的网页通信。

详情

哈萨克斯坦政府特工在其境内部署间谍软件

日期: 2022-06-21
标签: 哈萨克斯坦, 政府部门, 信息技术, OPPO, 三星（Samsung）, Vivo, Hermit, 间谍软件, 

研究人员发现哈萨克斯坦政府的一名特工一直在对其国内目标使用企业级间谍软件。哈萨克斯坦政府使用品牌冒充来诱骗受害者下载被称为“Hermit”的恶意软件。Hermit 是由 RCS Lab （一家专门从事数字监控的意大利公司）开发的高级模块化程序，具有对目标手机进行各种监视的能力——不仅收集数据，还可以记录和拨打电话。政府特工发送声称来自 OPPO 的短信，这实际上是恶意劫持了该OPPO公司官方哈萨克语支持页面的链接：http[://]oppo-kz[.] custhelp[.]com。在某些情况下，攻击者还冒充三星和 Vivo。受害者打开短信并点击被劫持页面的链接，就会加载恶意程序。加载时，恶意软件会在目标计算机的后台同时下载，然后连接到该国首都努尔苏丹的一家小型服务提供商托管的 C2 服务器。研究人员称有证据表明该活动是由哈萨克斯坦的的一个属于州政府的实体控制的。

详情

俄罗斯政府黑客使用 Cobalt Strike、CredoMap 恶意软件袭击乌克兰

日期: 2022-06-21
标签: 乌克兰, 俄罗斯, 政府部门, 信息技术, 乌克兰计算机应急响应小组（CERT-UA）, APT28（Fancy Bear）, UAC-0098, Cobalt Strike, CredoMap, 网络钓鱼, 漏洞利用, CVE-2022-30190（Follina）, 俄乌战争, Follina, 

乌克兰计算机应急响应小组 (CERT-UA) 警告称，俄罗斯黑客组织APT28正在利用新的网络钓鱼活动中的 Follina 代码执行漏洞来安装 CredoMap 恶意软件和 Cobalt Strike 信标。APT28 黑客组织发送的电子邮件包含恶意文件名称“Nuclear Terrorism A Very Real Threat.rtf.”，利用乌克兰人对潜在核攻击的恐惧诱使收件人打开。CredoMap恶意软件使用 IMAP 电子邮件协议泄露被盗数据，将所有内容发送到 C2 地址，该地址托管在一个废弃的迪拜站点上。在进行上述活动的同时，CERT-UA 还发现了一个被跟踪为 UAC-0098 的黑客组织发起的另一个钓鱼活动，该活动也使用 CVE-2022-30190 以最少的交互感染目标。在这项活动中，黑客使用名为“Imposition ofpension.docx”的 DOCX 文件，从远程资源获取Cobalt Strike 信标 (ked.dll)。发送的电子邮件据称来自乌克兰国家税务局，主题为：“未缴税通知”。CERT-UA 建议关键组织的员工对电子邮件传递的威胁保持警惕，因为鱼叉式网络钓鱼攻击的数量仍然很高。

详情

Microsoft Exchange服务器被新的ToddyCat APT团伙入侵

日期: 2022-06-21
标签: 中国, 俄罗斯, 印度, 伊朗, 信息技术, 微软（Microsoft）, ToddyCat APT, Samurai, Ninja Trojan, 涉我舆情, APT舆情, 

自2020年12月以来，一个名为ToddyCat的高级持续性威胁（APT）组织一年多来一直瞄准整个亚洲和欧洲的Microsoft Exchange服务器。在跟踪该组织的活动时，卡巴斯基全球研究与分析团队（GReAT）的安全研究人员还发现了一个以前未知的被动后门，他们将其命名为Samurai和新的木马恶意软件，称为Ninja Trojan。这两种恶意软件都允许攻击者控制受感染的系统，并在受害者的网络中横向移动。卡巴斯基表示，ToddyCat的受害者与多个中文群体所针对的行业和国家有关。他们（在三个不同的国家）入侵的一些实体也在同一时间被中国支持的黑客使用FunnyDream后门黑客入侵。

