报告编号：CERT-R-2024-736

报告来源：360CERT

报告作者：360CERT

更新日期：2024-03-11

0x01   事件导览

本周收录安全热点53项，话题集中在网络攻击、恶意软件、安全漏洞，主要涉及的实体有：Meta（原Facebook）、乌克兰国防部主要情报局（GUR）、越南等，主要涉及的黑客组织有：TA4903、Black Basta、Lotus Bane等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意软件

新Linux变种BIFROSE木马伪装成VMware欺骗用户

日期: 2024-03-04
标签: 信息技术, Linux变种, BlackTech黑客组织

研究人员发现了一种名为BIFROSE的远程访问特洛伊木马（RAT）的新Linux变种，该木马使用了一个伪装成VMware的欺骗性域名。BIFROSE自2004年以来一直是一种长期存在的威胁，最新变种尝试绕过安全措施并攻击目标系统。该木马曾被BlackTech黑客组织使用，并且具有远程执行命令、文件下载/上传和文件操作等功能。最新变种还使用了欺骗性域名策略，表明其危险性不断演变。同时，McAfee Labs和Trustwave SpiderLabs也报告了与BIFROSE相关的新攻击活动。

详情

GTPDOOR Linux 恶意软件针对移动运营商网络

日期: 2024-03-04
标签: 信息技术, GTPDOOR

安全研究人员 HaxRob 发现了一个以前未知的 Linux 后门，名为 GTPDOOR，专为移动运营商网络内的秘密操作而设计。GTPDOOR 背后的威胁行为者被认为以 GPRS 漫游交换 (GRX) 附近的系统为目标，例如 SGSN、GGSN 和 P-GW，这些系统可以为攻击者提供对电信核心网络的直接访问。由于SGSN、GGSN和P-GW网络更多地暴露在公众面前，IP地址范围列在公开文件中，研究人员认为它们可能是获得移动运营商网络初始访问权限的目标。

详情

NSO Group被命令向Meta交出Pegasus间谍软件源代码

日期: 2024-03-04
标签: 信息技术, Pegasus间谍软件

美国法院裁定监视公司NSO Group向Meta交出Pegasus间谍软件等产品的源代码。Meta赢得了针对以色列间谍软件供应商NSO Group的诉讼，美国法官命令监视公司向这家社交网络巨头交出其Pegasus间谍软件和其他产品的源代码。NSO Group被要求提供相关间谍软件的完整功能细节，包括涉及的间谍软件的攻击前一年到攻击后一年的时间段（即从2018年4月29日到2020年5月10日）。

详情

ScreenConnect 漏洞被利用来投放新的 ToddleShark 恶意软件

日期: 2024-03-05
标签: 信息技术, ToddleShark, ScreenConnect 

朝鲜 APT 黑客组织 Kimsuky 正在利用 ScreenConnect 漏洞（特别是 CVE-2024-1708 和 CVE-2024-1709），用名为 ToddleShark 的新恶意软件变体感染目标。Kimsuky（又名铊和天鹅绒千里马）是朝鲜国家支持的黑客组织，以对世界各地的组织和政府进行网络间谍攻击而闻名。攻击者正在利用 2024 年 2 月 20 日披露的身份验证绕过和远程代码执行漏洞， ConnectWise 敦促 ScreenConnect 客户 立即将 其服务器升级到版本 23.9.8 或更高版本。次日，这两个漏洞的公开利用程序被 发布， 包括勒索软件攻击者在内的黑客很快开始在实际攻击中利用这些漏洞。

详情

Hugging Face平台发现多达100个恶意AI/ML模型

日期: 2024-03-05
标签: 信息技术, Hugging Face平台, ComPromptMized攻击

Hugging Face平台发现多达100个恶意人工智能（AI）/机器学习（ML）模型。这些模型包括加载pickle文件导致代码执行的情况，软件供应链安全公司JFrog表示。高级安全研究员David Cohen指出：“模型的载荷赋予攻击者对受损机器的shell，使其能够通过后门获取对受害者机器的完全控制。”这些发现再次凸显开源代码库中潜在的威胁，可能被用于恶意活动。研究人员已经设计出一种名为BEAST的技术，可以有效生成提示，用于引诱大型语言模型（LLMs）产生有害响应。此外，安全研究人员开发了一种名为Morris II的生成式AI蠕虫，能够窃取数据并通过多个系统传播恶意软件。这种攻击技术被称为ComPromptMized，与传统的缓冲区溢出和SQL注入类似，因为它将代码嵌入到查询中，并将数据插入到已知包含可执行代码的区域。

