报告编号：B6-2022-070401

报告来源：360CERT

报告作者：360CERT

更新日期：2022-07-04

0x01   事件导览

本周收录安全热点54项，话题集中在恶意程序、网络攻击方面，涉及的组织有：微软、沃尔玛、亚马逊、乌克兰IT军队等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

勒索软件AstraLocker 2.0通过 Word 文件感染用户

日期: 2022-07-03
标签: 信息技术, 微软（Microsoft）, 网络钓鱼, 

安全研究人员发现，名为 AstraLocker 的勒索软件的开发人员最近发布了其第二个主要版本，并且利用该勒索软件进行了快速攻击，直接从电子邮件附件中抛出其有效负载。带有勒索软件负载的 OLE 对象隐藏在 Microsoft Word 文档中，这是 AstraLocker  2.0 开发人员使用的诱饵。WordDocumentDOC.exe 是嵌入式程序的文件名。用户必须在打开文档后显示的警告窗口中选择“运行”才能运行有效负载。攻击者似乎并不关心侦察、分析有价值的文件或横向网络移动，而在执行一种被称为“粉碎和抓取”的勒索软件操作。尽管加密时间很短，AstraLocker 仍然设法执行某些基本的勒索软件操作：它尝试禁用安全软件，禁用任何可能阻碍加密的活动程序，并避开虚拟计算机。

详情

微软在 Windows 网络中检测到 Raspberry Robin 蠕虫

日期: 2022-07-03
标签: 信息技术, 微软（Microsoft）, Raspberry Robin, 

微软表示，最近在众多行业的数百家公司的网络中发现了一个Windows 蠕虫病毒Raspberry Robin。Raspberry Robin于 2021 年 9 月首次被发现，通过受感染的 USB 设备传播。Raspberry Robin 通过包含有害 .LNK 文件的受污染 USB 驱动器传播到新的 Windows 框架。当 USB 小工具被加入并且用户点击链接时，蠕虫会产生一个 msiexec 交互，利用 cmd.exe 发送一个存放在受污染驱动器上的有害文件。它感染新的 Windows 小工具，与它的命令和控制服务器 (C2) 对话，并利用一些真正的 Windows 实用程序执行有害的有效负载。

详情

XFiles信息窃取恶意软件增加了对Follina交付的支持

日期: 2022-06-30
标签: 信息技术, XFiles, Follina, 

XFiles信息窃取者恶意软件添加了一个交付模块，该模块利用CVE-2022-30190（又名Follina）在目标计算机上丢弃有效负载。Cyberint的研究人员注意到在XFiles恶意软件的活动使用Follina下载有效载荷，执行它，并在目标计算机上创建持久性。恶意文档（最有可能通过垃圾邮件到达目标）包含一个 OLE 对象，该对象指向外部资源上的 HTML 文件，该文件包含利用 Follina 的 JavaScript 代码。这会导致提取包含 PowerShell 命令的 base64 编码字符串，以在 Windows 启动目录中创建持久性并执行恶意软件。该集团今年早些时候推出的一个新项目被称为“惩罚者矿工”，被宣传为一个高度回避和隐蔽的矿工，支持门罗币，Toncoin和Ravecoin。

详情

新型恶意软件YTStealer窃取 YouTube 创作者的帐户

日期: 2022-06-29
标签: 文化传播, 信息技术, YouTube, YTStealer, 

新型信息窃取恶意软件YTStealer以YouTube 内容创建者为目标，并试图窃取他们的身份验证令牌并劫持他们的频道。包含恶意 YTStealer 安装程序的模拟软件示例包括 OBS Studio、Adobe Premiere Pro、FL Studio、Ableton Live、Antares Auto-Tune Pro 和 Filmora。YTStealer 恶意软件在主机中执行之前会运行一些反沙盒检查，为此使用开源Chacal工具。如果受感染的机器被视为有效目标，恶意软件会仔细检查浏览器 SQL 数据库文件以定位 YouTube 身份验证令牌。研究人员认为被盗的 YouTube 帐户是在暗网上出售的，价格取决于频道大小。这些帐户的购买者通常使用这些被盗的身份验证 cookie 来劫持 YouTube 频道进行各种诈骗，通常是加密货币，或者要求实际所有者支付赎金。因此，建议 YouTube 创作者定期注销其帐户，以使之前可能已创建或被盗的所有身份验证令牌无效。

详情

新的 ZuoRAT 恶意软件针对北美、欧洲的 SOHO 路由器

日期: 2022-06-28
标签: 信息技术, Black Lotus Labs, SOHO路由器, 华硕, 思科（Cisco）, DrayTek, Netgear, ZuoRAT, 路由器, 

2022年6月28日，Black Lotus Labs发现了一种名为ZuoRAT的新型远程访问木马（RAT），它通过小型办公室/家庭办公室（SOHO）设备针对远程工作人员。他们表示，这种高度针对性活动的复杂性以及攻击者的策略，技术和程序（TTP）是国家支持的威胁行为者的标志。该活动的开始大致与COVID-19大流行开始后快速转向远程工作大致一致，这大大增加了员工在家中访问公司资产的SOHO路由器（包括华硕，思科，DrayTek和NETGEAR）的数量。一旦在身份验证绕过漏洞利用脚本的帮助下部署在路由器上（未针对已知的安全漏洞进行修补），多阶段ZuoRAT恶意软件通过被动网络嗅探为攻击者提供了深入的网络侦察功能和流量收集。ZuoRAT还允许横向移动以破坏网络上的其他设备，并使用DNS和HTTP劫持部署其他恶意有效载荷（例如Cobalt Strike信标）。

详情

Android 恶意软件Revive冒充 BBVA 银行的 2FA 应用程序

日期: 2022-06-27
标签: 西班牙, 金融业, 信息技术, BBVA, Revive, 网络钓鱼, Android, 银行木马, 

Cleafy的研究人员发现一种名为 Revive 的新型Android 银行恶意软件，它模拟了登录西班牙 BBVA 银行账户所需的 2FA 应用程序。虽然 Revive 处于早期开发阶段，但它已经具备拦截双重身份验证 (2FA) 代码和一次性密码等高级功能。Revive恶意软件通过网络钓鱼攻击以潜在受害者为目标，说服他们下载一个应用程序，该应用程序据称是升级银行账户安全所需的 2FA 工具。安装后，Revive 请求使用辅助功能服务的权限，这基本上使它可以完全控制屏幕并能够执行屏幕点击和导航操作。之后，Revive 记录用户在设备上键入的所有内容，并定期将将凭据发送到威胁参与者的 C2，然后加载一个通用主页，其中包含指向目标银行真实网站的链接。根据 Cleafy 对新恶意软件的代码分析，其作者似乎受到了另一款Android 间谍软件Teradroid 的启发，两者在 API、Web 框架和功能上有广泛的相似之处。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

