报告编号：B6-2022-072501

报告来源：360CERT

报告作者：360CERT

更新日期：2022-07-25

0x01   事件导览

本周收录安全热点51项，话题集中在安全漏洞、网络攻击方面，涉及的组织有：Conti、APT29、Roaming Mantis、LinkedIn等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

Amadey恶意软件通过 SmokeLoader 恶意软件分发

日期: 2022-07-24
标签: 美国, 信息技术, Amadey Bot, 

新版本的 Amadey Bot 恶意软件使用软件破解和注册机站点作为诱饵，通过 SmokeLoader 恶意软件分发。Amadey Bot 是2018年发现的一种恶意软件，能够执行系统侦察、窃取信息和加载额外的有效负载。虽然它的分布在 2020 年之后已经消退，但AhnLab的韩国研究人员报告说，Amadey Bot的新版本已经进入流通，并得到了同样古老但仍然非常活跃的 SmokeLoader 恶意软件的支持。SmokeLoader 伪装成软件破解或注册机，由受害者自愿下载和执行。由于破解和密钥生成器通常会触发防病毒警告，因此用户在运行程序之前禁用防病毒程序是很常见的，这使它们成为分发恶意软件的理想方法。建议用户避免下载破解文件、软件产品激活器或非法密钥生成器。

详情

QBot网络钓鱼使用Windows计算器旁加载来感染设备

日期: 2022-07-24
标签: 美国, 信息技术, 微软（Microsoft）, QakBot, 网络钓鱼, 漏洞利用, 

2022年7月下旬，安全研究人员ProxyLife发现，至少从 2022年7月11日起，Qakbot 就一直在滥用 Windows 7 Calculator 应用程序进行 DLL 侧载攻击，并将该方法继续用于恶意垃圾邮件活动。QBot（也称为 Qakbot）是一种 Windows 恶意软件，最初是一种银行木马，但后来演变为恶意软件投放器 ，在攻击的早期阶段被勒索软件团伙用来投放 Cobalt Strike 信标。DLL 侧载是一种常见的攻击方法，它利用了 Windows 中处理动态链接库 (DLL) 的方式。它包括欺骗合法的 DLL 并将其放置在操作系统加载它的文件夹中。通过 Windows Calculator 等受信任的程序安装 QBot，某些安全软件在加载恶意软件时可能无法检测到，从而使威胁参与者能够逃避检测。应该注意的是，这个 DLL 侧载漏洞不再适用于 Windows 10 Calc.exe 及更高版本，这就是攻击者捆绑 Windows 7 版本的原因。

详情

研究人员发现与美国有联系的潜在勒索软件网络

日期: 2022-07-21
标签: 美国, 政府部门, 勒索, 勒索软件网络, 

2022年7月21日，Censys的研究人员表示，他们发现一个能够发起攻击的勒索软件命令和控制网络，其中包括位于美国的一台主机。研究人员通过Censys的数据，搜索俄罗斯主机上目前可观察到的前 1,000 种软件产品后发现了该网络。数据显示，网络中的一台主机位于美国俄亥俄州，并且最近在2022年 7 月 6 日运行 DeimosC2 工具。主机上的其他软件表明它可能充当网络中的代理，并且历史对主机的审查显示，它在 2021 年 10 月短暂托管了Karma 勒索软件。研究人员还发现了两台俄罗斯主机，其中包含Acunetix（一个 Web 漏洞测试器）和DeimosC2（一个命令和控制工具，可在被利用后在受感染机器上使用的命令和控制工具）的组合。这些主机似乎与MedusaLocker 勒索软件变种有连接。

详情

新的“闪电框架”Linux恶意软件安装rootkit

日期: 2022-07-21
标签: 信息技术, Lightning Framework, rootkit, 

一种称为“Lightning Framework”的新的恶意软件针对Linux系统，可用于使用SSH后门感染设备并部署多种类型的rootkit。在Intezer今天发布的一份报告中，Lightning Framework被描述为“瑞士军刀”，是一种模块化恶意软件，也支持插件。该框架具有与威胁参与者通信的被动和主动功能，包括在受感染的机器上打开SSH，以及多态可延展的命令和控制配置。这种恶意软件尚未在野外被发现，其某些组件（在源代码中引用）尚未被发现和分析。Lightning Framework是使用一个简单的结构构建的：一个下载器组件，它将在受感染的Linux设备上下载并安装恶意软件的其他模块和插件，包括其核心模块。该恶意软件使用域名仿冒，并将伪装成Seahorse GNOME密码和加密密钥管理器，以逃避受感染系统上的检测。

详情

新的基于 Rust 的勒索软件系列针对 Windows、Linux 和 ESXi 系统

日期: 2022-07-20
标签: 信息技术, Rust, 

卡巴斯基安全研究人员披露了用 Rust 编写的全新勒索软件家族的细节，使其成继 BlackCat 和 Hive 之后第三个使用该编程语言的菌株。Luna，正如它所称，是“相当简单”的，可以在Windows，Linux和ESXi系统上运行，恶意软件在Curve25519和AES的组合上进行加密。研究人员表示：Darknet论坛上的Luna广告表明，勒索软件仅供讲俄语的分支机构使用。它的核心开发人员也被认为是俄罗斯血统，因为在二进制文件中硬编码的赎金票据中存在拼写错误。Luna证实了跨平台勒索软件的趋势，Golang和Rust等语言的平台不可知性如何使运营商能够大规模定位和攻击并逃避静态分析。Luna远非唯一一个将目光投向ESXi系统的勒索软件，另一个名为Black Basta的新生勒索软件家族上个月进行了更新，以包括Linux变体。

详情

新型间谍软件CloudMensis针对苹果macOS用户

日期: 2022-07-19
标签: 信息技术, Apple, CloudMensis, macOS, 

斯洛伐克网络安全公司ESET的网络安全研究人员发现了一个针对Apple macOS 操作系统的恶意软件CloudMensis。CloudMensis利用流行的云存储系统，如 pCloud、Yandex Disk 和 Dropbox，仅用于接收攻击者的命令和窃取文件。该间谍软件的功能清楚地表明，其背后攻击者的意图是通过窃取文档、击键和屏幕截图从受害者的 Mac 中收集信息。CloudMensis 于 2022 年 4 月被发现，用 Objective-C 编写，旨在攻击英特尔和苹果的半导体架构。攻击的初始感染媒介以及目标尚不清楚。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

