报告编号：B6-2022-041801

报告来源：360CERT

报告作者：360CERT

更新日期：2022-04-18

0x01   事件导览

本周收录安全热点50项，话题集中在安全漏洞、网络攻击方面，涉及的组织有：Unit42、GitHub、Anonymous、Sandworm等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

非洲银行业成为 RemcosRAT 恶意软件的主要目标

日期: 2022-04-13
标签: 非洲, 金融业, RemcosRAT, 邮件钓鱼, 

研究人员发现有黑客正在针对非洲银行业，利用网络钓鱼电子邮件和 HTML 走私技术来部署恶意软件。攻击首先是从一个类似于合法公司（通常是竞争对手银行）的 URL 的错字域名向银行员工发送提供工作机会的网络钓鱼电子邮件。邮件中提供了指向该网站上详细信息的链接。通过该链接，受害者将进入包含应用程序说明的网页。这些电子邮件包含 HTML 文件，如果打开，会提示用户下载 ISO 文件，该文件又包含执行恶意软件的 Visual Basic 脚本。这种在不引起电子邮件安全产品警报的情况下潜入危险文件格式的技术称为 HTML 走私。经过一系列恶意代码执行和 Windows API 滥用，GuLoader 在系统上组装并执行以下载和运行 RemcosRAT 恶意软件。黑客使用 RemcosRAT 来探取交易细节、窃取有价值的凭证、在银行网络中横向移动或窃取 BEC 攻击所需的信息。

详情

Unit42发现僵尸网络EnemyBot利用Spring4Shell

日期: 2022-04-14
标签: 信息技术, Palo Alto Networks, EnemyBot, CVE-2022-22965, Spring4Shell, 

2022年4月14日，网络安全公司Palo Alto Networks的安全团队Unit42观察到一个基于Linux Gafgyt的僵尸网络，在野利用SpringShell（Spring4Shell）。这个僵尸网络名为“EnemyBot”。EnemyBot僵尸网络在二进制文件本身中包含了Spring4Shell漏洞利用——包括webshell和命令注入阶段。

详情

乌克兰的能源供应商成为Industroyer2 ICS恶意软件的目标

日期: 2022-04-12
标签: 乌克兰, 俄罗斯, 能源业, 乌克兰计算机应急响应小组（CERT-UA）, Sandworm, Industroyer2, CRASHOVERRIDE, Industroyer, 俄乌战争, Solaris, Linux, 

乌克兰的一家能源供应商最近成为一种新的恶意软件的目标，该恶意软件旨在通过操纵工业控制系统（ICS）造成损害。

该攻击针对高压变电站，据报道，乌克兰的计算机应急响应小组（CERT-UA）、网络安全公司ESET和微软已经进行了分析。

该行动与Sandworm有关，Sandworm是一个威胁组织，据信代表俄罗斯GRU军事情报机构运作。根据ESET的说法，该攻击的可能目标是在目标能源设施中执行破坏性操作并在4月8日导致停电，涉及在ICS网络和运行Solaris和Linux的系统中部署了几种恶意软件。

详情

Qbot 恶意软件切换到新的 Windows 安装程序感染媒介

日期: 2022-04-11
标签: 信息技术, 

Qbot僵尸网络现在通过网络钓鱼电子邮件推送恶意软件有效负载，其中包含恶意MSI Windows安装程序包的受密码保护的ZIP存档附件。

这是Qbot运营商首次使用这种策略，从通过网络钓鱼电子邮件传递恶意软件的标准方式切换，在目标设备上丢弃带有恶意宏的Microsoft Office文档。

Microsoft 已于 2022 年 4 月初开始向 Office for Windows 用户推出 VBA 宏自动阻止功能，从当前频道（预览版）中的版本 2203 开始，稍后再推出其他发布频道和旧版本。

详情

攻击者滥用Spring4Shell漏洞来传播Mirai僵尸网络恶意软件

日期: 2022-04-11
标签: 新加坡, 信息技术, Mirai, CVE-2022-22965, CVE-2022-22963, 

攻击者已经开始滥用最近发现的Spring4Shell漏洞作为Mirai僵尸网络传播的媒介。

趋势科技的研究人员已经注意到，Spring4Shell（VMWare的Spring Framework基于Java的核心模块中的一个关键漏洞）被积极利用，在用Mirai恶意软件感染未打补丁的设备之前，可以入侵它们。

据趋势科技称，攻击始于4月初，主要针对新加坡系统的攻击。

详情

Octo安卓木马允许 Cybercrooks 进行设备欺诈

日期: 2022-04-11
标签: 信息技术, Architect, Octo, ExobotCompact, Android, 

安全研究人员分析了一个 Android 银行木马Octo，该木马允许其运营商在设备上进行欺诈。Octo僵尸网络于 2022 年 1 月首次在暗网论坛上被提及，是 ExobotCompact木马的更新和更名版本，其最重要的新功能是允许运营商执行设备欺诈 (ODF) 的远程访问功能。为了隐藏其恶意活动，该恶意软件使用一个选项来显示黑屏覆盖，另一个选项来禁用所有通知。同时，根据接收到的命令，恶意软件可以执行手势和点击、执行特定操作、设置剪贴板文本和粘贴剪贴板内容。Octo 僵尸网络背后的黑客组织名为Architect，他很可能是 Exobot 和 ExobotCompact 的第一个版本背后的同一个组织。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