详情

新型跨平台恶意软件“WogRAT”利用在线记事本平台进行攻击

日期: 2024-03-06
标签: 信息技术, WogRAT, aNotepad

一种名为“WogRAT”的新型恶意软件同时针对Windows和Linux系统进行攻击，利用名为“aNotepad”的在线记事本平台作为存储和检索恶意代码的隐秘通道。据安全情报公司安全研究中心（ASEC）的研究人员称，该恶意软件自2022年末以来一直活跃，主要针对日本、新加坡、中国、香港等亚洲国家。该恶意软件利用aNotepad平台存储base64编码的.NET二进制文件，以Adobe工具的伪装形式在Windows系统上运行，而Linux版本则采用ELF格式。该恶意软件通过C2服务器发送受感染系统的基本配置信息，并接收执行命令。支持的功能包括运行命令、从指定URL下载文件、上传文件到C2、等待指定时间（以秒为单位）和终止进程。Linux版本使用Tiny Shell进行路由操作，并在与C2的通信中加入额外加密。该恶意软件与LightBasin、OldGremlin、UNC4540等多个攻击者有关。

详情

朝鲜黑客利用ConnectWise ScreenConnect漏洞部署新型TODDLERSHARK恶意软件

日期: 2024-03-06
标签: 信息技术, TODDLERSHARK, ConnectWise ScreenConnect

朝鲜黑客利用最近披露的ConnectWise ScreenConnect安全漏洞部署了一种名为TODDLERSHARK的新型恶意软件。据Kroll与The Hacker News分享的报告称，TODDLERSHARK与已知的Kimsuky恶意软件（如BabyShark和ReconShark）存在重叠。所涉及的 ConnectWise 漏洞是CVE-2024-1708 和 CVE-2024-1709，这些漏洞于上个月曝光，此后遭到多个攻击者的大量利用，以传播加密货币挖矿程序、勒索软件、远程访问木马和窃取恶意软件。

详情

Kimsuky利用ScreenConnect漏洞部署BABYSHARK的变种TODDLERSHARK

日期: 2024-03-07
标签: 信息技术, ScreenConnect, TODDLERSHARK, APT舆情

Kroll网络威胁情报(CTI)团队发现了新的恶意软件，类似于基于VBScript的BABYSHARK恶意软件，Kroll称之为TODDLERSHARK。该恶意软件在利用ScreenConnect应用程序漏洞后被用于后渗透活动。多个来源已将BABYSHARK与Kroll追踪为KTA082(Kimsuky)的威胁组织关联起来。该恶意软件利用合法的Microsoft二进制和备用数据流，并表现出多态行为的元素。

详情

Linux 恶意软件针对 Docker、Apache Hadoop、Redis 和 Confluence

日期: 2024-03-07
标签: 信息技术, CVE-2022-26134, Golang

安全研究人员发现了一种新兴的恶意软件活动，目标是托管 Apache Hadoop YARN、Docker、Confluence 和 Redis 等面向 Web 的服务的配置错误的服务器。 该活动因采用新颖的 Golang 有效负载而闻名，该有效负载旨在自动识别和利用易受攻击的主机。 这些有效负载通过利用常见的错误配置和 Confluence 漏洞 CVE-2022-26134 来促进远程代码执行 (RCE) 攻击。获得初始访问权限后，攻击者会部署 shell 脚本和 Linux 攻击技术来建立持久性并执行加密货币挖掘程序。尽管在归因方面存在挑战，但 shell 脚本有效负载的相似性暗示了与 TeamTNT、WatchDog 和 Kiss a Dog 活动等威胁参与者之前的云攻击的潜在联系。