黑客以3万美元提供540万推特账户详细信息

日期: 2022-07-24
标签: 美国, 信息技术, 数据泄漏, 

不知名黑客利用流行社交网站中现已修补的漏洞从 540 万个 Twitter 帐户中窃取了数据。目前该黑客正在黑客网站 Breached Forums 上出售被盗信息。2022年1月，相关漏洞爆出，该漏洞允许未经任何身份验证的任何一方通过提交电话号码/电子邮件来获取任何用户的 Twitter ID，即使用户已在隐私设置中禁止此操作。据黑客卖家称，该数据库包含从名人到企业的数据（电子邮件地址和电话号码），还包括一个 csv 文件形式的数据样本。 数据售卖帖子被发布几个小时后，Breach Forums 的所有者验证了泄漏的真实性，并指出它是通过上述漏洞提取的。

详情

中国互联网监管机构对滴滴处以12亿美元罚款

日期: 2022-07-21
标签: 中国, 信息技术, 滴滴打车, 用户隐私, 

2022年7月21日，中国互联网监管机构对网约车公司滴滴处以 12 亿美元的罚款，原因是该公司过分收集用户数据以及缺乏对敏感用户信息的安全保护。中国国家互联网信息办公室表示，已结束对该公司的网络安全审查，发现该公司存在“违法行为”，违反了国家《网络安全法》、《数据安全法》和《个人信息保护法》。此次调查发现，滴滴公司非法处理个人信息647.09亿条，数量巨大，包括人脸识别信息、精确位置信息、身份证号码等敏感个人信息。滴滴的违法行为涉及多个应用程序，包括过度收集个人信息、强制收集敏感个人信息、应用程序频繁主张权利、未履行处理个人信息的通知义务、未履行网络安全等。中国网信办表示，计划在未来几年“加强”网络安全和数据保护法的执法。

详情

Neopets数据泄露暴露了6900万会员的个人数据

日期: 2022-07-19
标签: Neopets, Lazarus, TarTarX, 数据泄露, 

虚拟宠物网站Neopets遭受了数据泄露，导致源代码和包含超过6900万会员个人信息的数据库被盗。Neopets是一个受欢迎的网站，会员可以拥有，饲养和与他们的虚拟宠物一起玩游戏。Neopets最近推出了NFT，这些NFT将用作在线Metaverse游戏的一部分。7月19日，一个名为“TarTarX”的黑客开始以四个比特币的价格出售 Neopets.com 网站的源代码和数据库，按今天的价格计算价值约94，000美元。TarTarX表示他们窃取了数据库和 neopets.com 网站的大约460MB（压缩）源代码。卖家声称，该数据库包含超过6900万会员的帐户信息，包括会员的用户名，姓名，电子邮件地址，邮政编码，出生日期，性别，国家/地区，初始注册电子邮件以及其他与网站/游戏相关的信息。

详情

印度航班预订网站 Cleartrip 宣布数据泄露

日期: 2022-07-18
标签: 印度, 交通运输, Cleartrip, 

2022年7月18日，印度航班预订网站 Cleartrip 宣布了涉及未知数量受害者信息的数据泄露事件。“到目前为止的调查表明，用户的姓名、电子邮件ID和电话号码等信息可能受到了影响，”公司发言人说。安全研究员 Sunny Nehra 在 Twitter 上分享了黑客在私人论坛上发布的被盗文件的截图，泄漏的文件包括客户和供应商的大量数据。近年来，印度航空业的公司经常成为黑客的目标。2022年5月，印度SpiceJet 航空公司遭到勒索软件攻击，印度国家航空公司遭遇数据泄漏。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

朝鲜黑客使用Konni RAT恶意软件攻击欧盟目标

日期: 2022-07-23
标签: 俄罗斯, 朝鲜, 信息技术, APT37（Ricochet Chollima）, Konni, 网络犯罪, 

研究人员发现了一项新的活动，该活动归因于APT37，这是一个朝鲜黑客组织，针对捷克共和国，波兰和其他欧洲国家的高价值组织。在这场活动中，黑客使用称为Konni的恶意软件，这是一种远程访问木马（RAT），能够在主机上建立持久性并执行权限提升。自2014年以来，Konni一直与朝鲜的网络攻击有关，最近，它出现在针对俄罗斯外交部的鱼叉式网络钓鱼活动中。Securonix的研究人员观察和分析了最新且仍在进行的活动，他们称之为STIFF#BIZON，类似于与APT（高级持续性威胁）的操作复杂性相匹配的策略和方法。虽然战术和工具集指向APT37，但Securonix强调了APT28（又名FancyBear）成为STIFF#BIZON活动背后的可能性。

详情

Operation（호랑이머리깃발）ShadowTiger：盘踞在佛岩山上的过林之虎

日期: 2022-07-21
标签: 信息技术, APT舆情, 

2019年奇安信威胁情报中心发布《阻击“幻影”行动：奇安信斩断东北亚APT组织“虎木槿”伸向国内重要机构的魔爪》全网首次披露东亚APT团伙“虎木槿”，奇安信内部跟踪代号APT-Q-11,在此后的数年间一直对其保持高强度的跟踪，该团伙在2019-2021三年间使用了多个浏览器0day漏洞，使用多种攻击手法对目标进行渗透攻击。本篇以年份为单位，披露漏洞细节（漏洞软件目前均已修复）、成因以及利用。

详情

黑客入侵乌克兰广播传播虚假消息

日期: 2022-07-21
标签: 乌克兰, 俄罗斯, 文化传播, 塔夫梅迪亚（TavrMedia）, 俄乌战争, 虚假消息, 

2022年7月21日，乌克兰国家特别通信局表示，当日身份不明的黑客袭击了乌克兰最大的广播网络之一塔夫梅迪亚（TavrMedia），播放有关总统沃罗德米尔·泽伦斯基（VolodymyrZelensky）涉嫌健康问题的虚假新闻。虚假新闻称乌克兰总统Zelensky在重症监护病房中，他的职责由乌克兰议会主席鲁斯兰·斯特凡丘克临时履行。黑客在黄金时段（下午 12 点到 2 点之间）进行了广播，TavrMedia 的九个电台中至少有一个电台的音乐节目被关于泽连斯基健康状况的虚假报道打断。目前尚不清楚有多少人在电台听到有关泽连斯基的假新闻。当日下午，Zelensky在在他的 Instagram 页面上发布了一段视频进行辟谣，并将这次袭击归咎于俄罗斯。