新的“工业间谍”通过裂缝、广告软件的方式推广

日期: 2022-04-16
标签: 信息技术, 

威胁行为者推出了一个名为“工业间谍”的新市场，出售来自违规公司的被盗数据，并向其成员提供免费的被盗数据。

虽然被盗数据市场并不新鲜，但“工业间谍”不是以勒索公司的方式，而是将自己宣传为一个市场，企业可以购买竞争对手的数据以访问商业机密，制造图表，会计报告和客户数据库。

工业间谍市场提供不同层次的数据产品，“高级”被盗数据包耗资数百万美元，而较低级别的数据可以作为单个文件购买，价格低至2美元。

详情

AlphaV声称攻击佛罗里达国际大学

日期: 2022-04-11
标签: 教育行业, 佛罗里达国际大学（FIU）, AlphaV, 数据泄露, 

自从 DataBreaches.net 报道涉及迈阿密佛罗里达国际大学的数据安全事件以来，已经有一段时间了，如果AlphaV的说法属实，那么它们又被破坏了。

AlphaV（“BlackCat”）将FIU添加到他们的泄漏数据中：

-学生和教职员工的个人信息，包括机密数据，SSN，联系人等

-合同，财务和会计文件

-SQL数据库-电子邮件数据库

共1.2 TB 个人数据和 300 GB SQL数据库数据。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

西班牙足协报告了一次网络攻击

日期: 2022-04-17
标签: 西班牙, 文化传播, 西班牙皇家足球联合会（RFEF）, 路易斯·鲁比亚莱斯（Luis Rubiales）, 

警方已被告知，西班牙皇家足球联合会（RFEF）遭受了网络攻击。最近几个月，工会的高层领导人，特别是总统路易斯·鲁比亚莱斯（Luis Rubiales），黑客已经从其私人电子邮件帐户，私人文本和音频电话中获得了文件和信息。西班牙皇家足球联合会总部位于马德里附近的拉斯特拉斯罗萨斯，是西班牙的足球管理组织。

详情

GitHub 称黑客使用被盗的 OAuth 访问令牌入侵了数十个组织

日期: 2022-04-15
标签: 信息技术, GitHub, Heroku, Travis-CI, OAuth, 

2022年4月15日，GitHub透露，一个不知名黑客利用被盗的 OAuth 用户令牌未经授权从多个组织下载私人数据的证据。应用程序和服务通常使用OAuth 访问令牌来授权访问用户数据的特定部分并相互通信，而无需共享实际凭据。2022年4月12日，GitHub Security 开始调查，发现有证据表明攻击者滥用被盗 OAuth 用户令牌发给两个第三方 OAuth 集成商 Heroku 和 Travis-CI，从包括 npm 在内的数十个组织下载数据。这些集成商维护的应用程序被 GitHub 用户使用，包括 GitHub 本身也在使用。GitHub警告称，攻击者可能正在使用这些第三方 OAuth 应用程序分析从受害者实体下载的私有存储库内容。

详情

黑客组织NB65泄漏俄罗斯实体数据

日期: 2022-04-16
标签: 俄罗斯, 交通运输, Continent Express, Anonymous（匿名者）, NB65, 俄乌战争, 

2033年4月16日，黑客组织Anonymous的附属组织Network Battalion 65（NB65）攻击了俄罗斯最大的独立旅行社 Continent Express，并泄露了近 400 GB 的文件和数据库。

详情

UAC-0097利用Zimbra中的漏洞对乌克兰国家组织进行网络攻击

日期: 2022-04-14
标签: 乌克兰, 政府部门, 信息技术, 乌克兰计算机应急响应小组（CERT-UA）, Zimbra, UAC-0097, 邮件钓鱼, CVE-2018-6882, 俄乌战争, C2, 

CERT-UA收到了主题为“Volodymyr Zelenskyy向乌克兰武装部队的军人和乌克兰阵亡英雄的家属颁发了金星勋章”和带有几张图像的电子邮件。根据研究结果，发现标题包含JavaScript代码，其执行将导致下载和执行另一个JavaScript代码，其目的是添加到第三方受害者的电子邮件帐户的配置中，用于进一步转发电子邮件。该攻击活动利用了Zimbra协作套件中的XSS跨站脚本漏洞CVE-2018-6882。考虑到主题、内容、信件的添加以及收件人，是有针对性的，所以将活动追踪为UAC-0097。

详情

UAC-0041使用icedID恶意软件对乌克兰国家组织进行网络攻击

日期: 2022-04-14
标签: 乌克兰, 信息技术, 政府部门, 乌克兰计算机应急响应小组（CERT-UA）, UAC-0041, IcedID（BokBot）, GzipLoader, 邮件钓鱼, 俄乌战争, C2, 

乌克兰CERT-UA透露，名称为“Мобілізаційний реєстр.xls”的XLS文件在乌克兰公民中大规模分发。如果打开文档并启用宏，将下载并运行可执行文件。下载的EXE文件将在计算机上下载、解密和运行GzipLoader恶意软件，而GzipLoader恶意软件又将下载、解密和运行IcedID恶意软件，也称为BankBot。在中等置信度下，将此活动与UAC-0041相关联。