详情

台湾硬件制造商QNAP NAS设备受到eCh0raix勒索软件攻击

日期: 2022-06-20
标签: 中国台湾, 信息技术, 制造业, QNAP, eCh0raix, 勒索攻击, 

根据用户投诉和 ID Ransomware 网站上的样本上传，研究人员发现，ech0raix 勒索软件已在2022年6月中旬恢复针对QNAP 网络附加存储 (NAS) 系统的攻击。ech0raix（也称为 QNAPCrypt）在 2019 年夏天开始大规模攻击 QNAP 客户，当时攻击者强行进入暴露在互联网上的 NAS 设备。而在2022年，ech0raix 勒索软件的第一次攻击发生在 6 月 8 日。NAS制造商表示，此次攻击针对使用QTS 4.3.6和QTS 4.4.1的NAS设备，受影响的机型主要是TS-x51系列和TS-x53系列。QNAP 敦促所有 NAS 用户尽快检查并更新 QTS 到最新版本，并避免将他们的 NAS 暴露在互联网上。

详情

黑客在闪电贷攻击中瞄准Inverse Finance

日期: 2022-06-20
标签: 美国, 金融业, 信息技术, Inverse Finance, 闪电贷攻击, 加密货币, USDT, WBTC, 

去中心化自治组织 (DAO) Inverse Finance 遭受了闪电贷攻击，黑客窃取了价值 126 万美元的 Tether (USDT) 和 Wrapped Bitcoin (WBTC)。就在两个月后，Defi 交易所目睹了黑客利用价格预言操纵漏洞窃取了 1560 万美元的漏洞。 该组织表示：“Inverse Finance 的 Frontier 货币市场受到预言机价格操纵事件的影响，导致 DOLA 净损失 583 万美元，攻击者总共赚取 120 万美元。”Inverse Finance 是一种基于以太坊的去中心化金融 (DeFi) 协议，可促进加密货币的借贷。最新的漏洞利用通过使用闪电贷攻击来实现，黑客从 Defi 平台获取闪电贷。随后，他们在同一笔交易中还款，导致加密资产价格飙升，然后迅速撤回投资。发现攻击后，defi 协议暂时暂停借贷，并从货币市场下架 DOLA 稳定币，称正在调查此事件，而没有用户资金面临风险。

详情

德国绿党称电子邮件系统受到网络攻击

日期: 2022-06-20
标签: 德国, 政府部门, 国际组织, 恶意攻击, 

德国绿党是该国执政联盟的一部分，它表示，其IT系统上个月遭到网络攻击，影响了外交部长Annalena Baerbock和经济部长Robert Habeck的电子邮件帐户。该党在2022年6月18日证实了德国周刊《明镜周刊》（Der Spiegel）的一篇报道，但表示自一月份以来一直没有积极使用他们的党派账户。绿党表示，共有14个账户 - 包括党内领导人里卡达·朗（Ricarda Lang）和奥米德·努里普尔（Omid Nouripour）的账户 - 以这样的方式遭到破坏，以至于一些电子邮件被转发到党外的地址。

详情

匿名组织宣布关闭了白俄罗斯国家情报局（KGB）的网站

日期: 2022-06-20
标签: 乌克兰, 俄罗斯, 政府部门, 俄乌战争, 

2022年6月20日，匿名者在推特上声称关闭了白俄罗斯国家情报局（KGB）的网站。并附相关图片信息。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