详情

Conti勒索软件如何入侵和加密哥斯达黎加政府

日期: 2022-07-21
标签: 哥斯达黎加, 政府部门, 勒索攻击, 

有关Conti勒索软件团伙如何入侵哥斯达黎加政府的细节已经浮出水面，显示了攻击的精确度以及从初始访问到加密设备最后阶段的速度。这是该组织过渡到另一种形式的组织之前，Conti勒索软件操作的最后一次攻击，该组织依赖于与其他团伙合作的多个单元。2022年4月11日，Conti在初步进入哥斯达黎加政府网络并从事侦察活动后，开始了他们在此品牌下的最后一次入侵。威胁参与者入口点是属于哥斯达黎加财政部的系统，该组的一名成员称为“MemberX”，使用受感染的凭据通过VPN连接获得访问权限。受感染的凭据是从受害者网络上受损的初始设备上安装的恶意软件中获得的。在攻击的早期阶段设置了10多个Cobalt Strike信标会话。获得本地网络域管理员访问权限后，入侵者使用 Nltest 命令行工具枚举域信任关系。接下来，他们使用ShareFinder和AdFind实用程序扫描网络中的文件共享。

详情

黑客使用GoMet后门瞄准乌克兰软件公司

日期: 2022-07-21
标签: 乌克兰, 信息技术, 俄乌战争, 

一项新的研究发现，一家大型软件开发公司，其软件被乌克兰的不同国家实体使用，该公司处于“不常见”恶意软件的接收端。这种访问可以通过多种方式利用，包括更深层次的访问或发起其他攻击，包括软件供应链受损的可能性。到目前为止，关于GoMet在现实世界攻击中使用GoMet的公开报告只发现了两个记录在案的案例：一个是在2020年，恰逢CVE-2020-5902的披露，CVE-2020-5902是F5的BIG-IP网络设备中的关键远程代码执行缺陷。第二个实例导致今年早些时候一个未命名的高级持续性威胁（APT）组织成功利用了Sophos防火墙中的远程执行代码漏洞CVE-2022-1040。该恶意软件于2022年5月19日上午首次被发现，是称为GoMet的开源后门的自定义变体，旨在保持对网络的持久访问。

详情

被滥用的Slack服务：APT29针对意大利的攻击活动分析

日期: 2022-07-20
标签: 意大利, 信息技术, APT29, APT舆情, 

近期，奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获到EnvyScout攻击样本，该样本释放的ISO文件中包含LNK文件以及设置了文件隐藏属性的PE文件，通过LNK文件启动其中的正常EXE，进而以侧加载方式执行恶意DLL。恶意DLL利用团队协作通信服务Slack作为C&C信道，获取后续载荷并执行。国外安全研究人员进一步发现了与该EnvyScout攻击样本相关的钓鱼邮件和PDF诱饵文档。邮件与PDF均使用意大利语，内容是要求机构部门人员完成COVID-19疫苗接种的通知，钓鱼邮件使用意大利政府域名进行伪装，因此可以认为此次攻击目标位于意大利。

详情

LinkedIn仍然是网络钓鱼攻击中冒充最多的品牌

日期: 2022-07-20
标签: 信息技术, LinkedIn, 网络钓鱼攻击, 

在2022年第二季度的网络钓鱼活动中，LinkedIn成为最受模仿的品牌。正如Check Point在其报告中解释的那样，使用虚假LinkedIn电子邮件的网络钓鱼活动试图模仿该平台向其用户发送的常见消息，例如“你本周出现在8个搜索者中”或“你有一条新消息”。发件人地址被欺骗，看起来好像邮件是自动的，或者来自支持部门甚至安全部门。这些活动中使用的一些诱饵包括LinkedIn Pro服务的虚假促销，虚假的政策更新，甚至是“未经验证的客户”的帐户终止威胁。它们都会导致一个网络钓鱼网页，要求受害者输入其LinkedIn凭据，从而使威胁行为者能够接管帐户。

详情

德国建材巨头可耐福遭到 Black Basta 勒索软件团伙的袭击

日期: 2022-07-19
标签: 德国, 制造业, 可耐福（Knauf）, 勒索, 

2022年7月19日，可耐福集团（Knauf）宣布，它已成为网络攻击的目标，该攻击扰乱了其业务运营，迫使其全球 IT 团队关闭所有 IT 系统以隔离事件。可耐福（Knauf）是一家总部位于德国的跨国建筑和建筑材料生产商，拥有全球约 81% 的墙板市场。实际的网络攻击发生在2022年6月29日晚。名为 Black Basta 的勒索软件团伙已通过在其勒索网站上发布公告，于 2022 年 7 月 16 日将可耐福列为受害者，从而对此次攻击负责。Black Basta勒索软件团伙公布了在可耐福攻击期间泄露的 20% 的文件，超过 350 名访问者访问了这些文件。这些文件包括电子邮件通信、用户凭据、员工联系信息、生产文档和 ID 扫描的样本。

详情

网络司令部司令支持对俄罗斯的“进攻性”行动

日期: 2022-07-19
标签: 俄罗斯, 美国, 政府部门, 俄乌战争, 

美国网络司令部和国家安全局局长保罗·中曾根将军坚持他关于美国军方在保卫乌克兰时对俄罗斯进行进攻性网络行动的评论。在7月19日国际网络安全会议上与联邦调查局局长克里斯托弗·雷（Christopher Wray）进行小组讨论时表示，保罗表示六月份的声明代表了美国网络司令部为应对俄罗斯入侵而采取的行动：“我们在美国网络司令部做了三件事：我们捍卫国防部的网络，数据和武器系统。我们与一系列跨部门合作伙伴一起保卫国家的网络空间。我们还为美国欧洲司令部等联合部队指挥官提供支持。因此，我们否认，贬低和破坏。能够发现，防御，破坏和威慑，这些都是我们在行动过程中所做的一切“。俄罗斯外交部对此威胁美国，警告他们不应“挑衅俄罗斯采取报复措施”。