详情

Lazarus针对韩国化学部门的攻击活动

日期: 2022-04-14
标签: 韩国, 政府部门, 科研服务, Lazarus, Dream Job行动, 漏洞通告, APT舆情, C2, 

Symantec发现与朝鲜有关联的APT组织Lazarus针对化学领域的组织开展间谍活动。2022年1月，Symantec检测到对韩国多家组织的网络攻击活动。攻击主要集中在化学部门，有些在IT部门。其中攻击IT部门很可能是作为跳板，用以进一步攻击化学部门。该活动似乎是Lazarus于2020年8月首次被发现的“Dream Job行动”的延续。Symantec以Pompilus跟踪Lazarus活动的子集。

详情

德国风力涡轮机公司 Nordex 遭受 Conti 勒索软件攻击

日期: 2022-04-14
标签: 德国, 制造业, Nordex, Conti, 

Nordex 是全球最大的风力涡轮机开发商和制造商之一，总部位于德国。2022年4月2日，Nordex 披露他们遭受了网络攻击，该公司已关闭其 IT 系统以防止攻击蔓延。2022年4月14日，Conti 勒索软件操作声称对风力涡轮机巨头 Nordex 的网络攻击负责。但勒索软件团伙Conti尚未开始泄露任何数据，这表明Nordex公司可能正在与Conti进行谈判，或者在攻击期间Nordex没有数据被盗。

详情

OldGremlin 勒索软件团伙用新的恶意软件瞄准俄罗斯

日期: 2022-04-14
标签: 俄罗斯, 信息技术, 政府部门, 金融业, 能源业, OldGremlin, TinyFluff, 俄乌战争, 

OldGremlin 是一个鲜为人知的黑客组织，在时隔一年多后于2022年3月卷土重来。该组织的攻击活动较少，自 2021 年初以来不到5次。该组织的攻击活动仅针对俄罗斯的企业和使用内部构建的自定义后门。OldGremlin在2022年3月末针对俄罗斯发起过两次网络钓鱼攻击。最近，OldGremlin又再次利用俄乌冲突热门话题，冒充俄罗斯一家金融机构的高级会计师，对一家采矿业的俄罗斯公司发起钓鱼邮件攻击。该电子邮件将收件人指向存储在 Dropbox 存储中的恶意文档，文档下载了一个名为 TinyFluff 的后门，该后门会启动 Node.js 解释器并让攻击者远程访问目标系统。研究人员分析发现，OldGremlin黑客组织中有讲俄语的成员，且十分了解俄罗斯。

详情

Sandworm使用INDUSTROYER2和CADDYWIPER恶意软件攻击乌克兰能源设施

日期: 2022-04-13
标签: 乌克兰, 能源业, 乌克兰计算机应急响应小组（CERT-UA）, Industroyer2, CaddyWiper, 俄乌战争, 

乌克兰CERT-UA政府的计算机应急响应小组已采取紧急措施，以应对与乌克兰能源设施攻击有关的信息安全事件。据了解，受害组织遭受了两波攻击。最初的入侵不迟于2022年2月。关闭变电站和公司基础设施的故障计划于2022年4月8日晚上进行，但恶意计划的实施已被阻止。

详情

英国警方指控黑客组织LAPSUS$攻击美国医疗公司

日期: 2022-04-13
标签: 美国, 英国, 卫生行业, SuperCare Health, LAPSUS$, 

2022年4月13日，总部位于加利福尼亚的呼吸护理提供商 SuperCare Health 披露了一起数据泄露事件，调查显示，有黑客在 2021 年 7 月 23 日至 7 月 27 日期间访问了特定系统。此次泄露了超过 30万名患者的个人详细信息。2022年2月4日，该公司评估了数据泄露的范围，了解到攻击者还获取了包括敏感的个人信息在内的患者文件。2022年3月25日，该公司通知了所有受影响的客户并实施了额外的安全措施。在过去的几个月里，美国的几家医疗机构披露了大规模的数据泄露事件。LAPSUS$ 从遭到黑客攻击的组织那里窃取机密信息，并以泄漏信息为由进行勒索。鉴于这些情况，英国警方已确定并指控 Lapsus$ 团伙的几名被告成员。

详情

朝鲜APT组织针对韩国个人的攻击活动

日期: 2022-04-12
标签: 韩国, 金融业, 信息技术, AhnLab, Menlo Security, SaniTOX, Binance, Kitty, APT舆情, 

Cluster25的研究小组追踪了2022年4月初开始的一起攻击行动，该活动来自朝鲜威胁组织，使用鱼叉式网络钓鱼电子邮件，其中包含具有不同诱饵的韩语恶意文档以危害其受害者。此活动的恶意Word文档中使用的诱饵彼此之间差别很大，从冒充韩国互联网信息中心（KRNIC）到冒充各种韩国互联网安全公司（例如，AhnLab、Menlo Security、SaniTOX）或加密货币公司（例如Binance）。这起行动的目标很普遍，旨在窃取韩国个人的数据。事实上，在大多数已确定的感染中，受害者是在naver dot com上注册邮箱的用户，naver dot com是一个韩国网络平台，包括免费的电子邮箱、新闻和搜索引擎功能。Cluster25将此行动归因于朝鲜威胁组织，因为已确定与Kitty网络钓鱼行动有相似之处。