详情

Bifrost远程访问木马（RAT）的新Linux变种利用拼写错误来规避检测

日期: 2024-03-08
标签: 信息技术, Bifrost, Linux变种

一种名为Bifrost的远程访问木马（RAT）最近出现了新变种，针对Linux系统，并且冒充受信任的托管域名以规避检测。这种新的Linux变种利用拼写错误来模仿合法的VMware域名，从而使该恶意软件能够避开监测。研究人员还发现，攻击者试图通过恶意IP地址扩大Bifrost的攻击范围，包括针对ARM架构设备的变种。攻击者通常通过电子邮件附件或恶意网站来传播Bifrost，一旦安装在受害者的计算机上，Bifrost会与一个看似合法的VMware域名的C2域名建立联系，并使用RC4加密算法来加密用户数据。研究人员建议企业使用下一代防火墙产品和云特定安全服务来保护云环境。他们还分享了一些关于最新Bifrost Linux变种的威胁指标，以及防范这种恶意软件的建议。

详情

Facebook消息传播Snake恶意软件

日期: 2024-03-08
标签: 信息技术, Meta（原Facebook）, Snake, Facebook

研究人员警告称，威胁行为者正在利用Facebook消息传播一种名为Snake的基于Python的信息窃取恶意软件。研究人员发现，威胁行为者正在利用Facebook消息传播Snake恶意软件，这是一种基于Python的信息窃取工具。他们注意到，威胁行为者正在使用三种不同的Python Infostealer变种。其中两种是常规的Python脚本，而第三种变种是由PyInstaller组装而成的可执行文件。一旦恶意软件从感染的系统中窃取了凭据，它会通过滥用Discord、GitHub和Telegram的API将它们传输到不同的平台上。这次活动至少从2023年8月开始，当时一位网络安全研究人员在X上披露了这一情况。威胁行为者向受害者发送Facebook Messenger直接消息，试图诱使他们下载存档文件，如RAR或ZIP文件。存档文件包含两个下载器，一个批处理脚本和一个cmd脚本，最终下载器用于在受害者的系统上放置适当的Python Infostealer变种。

详情

0x04   数据安全

美国运通警告第三方数据泄露

日期: 2024-03-05
标签: 信息技术, 美国运通

美国运通警告客户，由于一家商户处理器遭到黑客攻击，信用卡可能会在第三方数据泄露中受到影响。该事件并非由美国运通的数据泄露引起，而是由一家商户处理器引起，该商户处理器处理了美国运通会员的数据。黑客已经获取了客户的美国运通卡账号、姓名和卡片过期日期。目前尚不清楚有多少客户受到影响，哪家商户处理器遭到了入侵，以及攻击发生的时间。美国运通建议客户在接下来的12至24个月内审查账单，并报告任何可疑行为。他们还建议客户通过美国运通移动应用程序启用即时通知，以接收有关欺诈警报和购买情况的通知。

详情

超过 225,000 个被盗的 ChatGPT 凭证在暗网市场上出售

日期: 2024-03-06
标签: 信息技术, ChatGPT 凭证, 暗网市场

Group-IB 的新调查结果显示，2023 年 1 月至 10 月期间，超过 225,000 份包含受损 OpenAI ChatGPT 凭证的日志在地下市场上出售。这些凭据是在与 LummaC2、Raccoon 和 RedLine 窃取者恶意软件相关的信息窃取者日志中找到的。2023 年 6 月至 10 月期间，超过 130,000 个能够访问 OpenAI ChatGPT 的独特主机遭到渗透，比 2023 年前 5 个月观察到的情况增加了 36%。待售 ChatGPT 凭证数量急剧增加是由于感染信息窃取程序的主机数量总体增加，这些信息窃取程序的数据随后在市场或 UCL 中出售。

详情

0x05   网络攻击

黑客针对 FCC 和加密货币公司发起 Okta 网络钓鱼攻击

日期: 2024-03-04
标签: 信息技术, Okta

一种名为 CryptoChameleon 的新网络钓鱼工具包被用于针对联邦通信委员会 (FCC) 员工，该工具包使用专门为 Okta 制作的单点登录 (SSO) 页面，这些页面与原始页面非常相似。该活动还针对 Binance、Coinbase、Kraken 和 Gemini 等加密货币平台的用户和员工，使用冒充 Okta、Gmail、iCloud、Outlook、Twitter、Yahoo 和 AOL 的网络钓鱼页面。攻击者精心策划了复杂的网络钓鱼和社会工程攻击，包括电子邮件、短信和语音网络钓鱼，以欺骗受害者在网络钓鱼页面上输入敏感信息，例如用户名、密码，在某些情况下甚至包括带照片的身份证件。