详情

俄罗斯黑客Turla的网络攻击活动

日期: 2022-07-19
标签: 俄罗斯, 乌克兰, 政府部门, 信息技术, 俄乌战争, 

Turla是一个公开归因于俄罗斯联邦安全局（FSB）的组织，最近在一个欺骗乌克兰军团的域名上托管了Android应用程序。这是Turla分发Android相关恶意软件的第一个已知实例。这些应用程序不是通过Google Play商店分发的，而是托管在由参与者控制的域上，并通过第三方消息传递服务上的链接进行分发。该应用程序以对一组俄罗斯网站执行拒绝服务（DoS）攻击为幌子进行分发。但是，“DoS”仅包含对目标网站的单个GET请求，不足以有效。在对Turla CyberAzov应用程序进行调查期间，发现了另一个Android应用程序，该应用程序于2022年3月首次在野外出现，Android应用程序名称是stopwar.apk，TAG认为StopWar应用程序是由亲乌克兰开发人员开发的，并且是Turla演员基于其虚假CyberAzov DoS应用程序的灵感来源。

详情

APT29使用Google云端硬盘，Dropbox来逃避检测

日期: 2022-07-19
标签: 俄罗斯, 政府部门, 信息技术, APT29, 俄乌战争, 

俄罗斯联邦外国情报局（SVR）的国家支持的黑客APT29（又名Cozy Bear或Nobelium）已经开始使用Google Drive合法的云存储服务来逃避检测。通过使用全球数百万人信任的在线存储服务来泄露数据并部署其恶意软件和恶意工具，俄罗斯威胁行为者正在滥用这种信任，使他们的攻击变得非常棘手，甚至无法检测和阻止。正如Mandiant在四月份跟踪该组织网络钓鱼活动之一的报告中透露的那样，这不是APT29黑客第一次滥用合法的网络服务进行命令和控制以及存储。Mandiant还看到了网络间谍组织对世界各地各种外交组织员工的网络钓鱼攻击，这一重点与当前的俄罗斯地缘政治战略利益和之前的APT29目标一致。

详情

APT-C-26（Lazarus）组织伪造电商组件攻击活动分析报告

日期: 2022-07-18
标签: 韩国, 信息技术, Lazarus, 

2022年上半年，360高级威胁研究院发现了来自Lazarus组织的攻击活动，本次攻击活动伪装为Alibaba相关组件进行攻击，载荷组件与NukeSped家族相关，后续载荷以窃取目标相关文件信息为主，可以推断是针对特定领域或者人群进行的攻击行动，本次攻击行动针对性强、隐蔽性强，目前视野内受影响用户涉及韩国软件企业Hancom Secure相关。

详情

阿尔巴尼亚因广泛的网络攻击而关闭政府网站和服务

日期: 2022-07-18
标签: 阿尔巴尼亚, 政府部门, 网络攻击, 

在与当地新闻媒体分享的一份声明中，阿尔巴尼亚国家信息社会局表示，由于“来自阿尔巴尼亚境外的同步和复杂的网络犯罪攻击”，它“被迫暂时关闭对在线公共服务和其他政府网站的访问”。政府官员没有回应有关攻击起源地的评论请求。2022年5月，阿尔巴尼亚政府对众多面对面的行政办公室进行了重组，将公共服务转移到一个旨在提高效率、不易腐败的在线门户网站上。几家新闻媒体指出，一些政府服务仍在运作，包括该国的税务申报门户网站，该门户网站在不同的服务器上运行。该机构表示，政府正在与微软，网络安全咨询公司琼斯国际集团和几家阿尔巴尼亚安全公司合作，“以防止这种网络攻击破坏或损害阿尔巴尼亚的信息系统”。截止2022年7月18日，所有政府网站仍然无法访问。

详情

Roaming Mantis（漫游螳螂）攻击法国的安卓和iOS用户

日期: 2022-07-18
标签: 英国, 德国, 韩国, 日本, 法国, 美国, 信息技术, Roaming Mantis, Android, iOS, 

在2022年7月18日发布的一份报告中，网络安全公司速客国际（SEKOIA）的研究人员表示，Roaming Mantis集团现在正在Android设备上投放XLoader（MoqHao）有效载荷，这是一种强大的恶意软件，可以计算远程访问，信息窃取和SMS垃圾邮件等功能。正在进行的漫游螳螂活动以法国用户为目标，首先向潜在受害者发送短信，敦促他们关注URL。文本消息通知已发送给他们的包裹，以及他们需要查看和安排其交付的包裹。如果用户位于法国并且使用的是 iOS 设备，则会将他们定向到窃取 Apple 凭据的网络钓鱼页面。Android 用户指向一个提供移动应用安装文件的网站（Android 软件包套件 - APK）。对于法国以外的用户，Roaming Mantis的服务器显示404错误并且攻击停止。APK执行并模仿Chrome安装，请求有风险的权限，例如短信拦截，拨打电话，读取和写入存储，处理系统警报，获取帐户列表等。除法国外，漫游螳螂还攻击过德国，台湾，韩国，日本，美国和英国用户。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

SonicWall 警告关键 GMS SQL 注入漏洞

日期: 2022-07-22
标签: 信息技术, SonicWall, 漏洞修补, 

2022年7月22日，网络安全公司SonicWall推出了修复程序，以缓解影响其Analytics On-Prem和全球管理系统（GMS）产品的关键SQL注入（SQLi）漏洞。该漏洞被跟踪为CVE-2022-22280，在CVSS评分系统上的严重性等级为9.4，源于该公司所描述的SQL命令中使用的“特殊元素的不当中和”，这可能导致未经身份验证的SQL注入。DBappSecurity HAT Lab 的 H4lo 和 Catalpa 被发现并报告了影响 2.5.0.3-2520 及更早版本的 Analytics On-Prem 以及 9.3.1-SP2-Hotfix1 之前和包括 1 在内的所有 GMS 版本的缺陷。目前没有针对此漏洞的解决方法，但是，通过合并Web应用程序防火墙（WAF）来阻止SQLi尝试，可以显着降低利用的可能性。