详情

印度石油公司遭受网络攻击

日期: 2022-04-11
标签: 印度, 能源业, Oil India Limited, 石油公司, 

2022年4月11日，印度石油有限公司（Oil India Limited）遭到网络攻击。由于这次攻击，Oil India Limited 位于 Duliajan 的办公室的所有计算机和 IT 系统已被关闭。所有电脑及IT系统已经关闭。目前，其IT部门尚未确定损坏程度，尚不清楚攻击方以及攻击类型。在得知有 3-4 台计算机因病毒而感染后，该公司被迫将其所有计算机系统从 LAN 连接中撤出。

详情

乌克兰称俄罗斯对电网的强力黑客攻击受挫

日期: 2022-04-12
标签: 乌克兰, 俄罗斯, 能源业, 俄罗斯GRU军事情报机构, Industroyer2, CaddyWiper, NotPetya, 俄乌战争, 

2022年4月12日，乌克兰政府官员表示，俄罗斯军方黑客上周试图在一次长期计划的袭击中摧毁数百万乌克兰人的电力，但遭到挫败。

乌克兰人说，在一个有针对性的高压发电站，黑客成功地渗透并破坏了工业控制系统的一部分，但保卫该站的人能够防止停电。

官员们表示，来自俄罗斯GRU军事情报机构的黑客使用了恶意软件的升级版本，该恶意软件首次出现在其成功的2016年攻击中，该攻击导致基辅停电，该攻击是为针对多个变电站而定制的。他们同时播下了旨在消灭计算机操作系统的恶意软件，阻碍了恢复。

详情

BlackCat 勒索软件组织称攻击佛罗里达国际大学

日期: 2022-04-11
标签: 美国, 教育行业, 佛罗里达国际大学（FIU）, BlackCat (ALPHV), 勒索攻击, 

BlackCat (ALPHV) 勒索软件组织表示，他们攻击了佛罗里达国际大学并窃取了学生、教师和工作人员的一系列个人信息。这些数据有1.2 TB，包括合同、会计文件、社会安全号码、电子邮件数据库等。佛罗里达国际大学是2022年第8所受到勒索攻击的美国大学。Recorded Future表示，截至 2022 年 3 月，已有 37 起针对学校的公开报告的勒索软件攻击，而 2021 年全年为 127 起。今年前 3 个月的攻击次数比以往任何一年都多。而到目前为止，BlackCat 攻击了至少三所美国大学。

详情

黑客组织Anonymous再次泄漏多个俄罗斯实体电子邮件

日期: 2022-04-12
标签: 俄罗斯, 乌克兰, 信息技术, 政府部门, 俄罗斯联邦文化部, Anonymous（匿名者）, 俄乌战争, 

2022年4月12日，黑客组织Anonymous称泄露了三个俄罗斯实体的近60万封电子邮件，其中包括来自俄罗斯联邦文化部的近20万封电子邮件。还补充道，从 2016 年到 2022 年，Anonymous 泄露了普京任命的特维尔地区州长及其工作人员的 130,000 封电子邮件（116GB）。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

WordPress Elementor Website Builder插件中的关键RCE漏洞

日期: 2022-04-17
标签: 信息技术, WordPress, Elementor, 漏洞利用, 

Elementor是一个WordPress网站构建器插件，拥有超过500万个活动安装，已被发现容易受到经过身份验证的远程代码执行漏洞的攻击，该漏洞可能被滥用以接管受影响的网站。该漏洞是在2022年3月22日发布的3.6.0版本中引入的。大约37%的插件用户使用3.6.x版本。“这意味着攻击者提供的恶意代码可以由网站运行，”研究人员说。“在这种情况下，该漏洞可能会被未登录WordPress的人利用，但任何登录到WordPress并有权访问WordPress管理仪表板的人都可以很容易地利用它。

详情

CISCO WLC严重漏洞

日期: 2022-04-16
标签: 信息技术, 思科（Cisco）, CVE-2022-20695, 

思科已发布安全公告，以警告严重漏洞（CVSS v3 评分：

10.0)CVE-2022-20695，该漏洞影响无线 LAN 控制器 (WLC) 软件 。思科无线 LAN 控制器 (WLC) 的身份验证功能中的漏洞，可能允许未经身份验证的远程攻击者绕过身份验证控制，并通过管理界面登录设备。

详情

Google发布Chrome 0day漏洞紧急更新

日期: 2022-04-14
标签: 信息技术, 谷歌（Google）, CVE-2022-1364, 0day, Chrome, 

2022年4月14日，谷歌发布了Chrome浏览器的紧急更新，以修补一个新的0day漏洞（CVE-2022-1364），该漏洞正被黑客积极利用。该漏洞是 Chrome V8 JavaScript 引擎中的一个高严重性 类型混淆 漏洞。虽然类型混淆缺陷通常会在成功利用缓冲区边界外读取或写入内存后导致浏览器崩溃，但攻击者也可以利用它们执行任意代码。建议用户更新到适用于 Windows、Mac 和 Linux 的版本 100.0.4896.127 以阻止潜在威胁。还建议 Microsoft Edge、Brave、Opera 和 Vivaldi 等基于 Chromium 的浏览器的用户在修复可用时应用这些修复。