OpenSea披露数据泄露，警告用户网络钓鱼攻击

日期: 2022-06-29
标签: 金融业, OpenSea, NFT, OpenSea NFT, 

2022年6月29日，最大的不可替代令牌（NFT）市场OpenSea披露了数据泄露事件，并警告用户未来几天可能会针对他们的网络钓鱼攻击。在线NFT市场表示，它拥有超过60万用户，交易量超过200亿美元。可用于针对 OpenSea 用户的网络钓鱼攻击的域示例包括 opensea.org、opensea.xyz 和 opeansae.io。该公司分享了安全建议：建议用户对任何试图冒充OpenSea的电子邮件持怀疑态度，不要下载和打开电子邮件附件，并检查OpenSea电子邮件中链接的页面的URL。还敦促用户永远不要分享或确认他们的密码或秘密钱包短语，如果通过电子邮件直接提示，也不要签署钱包交易。

详情

AMD 调查数据被盗索赔

日期: 2022-06-27
标签: 制造业, Advanced Micro Devices（AMD）, 勒索攻击, 

芯片制造巨头Advanced Micro Devices（AMD）表示，它正在调查一个数字勒索组织声称数据是从该公司被盗的。在给The Record的一份声明中，AMD表示，它“意识到一个不良行为者声称拥有AMD的被盗数据”。目前正在调查此事。2022年6月27日，赎金屋勒索组织将AMD添加到其受害者名单中，声称在一月份窃取了超过450 GB。RestorePrivacy是第一个报告赎金屋索赔的公司，检查了被盗数据的样本，并找到了AMD密码，系统信息和其他网络文件。勒索组织在网站上表示，这家价值数十亿美元的芯片巨头的员工使用弱密码，有些人甚至对敏感帐户使用“密码”。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

乌克兰IT军队与黑客组织Anonymous合作入侵俄罗斯LTE 路由器

日期: 2022-07-03
标签: 俄罗斯, 乌克兰, 信息技术, 制造业, 政府部门, Anonymous（匿名者）, 乌克兰IT军队, 俄乌战争, 

2022年6月底，乌克兰 IT 军队 OneFist 声称与 Anonymous Collective 一起合作入侵了俄罗斯联邦的 LTE 路由器，成功破坏了俄罗斯 88 个政府和附属网站的连接。俄罗斯的 LTE 路由器是一种 4G 路由器，可用于通过卫星连接插入互联网。在黑客活动期间，连接到 LTE 路由器的每个设备或站点也将受到损害。

详情

挪威指责亲俄黑客发动的DDoS 攻击

日期: 2022-06-29
标签: 挪威, 俄罗斯, 政府部门, 能源业, 挪威劳工监察局, 挪威国家安全局 (NSM), Killnet, DDoS, 俄乌战争, 

2022年6月29日，挪威国家安全局 (NSM) 指责亲俄罗斯的黑客对该国的一些关键组织发起了多次分布式拒绝服务 (DDoS) 攻击。在2022年6月28日，几家大型挪威组织因攻击而下线。NSM发言人表示：“幕后黑手似乎是一个犯罪的亲俄罗斯组织。这些攻击针对的是一些为民众提供重要服务的大型挪威公司，”美联社将这次袭击与通过挪威领土过境与俄罗斯控制的北极煤矿定居点的争端联系起来。 挪威媒体称，在挪威阻止俄罗斯补给船前往斯瓦尔巴群岛的巴伦支堡定居点后，挪威驻俄罗斯大使于2022年6月29日被外交部召见，挪威控制该群岛，但允许其他国家获取自然资源。 在挪威官员帮助推动北约接纳芬兰和瑞典成为成员国之后数小时，网络攻击也发生了。

详情

沃尔玛否认被阎罗王勒索软件袭击

日期: 2022-06-29
标签: 美国, 批发零售, 沃尔玛（Walmart）, 勒索, 

2022年6月27日，Yanluowang 勒索软件运营商在其数据泄露网站上发布了一个条目，声称他们入侵了沃尔玛并加密了 40,000 至 50,000 台设备。数据泄漏站点上的条目包括各种文件，这些文件声称包含在攻击期间从沃尔玛的 Windows 域中提取的信息。2022年6月29日，沃尔玛发言人否认了此次勒索软件袭击，并称他们的“信息安全团队正在 24/7 全天候监控我们的系统”。虽然沃尔玛否认攻击成功，但这些文件包含声称来自沃尔玛内部网络的信息，包括安全证书、域用户列表和kerberoasting 攻击的输出。攻击者会使用 Kerberoasting 来提取 Windows 服务帐户及其散列的 NTLM 密码。这些散列密码会被暴力破解以提取纯文本密码，最终这些密码会被用于提升 Windows 域的权限。

详情

Sharp Boys黑客声称袭击以色列旅游网站

日期: 2022-06-29
标签: 以色列, 文化传播, Sharp Boys, 旅游业, 

一个名为Sharp Boys的黑客组织声称，它周二从以色列旅游网站获取了数据，包括身份证号码，地址，信用卡信息等。据黑客称，受影响的网站是 hotels.co.il，isrotel.com，minihotel.co.il，tivago.co.il 和 danhotels.com。Sharp Boys声称已经获得了对网站后端管理的控制权，并发布了一个电子表格，声称其中包含12万人的个人信息。6月早些时候，该组织声称它已经入侵了一系列其他以色列旅游网站，并从这些网站获取了用户的个人信息。Sharp Boys后来发布了一份电子表格，声称其中包含10万人的信用卡信息和个人信息。

详情

Evilnum组织针对英国和欧洲地区的攻击活动

日期: 2022-06-28
标签: 英国, 欧洲, 信息技术, Evilnum APT, 网络钓鱼, 

自2022年初以来，ThreatLabz一直在密切关注Evilnum APT组织的活动，并确定了针对英国和欧洲地区发起的针对性攻击活动，该活动使用了新的技战术。在2021年观察到的早期活动中，该组织使用的主要分发媒介是将恶意压缩文档中的Windows快捷方式文件（LNK）作为鱼叉式网络钓鱼电子邮件的附件发送给受害者。在最近的例子中，威胁组织已经开始使用MS Office Word文档，利用文档模板注入将恶意有效载荷分发到受害者的计算机。