详情

以色列间谍软件公司利用的Chrome漏洞也会影响Edge，Safari

日期: 2022-07-22
标签: 以色列, 信息技术, Google Chrome, 漏洞利用, 

最近修补的Chrome漏洞似乎已被一家以色列间谍软件公司利用，这也影响了微软的Edge和苹果的Safari网络浏览器。谷歌于7月4日宣布，它已经发布了Chrome 103的更新，以修补一个被跟踪为CVE-2022-2294的零日漏洞。该漏洞被描述为WebRTC中的堆缓冲区溢出，WebRTC是一个开源项目，旨在为浏览器和应用程序添加实时通信功能。该漏洞似乎已被利用在与Candiru相关的针对性攻击中，Candiru是一家以色列公司，该公司为政府客户提供监控工具。在利用CVE-2022-2294的攻击中，攻击者分析了受感染的设备，并且仅将零日漏洞攻击推送到被认为重要的系统。一旦他们获得了对设备的访问权限，黑客就发布了DevilsTongue，这是一种复杂的恶意软件，可以允许其操作员从受感染的系统中窃取各种数据。

详情

Windows 11 KB5015882 更新修复了导致文件资源管理器冻结的错误

日期: 2022-07-21
标签: 信息技术, 微软（Microsoft）, Windows 11, 

Microsoft 已发布适用于 Windows 11 的可选 KB5015882 预览版累积更新，其中包含 20 项修复或改进，包括新的 Focus Assist 和操作系统升级功能。此Windows 11更新是Microsoft 2022年7月每月“C”更新的一部分，允许用户在2022年8月的补丁日测试即将推出的更新和修复程序。与补丁日发布的累积更新不同，预览版更新不包含安全更新，仅包括错误修复和性能改进。Windows用户可以通过进入“设置”，单击“Windows更新”并选择“检查更新”来安装此更新。由于这是可选更新，因此在 Windows 10 安装更新之前，系统将提示您单击“下载并安装”按钮。安装 KB5015882 更新后，Windows 11 的版本号将更改为内部版本 22000.829。

详情

零日漏洞被用于攻击中东的Avast用户

日期: 2022-07-21
标签: 黎巴嫩, 文化传播, 漏洞利用, 

零日漏洞CVE-2022-2294被用于攻击中东的Avast用户，大部分目标为黎巴嫩的记者。该漏洞是WebRTC中的内存损坏，该损坏被滥用以在Chrome的渲染器进程中实现shellcode执行。在黎巴嫩，攻击者似乎已经破坏了一家新闻机构员工使用的网站。无法确定攻击者可能追求什么，但是攻击者追捕记者的原因通常是监视他们和他们正在直接处理的故事，或者找到他们的消息来源并收集他们与媒体共享的有害信息和敏感数据。受感染的网站包含持久性XSS攻击的产物，其中有些页面包含对Javascript函数的调用以及诸如.我们假设这就是攻击者测试XSS漏洞的方式，然后最终通过注入一段从攻击者控制的域加载恶意Javascript的代码来真正利用它。然后，这些注入的代码负责通过其他几个攻击者控制的域将预期的受害者（并且仅预期的受害者）路由到漏洞利用服务器。

详情

苹果为macOS和iOS发布紧急安全补丁

日期: 2022-07-20
标签: 美国, 信息技术, Apple, 移动安全, iOS, macOS, 

2022年7月20日，Apple 的安全响应团队针对 macOS Catalina、iOS 和 iPadOS 平台上的至少 39 个软件漏洞推出了软件修复程序。这 39 个漏洞（大多数与内存安全问题有关）已在各种 iOS/iPadOS 组件中得到解决，包括 AppleAVD、AppleMobileFileIntegrity、Apple Neural Engine、CoreText、ImageIO 和 WebKit，其中一些漏洞严重到足以使用户遭受远程代码执行攻击。该Apple还发布了macOS Big Sur 11.6.8（包含针对 32 个漏洞的补丁），以及macOS Monterey 12.5（包含针对 56 个软件缺陷的更新）。强烈建议iPhone 和 iPad 用户关注iOS 15.6更新。

详情

Atlassian 修复了关键的 Confluence 硬编码凭据缺陷

日期: 2022-07-20
标签: Atlassian, Confluence, 

Atlassian 修补了 Confluence Server 和 Data Center 中的一个关键硬编码凭据漏洞，该漏洞可能允许未经身份验证的远程攻击者登录到易受攻击的未修补服务器。硬编码密码是在为用户名为禁用了系统用户的用户帐户安装 Confluence 问题应用（版本 2.7.34、2.7.35 和 3.0.2）后添加的，旨在帮助管理员将数据从应用迁移到 Confluence 云。根据Atlassian的说法，该应用程序有助于改善与组织内部问答团队的沟通，目前已安装在8，000多台Confluence服务器上。在受影响的服务器上，卸载 Confluence 问题应用不会修正此漏洞，也不会删除攻击媒介（即，使用硬编码密码的已禁用系统用户帐户）。为了在安装更新之前修复此问题，Atlassian 建议更新到问题汇合的修补版本或禁用/删除已禁用的系统用户帐户。

详情

Cisco修复了允许攻击者以root身份执行命令的漏洞

日期: 2022-07-20
标签: 思科（Cisco）, 漏洞修补, 

思科已解决思科 Nexus 仪表板数据中心管理解决方案中的严重漏洞，这些漏洞可让远程攻击者使用 root 或管理员权限执行命令和执行操作。第一个安全漏洞（额定为严重性严重，并作为 CVE-2022-20857 进行跟踪）使未经身份验证的威胁参与者能够通过发送精心编制的 HTTP 请求来访问 API，以“节点上的任何 Pod”以 root 权限远程执行任意命令。第二个漏洞（作为 CVE-2022-20861 跟踪的 Web UI 中的高严重性漏洞）允许远程攻击者通过诱使经过身份验证的管理员单击恶意链接来执行跨站点请求伪造攻击。第三个高严重性安全漏洞 （CVE-2022-20858） 可能允许未经身份验证的远程攻击者通过打开与容器映像管理服务的 TCP 连接来下载容器映像或将恶意映像上载到受影响的设备。