详情

新型网络钓鱼工具CryptoChameleon针对加密货币服务发动攻击

日期: 2024-03-04
标签: 信息技术, 金融业, CryptoChameleon

一种新型网络钓鱼工具被发现冒充知名加密货币服务的登录页面，作为一个名为CryptoChameleon的攻击集群的一部分，主要针对移动设备进行攻击。这种工具使攻击者能够复制单一登录(SSO)页面，然后利用电子邮件、短信和语音网络钓鱼的组合来诱使目标分享用户名、密码、密码重置URL甚至数百名受害者的身份证照片，主要集中在美国。受攻击的目标包括美国联邦通信委员会(FCC)的员工，以及Binance、Coinbase等加密货币平台的用户。迄今为止，已有100多名受害者被成功钓鱼。

详情

美国网络安全机构警告：Phobos勒索软件攻击政府和关键基础设施

日期: 2024-03-05
标签: 信息技术, Phobos勒索软件

美国网络安全和情报机构对针对政府和关键基础设施实体的Phobos 勒索软件攻击发出警告，并概述了攻击者部署文件加密恶意软件所采用的各种策略和技术。Phobos 勒索软件采用勒索软件即服务 (RaaS) 模式，其目标包括市县政府、紧急服务、教育、公共医疗保健和关键基础设施等实体，成功勒索了数百万美元。该警告来自美国网络安全和基础设施安全局 (CISA)、联邦调查局 (FBI) 和多州信息共享与分析中心 (MS-ISAC)。

详情

乌克兰GUR声称入侵俄罗斯国防部服务器

日期: 2024-03-05
标签: 信息技术, Minoborony

乌克兰国防部的主要情报总局（GUR）声称成功侵入俄罗斯国防部（Minoborony）的服务器，并窃取了敏感文件。官方发布的新闻稿称此次攻击是GUR网络专家进行的“特别行动”。据称，GUR获取了包括俄罗斯国防部用于保护和加密数据的软件、大量涉及俄罗斯国防部2000多个结构单位的机密文件，以及揭示Minoborony系统完整结构及其联系的信息。此外，还找到了使用名为“bureaucracy”电子文档管理软件的Minoborony高级领导和专家的身份信息，以及俄罗斯副国防部长伊万诺夫的文件。尽管未透露具体细节，但新闻稿指出特定部长伊万诺夫在此次网络攻击中扮演了重要角色。

详情

韩国NIS警告：朝鲜黑客瞄准半导体制造商进行网络间谍攻击

日期: 2024-03-05
标签: 制造业, 半导体制造商

韩国国家情报院（NIS）警告称，朝鲜黑客针对国内半导体制造商进行网络间谍攻击。NIS表示，这些攻击在2023年下半年增加，并一直持续至最近，针对易受已知漏洞影响的暴露在互联网上的服务器，以获取对企业网络的初始访问权限。一旦网络被入侵，威胁行为者就会从保存敏感文件和数据的服务器中窃取数据。NIS观察到的案例中，朝鲜对手使用了"利用合法软件工具进行恶意目的"的战术，以逃避安全产品的检测。报告中提到至少有两起网络攻击事件，分别发生在2023年12月和2024年2月，公司的配置管理和安全策略服务器遭到黑客攻击。据报道，这导致产品设计图纸和设施场地照片等敏感数据被泄露。

详情

黑客在网络钓鱼攻击中窃取 Windows NTLM 身份验证哈希值

日期: 2024-03-05
标签: 信息技术, Black Basta

名为 TA577 的黑客组织最近改变了策略，使用网络钓鱼电子邮件窃取 NT LAN Manager (NTLM) 身份验证哈希值来执行帐户劫持。TA577 被认为是初始访问代理 (IAB)，之前与 Qbot 相关并与 Black Basta 勒索软件感染有关。电子邮件安全公司 Proofpoint 报告称，尽管 TA577 最近表现出部署 Pikabot 的偏好，但最近的两波攻击却展示了不同的策略。2024 年 2 月 26 日至 27 日发起的不同 TA577 活动向全球数百个组织传播了数千条消息，针对员工的 NTLM 哈希值。NTLM 哈希在 Windows 中用于身份验证和会话安全，并且可以捕获用于离线密码破解以获得明文密码。此外，它们还可用于根本不涉及破解的“传递哈希”攻击，其中攻击者使用哈希来对远程服务器或服务进行身份验证。