详情

Cisco修补无线LAN控制器中的关键漏洞

日期: 2022-04-14
标签: 信息技术, 思科（Cisco）, CVE-2022-20695, 

2022年4月14日，Cisco已发布补丁以修复影响无线 LAN 控制器 (WLC) 的安全漏洞。该漏洞的cve编号为CVE-2022-20695，漏洞等级：严重，评分 10 分。攻击者可以绕过身份验证控制并通过 WLC 的管理界面登录设备。成功利用该漏洞可能允许攻击者获得管理员权限并以允许完全接管易受攻击的系统的方式执行恶意操作。建议用户更新到版本 8.10.171.0 以解决该漏洞。思科无线 LAN 控制器 8.9 及更早版本以及 8.10.142.0 及更早版本不易受到攻击。

详情

SAP发布Spring4Shell漏洞补丁

日期: 2022-04-12
标签: 德国, 信息技术, SAP, CVE-2022-22965, Spring4Shell, 

2022年4月12日，德国软件制造商 SAP 在其 2022 年 4 月的安全补丁日发布了 30 多项补丁更新和说明，其中包括Spring4Shell的漏洞补丁。Spring4Shell漏洞的CVE编号为CVE-2022-22965，漏洞影响Java 应用程序开发框架 Spring。利用该漏洞，攻击者可以在远程 Web 服务器上执行任意代码，鉴于 Spring 框架的流行，这使得 CVE-2022-22965 成为严重威胁。建议各用户尽快进行补丁升级。

详情

微软发布四月补丁

日期: 2022-04-12
标签: 信息技术, 微软（Microsoft）, 微软补丁日, 

2022年04月12日，微软发布了2022年4月份安全更新。此次安全更新发布了128个漏洞的补丁，主要覆盖了以下组件：Microsoft Windows、Microsoft Defender、Defender for Endpoint、Microsoft Dynamics、Microsoft Edge（基于 Chromium）、Exchange Server、Office、SharePoint Server等。其中包含10个严重漏洞，115个高危漏洞, 3个中危漏洞。

详情

Chrome 100更新高危漏洞补丁

日期: 2022-04-11
标签: 信息技术, 谷歌（Google）, Chrome, 

2022年4月11日，Chrome发布了安全更新，其中包含 11 个漏洞的补丁。外部研究人员报告了10个已解决的漏洞。其中，8个被评为“高严重性”，2个被评为“中等严重性”。外部报告的6个安全漏洞是释放后使用错误，在某些情况下可能导致代码执行，其余的漏洞包括不适当的实施、不充分的策略执行以及 V8 引擎中的类型混淆。最新的浏览器迭代目前正以 Chrome 100.0.4896.88 的形式向 Windows、Mac 和 Linux 用户推出。

详情

F5调查NGINX零日漏洞

日期: 2022-04-11
标签: 信息技术, F5, BlueHornet, NGINX Web, 

应用程序安全巨头F5表示，它正在调查一个影响NGINX Web服务器的零日漏洞。

2022年4月11日，F5一位发言人告诉The Record：“我们知道有关NGINX Web Server问题的报告。我们已经优先调查此事，并将尽快提供更多信息“。

这个问题在4月9日首次曝光，当时一个与一个名为“BlueHornet”的团体有关的Twitter帐户在推特上发布了有关NGINX 1.18的实验性漏洞。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   安全分析

Karakurt 黑客组织与 Conti 和 Diavol勒索组织有关联

日期: 2022-04-15
标签: 信息技术, Conti, Karakurt, Diavol, 勒索团伙, 

2022年4月15日，有安全研究人员发布文章称，网络勒索组织 Karakurt 在运营上与 Conti 和 Diavol 勒索软件集团有关联，Karakurt作为勒索软件组织的渗透部门运作。自 2021 年 8 月首次攻击以来，Karakurt 黑客组织已针对至少八个国家的多个行业的 40 多个组织进行攻击。研究人员发现，Karakurt 黑客组织的成员与Conti 和 Diavol 勒索软件人员重叠。并且，Karakurt 的攻击使用与早期 Conti 攻击相同的后门来利用客户端系统。Karakurt黑客组织的攻击还使用了与 Conti 受害者支付地址相关的加密货币钱包。

详情

Fodcha DDoS僵尸网络攻击了100多名受害者

日期: 2022-04-16
标签: 中国, 信息技术, 360, Fodcha, DDoS攻击, 

奇虎 360 研究人员发现了一个快速传播的新型僵尸网络，名为 Fodcha，每天能够执行 100 多次攻击。利用这种新的恶意软件，攻击者正在攻击路由器、DVR 和服务器。据研究人员称，这些攻击者在不到一个月的时间里就用 Fodcha 病毒感染了近 62,000 台机器。与僵尸网络相关的唯一 IP 地址数量存在波动，因为他们每天都在监控着 10,000 多支使用中国 IP 地址的 Fodcha 僵尸大军，其中大多数使用中国联通 (59.9%) 和中国电信(59.9%) 服务 (39.4%)。Fodcha 通过利用许多设备中的 n-day 漏洞并使用 Crazyfia 暴力破解工具来感染设备。在成功获取对易受攻击的 Internet 暴露设备样本的访问权限后，Fodcha 攻击者使用 Crazyfia 结果数据部署恶意软件负载。僵尸网络样本针对 MIPS、MPSL、ARM、x86 和其他 CPU 平台。

详情

雪虐风饕：疑似Lazarus组织针对韩国企业的攻击活动分析

日期: 2022-04-12
标签: 韩国, Lazarus, CVE-2017-0199, 

近日，奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获到了大量针对韩国企业的鱼叉式网络钓鱼攻击样本。其通过带漏洞的文档或chm文件进行感染，并区分当前操作系统位数，执行对应系统位数的宏代码，以达到最佳的攻击效果。经研判，本次攻击活动的特点如下：