详情

乌克兰安全部门成功阻止俄罗斯入侵乌克兰电视频道

日期: 2022-06-28
标签: 乌克兰, 俄罗斯, 信息技术, 文化传播, 乌克兰电视台, 俄乌战争, 

2022年6月28日，乌克兰安全部门SSU的网络专家已经发现并阻止了俄罗斯特种部队入侵乌克兰电视频道电子系统的企图。这些频道参加了在乌克兰宪法日（6月27日）举行的国家电视马拉松比赛。攻击者试图访问实时视频流、实时新闻提要和电视网络员工个人电脑。由于 SSU 及时发现并采取了措施，现已防止此类未经授权的行为。然而，俄罗斯黑客组织可以重复这样的尝试。

详情

黑客在亚洲部署Shadowpad后门并瞄准工业控制系统

日期: 2022-06-27
标签: 巴基斯坦, 阿富汗, 马来西亚, 信息技术, 政府部门, 微软（Microsoft）, ShadowPad, CVE-2021-26855, 

俄罗斯网络安全公司 卡巴斯基 发现了针对亚洲不同国家未打补丁的 Microsoft Exchange 服务器的攻击活动。根据该公司2022年6月27日发布的一份公告，一旦他们通过Microsoft Exchange 中的CVE-2021-26855 漏洞获得初始访问权限，攻击者就会在巴基斯坦和阿富汗的电信公司以及物流和运输组织的工业控制系统 (ICS) 上部署ShadowPad恶意软件。在整个攻击活动中，ShadowPad 后门以 mscoree.dll 文件的形式下载到受害计算机，而该文件又由名为 AppLaunch.exe 的合法可执行文件启动。然后，攻击者会在合法的 OLE-COM 对象查看应用程序 OleView 中使用 DLL 劫持来启动 ShadowPad。一旦他们在系统中获得了最初的立足点，攻击者就会手动发送命令，然后自动发送。

详情

美国政府称堕胎禁令泄露信息是公开数据

日期: 2022-06-28
标签: 美国, 政府部门, SiegedSec, 

2022年6月28日，美国肯塔基州和阿肯色州政府表示，他们已对据称于本周末发生的数据泄露事件展开调查，这两个州的官员都认为这些“泄漏”信息是已公开数据。2022年6月25日，黑客组织SiegedSec在 Telegram 上声称，它正在泄露“从肯塔基州和阿肯色州政府服务器检索到的内部文件和文件”。这些文件包括“大量员工 PII 等等”。其中包含一个据称有 7-8 GB zip 文件，并在 Telegram 上共享了文件样本。该组织表示，由于最近的堕胎禁令，它入侵了各州。黑客组织SiegedSec还表示，“攻击将继续！我们的主要目标是任何支持生命的实体，包括制定反堕胎法的州政府服务器。”

详情

用于窃取Facebook帐户的恶意信使聊天机器人

日期: 2022-06-28
标签: 信息技术, Meta（原Facebook）, 网络钓鱼, 

一种新的网络钓鱼攻击正在使用Facebook Messenger聊天机器人来冒充公司的支持团队，并窃取用于管理Facebook页面的凭据。聊天机器人是模拟实时支持人员的程序，通常用于在将客户支持案例移交给实时员工之前提供简单问题的答案或对客户支持案例进行分类。在TrustWave发现的一项新活动中，威胁行为者使用聊天机器人窃取Facebook页面经理的凭据，这些凭据通常被公司用于提供支持或推广其服务。

详情

Sandworm使用DarkCrystal RAT恶意软件攻击乌克兰电信运营商

日期: 2022-06-27
标签: 乌克兰, 居民服务, Sandworm, DarkCrystal RAT, 俄乌战争, 

乌克兰CERT-UA收到了主题为“免费初级法律援助”的电子邮件，附件RAR压缩文档包含“Algorithm_LegalAid.xlsm”文件，该文件专门讨论获得法律援助的问题。如果打开文档并激活宏，则将运行PowerShell命令以确保下载并运行.NET加载器。可执行文件将下载并运行DarkCrystal RAT恶意软件。根据电子邮件收件人的地址以及DarkCrystal RAT管理域名，怀疑攻击目标是乌克兰电信运营商和提供商，并将活动归因于UAC-0113。

详情

俄罗斯黑客组织因对立陶宛进行大规模网络攻击而受到俄罗斯赞誉

日期: 2022-06-27
标签: 俄罗斯, 立陶宛, 政府部门, 信息技术, 交通运输, 金融业, Killnet, 俄乌战争, 

2022年6月27日，一个俄罗斯黑客组织Killnet因对立陶宛几家政府机构的大规模网络攻击而受到俄罗斯赞扬。立陶宛国防部长和国家网络安全中心发表声明称，黑客使用分布式拒绝服务攻击针对国家税务监察局、移民局和许多其他国家实体之间的安全国家数据网络。在服务恢复之前，这些机构被迫关闭了几个小时。由于欧盟的制裁，立陶宛官员拒绝将钢铁、煤炭和其他金属运往俄罗斯领土加里宁格勒。2022年6月25日过境禁令生效后，俄罗斯官员公开威胁立陶宛。KillNet 黑客组织随后攻击了立陶宛的机场网络、在线会议系统、网络基础设施、几家电信公司、中央国家档案馆和最高行政法院等政府网络和公共/私人互联网基础设施。

详情

亲俄黑客组织Killnet攻击立陶宛重要政府网站

日期: 2022-06-27
标签: 乌克兰, 俄罗斯, 美国, 政府部门, B1.lt, Killnet, Anonymous（匿名者）, 俄乌战争, 

一群在Killnet旗帜下行动的俄罗斯附属黑客袭击了几个立陶宛政府网站。根据该组织Telegram频道发布的一段视频消息，这些袭击将是对该国今年早些时候军事入侵乌克兰后立陶宛对俄罗斯制裁的回应。该视频要求立陶宛允许货物过境到加里宁格勒，如果它想避免进一步破坏其政府机构和私营企业的互联网基础设施。Killnet攻击的网站包括立陶宛国家税务监察局（STI）和该国最大的会计服务提供商之一 B1.lt，这两家公司仍处于离线状态。最近，黑客组织Anonymous宣布对Killnet进行网络战争，据报道，他们在五月份使他们的网站下线，并在六月份入侵俄罗斯部网站。