详情

乌克兰GUR黑客入侵俄罗斯国防部

日期: 2024-03-06
标签: 政府部门, 乌克兰国防部主要情报局（GUR）

乌克兰国防部主要情报局（GUR）宣布，作为一项特别行动的一部分，它侵入了俄罗斯国防部的服务器，并泄露了机密文件。被盗的文件包括：机密文件，包括在俄罗斯军队 2000 多个单位中流传的命令和报告、俄罗斯国防部用来加密和保护其数据的软件、属于俄罗斯战争部的特工文件集。被盗的文件使乌克兰总情报局的情报分析员能够描绘出俄罗斯国防部系统及其各个单位的综合结构。这些文件披露了俄罗斯国防部的领导层，包括俄罗斯国防部各部门的其他高级官员。这包括代表、助理和专家，以及使用被称为“官僚”的电子文件管理系统的个人。

详情

TA4903黑客团伙利用BEC攻击冒充美国政府实施金融欺诈

日期: 2024-03-07
标签: 信息技术, 政府部门, TA4903, BEC攻击, 金融欺诈

一群黑客团伙TA4903专门从事商业电子邮件欺诈（BEC）攻击，冒充美国政府机构，诱使目标打开携带虚假竞标流程链接的恶意文件。根据Proofpoint的分析，这些威胁行为者冒充美国交通部、美国农业部（USDA）和美国小型企业管理局（SBA）。他们利用QR码在PDF文档附件中进行诱骗，重定向受害者至伪装成冒充美国政府机构官方门户网站的钓鱼网站。TA4903的活动主要以金融为动机，包括未经授权访问企业网络或电子邮件账户，搜索关键词以进行金融欺诈，并进行BEC攻击。他们不断发起大规模电子邮件攻击，主要针对美国的组织。最近，他们从冒充美国政府机构转向冒充小型企业。因此，采用全面的多层安全策略是最有效的减轻这些威胁的方法。

详情

黑客利用配置错误的 YARN、Docker、Confluence、Redis 服务器进行加密货币挖矿

日期: 2024-03-07
标签: 金融业, 信息技术, 加密货币挖矿

攻击者将运行 Apache Hadoop YARN、Docker、Atlassian Confluence 和 Redis 服务的配置错误且易受攻击的服务器作为新兴恶意软件活动的一部分，旨在提供加密货币挖掘程序并生成用于持久远程访问的反向 shell。Cado 安全研究员表示，攻击者利用这些工具发布漏洞利用代码，利用常见的错误配置和 N 天漏洞，进行远程代码执行 (RCE) 攻击并感染新主机。该活动被云安全公司命名为Spinning YARN ，与TeamTNT、WatchDog和被称为Kiss-a-dog的集群的云攻击重叠。

详情

新 APT 组织“Lotus Bane”攻击越南金融实体

日期: 2024-03-07
标签: 信息技术, 越南, Lotus Bane

越南的一家金融实体是先前未记录的名为Lotus Bane 的攻击者的目标，该攻击者于 2023 年 3 月首次被发现。总部位于新加坡的 Group-IB 将该黑客组织描述为一个先进的持续威胁组织，据信该组织至少自 2022 年以来就一直活跃。感染链的具体细节尚不清楚，但它涉及使用各种恶意工件，作为下一阶段的垫脚石。网络犯罪分子使用 DLL 侧面加载和通过命名管道进行数据交换等方法来运行恶意可执行文件并创建远程计划任务以进行横向移动。Lotus Bane 使用的技术与OceanLotus的技术重叠，OceanLotus 是一个与越南结盟的威胁组织，也称为 APT32、Canvas Cyclone（以前称为 Bismuth）和 Cobalt Kitty。