- 初始感染文档均使用CVE-2017-0199远程执行代码漏洞下载后续执行；

- 后续攻击利用本地RPC接口的UAC Bypass技术进行权限提升；

- 后续载荷加壳干扰分析，并使用简单手段来检测是否在沙箱中；

详情

0x08   其他事件

vx underground推出反勒索软件技术Snippiter Snippy™

日期: 2022-04-17
标签: 信息技术, vx-underground, Snippiter Snippy, EDR, 

2022年4月17日，恶意软件存储库 vx-underground推出了专利反勒索软件技术：Snippiter Snippy™。并称这项EDR（端点检测和响应）技术可以阻止 100% 的恶意软件、黑客、诈骗甚至内部威胁。vx-underground 是一个恶意软件存储库，其目标是收集恶意软件样本、论文和代码，目前有接近 35,00万个恶意软件样本。

详情

分析：深入了解伊朗 APT “MUDDYWATER”

日期: 2022-04-14
标签: 美国, 英国, 伊朗, 亚洲, 欧洲, 北美, 非洲, 政府部门, 信息技术, 能源业, 美国网络安全和基础设施安全局 (CISA), 美国联邦调查局 (FBI), 美国网络司令部网络国家任务部队 (CNMF), 英国国家网络安全中心 (NCSC-UK), 美国国家安全局（NSA）, MuddyWater, PowGoop, Canopy, Small Sieve, POWERSTATS, Mori, APT舆情, 

2022年2月，CISA、联邦调查局 (FBI)、美国网络司令部网络国家任务部队 (CNMF)、英国国家网络安全中心 (NCSC-UK) 和国家安全局 (NSA) 发布了关于他们对伊朗政府赞助的 APT MuddyWater 及其恶意网络活动的观察的联合声明。2022 年 4 月 13 日，安全研究团队avertium发布了MuddyWater的详细分析报告。MuddyWater 也被称为 MERCURY、Earth Vetala、Static Kitten、Seedworm 和 TEMP.Zagros，是伊朗的 APT，也是伊朗情报和安全部 (MOIS) 的附属机构。该组织自 2018 年以来一直活跃，通过利用已知漏洞和使用开源工具部署勒索软件，向伊朗政府提供被盗数据和访问权限。MuddyWater针对国防、石油和天然气、地方政府和电信行业的多个政府和私营部门组织——主要集中在亚洲、非洲、欧洲和北美。MuddyWater 开展广泛的网络活动，利用公开报告的漏洞并使用开源工具和策略来访问目标系统。MuddyWater 使用多种恶意软件变体，例如 PowGoop、Canopy、Small Sieve、POWERSTATS 和 Mori。MuddyWater 还使用恶意文档在易受攻击的系统上部署远程访问木马 (RAT)。

详情

FBI：支付应用程序用户成为社会工程攻击的目标

日期: 2022-04-14
标签: 美国, 信息技术, 金融业, 美国联邦调查局 (FBI), 社会工程, 支付应用程序, 

2022年4月14日，美国联邦调查局（FBI）称，网络犯罪分子正试图使用带有虚假银行欺诈警报的短信，来欺骗支付应用程序的美国用户进行即时转账。虚假欺诈警报会参考付款金额和金融机构名称，并要求目标确认他们是否试图即时支付数千美元。如果收件人回复网络钓鱼短信并拒绝进行此类付款，他们将收到第二条短信，称“很快”会与他们联系。诈骗者灰过几天再打电话，并伪装成相关银行的反欺诈部门，要求受害者从支付应用程序中删除“危险的”电子邮件地址，并将其附加到黑客控制的一个应用程序中，欺骗受害者“逆转”虚假的即时支付交易。

详情

美国政府将 5.4 亿美元的 Ronin 黑客事件归咎于朝鲜APT组织Lazarus

日期: 2022-04-14
标签: 美国, 朝鲜, 金融业, Ronin Network, Lazarus, 比特币, 

2022年4月14日，美国财政部外国资产控制办公室 (OFAC)表示，最近5.4亿美元的 Ronin Validator 加密货币抢劫案是由与朝鲜政府有关的黑客组织 Lazarus（又名APT-C-26） 进行的。2022年3月29日，DeFi 平台 Ronin Network 被黑，价值约 5.4 亿美元的以太坊和与美元挂钩的稳定币 USDC 被盗。此次盗窃案被认为是有史以来第二大加密货币盗窃案。截至2022年4 月9日，黑客已经洗掉了约 7.5% 的被盗资金，钱包中仍有约 159,710 ETH（或 5.12 亿美元）。到2022年4月14日，黑客已经清洗了大约 18% 的被盗资金。

详情

Bahamut组织近期攻击活动揭露

日期: 2022-04-14
标签: 信息技术, 360, Bahamut, 网络钓鱼, 

Bahamut是一个针对中东和南亚的高级威胁组织，其于2017年被Bellingcat披露并命名，随后BlackBerry又对该组织进行了详细全面的分析，并认为该组织属于网络攻击雇佣军。Bahamut组织主要使用钓鱼网站、假新闻网站、社交网站进行攻击。近期，360高级威胁研究院观察到疑似该组织的移动端攻击活动，本次攻击活动开始于1月份，使用钓鱼网站投递移动RAT样本。攻击使用的RAT属于未被披露过的新家族，推测属于该组织的特有攻击武器。