详情

Vice Society勒索团伙声称攻击因斯布鲁克医学院

日期: 2022-06-27
标签: 教育行业, 卫生行业, 因斯布鲁克医科大学, 勒索攻击, 

Vice Society勒索软件团伙声称对上周针对因斯布鲁克医科大学的网络攻击负责，该攻击导致严重的IT服务中断和涉嫌数据被盗。该研究型大学拥有3，400名学生和2，200名员工，并提供广泛的医疗保健服务，包括手术。奥地利大学于2022年6月20日披露了IT中断，限制了对在线服务器和计算机系统的访问。6月26日，Vice Society将因斯布鲁克医科大学（Medical University of Innsbruck）添加到其数据泄露网站，泄露了上周网络攻击期间涉嫌被盗的大量文件清单。

详情

网络攻击迫使伊朗钢铁公司停产

日期: 2022-06-27
标签: 伊朗, 制造业, 莫斯科证券交易所, Khuzestan Steel Co., Gonjeshke Darande, 钢铁生产商, 

2022年6月27日，伊朗的一家主要钢铁公司表示，在受到网络攻击后被迫停止生产，该网络攻击也针对另外两家工厂，这显然标志着最近记忆中对该国战略工业部门的最大此类攻击之一。伊朗政府没有承认对国有胡齐斯坦钢铁公司和伊朗另外两家主要钢铁生产商的袭击事件，也没有指责任何特定团体，这只是最近几个月在该地区紧张局势加剧的情况下袭击该国服务的最新例子。匿名黑客组织Gonjeshke Darande声称对社交媒体上的攻击负责，称它针对的是伊朗最大的三家钢铁公司，以应对“伊斯兰共和国的侵略”。并分享了胡齐斯坦钢铁公司工厂车间的闭路镜头，显示钢坯生产线上的一台重型机械出现故障并引起大规模火灾。伊朗中部城镇Mobarakeh的一家钢铁厂表示，其系统也遭到袭击，而国营的伊朗报纸报道说，伊朗南部港口阿巴斯港的另一家工厂成为网络攻击的目标。两家工厂均未承认因此造成的任何损坏或停工。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

CISA 警告黑客利用 PwnKit Linux 漏洞

日期: 2022-06-29
标签: 美国, 信息技术, Linux, 漏洞利用, 

2022年6月29日，美国网络安全和基础设施安全局 (CISA) 已将一个称为 PwnKit 的高严重性 Linux 漏洞添加到其在野外利用的漏洞列表中，标识为 CVE-2021-4034。PwnKit 是一个内存损坏漏洞，非特权用户可以利用该漏洞在具有默认配置的 Linux 系统上获得完全的 root 权限。研究人员还发现，它的起源可以追溯到 pkexec 的初始提交，这意味着它会影响所有 Polkit 版本。自 pkexec 于 2009 年 5 月首次发布以来，它也已经隐藏了 12 年多。美国网络安全机构还给所有联邦民事执行部门机构 (FCEB) 机构提供了三周时间，在7月18日前修补他们的 Linux 服务器以防止 PwnKit 并阻止利用尝试。

详情

Thunderbird 102发布了备受期待的功能和错误修复

日期: 2022-06-29
标签: 信息技术, Mozilla, 邮件客户端, Thunderbird, 

Mozilla宣布发布Thunderbird 102，将其强调为“严肃的升级”，带来了社区已经要求了一段时间的新功能，例如刷新的GUI，查看选项，数据可移植性增强和性能升级。Thunderbird是世界上最受欢迎的免费和开源电子邮件客户端之一，估计用户群超过2500万。Thunderbird 102中突出的新功能之一是新的地址簿和联系人布局，它为用户提供了干净和现代化的“卡片式”联系人外观。另一个重要的新功能是空间工具栏，它为用户提供了在邮件，地址簿，日历，任务和聊天之间快速切换的方法。可以调整工具栏以包含用户最需要的项目。Mozilla这次解决了十个漏洞，其中四个被归类为高影响漏洞，分别是：CVE-2022-34479、CVE-2022-34470、CVE-2022-34468、CVE-2022-34484。

详情

亚马逊修复了 Android 照片应用中的高严重性漏洞

日期: 2022-06-29
标签: 信息技术, 亚马逊（Amazon ）, 漏洞修复, 

亚马逊已经确认并修复了其Android照片应用程序中的一个漏洞，该应用程序已在Google Play商店中下载了超过5000万次。Amazon Photos 是一款图像和视频存储应用程序，使用户能够与多达五个家庭成员无缝共享其快照，从而提供强大的管理和组织功能。Checkmarx的研究人员发现的漏洞原因是因为应用程序组件的错误配置，导致其清单文件无需身份验证即可从外部访问。利用此漏洞可能使安装在同一设备上的恶意应用程序能够抢夺用于 Amazon API 身份验证的 Amazon 访问令牌。这些 API 可能包含敏感的个人信息（如全名、电子邮件和实际地址），而其他 API（如 Amazon Drive API）则保存用户文件。

详情

新的 UnRAR 漏洞可能让攻击者入侵 Zimbra 网络邮件服务器

日期: 2022-06-29
标签: 信息技术, RARlab, Zimbra, CVE-2022-30333, RAR, 

RARlab 的 UnRAR 实用程序中披露了一个新的安全漏洞，如果成功利用该漏洞，可能允许远程攻击者在依赖于二进制文件的系统上执行任意代码。该漏洞的为 CVE-2022-30333，与 Unix 版本的 UnRAR 中的路径遍历漏洞有关，该漏洞可在提取恶意制作的 RAR 存档时触发。值得注意的是，任何利用未修补版本的UnRAR来提取不受信任的存档的软件都会受到该漏洞的影响。这还包括Zimbra协作套件，其中漏洞可能导致在易受攻击的实例上预先进行身份验证的远程代码执行，使攻击者能够完全访问电子邮件服务器，甚至滥用它来访问或覆盖组织网络中的其他内部资源。

详情

中国研究人员发现CoDeSys自动化软件中的严重安全漏洞

日期: 2022-06-27
标签: 中国, 信息技术, CVE-2022-31802, CVE-2022-31803, CVE-2022-31804, CVE-2022-31805, CVE-2022-31806, CVE: CVE-2022-1965, CVE-2022-32136, CVE-2022-32137, CVE-2022-32138, CVE-2022-32139, CVE-2022- 32140, CVE-2022-32141, CVE-2022-32142, CVE-2022-32143, 安全漏洞, 