详情

TA4903 网络钓鱼活动针对美国政府

日期: 2024-03-07
标签: 政府部门, 能源业, TA4903

据观察，TA4903 组织对美国政府机构和各行业的私营企业进行了广泛的欺骗。虽然 TA4903 主要针对美国境内的组织，但偶尔也会通过大量电子邮件活动将其影响范围扩展到全球。正如 Proofpoint 在今天发布的新公告中所报告的，这些活动的总体目标是窃取企业凭证、渗透邮箱以及随后的商业电子邮件泄露 (BEC) 活动。从 2021 年 12 月开始，Proofpoint 开始观察一系列欺骗美国联邦政府实体的活动。这些活动后来被认为是 TA4903 所为，最初冒充美国劳工部，随后几年又伪装成其他政府部门。 值得注意的是，从 2023 年中期到 2024 年，TA4903 针对建筑、制造、能源、金融和食品饮料等不同行业的中小型企业 (SMB) 的凭证网络钓鱼和欺诈活动激增。

详情

宠物用品厂商PetSmart警告客户凭证填充攻击

日期: 2024-03-07
标签: 居民服务, PetSmart

宠物零售巨头PetSmart警告部分客户，由于持续的凭证填充攻击，他们的密码已被重置。PetSmart是美国最大的宠物及相关产品零售商，在全国拥有超过6000万客户和1600家门店。公司向客户发送了新的电子邮件通知，警告称客户正成为凭证填充攻击的目标，攻击者试图获取他们的账户信息。PetSmart重置了在凭证填充攻击期间登录的所有账户的密码，以确保安全，因为他们无法确定登录的用户是账户所有者还是黑客。攻击者可能会利用入侵的账户进行恶意行为，包括进行欺诈性购买、发送垃圾邮件或发动其他攻击。此外，攻击者还可能出售被入侵的账户给他人，用于购买商品、兑换奖励积分或窃取资金。

详情

Evasive Panda发起针对藏族人的网络间谍活动

日期: 2024-03-08
标签: 信息技术, Evasive Panda, Tibetpost网站

APT组织Evasive Panda（又称BRONZE HIGHLAND和Daggerfly）发起了一场复杂的网络间谍活动，针对全球各地的藏族人。自2023年9月以来，他们利用定向水坑和藏语翻译软件的特洛伊安装程序来进行攻击。攻击者利用重要的宗教聚会——Monlam节，针对与藏传佛教有关的个人。通过篡改节日组织者的网站，他们实施了水坑攻击，特别针对特定网络的用户。攻击者还利用同一网站和名为Tibetpost的藏族新闻网站来托管恶意下载的有效载荷，包括两个用于Windows的全功能后门和若干macOS的有效载荷。这些安装程序旨在部署恶意下载器，进一步促进对受害者系统的渗透。攻击者通过利用网络基础设施和软件供应链的漏洞，旨在渗透网络并威胁目标个人。这次活动与Monlam节时间重合，表明他们有意利用这一时期增加的在线活动。

详情

摩尔多瓦警告俄罗斯混合攻击

日期: 2024-03-08
标签: 政府部门, 混合攻击, 情报机构, 选举

摩尔多瓦国家情报机构警告称，俄罗斯可能在即将到来的选举前发动混合攻击。情报机构主管亚历山德鲁·穆斯泰塔在新闻发布会上警告称，俄罗斯可能对该国进行混合攻击，以破坏政府稳定。这些攻击可能引发摩尔多瓦、德涅斯特河沿岸地区和加盖兹自治区的社会冲突。他还表示，俄罗斯将试图干预秋季举行的加入欧盟的公投，并在总统选举期间“诋毁和败坏”亲欧派候选人的形象。摩尔多瓦与俄罗斯之间的局势十分紧张，摩尔多瓦已谴责乌克兰的入侵，并对克里姆林宫实施了制裁。此外，俄罗斯的网络攻击可能会利用各种手段干扰投票，并操纵摩尔多瓦民众对俄罗斯政策的情绪。

详情

WordPress站点遭受分布式暴力攻击

日期: 2024-03-08
标签: 信息技术, 暴力攻击, 恶意JavaScript注入

攻击者正在利用恶意JavaScript注入对WordPress站点进行暴力攻击，Sucuri的新发现揭示了这一点。安全研究人员Denis Sinegubko表示，这些攻击采取分布式暴力攻击的形式，“从完全无辜和毫不知情的网站访问者的浏览器中针对WordPress网站进行攻击”。这一活动是先前记录的攻击波的一部分，受感染的WordPress网站被用来注入加密排水器，如Angel Drainer，或者将网站访问者重定向到包含排水器恶意软件的Web3钓鱼网站。最新的变化值得注意的是，这些注入（迄今为止在700多个站点上发现）并不加载排水器，而是使用常见和泄露的密码列表对其他WordPress站点进行暴力攻击。