详情

未修补的Micolus GPS跟踪器漏洞允许黑客远程禁用汽车

日期: 2022-07-19
标签: 中国, 政府部门, 交通运输, 制造业, Micodus, CVE-2022-2107, CVE-2022-2141, CVE-2022-2199, CVE-2022-34150, CVE-2022-33944, 涉我舆情, 

根据网络安全公司BitSight的说法，来自Micodus的广泛使用的车辆GPS跟踪器受到关键漏洞的影响，黑客可以利用这些漏洞来跟踪人们并远程禁用汽车。BitSight研究人员去年发现了这些缺陷，自2021年9月以来，该公司一直试图负责任地向中国的GPS跟踪器供应商Micodus披露其调查结果。然而，安全漏洞仍未修补。在Micodus MV720 GPS跟踪器中已经发现了六个漏洞，CVE-2022-2107，CVE-2022-2141，CVE-2022-2199，CVE-2022-34150和CVE-2022-33944。该跟踪器的成本约为20美元，并且广泛可用，但BitSight认为同一供应商的其他产品也可能受到影响。该供应商表示，其150万台跟踪设备部署在169个国家/地区。这家网络安全公司的分析显示，这些产品被用于政府、军事、执法、航空航天、工程、航运、制造等行业。

详情

CISA敦促在8月2日之前修补被利用的Windows 11错误

日期: 2022-07-18
标签: 信息技术, 微软（Microsoft）, 漏洞利用, 

Windows 11漏洞是微软7月补丁日修复程序综述的一部分，正在被野外利用，促使美国网络安全和基础设施安全局（CISA）建议在8月2日之前修补特权提升漏洞。该建议针对联邦机构，涉及CVE-2022-22047，该漏洞的CVSS得分很高（7.8），并使Windows 11（以及可追溯到7的早期版本）和Windows Server 2022（以及更早版本2008，2012，2016和2019）中使用的Windows客户端服务器运行时子系统（CSRSS）受到攻击。CSRSS bug 是一个特权提升漏洞，它允许在目标系统上具有预先立足点的对手以非特权用户身份执行代码。目前该漏洞正在被积极利用，但野外没有已知的公开概念漏洞证明，可用于帮助缓解或有时助长攻击。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   安全分析

分析俄乌战争期间针对乌克兰实体的恶意样本

日期: 2022-07-21
标签: 乌克兰, 信息技术, UNC2589, 俄乌战争, 

自俄罗斯入侵开始以来，乌克兰一直是多个网络间谍组织的目标。本篇报告详细介绍了UNC2589的两个攻击行动和可能与UNC1151相关的一个攻击行动。虽然这些组织有不同的支持者和目标，但这里介绍的攻击行动是通过使用有关公共安全的诱饵文件来引诱受害者打开钓鱼邮件的附件。本篇报告讨论的活动只是针对乌克兰的广泛网络行动的一小部分，这些行动以乌克兰为目标，具有破坏性和间谍动机。

详情

0x08   其他事件

T-Mobile因数据泄露向客户支付3.5亿美元

日期: 2022-07-24
标签: 美国, 信息技术, T-Mobile, 数据泄漏, 

在2021年8月移动电话公司T-Mobile披露其用户的社会安全号码等个人数据在网络攻击中被盗后，2022年7月底，T-Mobile 已同意向受影响的客户支付 3.5 亿美元。近 8000 万美国居民受到了2021年8月数据泄露的影响，除了社会安全号码，其他被泄露的信息还包括驾照或其他身份证明中的姓名和信息。T-Mobile表示，这些资金将用于支付集体成员的索赔、原告律师的法律费用以及管理和解的费用。它还表示， 2023 年将花费 1.5 亿美元来加强其数据安全和其他技术。

详情

微软遭遇严重服务中断

日期: 2022-07-24
标签: 美国, 澳大利亚, 中国, 信息技术, 微软（Microsoft）, 服务中断, 

根据初步的事后审查，2022年7月20日长达 6 小时的 Microsoft 365 全球中断是由有缺陷的企业配置服务 (ECS) 部署引起的。这种部署导致了多个位置的级联错误和可用性影响。ECS 是一个内部中央配置存储库，旨在允许 Microsoft 服务进行有针对性的更新。由于该问题，Microsoft 托管桌面和其他服务也无法自动修补。微软表示：“遥测显示，此事件影响了大约 300,000 个呼叫。由于工作时间在影响时间范围内，亚太地区 (APAC) 受影响最大。直接路由和 Skype MFA 也受到了重大影响，”此次中断似乎还影响了洛杉矶、达拉斯、纽约市、中国香港和东澳大利亚的用户。

详情

俄罗斯如何宣传乌克兰转售法国榴弹炮以牟利的说法

日期: 2022-07-21
标签: 乌克兰, 俄罗斯, 政府部门, 网络犯罪, 俄乌战争, 

俄罗斯的虚假信息机器正在制造新的和回收的叙述，声称乌克兰正在黑市上转售法国的武器系统，并最终落入俄罗斯手中。这种说法旨在让西方观众相信，西方提供的尖端武器不应信任乌克兰，同时给法国在提供军事援助方面的作用蒙上阴影。对于俄罗斯观众来说，这个故事突出了俄罗斯的“军事力量”战胜了“无能为力的西方”。对于乌克兰人来说，这种说法旨在引起人们对西方将停止向乌克兰提供武器系统的担忧。

详情

军情六处：俄罗斯间谍在乌克兰“收效甚微”

日期: 2022-07-21
标签: 英国, 欧洲, 政府部门, 英国军情六处（MI6）, 俄乌战争, 间谍活动, 

2022年7月21日，英国秘密情报局（MI6）负责人表示，近几个月来，数百名俄罗斯间谍被驱逐出欧洲，这对莫斯科在与乌克兰的战争期间的情报工作造成了重大打击。此前有一些迹象表明，欧盟和该地区的其他国家一直在打击俄罗斯的间谍活动。2022年2 月，西班牙记者Pablo González在波兰被捕，并被指控为俄罗斯 GRU 军事情报部门工作。2022年6 月，荷兰情报机构表示，他们抓获了一名 36 岁的俄罗斯间谍。英国政府官员表示，俄罗斯情报机构花了数年时间研发这些所谓的“潜伏特工”，但收效甚微。