中国网络安全公司绿盟科技（NSFOCUS）在CoDeSys自动化软件中发现了11个关键安全漏洞。根据安全专家的建议，这些漏洞可能被利用来未经授权访问公司资源或进行拒绝服务（DoS）攻击。绿盟科技表示，它首先在2021年9月至2022年1月期间向CoDeSys披露了这些漏洞。CoDeSys随后在上周发布了一个补丁，在两个单独的公告中进行了描述。在绿盟科技发现的11个缺陷中，该公司发布的公告在严重程度方面将其中两个评为严重，七个评为高，两个评为中。这不是第一次在CoDeSys软件中发现漏洞。十年前，在软件中发现了一个后门，该后门向任何知道正确语法的人授予命令shell访问权限。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   安全分析

疑似印度APT组织针对巴基斯坦的两起攻击行动

日期: 2022-07-02
标签: 巴基斯坦, 印度, 政府部门, Patchwork, APT舆情, 

近日，瑞星威胁情报中心捕获到两起针对巴基斯坦旁遮普政府发起的APT攻击行动，通过分析发现这两起行动疑似与印度威胁组织Patchwork相关。该组织通过钓鱼邮件发送带有CVE-2017-11882漏洞的诱饵文档，利用假冒的旁遮普政府劳动和人力资源部、规划与发展委员会登记表，诱使用户打开并释放远程控制木马，以达到窃密及远控的目的。

详情

CONFUCIUS APT组织近期新活动深入分析

日期: 2022-07-02
标签: 信息技术, 政府部门, CONFUCIUS, APT舆情, 

近日，安恒信息猎影实验室在威胁狩猎中捕获一例以请愿书为主题的钓鱼邮件附件，该文件运行后将下载多阶段DLL文件，最终进行文件窃取。此次活动针对南亚地区宗教信仰群体，符合Confucius的历史攻击目标，经分析，最后阶段的File stealer也与Confucius攻击样本“血缘”更近，因此活动背后的攻击者被判定为Confucius。

详情

网络犯罪分子利用钓鱼二维码劫持通讯账户

日期: 2022-07-02
标签: 中国, 信息技术, 腾讯（Tencent）, 

如今，人们会谨慎点击来自可疑来源的链接（例如电子邮件中的链接）。然而，当谈到扫描二维码时，人们的警惕性往往要低得多。2022年6月底，不知名的网络犯罪分子分发了提供免费游戏登录的网络钓鱼二维码，然后他们用这些二维码劫持了 QQ 消息和社交媒体平台的一些帐户。攻击者传播提供免费游戏登录的恶意二维码。扫描此类二维码后，用户被要求使用其 QQ 帐户进行身份验证。一旦他们这样做了，攻击者就会窃取受害者的凭据，然后利用它们谋取私利。最后，这些用户会被锁定在他们的QQ帐户之外。卡巴斯基的研究人员表示，尤其随着近年来二维码的普及，人们不应低估恶意二维码的威胁。

详情

Lazarus针对Linux操作系统的恶意软件YamaBot

日期: 2022-06-30
标签: 信息技术, Lazarus, YamaBot, 

JPCERT不断调查Lazarus组织的攻击活动。 最近，确认了该组织针对Linux操作系统的恶意软件YamaBot。YamaBot是使用Go语言创建的恶意软件，每个平台创建的恶意软件的功能略有不同。 除了YamaBot之外，Lazarus还使用了多个针对多平台的恶意软件。本篇报告详细地介绍了YamaBot。

详情

Bahamut通过网络钓鱼活动分发Android间谍软件

日期: 2022-06-30
标签: 信息技术, Bahamut, 

Bahamut是一个著名的APT组织，于2017年首次被发现，发起了各种网络钓鱼活动，并正在传播针对中东和南亚的恶意软件。该组织不断改变其攻击模式，在过去几年中，越来越多地将重点转移到移动设备上。经过大约一年的沉默，Bahamut Android恶意软件的新变种于2022年4月被发现通过钓鱼网站分发。钓鱼网站伪装成合法网站，用于提供下载虚假的加密通信软件。

详情

朝鲜Lazarus黑客涉嫌1亿美元跨链桥盗窃案

日期: 2022-06-30
标签: 朝鲜, 美国, 金融业, 信息技术, Lazarus, 区块链安全, 加密货币, 跨链桥, 

2022年6月30日，朝鲜黑客组织Lazarus Group被指控策划了最近对区块链公司 Harmony 进行的价值 1 亿美元的黑客攻击。2022年6月24日，价值 1 亿美元的 Ether、Tether (USDT)、Wrapped Bitcoin (WBTC) 和 BNB 从 Harmony 被盗。被盗资金通过去中心化交易所 Uniswap 转换为 85,837 ETH。自事件发生以来，黑客通过 Tornado Cash 洗钱了价值约 3900 万美元的加密货币。Elliptic 研究人员表示，他们认为朝鲜是黑客的幕后黑手，因为他们一直对攻击 Harmony 等跨链桥等 DeFi 服务感兴趣。这起事件以及洗钱的方式，类似于朝鲜 Lazarus Group的运作方式。但研究人员还没有具体证据表明朝鲜军方与黑客行为有关。

详情

乌克兰在俄乌战争期间遭到近800次网络攻击

日期: 2022-06-30
标签: 乌克兰, 俄罗斯, 政府部门, 金融业, 信息技术, 能源业, 乌克兰国家特别通信和信息保护局（SSSCIP）, APT28（Fancy Bear）, Sandworm, Gamaredon, Energetic Bear, Turla（Venomous Bear）, DEV-0586, UNC2452/2652, 俄乌战争, 

2022年6月30日，乌克兰网络安全防御和安全机构 SSSCIP表示，自2022 年 2 月 24 日战争开始以来，该国的网络一直受到不断的黑客攻击，乌克兰政府和私营部门组织已经遭受796次网络攻击。该国政府、地方当局和国防组织是战争头几个月中遭受攻击最多的关键部门，总共遭受了 281 次袭击。受网络攻击严重影响的行业还包括金融、电信、基础设施和能源行业。乌克兰网络安全防御机构检测到的大多数攻击都集中在信息收集（242 起事件）上，而其余的则旨在破坏、关闭或用恶意软件感染目标系统。