勒索软件团伙利用Mitel VOIP零日漏洞

日期: 2022-06-24
标签: 信息技术, Mitel VOIP, CVE-2022-29499, 漏洞利用, 

CrowdStrike的安全研究人员偶然发现勒索软件参与者对位于网络边界的Mitel VOIP设备部署零日漏洞利用。这一发现进一步证实了勒索软件犯罪分子越来越多地投资于用于数据勒索攻击的零日漏洞利用，并且配置不良的网络设备为恶意黑客提供了一个有吸引力的切入点。根据CrowdStrike研究员Patrick Bennett的说法，勒索软件行为者在Mitel MiVoice Connect设备上执行了一种新颖的远程代码执行漏洞（CVE-2022-29499），并竭尽全力在VOIP设备上执行反取证技术以掩盖其踪迹。该漏洞由 Mitel 在未确认零日漏洞利用的情况下进行修补，被评为“严重”漏洞，并影响 Mitel 的 MiVoice Connect（Mitel 服务设备 – SA 100、SA 400 和 Virtual SA）的一个组件。

详情

MEGA 修复了允许解密用户数据的关键缺陷

日期: 2022-06-22
标签: 新西兰, 信息技术, MEGA, RSA, 

MEGA已发布安全更新，以解决一组可能暴露用户数据的严重漏洞，即使数据以加密形式存储也是如此。MEGA是一家位于新西兰的云存储和文件托管服务，拥有超过200个国家的2.5亿注册用户。用户总共上传了1200亿个不同的文件，大小达1000 PB。瑞士苏黎世联邦理工学院的研究人员发现了MEGA加密方案中的漏洞，并于2022年3月24日向该公司负责任地报告了这一点。虽然研究人员发现了五种可能的攻击，这些攻击依赖于相同数量的缺陷的用户数据，但它们都依赖于窃取和解读RSA密钥。MEGA已经修复了可能导致所有客户端上用户数据解密的两个漏洞（RSA密钥恢复和明文恢复），缓解了第三个漏洞（框架），并计划在即将推出的更新中解决其余两个已发现的问题。

详情

Icefall：56个漏洞影响数千个暴露的工业设备

日期: 2022-06-21
标签: 美国, 信息技术, 制造业, 霍尼韦尔, 摩托罗拉, 欧姆龙, 西门子, 艾默生, 捷太格特, 宾利内华达, 凤凰合同, ProConOS, 横河电机, CVE-2022-29966, CVE-2022-30267, CVE-2022-29952, CVE-2022-29953, CVE-2022-31240, CVE-2022-31241, CVE-2022-30270, CVE-2022-30271, CVE-2022-30269, CVE-2022-30276, CVE-2022-29957, CVE-2022-30260, CVE-2022-29961, CVE-2022-30262, CVE-2022-30313, CVE-2022-30315, 工业漏洞, 

已经发布了一份关于一组56个漏洞的安全报告，这些漏洞统称为Icefall，并影响各种关键基础设施环境中使用的操作技术（OT）设备。Icefall系列是由Forescout的Vedere Labs的安全研究人员发现的，它影响了十家供应商的设备。所包含的安全漏洞类型允许远程执行代码、泄露凭据、固件和配置更改、身份验证绕过和逻辑操作。受影响的供应商包括霍尼韦尔，摩托罗拉，欧姆龙，西门子，艾默生，捷太格特，宾利内华达，凤凰合同，ProConOS和横河电机。他们已在由Phoenix Contact，CERT VDE和美国网络安全和基础设施安全局（CISA）协调的披露中通知了他们。

详情

Google研究人员详细介绍了在野外利用的5年之久的Apple Safari漏洞

日期: 2022-06-20
标签: 信息技术, Apple, CVE-2022-22620, Safari, 

根据Google Project Zero的一份新报告，在野外利用的Apple Safari中的一个安全漏洞最初在2013年修复，并于2016年12月重新引入。该问题被跟踪为 CVE-2022-22620（CVSS 得分：8.8），涉及 WebKit 组件中的释放后使用漏洞，该漏洞可能被一段特制的 Web 内容利用该漏洞来获得任意代码执行。2022年2月初，苹果在Safari、iOS、iPadOS和macOS上发布了针对该漏洞的补丁，同时承认它“可能已被积极利用”。Stone表示，该事件并非Safari所独有，他进一步强调要花足够的时间来审核代码和补丁，以避免重复修复程序的情况，并了解正在进行的更改对安全的影响。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   安全分析