详情

Sandworm针对乌克兰能源公司的攻击活动

日期: 2022-04-13
标签: 乌克兰, 能源业, 乌克兰计算机应急响应小组（CERT-UA）, Sandworm, 俄乌战争, 

ESET研究人员与CERT-UA合作分析了针对乌克兰能源公司的攻击行动。行动计划于2022年4月8日进行，但分析表明，该行动至少计划了两周。攻击者使用了支持ICS的恶意软件和针对Windows、Linux和Solaris操作系统的常规磁盘擦除器。ESET非常有信心地评估攻击者使用了新版本的Industroyer恶意软件，该恶意软件于2016年用于切断乌克兰的电力。并高度自信地将本次行动归因于APT组织Sandworm。

详情

美国警告 APT 组织使用专门的恶意软件攻击 ICS/SCADA 系统

日期: 2022-04-13
标签: 美国, 制造业, 信息技术, 美国能源部 (DoE), 美国网络安全和基础设施安全局 (CISA), 美国国家安全局（NSA）, 美国联邦调查局 (FBI), CHERNOVITE, PIPEDREAM, INCONTROLLER, ICS, SCADA, 

2022年4月13日，美国政府发出警告，称APT组织会部署专门的恶意软件来维持对工业控制系统 (ICS) 和监督控制和数据采集 (SCADA) 设备的访问。一旦APT组织建立了对运营技术 (OT) 网络的初始访问权限，这些恶意软件就可以扫描、破坏和控制那些受影响的ICS/SCADA设备。目前已发现APT组织CHERNOVITE使用恶意软件PIPEDREAM，不知名APT组织使用恶意软件INCONTROLLER等。为了减轻潜在威胁并保护 ICS 和 SCADA 设备，美国政府鼓励组织对远程访问实施多因素身份验证，定期更改密码，并持续关注恶意指标和行为。联合联邦咨询由美国能源部 (DoE)、网络安全和基础设施安全局 (CISA)、国家安全局 (NSA) 和联邦调查局 (FBI) 提供。

详情

黑客利用VMware漏洞（CVE-2022-22954）进行RCE攻击

日期: 2022-04-13
标签: 信息技术, VMware, CVE-2022-22954, 

2022年4月13日，针对VMware远程代码执行漏洞（CVE-2022-22954）的PoC已发布，该漏洞已被黑客用于感染硬币矿工服务器。该漏洞影响 VMware Workspace ONE Access 和 VMware Identity Manager，CVSS评分9.8。VMware官方于 2022 年 4 月 6 日发布了针对该漏洞的安全公告，警告具有网络访问权限的威胁参与者可能触发服务器端模板注入，从而导致 RCE。如今，黑客正在积极扫描易受攻击的主机。研究人员称可能很快就会有勒索软件团伙利用该漏洞在网络中横向传播。

详情

微软破坏Zloader僵尸网络

日期: 2022-04-13
标签: 美国, 中国, 日本, 西欧, 金融业, 信息技术, 卫生行业, 制造业, 教育行业, 微软（Microsoft）, ZLoader, 

2022年4月13日，微软宣布，其数字犯罪部门获得了美国佐治亚州北区地方法院的法院命令，接管了 ZLoader僵尸网络，控制了与该僵尸网络通信的 65 个域。这些域被重定向到 Microsoft 天坑，这意味着僵尸网络背后的黑客组织无法再使用它们。僵尸网络包括世界各地学校、医院、企业和家庭的设备。Zloader 僵尸网络最初用于金融盗窃、窃取帐户登录 ID 和密码，后来，黑客团伙就利用访问机器来进行数据勒索勒索软件攻击。微软表示，ZLoader 攻击已影响到世界各国，其中大多数针对美国、中国、西欧和日本。

详情

“JekyllBot:5”漏洞允许远程入侵医院机器人

日期: 2022-04-12
标签: 北美, 欧洲, 亚洲, 卫生行业, Aethon, 机器人, 

安全研究人员发现了5个严重的漏洞，黑客可以利用这些漏洞远程入侵 Aethon 的 TUG 自主移动机器人。TUG 机器人被北美、欧洲和亚洲的数百家医院用于运输货物、材料和临床用品。他们的作用是让员工有更多时间专注于患者护理。机器人可以进入医疗机构的受限区域，可以操作电梯、开门，还可以访问患者数据。漏洞的利用不需要特殊权限、用户交互或高级黑客技能，如果可以从互联网访问机器人，甚至可以从设施外部发起攻击。这些漏洞与缺乏授权和身份检查以及未经处理的用户输入有关，可能允许未经身份验证的攻击者向系统添加新的管理员用户，访问用户凭据，并连接到控制服务器并劫持机器人。安全研究人员在公开调查结果之前已经上报了 Aethon 的漏洞，供应商已经创建了补丁。