详情

美国国家安全局（NSA）“酸狐狸”漏洞攻击武器平台技术分析报告

日期: 2022-06-29
标签: 美国, 政府部门, 美国国家安全局（NSA）, FoxAcid, 

近日，国家计算机病毒应急处理中心对美国家安全局（NSA）“酸狐狸”漏洞攻击武器平台（FoxAcid）进行了技术分析。该漏洞攻击武器平台是美国国家安全局（NSA）特定入侵行动办公室（TAO，也被称为“接入技术行动处”）对他国开展网络间谍行动的重要阵地基础设施，并成为计算机网络入侵行动队（CNE）的主力装备。该漏洞攻击武器平台曾被用于多起臭名昭著的网络攻击事件。近期，中国多家科研机构先后发现了一款名为“验证器”（Validator）木马的活动痕迹，该恶意程序据信是NSA“酸狐狸”漏洞攻击武器平台默认使用的标配后门恶意程序。这种情况突出表明，上述单位曾经遭受过美国NSA“酸狐狸”漏洞攻击武器平台的网络攻击。

详情

分析Zola被黑背后的凭据填充攻击

日期: 2022-06-28
标签: 美国, 居民服务, Zola, 凭据填充, 

2022 年 5 月，婚礼策划和登记网站 Zola 遭遇重大安全漏洞。黑客设法获得了用户账户的访问权限，并试图使用与被盗账户相关的资金下达礼品卡订单。好在最终Zola的所有客户都没有因攻击而蒙受损失。攻击发生后，取证分析显示，攻击者没有攻击 Zola 的 IT 基础设施，而是通过使用凭证填充获得了访问权限。凭据填充是一种技术，攻击者通过该技术尝试可能的用户名和密码组合，直到他们获得对一个或多个帐户的访问权限。一些撞库攻击涉及将用户名与容易猜到的弱密码配对。然而更多时候，凭证填充通过利用在多个系统上使用相同密码的用户来工作。由于安全密码往往难以记住，因此用户可能会在多个网站上使用相同的密码。如果用户对多个站点使用相同的用户名和密码，那么攻击者最终将获得对这些站点的访问权限。防御此类攻击的最佳方法之一是采用 Specops 密码策略。Specops 密码策略不仅可以防止用户使用弱密码，还可以自动将用户密码与已知已泄露的凭据数据库进行比较。

详情

0x08   其他事件

以色列隐私保护局关停旅游公司被黑的服务器

日期: 2022-07-03
标签: 以色列, 住宿餐饮业, 居民服务, Gol Tours, Sharp Boys, 

2022年7月3日，以色列隐私保护局关停了托管多个旅行预订网站的服务器，因为他们的运营商Gol Tours未能解决导致数据泄露的安全问题。此次泄漏的数据包含客户的个人信息和信用卡数据，影响超过 300,000 个人。目前，以色列 Gol Tours LTD 管理的至少 10 个网站已被关闭。调查发现，此次攻击行动背后的黑客是一个名为 Sharp Boys 的伊朗组织。而黑客组织 Sharp Boys在2022年6月11日就宣布了黑客攻击，称他们窃取了包含姓名、电话号码、电子邮件地址、信用卡数据、护照号码和客户旅行历史的数据库。隐私保护机构没收一家遭受网络攻击的公司的服务器，这类事件在以色列尚属首次。

详情

卡巴斯基推出免费开源跟踪软件检测工具TinyCheck

日期: 2022-07-03
标签: 俄罗斯, 信息技术, 卡巴斯基（Kaspersky）, 移动安全, 安全工具, 

卡巴斯基推出了一个新的信息中心，以推广开源跟踪软件检测工具TinyCheck。该工具于 2019 年创建，旨在帮助人们检测他们的设备是否受到监控。各类跟踪软件利用现代移动操作系统的安全漏洞在后台秘密运行，而不会引起对受害者的怀疑。TinyCheck可以通过在外部设备 (Raspberry Pi) 上运行并通过 WiFi 监控其传出流量，以非侵入性方式快速识别与跟踪软件相关的活动。该工具不需要安装在设备上，不会干扰移动操作系统上的任何内容，因此也不会让黑客发现。此外，由于 TinyCheck 不需要在设备本身上运行，它可以识别任何移动操作系统上的跟踪软件，包括 Android 和 iOS。

详情

谷歌阻止黑客雇佣组织使用的26个恶意域

日期: 2022-07-03
标签: 俄罗斯, 阿联酋, 印度, 谷歌（Google）, 雇佣黑客组织, 

在类似于监视生态系统的技术中，雇佣黑客组织让他们的客户能够对企业组织、政治家、活动家、记者和其他高风险用户发起有针对性的网络攻击。2022年6月底，谷歌的威胁分析组 (TAG) 透露，它阻止了俄罗斯、阿联酋和印度的雇佣黑客组织使用的大约 36 个恶意域。黑客雇佣生态系统十分灵活，一方面是攻击者如何自己部署攻击，另一方面是代表客户在大量目标中寻找。 一些黑客组织会公开向任何愿意付费的用户推销他们的产品和服务，然而，少部分黑客会以隐藏的方式运作并将他们的服务出售给有限的公众。

详情

谷歌称2022年有一半的0day漏洞是以前漏洞的变体

日期: 2022-07-02
标签: 信息技术, 微软（Microsoft）, 

Google Project Zero在2022年上半年共观察到 18 个被利用的0day漏洞。而其中至少有一半的漏洞，都是因为之前的漏洞没有得到妥善解决。根据 Google Project Zero研究员Maddie Stone的说法，如果组织应用更全面的修补程序，今年出现的9个0day漏洞都本可以避免。例如Windows 平台中的Follina漏洞（跟踪为 CVE-2022-30190），它是MSHTML0day漏洞（跟踪为 CVE-2021-40444）的变体。Maddie Stone还表示：“当在野外检测到 0day 漏洞时，说明这就是攻击者的失败案例。同时，这也是我们安全维护者的一份礼物，让我们尽可能多地学习并采取行动确保该向量不能被再次使用。”

详情

易受影响的API每年给组织带来数十亿美元的损失

日期: 2022-07-03
标签: 信息技术, API安全, 

2022年6月底，威胁情报公司 Imperva 发布了一份题为“量化 API 不安全成本”的报告，该报告检查了近 117,000 起安全事件，并发现 API 不安全导致全球每年损失 41-750 亿美元。大型企业面临 API 相关漏洞的威胁更高，是中小型企业的三到四倍。亚洲的安全事件发生率很高，16% 到 20% 的网络安全事件与 API 不安全有关。这可能是由于亚洲正在快速地进行数字化转型，特别是在移动方面，因为亚洲的大多数数字交易都是通过移动完成的。企业常常无法保障其API安全，在过去一年中，95% 的企业都遭遇了 API 安全事件，34% 的企业承认他们缺乏API 安全方法。Imperva 建议组织通过监控其组织之外的端点来治理API。组织还应该监控流经他们的数据，以确保敏感信息受到保护。