近期疑似海莲花组织攻击活动样本溯源分析

日期: 2022-06-21
标签: 中国香港, 信息技术, APT-C-00（海莲花), C2, 涉我舆情, APT舆情, 

2022年6月15日在追踪高级黑客组织的过程中发现了可疑的木马加载器，依据掌握的以往海莲花黑客组织的攻击情报，结合该恶意文件的上传地区为中国香港，且上传时间为2022年6月15日，虽然从恶意文件中提取的C2资产已失效，但经过TTP与提取的C2存活周期时间以及2021年中获取的攻击事件恶意文件beacon通信配置比对可追溯到可能为海莲花黑客组织2021年6月份前后的攻击活动。

详情

0x08   其他事件

报告：2022年上半年俄罗斯GRU和SVR网络间谍活动概述

日期: 2022-06-26
标签: 俄罗斯, 信息技术, 政府部门, 俄罗斯主要情报局 (GRU), 俄罗斯外国情报局 (SVR), APT28（Fancy Bear）, Cozy Bear, 俄乌战争, 

2022年6月26日，研究人员@BushidoToken Threat Intel发布报告，旨在利用开源情报 (OSINT) 报告来强调俄罗斯的网络对手在 2022 年 1 月利用的最近公开的策略、技术和程序 (TTP) 及其重要性。2022年2月24日，俄罗斯入侵乌克兰，归因于俄罗斯主要情报局 (GRU) 和俄罗斯外国情报局 (SVR)的两个著名 APT 组织FancyBear和CozyBear（以及许多其他组织）一直在忙于发起广泛的情报收集入侵活动，以支持俄罗斯政府和俄罗斯军队。对于许多顶级企业、政府组织和政治实体而言，这些代表俄罗斯 GRU 和 SVR 运营的黑客组织是优先威胁，其能力是最受关注的。

详情

谷歌称，意大利间谍软件瞄准苹果和安卓手机

日期: 2022-06-23
标签: 意大利, 哈萨克斯坦, 政府部门, 信息技术, 文化传播, 微软（Microsoft）, 谷歌（Google）, Apple, Hermit, 间谍软件, 

2022年6月23日，谷歌的威胁分析团队表示，一家总部位于意大利的公司RCS的黑客工具被用来监视意大利和哈萨克斯坦的 Apple 和 Android 智能手机，揭示了“蓬勃发展”的间谍软件行业。RCS 实验室制造的间谍软件使用多种策略来攻击手机，包括在受害者不知情的情况下发生的不寻常的“偷渡式下载”。2021年多家媒体报道称，以色列公司 NSO 的 Pegasus 工具被政府用来监视反对者、活动家和记者，这加剧了对间谍软件的担忧。NSO 和 RCS 等公司声称只向情报和执法机构等合法使用监控软件的客户销售产品。实际上，这些工具经常以国家安全为幌子被滥用来监视企业高管、人权活动家、记者、学者和政府官员。这些间谍软件通过让人们点击发送给目标的消息中的链接来传播。当不伪装成移动互联网服务提供商时，网络间谍会发送假装来自电话制造商或消息应用程序的链接，以诱骗人们点击。“商业间谍软件行业正在蓬勃发展，并以显着的速度增长，”谷歌表示。

详情

虚假信息战——我们如何应对假新闻？

日期: 2022-06-22
标签: 英国, 文化传播, 虚假信息战, 

2022年6月22日，BGL Insurance网络安全总监 Ian Hill主持了一场关于虚假信息战的圆桌讨论，探讨了假新闻背景下主观真实与客观事实之间的关系。特别是随着深度造假和假新闻的出现，从虚构中解读事实变得越来越具有挑战性。Hill使用了许多案例研究来阐明虚假信息的重大问题。一个这样的案例研究是最近英国的“燃料短缺”，事实上并没有汽油短缺，对汽油的压倒性需求是由社交媒体和虚假信息造成的。Hill随后提出了一个“信息污染”框架，将不同类型的虚假信息分为三个子组：错误信息、虚假信息和恶意信息。会议还强调了当今人类需要一个既不太开放也不太封闭的在线信息环境，虚假信息是互联网这个新战场的武器。