详情

RaidForums黑客论坛被警方查封，其所有者被捕

日期: 2022-04-12
标签: RaidForums, 美国司法部（DoJ）, 

2022年4月12日，美国司法部（DOJ）今天表示，它查封了RaidForums的网站和用户数据库，RaidForums是一个非常受欢迎的英语网络犯罪论坛，出售了自2015年以来在一些世界上最大的数据泄露事件中被盗的超过100亿条消费者记录的访问权限。美国司法部还指控RaidForums的所谓管理员 - 葡萄牙21岁的Diogo Santos Coelho - 犯有六项刑事罪名，包括访问设备欺诈和严重的身份盗窃等。

详情

诺基亚宣布退出俄罗斯市场

日期: 2022-04-12
标签: 乌克兰, 俄罗斯, 制造业, 批发零售, 诺基亚（Nokia ）, 俄乌战争, 

2022年4月12日，诺基亚宣布退出俄罗斯市场，并表示：自入侵乌克兰的早期以来，诺基亚已经很清楚，继续我们在俄罗斯的存在是不可能的。在过去的几周里，我们暂停了交付，停止了新业务，并将我们有限的研发活动迁出俄罗斯。我们现在可以宣布，我们将退出俄罗斯市场。在此过程中，我们的首要任务仍然是员工的安全和福祉。

详情

欧美消费者对数据泄露风险越来越麻木

日期: 2022-04-12
标签: 美国, 新加坡, 英国, 澳大利亚, 信息技术, 金融业, 卫生行业, 政府部门, 批发零售, 

根据安全公司Imperva的最新研究，消费者对各行业的数据安全信任处于最低点，导致许多人“放弃”安全性。Imperva对美国、新加坡、英国和澳大利亚的 6700 多名消费者进行了调查。调查发现，只有 37% 的人相信金融服务公司会保护他们的数据安全，医疗保健行业下降至33%，政府组织为 29%，零售组织仅为 5%。超过三分之一 (35%) 的人表示他们不信任任何行业来保护他们的数据。当今消费者共享的大量数据也加剧了这个问题。然而，这些消费者也明白数据泄漏的风险是很高的：79%的受访者承认如果他们在网络上讨论的敏感信息被泄露，可能会面临严重后果。近一半 (47%) 的人表示这会破坏他们与朋友或家人的关系，五分之二 (39%) 的人声称这会影响他们的心理健康，28% 的人承认这可能会让他们面临勒索。

详情

CISA警告：俄罗斯黑客利用 WatchGuard 漏洞

日期: 2022-04-11
标签: 美国, 俄罗斯, 政府部门, 信息技术, 美国网络安全和基础设施安全局（CISA）, 俄罗斯军事情报局GRU, Sandworm, WatchGuard, 

2022年4月11日，美国网络安全和基础设施安全局 (CISA) 下令联邦民事机构，并敦促所有美国组织修补一个高严重性权限提升漏洞（CVE-2022-23176），该漏洞影响 WatchGuard Firebox 和 XTM 防火墙设备，目前正在被黑客积极利用。Sandworm（俄罗斯的黑客组织，据信是 GRU 俄罗斯军事情报机构的一部分）就利用此漏洞从受感染的 WatchGuard Small Office中构建了一个 名为 Cyclops Blink 的新僵尸网络/家庭办公室 (SOHO) 网络设备。WatchGuard Firebox 和 XTM 设备允许具有非特权凭据的远程攻击者通过公开的管理访问权限访问具有特权管理会话的系统。CISA下令联邦机构在2022年5月2日前修补该漏洞，也强烈敦促 所有美国组织优先修复这个被滥用的安全漏洞，以避免其 WatchGuard 设备受到损害。

详情

OWASP创建了三个新的风险类别

日期: 2022-04-11
标签: 信息技术, OWASP, 行业规范, OWASP TOP10, 

2022年4月11日，OWASP创建了三个新的风险类别，重新调整了其TPO10名单，安全团队在寻求防范当今最关键和最严重的应用程序安全风险时需要考虑这些类别。这些类别分别是：

1.不安全的设计 (A04:2021)：企业需要更早地在应用程序中设计安全性，这是对软件行业传统运作方式的重大改变。

2.软件和数据完整性故障 (A08:2021)：由于软件开发中 CI/CD 方法的增加，软件和数据完整性故障是一个日益严重的威胁，每个插件、库、模块和供应链都很重要。

3.服务器端请求伪造 (A10:2021)。服务器端请求伪造 ( SSRF )被视为安全专业人员最担心的攻击，据预测，随着现代 Web 应用程序代表用户对外部数据进行更多调用，SSRF 将会增加。

详情

树莓派删除默认用户以提高安全性

日期: 2022-04-11
标签: 信息技术, Raspberry Pi, 

为了提高安全性，最新的Raspberry Pi OS版本不再创建默认的“pi”帐户，而是要求用户设置自定义帐户。

“pi”用户从一开始就存在于所有Raspberry Pi安装中，它确实使进行暴力攻击变得更加容易（它通常与密码“raspberry配对”），即使有些人不一定将其视为安全漏洞。

Raspberry Pi OS Lite 映像没有向导，但仍需要创建新的用户帐户。对于那些运行Raspberry Pi无头图像的人来说，可以在Raspberry Pi Imager工具中预先配置具有用户帐户的图像。

最新的Raspberry Pi OS更新还允许具有现有安装的用户通过在终端窗口中键入重命名命令来重命名“pi”帐户。这将触发设备重新启动“进入首次启动向导的精简版本”，允许用户更改其用户名和密码。

详情

0x09   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x0a   时间线

2022-04-18 360CERT发布安全事件周报