详情

美国参议员提出立法，激励抗量子密码技术

日期: 2022-07-21
标签: 美国, 信息技术, 政府部门, 量子计算, 密码学, 

2022年7月21日，美国参议员Sens. Maggie Hassan (DN.H.) 和 Rob Portman (R-Ohio)提出《量子计算网络安全准备法案》，指示美国管理和预算办公室 (OMB) 采取一系列措施来促进抗量子密码的技术迁移。美国政府官员表示：“量子计算机的发展是技术的下一个前沿领域之一，而这种新兴技术也带来了新的风险。” “随着这项技术的快速发展，我们的国家安全信息必须保持安全，联邦政府必须准备好解决网络安全问题。”该立法将通过要求政府盘点其加密系统，确定哪些最容易受到量子计算风险，并相应地升级这些系统，来帮助应对数字挑战。

详情

谷歌通过支持 DNS-over-HTTP/3 来加固 Android 隐私

日期: 2022-07-20
标签: 美国, 信息技术, 谷歌（Google）, 协议, HTTP3, Android, 移动安全, 

Google 在 Android 11 及更高版本上增加了对 DNS-over-HTTP/3 (DoH3) 协议的支持，以增加 DNS 查询的隐私性，同时提供更好的性能。HTTP/3 是超文本传输协议的第三个主要版本，它依赖于 QUIC，这是一种基于 UDP 的多路传输协议，而不是像以前的版本那样的 TCP。新协议解决了“线头阻塞”问题，当数据包丢失或重新排序时，该问题会减慢互联网数据交易速度，这在移动设备上移动和频繁切换连接时很常见。使用 DoH3，DoT 的许多性能负担都得到了缓解，根据 Google 的测量，平均查询时间的性能提高了 24%。在某些情况下，谷歌的性能提升高达 44%。自2022年7月下旬，所有运行 Android 11 及更高版本的 Android 设备都应将 DoH3 用于 Google DNS 和 Cloudflare DNS。

详情

欧盟警告称，俄罗斯黑客攻击风险具有“溢出效应”并可能升级

日期: 2022-07-19
标签: 欧洲, 政府部门, 欧盟理事会（Council of The European Union）, Killnet, DDoS, 俄乌战争, 

2022年7月19日，欧盟理事会（Council of The European Union）警告称，在俄乌战争中，俄罗斯黑客组织“不分青红皂白地针对全球重要实体”，具有潜在的威胁溢出效应。欧盟理事会在一份声明中表示：“亲俄罗斯黑客组织声称对几个欧盟成员国和合作伙伴进行的最新 [DDoS] 攻击是欧盟及其成员国观察到的网络威胁形势加剧和紧张的又一个例子。” “我们强烈谴责这种不可接受的网络空间行为，并向所有成为受害者的国家表示声援。”

详情

美国政府披露数十种针对乌克兰计算机网络的恶意软件

日期: 2022-07-20
标签: 俄罗斯, 乌克兰, 美国, 伊朗, 政府部门, 乌克兰司令部网络国家任务部队 (CNMF), 美国网络司令部, MuddyWater, 俄乌战争, 

2022年7月20日，美国网络司令部披露了数十种形式的恶意软件，这些恶意软件已被用于攻击乌克兰的计算机网络，其中包括 20 个前所未见的恶意代码样本。美国执法和情报机构与乌克兰安全局司令部的网络国家任务部队 (CNMF) 共享了IOC。CMNF 没有将最新样本（将发布到VirusTotal、Github 和 PasteBin）归咎于特定的恶意网络攻击者，也没有命名该工具所针对的特定受害者。美国网络司令部发言人在一份声明中说：“我们正在与我们的乌克兰合作伙伴积极沟通以共享网络安全威胁信息。” “我们共享信息和情报，以使我们的美国政府合作伙伴（例如国土安全部和联邦调查局）、工业界以及我们的国际盟友和合作伙伴能够捍卫关键基础设施以及我们的民主价值观和制度。”

详情

82% 的全球保险公司预计网络保险费将继续上涨

日期: 2022-07-19
标签: 美国, 英国, 信息技术, 金融业, 制造业, 卫生行业, 商务服务, 勒索, 网络保险, 

2022年7月19日，Panaseer 对英国和美国的全球保险公司进行的一项调查发现，82% 的保险公司预计网络安全保费将继续上涨。勒索软件成本的增加是影响保费上涨的主要因素（78%），过去两年保险公司支付的最大赎金在英国平均为 326 万英镑，在美国平均为 352 万美元。黑客日益复杂的攻击技术是网络保险保费上涨的另一个主要原因 (73%)，此外的原因还包括：针对软件供应链的网络攻击的威胁增加 (79%)、勒索软件的成本以及无法准确理解客户的安全态势。勒索软件现在是对英国最大的网络威胁，而 2021 年受到勒索攻击最多的地区是美国，占全球所有勒索软件攻击的 53%。随着过去五年保费上涨和政策收紧，如今制造、金融服务和医疗保健行业的网络保险索赔最多。

详情

FBI预计将有针对美国中期选举的数字攻击

日期: 2022-07-19
标签: 美国, 政府部门, 美国联邦调查局 (FBI), 选举, 

2022年7月19日，美国联邦调查局局长克里斯托弗·雷（ChristopherWray）表示，联邦执法官员正准备应对来自中国、俄罗斯和伊朗的多层次网络攻击和影响行动，以迎接 11 月的中期选举。美国政府官员们已经看到针对选举的网络威胁如何随着每个选举周期而发生巨大变化。目前，FBI正在与美国网络司令部密切合作，以管理选举威胁，当这两个机构处于“战斗节奏”时，他们各自的团队至少每两个小时联系一次。

详情

黑客组织“8220”将云僵尸网络扩展到3万多个主机

日期: 2022-07-19
标签: 美国, 信息技术, Docker, Redis, Confluence, Apache, 8220, 挖矿, 加密货币, 僵尸网络, 