详情

0x06   安全漏洞

CISA 警告恶意软件攻击中 Microsoft Streaming 漏洞被利用

日期: 2024-03-04
标签: 信息技术, CVE-2023-29360

CISA 命令美国联邦民事行政部门 (FCEB) 机构确保其 Windows 系统免受 Microsoft Streaming Service (MSKSSRV.SYS) 中的高严重性漏洞的影响，该漏洞在攻击中被积极利用。该安全漏洞（编号为 CVE-2023-29360）是由于不受信任的指针取消引用漏洞造成的，该漏洞使本地攻击者能够在不需要用户交互的低复杂性攻击中获得系统权限。美国网络安全机构没有提供有关正在进行的攻击的详细信息，但它确实确认没有证据表明该漏洞被用于勒索软件攻击。

详情

五眼联盟警告攻击者利用 IVANTI 网关漏洞进行攻击

日期: 2024-03-04
标签: 信息技术, IVANTI 网关漏洞

五眼情报联盟发布联合网络安全咨询警告，警告攻击者利用Ivanti Connect Secure 和 Ivanti Policy Secure 网关中的已知漏洞。该通报提供了有关 Connect Secure 和 Policy Secure 漏洞CVE-2023-46805、 CVE-2024-21887和 CVE-2024-21893的广泛利用的详细信息。多个攻击者将这些问题串联起来，以绕过身份验证、制作恶意请求并以提升的权限执行任意命令。CISA 的通报还警告说，Ivanti 完整性检查工具不足以检测妥协。

详情

TeamCity存在身份验证绕过漏洞

日期: 2024-03-05
标签: 信息技术, CVE-2024-27199, CVE-2024-27198

JetBrains 的 TeamCity 本地 CI/CD 解决方案中存在一个严重漏洞 (CVE-2024-27198)，可让未经身份验证的远程攻击者通过管理权限控制服务器。TeamCity 是一种持续集成和持续交付 (CI/CD) 解决方案，可帮助软件开发人员以自动化方式构建和测试其产品。由于创建漏洞的完整技术细节可用，强烈建议管理员通过更新到产品的最新版本或安装供应商的安全补丁插件来优先解决问题。JetBrains 发布了该产品的新版本，其中修复了第二个不太严重的安全问题 (CVE-2024-27199)，允许修改有限数量的系统设置，而无需进行身份验证。这两个漏洞都存在于 TeamCity 的 Web 组件中，并影响所有版本的本地安装。

详情

苹果发布紧急安全更新修复iOS零日漏洞

日期: 2024-03-06
标签: 信息技术, iOS零日漏洞

苹果发布了紧急安全更新，修复了两个iOS零日漏洞，这些漏洞在攻击iPhone时被利用。这两个漏洞分别位于iOS内核（CVE-2024-23225）和RTKit（CVE-2024-23296），都允许攻击者具有任意内核读写能力，绕过内核内存保护。苹果公司表示，它已经针对运行iOS 17.4、iPadOS 17.4、iOS 16.76和iPad 16.7.6的设备解决了这些安全漏洞，并改进了输入验证。受影响的苹果设备包括iPhone XS及更高版本、iPhone 8、iPhone 8 Plus、iPhone X、iPad第五代、iPad Pro 9.7英寸、iPad Pro 12.9英寸第一代、iPad Pro 12.9英寸第二代及更高版本等。

详情

JetBrains TeamCity 内部部署的严重漏洞可能导致服务器被接管

日期: 2024-03-06
标签: 信息技术, CVE-2024-27198, CVE-2024-27199

JetBrains TeamCity On-Premises 软件中披露了一对新的安全漏洞，攻击者可利用这些漏洞来控制受影响的系统。这些漏洞编号为 CVE-2024-27198（CVSS 评分：9.8）和 CVE-2024-27199（CVSS 评分：7.3），已在版本 2023.11.4 中得到解决。它们会影响 2023 年 11 月 3 日之前的所有 TeamCity On-Premises 版本。这些漏洞可能使未经身份验证的攻击者能够通过 HTTP(S) 访问 TeamCity 服务器来绕过身份验证检查并获得对该 TeamCity 服务器的管理控制。TeamCity Cloud 实例已针对这两个漏洞进行了修补。