详情

前加拿大政府 IT 工作人员对 NetWalker 勒索软件攻击认罪

日期: 2022-06-30
标签: 美国, 加拿大, 政府部门, 金融业, 勒索, 勒索团伙, 

2022年6月下旬，一名前加拿大政府雇员在佛罗里达州法院认罪，指控其参与了 NetWalker 勒索软件组织。34 岁的 Sebastien Vachon-Desjardins 被指控共谋进行计算机欺诈和电汇欺诈，以及故意损坏受保护的计算机并发送有关损坏受保护计算机的要求。在 2020 年 5 月至 2021 年 1 月期间，被告破坏了私人计算机网络和系统，劫持了他们的数据，持有被盗数据以勒索赎金，并在未支付赎金的情况下分发被盗数据，从而使 17 个加拿大实体和世界各地的其他人受害。NetWalker 自 2019 年以来一直很活跃，该组织以勒索软件即服务 ( RaaS ) 模型向黑客提供其恶意软件。据统计，NetWalker 集团共窃取了 5058 比特币的非法付款（交易时约为 4000 万美元）。

详情

CISA、FBI、FinCEN和美国财政部发布MedusaLocker勒索软件联合网络安全咨询

日期: 2022-06-30
标签: 美国, 政府部门, 金融业, 美国联邦调查局 (FBI), 美国网络安全和基础设施安全局 (CISA), 美国财政部金融犯罪执法网络（FinCEN）, 勒索, 网络钓鱼, 

2022年6月30日，美国联邦调查局 (FBI)、网络安全和基础设施安全局 (CISA)、财政部和金融犯罪执法网络 (FinCEN)发布了有关 MedusaLocker 勒索软件的联合网络安全咨询。美国政府在 2022 年 5 月观察到，MedusaLocker 攻击者主要依靠远程桌面协议 (RDP) 中的漏洞来访问受害者的网络。MedusaLocker勒索团伙还经常使用电子邮件网络钓鱼和垃圾邮件活动，将勒索软件直接附加到电子邮件中，并以此作为初始入侵媒介 。MedusaLocker 攻击者对受害者的数据进行加密，并在每个包含加密文件的文件夹中留下带有通信指令的勒索信。该说明指示受害者向特定的比特币钱包地址提供勒索软件付款。根据观察到的赎金支付拆分，MedusaLocker 似乎作为勒索软件即服务 (RaaS) 模型运行。

详情

苏丹政府在反政变抗议前关闭互联网

日期: 2022-06-30
标签: 南苏丹, 政府部门, 反政变抗议, 

苏丹政府已经关闭了全国各地的互联网，然后组织了大规模抗议活动，迫使军方将权力交还给文职领导人。监控世界各地互联网接入的几个组织证实，6月30日早上互联网受到严重限制。关闭对国家范围的影响，涵盖固定线路和蜂窝服务。虽然影响不是全部，但绝大多数用户都被下线了，在这种情况下，通过使用VPN进行规避通常是不可能的。截至30日上午，全国范围内的连通性是正常水平的17%。停电将限制活动人士和记者报道抗议活动的能力。参与组织抗议活动的团伙呼吁联合国和其他人权组织介入并帮助保护该国对互联网的访问。

详情

Google阻止了数十个由Hack-for-Hire集团运营的恶意域名

日期: 2022-06-30
标签: 俄罗斯, 阿联酋, 印度, 信息技术, Rebsec, Void Balaur, 

2022年6月30日，谷歌的威胁分析小组（TAG）披露，它已经采取行动阻止了来自印度，俄罗斯和阿联酋的黑客雇佣组织运营的多达36个恶意域名。以类似于监控软件生态系统的方式，黑客雇佣公司为其客户提供针对企业以及活动家，记者，政治家和其他高风险用户的攻击的能力。Google TAG将印度黑客雇佣行为者归咎于一家名为Rebsec的公司；将针对记者、欧洲政客和非营利组织的一系列类似的凭证盗窃攻击归咎于一个名为Void Balaur的俄罗斯组织；TAG还详细介绍了一个位于阿联酋的小组的活动，并与一个名为njRAT（又名H-Worm或Houdini）的远程访问木马的原始开发人员有联系。

详情

美国联邦通信委员会委员要求苹果和谷歌从App Store中删除TikTok

日期: 2022-06-30
标签: 美国, 中国, 信息技术, 文化传播, 字节跳动（ByteDance）, TikTok, 数据安全, 

美国联邦通信委员会（FCC）的一名委员再次呼吁苹果和谷歌从他们的应用商店启动流行的视频共享平台TikTok，理由是“其秘密数据实践的模式”。TikTok在2021年9月披露，每月有10亿人使用其应用程序，使其成为仅次于Facebook，YouTube，WhatsApp，Instagram和微信的最大社交媒体平台之一。总部位于北京的字节跳动（ByteDance）旗下的TikTok否认曾与中国政府共享用户数据，在BuzzFeed News披露美国用户数据在2021年9月至2022年1月期间被中国员工反复访问之后，它又回到了聚光灯下，尽管它做出了相反的保证。TikTok长期以来一直声称其美国用户数据存储在美国的服务器上，但这些陈述并没有提供任何保护，防止从北京访问数据。

详情

网络安全研究人员推出新的恶意软件搜索工具YARAify

日期: 2022-06-29
标签: 美国, 信息技术, YARA规则, 

来自 Abuse.ch 和ThreatFox的安全研究人员发布了一个用于扫描和搜索文件的防御工具YARAify，旨在根据 YARA 规则的大型存储库扫描可疑文件。YARA 是一种用于模式匹配的开源工具，允许任何人编写自己的规则来检测问题，例如恶意或可疑文件。YARAify 可以使用公共 YARA 规则扫描文件，并整合由德国弗劳恩霍夫研究所运营的 Malpedia 的公共和非公共 YARA 规则。此外，研究人员可以使用该工具使用开放和商业 ClamAV 签名扫描文件，设置搜索规则以匹配 YARA 规则和 ClamAV 签名，并通过应用程序编程接口 (API) 将 YARAify 链接到其他工具。