一个名为 8220 Gang 的加密采矿团伙一直在利用 Linux 和云应用程序漏洞将其僵尸网络扩大到 30,000 多台受感染的主机。黑客组织“8220”的攻击行动出于经济动机，在针对运行易受攻击版本的 Docker、Redis、Confluence 和 Apache 的公开可用系统后感染 AWS、Azure、GCP、Alitun 和 QCloud 主机。黑客组织“8220”以前的攻击依赖于公开可用的漏洞利用来破坏 Confluence 服务器。从2022年6月底开始，该组织开始使用专用文件来管理 SSH 暴力破解步骤，其中包含 450 个硬编码凭证，对应于广泛的 Linux 设备和应用程序。黑客组织“8220”至少从 2017 年开始就活跃起来，其攻击并不算复杂，但此次感染主机数量的却突然爆炸，体现了这些较低级别的黑客组织在攻击活动中也同样具有危险性和影响力。

详情

英国炎热天气导致Google和Oracle云中断

日期: 2022-07-19
标签: 英国, 信息技术, 谷歌（Google）, 云计算, 物理原因, 

2022年7月中旬，英国遭受了持续创纪录的热浪，导致整个地区的气温令人窒息。2022年7月19日，随着温度达到创纪录的 40.2 摄氏度（104.4 华氏度），Google和Oracle用来托管其云基础设施的数据中心的冷却系统已经开始出现故障。Oracle是第一个受到影响的公司，该公司在美国东部标准时间2022年7月19日上午 11:30 左右报告了冷却故障，导致“非关键硬件”断电。为了防止对硬件组件造成永久性损坏并因此造成长时间停机，Oracle关闭了部分区域的电源并限制了 GCE 抢占式启动，导致其云服务中断。Google Cloud 客户也同样受到影响，虚拟机被终止，机器无法访问，Persistent Disk 设备以单一冗余模式运行。

详情

英国DCMS提出了新AI规则手册的提案

日期: 2022-07-18
标签: 英国, 政府部门, 信息技术, 英国数字、文化、媒体和体育部（DCMS）, 人工智能, 

2022年7月18日，英国数字、文化、媒体和体育部（DCMS）发布一份政策文件，提出了新的人工智能规则手册的建议，以促进创新并提高公众对该技术的信任。该报告概述了英国政府监管该技术的方法，并提出了解决未来风险和机遇的规则，以便企业清楚地了解他们如何开发和使用人工智能系统。该报告断言，在利用“人工智能的重大经济和社会效益”的同时，还可以做更多的工作来解决“它带来的复杂挑战”。尽管英国拥有较好的监管体系，但仍需要跟上人工智能带来的不断变化的挑战和机遇，这对于保持其全球竞争力来说至关重要。

详情

FBI：伪造的加密货币投资应用程序窃取数百万美元

日期: 2022-07-18
标签: 美国, 金融业, 信息技术, 网络欺诈, 加密货币, 

2022年7月18日，FBI警告投资者和金融机构称，网络犯罪分子使用欺诈性的加密货币投资应用程序从至少 244 名受害者那里窃取了大约 4270 万美元。身份不明的犯罪分子劫持了一家美国金融机构的名称和徽标，以说服受害者下载虚假应用程序并存入加密货币。另一个名为“YitBit1”的骗局实施了类似的虚假投资计划，同时在 2021 年 10 月至 2022 年 5 月期间使用欺诈性加密投资应用程序骗取了至少四名受害者约 550 万美元。

详情

因谷歌未删除被禁信息，俄罗斯向其罚款3.58亿美元

日期: 2022-07-18
标签: 俄罗斯, 文化传播, 信息技术, 谷歌（Google）, YouTube, 罚款, 

2022年7月18日，莫斯科塔甘斯基区世界法院审议了俄罗斯互联网监管机构Roskomnadzor提出的针对美国 IT 公司 Google LLC 违反限制访问禁止信息的行政协议，最终对Google LLC处以 3.58 亿美元（210 亿卢布）的罚款。此外，针对谷歌系统性违反俄罗斯法律的行为，俄罗斯政府采取了多项强制措施：向互联网用户通报谷歌违反俄罗斯法律的行为，并禁止谷歌发布广告。

详情

RaHDIt黑客已经确定俄罗斯人与乌克兰军事情报部门合作

日期: 2022-07-18
标签: 俄罗斯, 乌克兰, 政府部门, RaHDit, 俄乌战争, 

2022年7月18日，俄罗斯黑客组织RaHDIt（“邪恶的俄罗斯黑客”）在其网站“Nemezida”上发布了来自乌克兰国防部主要情报局员工和与之相关的人员的新数据。这些名单包括2.5万人。这些特别是DIU雇员的犯罪特征， 其中有吸毒成瘾者被判犯有抢劫罪、抢劫罪、非法贩运武器和毒品罪、盗窃公寓罪、造成严重身体伤害罪和强奸罪。黑客表示：“我们从乌克兰军事情报官员名单中转移了我们公民与员工的已识别联系人，我们将他们转移到他们需要去的地方。让那里的人们了解专业，经过专门培训，他们是各自领域的专业人士。事实证明，该列表非常广泛。“

详情

研究人员称泰国民主活动家被间谍软件袭击

日期: 2022-07-18
标签: 泰国, 政府部门, NSO Group, Pegasus（飞马间谍软件）, 飞马间谍软件, 

2022年7月18日，网络安全研究人员报告了参与该国民主抗议活动的泰国活动人士的手机或其他设备被政府支持的间谍软件感染和攻击的案件的细节。互联网监管机构Citizen Lab，泰国互联网法律改革对话（iLaw）和Digital Reach的调查人员表示，至少有30人 - 包括活动家，学者和与民间社会团体合作的人 - 成为未具名的政府实体或实体的目标，Pegasus监视，Pegasus是由以色列网络安全公司NSO Group生产的间谍软件。这两个组织的报告列出了许多目标，证实了早些时候关于监视的报道，公民实验室的约翰·斯科特 - 雷尔顿（John Scott-Railton）表示，政府正在利用他们购买旨在打击犯罪和恐怖主义的技术的能力来监视批评者和其他私人公民。

详情

0x09   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x0a   时间线

2022-07-25 360CERT发布安全事件周报