详情

美国最新国防政策法案包含多项网络安全条款

日期: 2022-06-23
标签: 美国, 政府部门, 信息技术, 美国财政部, 美国众议院军事委员会, 网络安全法案, 

2022年6月23日，美国众议院军事委员会批准了其年度国防政策法案版本，其中包括多项网络安全条款。这项国防授权法案涉及8400亿美元，还包含一些与网络相关的修正案，其中包括要求国土安全部向国会提交一份报告，详细说明联邦网络事件响应的角色和责任。另一项修正案要求美国财政部长向金融服务委员会提交一份年度报告，需要说明该部门为保护美国金融部门所做的网络安全工作的状况，因为该部门长期以来一直是外国黑客的目标。

详情

云电子邮件威胁一年内飙升101%

日期: 2022-06-23
标签: 信息技术, 微软（Microsoft）, 谷歌（Google）, 邮件钓鱼, 

2021 年，趋势科技通过基于云的电子邮件阻止了超过 3360 万个电子邮件网络威胁，增长了 101%。其中包括 1650 万封网络钓鱼电子邮件，同比增长 138%，其中 650 万封是凭据网络钓鱼尝试。趋势科技还阻止了基于云的电子邮件中的 330 万个恶意文件，其中已知威胁增加了 134%，未知恶意软件增加了 221%。许多用户没有意识到黑客可能会花费大量时间和精力与受害者建立通过电子邮件的融洽关系，尤其是当他们试图进行商业电子邮件泄露 (BEC) 攻击时。黑客还可能滥用来自 Google、Microsoft 和其他来源的合法服务来托管和分发恶意软件和凭据收集门户。OneDrive 是最常用的，其次是 Google Drive、Dropbox、Discord、Firebase 和 SendGrid。

详情

美国、英国、新西兰反对禁用 PowerShell

日期: 2022-06-22
标签: 美国, 英国, 新西兰, 信息技术, 微软（Microsoft）, PowerShell, 

美国网络安全机构 、新西兰和英国国家网络安全中心：表示安全官员不应禁用或删除微软的PowerShell工具，该工具通常用于自动化系统管理，但经常被黑客滥用。这些机构发布了一份8页的文件，其中建议防御者如何正确配置和监控PowerShell，而不是完全删除或禁用它。PowerShell 是 Microsoft Windows 和 Azure 附带的一种流行的脚本语言和命令行工具，它提供了许多功能，包括自动执行任务、改进事件响应和启用取证工作的能力。但据国家安全局（NSA）称，它已被黑客和勒索软件组织广泛用作利用后工具。

详情

安全趋势：白帽子和黑客电子竞技的游戏化

日期: 2022-06-22
标签: 信息技术, 白帽子, 网络安全技能, 

2022年6月22日，Delinea 首席安全科学家兼咨询首席信息安全官 Joseph Carson 探讨了为什么游戏化平台和黑客电子竞技是未来。游戏化黑客平台的最大优点之一是它们可以帮助提高特定和高度针对性领域的安全技能和经验。例如，组织可以在事件响应、Windows 权限升级、云安全和数字取证等领域或可能存在知识差距的任何其他领域规划教育轨道。游戏化平台具有互动性和挑战性，通常要求参与者跳出框框思考。通过反复试验学习，白帽子平台的用户通常比那些通过一系列复选框练习参加教科书培训的用户更好地掌握技能。一些世界顶级黑客现在正在网上直播他们的黑客技能，展示如何绕过安全性并通过最初的立足点，然后提升特权的新技术和方法。这绝对是今年将继续扩散的新趋势，我们甚至可能最终看到黑客成为一项 EL3T3 运动，观众将付费观看黑客的黑客行为。