详情

北约将建立网络快速反应部队，增加对乌克兰的网络防御援助

日期: 2022-06-29
标签: 乌克兰, 俄罗斯, 政府部门, 信息技术, 北约网络安全中心 (NCSC), 俄乌战争, 

2022年6月29日，北约宣布计划，承诺建立一支快速反应网络部队，并加强与民间社会和工业界的军事伙伴关系，以应对网络威胁。声明中表示：“我们将通过加强军民合作显着加强我们的网络防御。” “我们还将扩大与行业的合作伙伴关系。盟国已决定，在自愿的基础上，利用国家资产，建立和行使虚拟快速响应网络能力，以应对重大的恶意网络活动。”该宣言增加了对网络防御支持的承诺，以维持乌克兰关键基础设施的弹性。联盟防御的“新基线”将依赖于宣言所称的 360 度方法，“跨越陆地、空中、海上、网络和太空领域，并应对所有威胁和挑战。”

详情

乌克兰逮捕经营400多个网络钓鱼网站的网络犯罪团伙

日期: 2022-06-29
标签: 乌克兰, 居民服务, 网络钓鱼, 俄乌战争, 

乌克兰网络警察部队逮捕了一个犯罪集团的九名成员，该组织经营着400多个网络钓鱼网站，这些网站看起来像是合法的欧盟门户网站，为乌克兰人提供经济援助。威胁行为者使用网站上的表单来窃取访问者的支付卡数据和在线银行帐户凭据，并执行欺诈性的，未经授权的交易，例如将资金转移到他们控制的帐户。根据警方的估计，这种网络犯罪行动造成的总损失是1亿格里夫纳，或约3，360，000美元，从大约5，000名受害公民那里偷走。这种情况尤其严重，因为网络钓鱼运动针对的是迫切需要社会支付的乌克兰同胞，以便在俄罗斯入侵以及失业和社会经济稳定造成的困难时期支持他们。

详情

近百万个错误配置的 Kubernetes 暴露，可能导致数据泄露

日期: 2022-06-28
标签: 信息技术, Kubernetes, 

网络安全公司Cyble的一项分析  发现，超过 900,000 个 Kubernetes (K8s) 暴露在互联网上，因此容易受到恶意扫描和/或暴露数据的网络攻击。Kubernetes 是一个开源系统，旨在自动化容器化应用程序的部署、扩展和管理。研究人员表示，虽然并非所有暴露的实例都容易受到攻击或敏感数据丢失，但这些错误配置做法可能会使公司成为未来威胁参与者 (TA) 的有利可图的目标。Cyble 分析指出，美国的暴露数量最高，其次是中国和德国。网络安全研究人员发现的许多配置错误的集群都是由于使用了默认设置。使用默认容器名称、没有使用安全密码保护 Kubernetes 仪表板以及将默认服务端口向公众开放等错误配置可能会使企业面临数据泄露的风险。为避免配置错误，Cyble 表示公司应将 Kubernetes 更新到最新版本，并从生产容器中删除调试工具。

详情

网络犯罪分子窃取信用卡详细信息的5种方式

日期: 2022-06-27
标签: 信息技术, 金融业, 网络钓鱼, 恶意软件, 数字略读, 数据泄漏, 公共WiFi, 

在对执法人员和大多数消费者隐藏的暗网中，网络犯罪分子买卖大量被盗数据和黑客工具。目前在暗网中流通的非法获得的用户名和密码多达240 亿个，其中最抢手的是新卡数据，这些数据被网络犯罪分子大量购买以进行后续身份欺诈。网络犯罪分子窃取信用卡详细信息的5种方式为：网络钓鱼、恶意软件、数字略读、数据泄漏、公共 Wi-Fi。建议用户切勿回复、点击链接或打开未经请求的电子邮件中的附件，不要在公共 Wi-Fi 上使用互联网，对所有敏感帐户使用双重身份验证。

详情

Lockbit勒索团伙发布Lockbit 3.0

日期: 2022-06-28
标签: 信息技术, 勒索, 

2022年6月27日，Lockbit勒索软件集团宣布发布Lockbit 3.0，同时也宣布了其勒索软件“漏洞赏金”计划。2022年6月28日，Lockbit勒索软件集团在他们的泄密网站上推出了一项新功能：允许对数据出售或销毁进行投标。煽动骚扰受害者。

详情

美国、巴西查获272个用于非法下载音乐的网站

日期: 2022-06-27
标签: 美国, 巴西, 文化传播, 美国国土安全调查局（HSI）, 非法网站, 

美国国土安全调查局（HSI）和司法部没收了六个播放和非法下载受版权保护的音乐的网站的域名。巴西也有266个属于同一网络的其他网站被撤下，在全国30次搜查和扣押突袭中，有六人被捕。6月27日，司法部在一份新闻稿中表示。“根据法庭文件，执法部门将这六个领域确定为未经版权所有者授权用于分发受版权保护的材料”。在美国缉获的六个域名（Corourbanos.com，Corourbano.com，Pautamp3.com，SIMP3.com，flowactivo.co 和 Mp3Teca.ws）已在美国处注，并在与巴西当局联合调查后被删除，称为“404.4行动”。这些网站在社交媒体上做广告，以吸引愿意下载和流式传输他们提供的非法音乐内容的用户。巴西当局还要求并删除了15个用于促销目的的社交网络配置文件。

详情

网络安全专家警告“Black Basta”勒索软件的新兴威胁

日期: 2022-06-27
标签: 美国, 加拿大, 英国, 澳大利亚, 新西兰, 乌克兰, 俄罗斯, 制造业, 建筑业, 交通运输, 公共环保, Linux, 

Black Basta勒索软件即服务（RaaS）集团在野外出现的两个月内在美国，加拿大，英国，澳大利亚和新西兰积累了近50名受害者，使其成为短时间内的突出威胁。Cybereason在一份报告中表示：“Black Basta已被观察到针对一系列行业，包括制造业，建筑业，运输业，电信公司，制药，化妆品，管道和供暖，汽车经销商，内衣制造商等。”此外，Black Basta背后的参与者已经开发了一种Linux变体，旨在打击在企业服务器上运行的VMware ESXi虚拟机（VM），使其与LockBit，Hive和Cheerscrypt等其他组相提并论。

详情

0x09   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x0a   时间线

2022-07-04 360CERT发布安全事件周报