详情

研究质疑乌克兰 IT 军队的潜在危险影响

日期: 2022-06-22
标签: 乌克兰, 俄罗斯, 政府部门, 信息技术, 乌克兰IT军队, DDoS, 俄乌战争, 

2022年6月22日，美国安全研究中心的一名研究员表示，欧盟和北约并没有完全应对乌克兰 IT 军队的潜在后果。苏黎世智库高级研究员 Stefan Soesanto 曾在欧洲外交关系委员会和兰德布鲁塞尔办事处任职，他在一篇 32 页的论文中写道，乌克兰 IT 军队的公共方面是志愿者对俄罗斯政府和私人公司网站进行分布式拒绝服务攻击。此类攻击充斥着虚假流量的网站，使其离线。乌克兰IT军队的Telegram 频道已经列出了至少 662 个俄罗斯潜在 DDoS 攻击目标，同时还进行了许多非公开攻击，这些攻击至少显示出与情报部门的一些协调或合作。专家表示，“然而，就像任何军队一样，也可能存在腐败、暴行和掠夺者。此外，其他国家公民的参与可能会将他们各自的国家拖入战争。”“这不是网络战第一次成为战争的一部分，但这是可能定义未来网络战参与规则的最重要实例。”

详情

微软：俄罗斯针对42个乌克兰盟友国进行网络间谍活动

日期: 2022-06-22
标签: 乌克兰, 俄罗斯, 美国, 波兰, 丹麦, 挪威, 芬兰, 瑞典, 土耳其, 政府部门, 信息技术, 微软（Microsoft）, 俄乌战争, 

2022年6月22日，微软在一份报告中表示，国家支持的俄罗斯黑客在针对乌克兰进行无情的网络攻击同时，还对42个支持基辅的国家的政府、智囊团、企业和援助组织进行了“战略间谍活动”。自战争开始以来，随着国家联盟联合起来保卫乌克兰，俄罗斯情报机构加强了针对乌克兰以外盟国政府的网络渗透和间谍活动，俄罗斯（针对乌克兰盟友）的目标成功率为 29%。近三分之二的网络间谍目标涉及北约成员国。美国是主要目标，波兰是向乌克兰提供军事援助的主要渠道，排名第二。在2022年5月和6月，俄罗斯针对丹麦、挪威、芬兰、瑞典和土耳其的攻击有所加强。

详情

保卫乌克兰：网络战争的早期教训

日期: 2022-06-22
标签: 俄罗斯, 乌克兰, 国际组织, 政府部门, 微软（Microsoft）, 俄乌战争, 

2022年6月22日，微软发布了一份新的情报报告：《保卫乌克兰：网络战争的早期教训》。本报告代表了 Microsoft 威胁情报和数据科学团队进行的研究，旨在加深对乌克兰持续战争中威胁形势的理解。报告还提供了从收集和分析的数据中得出的一系列经验教训和结论。值得注意的是，该报告揭示了有关俄罗斯努力的新信息，包括乌克兰境外盟国政府，非营利组织和其他组织的网络渗透率和间谍活动的增加。这份报告还揭示了有关复杂而广泛的俄罗斯对外影响力行动的细节，这些行动除其他外，被用来破坏西方的团结并加强他们的战争努力。这些外国影响行动以协调的方式实施，以及全方位的网络破坏性和间谍活动。最后，该报告呼吁制定一项协调和全面的战略来加强集体防御——这项任务需要私营部门、公共部门、非营利组织和民间社会团结起来

详情

微软揭示本周Microsoft 365中断背后的原因

日期: 2022-06-22
标签: 西欧, 北美, 中东, 非洲, 欧洲, 信息技术, 微软（Microsoft）, 关键基础设施, 

微软透露，Microsoft 365全球中断是由基础设施断电引起的，导致多个区域的流量管理服务故障转移。从 6 月 20 日星期一晚上 11：00 UTC 开始，客户在尝试访问和使用 Microsoft 365 服务时开始遇到并报告多个问题。在检测到中断的第一个迹象超过16小时后，6月21日星期二下午3：27 UTC，微软在发送给客户的MO394389服务警报的更新中表示，根本原因是基础设施断电。受影响的服务包括Microsoft Teams通信平台，Exchange Online托管电子邮件平台，SharePoint Online，Universal Print和Graph API。中断对于西欧的客户来说，最为严重，这种影响也扩展到整个EMEA（欧洲，中东和非洲），北美和亚太地区的“一小部分”用户。

详情

欧洲刑警组织突袭网络钓鱼团伙，9人在荷兰被捕

日期: 2022-06-21
标签: 欧洲, 比利时, 荷兰, 信息技术, 金融业, 欧洲刑警组织（Europol）, 网络钓鱼, 网络欺诈, 网络诈骗, 

2022年6月21日，比利时和荷兰警方与欧洲刑警组织（Europol）合作，逮捕了一个涉嫌参与网络钓鱼诈骗的犯罪团伙，在对荷兰24所房屋的搜查中，9人被捕。这些网络犯罪分子涉嫌网络钓鱼、网络诈骗和洗钱，他们通过电子邮件、短信、WhatsApp 消息与受害者联系，然后诱骗受害者通过网络钓鱼链接进入假冒银行网站。此次突袭是在阿姆斯特丹、荷兰中部、西布拉班特、鹿特丹、荷兰东部和海牙进行的，缴获了枪支、弹药、珠宝、电子设备、数千欧元和加密货币。

详情

Adobe Acrobat 可能会阻止防病毒工具监控 PDF 文件

日期: 2022-06-21
标签: 信息技术, Adobe, Bitdefender, Avast, 趋势科技（Trend Micro）, Symantec, Malwarebytes, ESET, 卡巴斯基（Kaspersky）, F-Secure, Sophos, Emsisoft, PDF, 

安全研究人员发现，Adobe Acrobat正试图阻止安全软件查看其打开的PDF文件，从而给用户带来安全风险。Adobe的产品正在检查30种安全产品的组件是否加载到其进程中，并可能阻止它们，实质上是拒绝它们监视恶意活动。要使安全工具正常工作，它需要了解系统上的所有进程，这是通过将动态链接库（DLL）注入到机器上启动的软件产品中来实现的。自2022年3月以来，观察到Adobe Acrobat Reader进程逐渐增加，试图通过获取DLL的句柄来查询哪些安全产品DLL加载到其中，根据一份报告显示，该列表已增长到包括来自不同供应商的安全产品的30个DLL。在消费者中更受欢迎的是Bitdefender，Avast，Trend Micro，Symantec，Malwarebytes，ESET，Kaspersky，F-Secure，Sophos，Emsisoft。

详情

Cloudflare 中断导致数百个网站离线

日期: 2022-06-21
标签: 美国, 信息技术, 金融业, Cloudflare, Discord, Medium, 比特币基地（Coinbase）, NordVPN, Feedly, 供应链, 

2022年6月21日，在网络基础设施服务提供商Cloudflare 遇到问题后，包括 Discord、Medium、Coinbase、NordVPN 和 Feedly 等在内的数百个网站在早上大面积离线 。Cloudflare称此次中断影响了他们 19 个数据中心的流量。但Cloudflare解释道，这是由一项长期项目中的一项变化引起的，排除了黑客攻击的可能性。据称，Cloudflare今后将更新包括包含用于变更程序和自动化操作的特定于 Multi-Colo PoP (MCP) 的测试和部署程序、重新设计公司的路由广告和各种自动化改进，以避免类似情况再次发生。

详情

新的 NTLM 中继攻击使攻击者能够控制 Windows 域

日期: 2022-06-21
标签: 信息技术, 微软（Microsoft）, Windows NTLM中继攻击, DFSCoerce, MS-EFSRPC, 

一种名为DFSCoerce的新型Windows NTLM中继攻击已被发现，它利用分布式文件系统（DFS）：命名空间管理协议（MS-DFSNM）来夺取对域的控制权。NTLM（NT Lan 管理器）中继攻击是一种challenge-response机制的众所周知的方法。它允许恶意方位于客户端和服务器之间，拦截和中继经过验证的身份验证请求，以便获得对网络资源的未经授权的访问，从而有效地在Active Directory环境中获得初始立足点DFSCoerce的发现遵循一种名为PetitPotam的类似方法，该方法滥用Microsoft的加密文件系统远程协议（MS-EFSRPC）来强制Windows服务器（包括域控制器）在攻击者的控制下使用中继进行身份验证，从而使威胁行为者可能接管整个域。

详情

新的 DFSCoerce NTLM 中继攻击允许 Windows 域接管

日期: 2022-06-20
标签: 信息技术, 微软（Microsoft）, 中继攻击, 

研究人员已经发现了一种新的 DFSCoerce Windows NTLM 中继攻击，它使用 Microsoft 的分布式文件系统 MS-DFSNM 来完全接管 Windows 域。许多组织使用 Microsoft Active Directory 证书服务，这是一种公钥基础结构 (PKI) 服务，用于对 Windows 域上的用户、服务和设备进行身份验证。但是，此服务容易受到 NTLM 中继攻击，即黑客强制或强制域控制器对攻击者控制下的恶意 NTLM 中继进行身份验证。然后，该恶意服务器将通过 HTTP 将身份验证请求中继或转发到域的 Active Directory 证书服务，并最终被授予 Kerberos 票证授予票证 (TGT)。此票证允许黑客假设网络上任何设备的身份，包括域控制器。一旦黑客模拟了域控制器，他们将拥有提升的权限，允许攻击者接管域并运行任何命令。

详情

前亚马逊员工被判数据泄露罪

日期: 2022-06-20
标签: 美国, 金融业, 亚马逊（Amazon ）, 数据泄漏, 网络犯罪, 

一名前亚马逊网络服务(AWS) 员工Paige Thompson被判犯有与美国有史以来最大的数据泄露事件之一有关的多项罪行。现年 36 岁的 Paige Thompson 在 2019 年臭名昭著的Capital One 黑客攻击 中使用她构建的用于搜索 AWS 上配置错误的账户的工具，窃取了超过 1 亿人的个人信息 ，并劫持了计算机服务器来开采加密货币。在美国，电汇欺诈最高可判处 20 年监禁，而非法访问受保护计算机和损坏受保护计算机最高可判处 5 年监禁。此次事件中，Paige Thompson被判犯有严重的身份盗窃和访问设备欺诈罪。

详情

俄罗斯用户无法Windows 10和Windows 11

日期: 2022-06-20
标签: 俄罗斯, 美国, 信息技术, 微软（Microsoft）, 俄乌战争, 操作系统, 

2022年6月下旬，俄罗斯用户不能再从微软下载 Windows 10 和 Windows 11 ISO 和安装工具。BleepingComputer 使用位于俄罗斯的 VPN 服务器确认，尝试下载 Windows 10 更新助手、Windows 10 媒体创建工具和 Windows 11 安装助手时，俄罗斯用户会看到一条消息，指出“404 - 文件或目录不是成立。” 尝试下载 Windows 10 和 Windows 11 ISO 时，用户会看到一条错误消息，指出“您的请求有问题”。但仍然可以下载 Windows 11 媒体创建工具，但运行它最终会产生 0x80072F8F-0x20000 错误，并显示：“由于某种未知原因，此工具无法在您的计算机上运行。”俄罗斯用户表示利用俄罗斯以外的VPN服务器，就可以再次从微软下载文件，且不会受到政府惩罚。目前尚不清楚这是技术错误还是微软故意阻止下载。

详情

0x09   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x0a   时间线

2022-06-27 360CERT发布安全事件周报