详情

VMware 发布针对 ESXi、Workstation 和 Fusion 漏洞的安全补丁

日期: 2024-03-07
标签: 信息技术, CVE-2024-22252, CVE-2024-22253

VMware 已发布补丁来解决影响 ESXi、Workstation 和 Fusion 的四个安全缺陷，其中包括两个可能导致代码执行的严重漏洞。这些漏洞被追踪为CVE-2024-22252 和 CVE-2024-22253，被描述为 XHCI USB 控制器中的释放后使用错误。 Workstation 和 Fusion 的 CVSS 得分为 9.3，ESXi 系统的 CVSS 得分为 8.4。在虚拟机上拥有本地管理权限的恶意行为者可能会利用此问题在主机上运行虚拟机的 VMX 进程时执行代码。在 ESXi 上，漏洞利用包含在 VMX 沙箱内，而在 Workstation 和 Fusion 上，这可能会导致在安装 Workstation 或 Fusion 的计算机上执行代码。

详情

Flipper Zero WiFi 网络钓鱼攻击可以解锁并窃取特斯拉汽车

日期: 2024-03-08
标签: 交通运输, 制造业, Flipper Zero

使用 Flipper Zero 设备进行的简单网络钓鱼攻击可能会导致 Tesla 帐户受损、解锁并启动汽车。该攻击适用于最新的 Tesla 应用程序版本 4.30.6 和 Tesla 软件版本 11.1 2024.2.7。研究人员使用 Flipper Zero 进行了这种网络钓鱼攻击，但也可以使用 Raspberry Pi 和 Android 手机等其他设备轻松完成。

详情

AnyCubic 使用新固件修复了 3D 打印机零日漏洞

日期: 2024-03-08
标签: 制造业, 3D 打印机, AnyCubic

2024年3月5日，AnyCubic 发布了新的 Kobra 2 固件，以修复2024年2月在全球 3D 打印机上打印安全警告的零日漏洞。2 月底，AnyCubic 打印机用户开始报告称，他们的 Kobra 3D 打印机被 一项打印作业攻击 ，该作业警告他们的设备容易受到严重漏洞的影响。该漏洞使攻击者能够滥用公司 MQTT 服务 API 中的不安全权限向打印机发送命令。这使得攻击者能够将名为“hacked_machine_readme.gcode”的 G 代码文件排队，当在文本编辑器中打开该文件时，其中包含一条警告，表明严重漏洞已影响打印机。

详情

0x07   安全分析

美国指控伊朗黑客攻击美国政府和国防实体

日期: 2024-03-04
标签: 信息技术, 伊朗黑客

美国司法部指控伊朗籍人士阿里雷扎·沙菲·纳萨布参与针对美国政府和国防实体的攻击。纳萨布及其他共谋者利用钓鱼邮件和其他黑客技术感染了20万多个受害者设备，其中包括美国财政部、国务院、国防承包商和纽约等地的公司。纳萨布面临长达20年的监禁和两年的强制身份盗用刑罚。同时，美国国务院的“正义悬赏计划”提供高达1000万美元的悬赏金，以获取有关纳萨布身份或位置信息。

详情

疑似Kimsuky通过网络钓鱼活动窃取Google和Naver凭据

日期: 2024-03-07
标签: 金融业, 信息技术, APT舆情, Binance加密货币交易所

在过去的一个月里，Hunt追踪到了一个可能由朝鲜威胁组织发起的网络钓鱼行动，其重点是窃取Google和Naver凭据。该攻击者首先注册了一个欺骗性的Binance加密货币交易所的域名，然后，一旦谷歌安全浏览将该网站标记为恶意网站，就开始使用iframes设置有针对性的网络钓鱼页面。除了多个欺骗性的Google和Naver页面之外，导致发现这一结果的开放目录还托管着开源恶意软件Xeno-RAT的副本以及未知个人之间讨论加密货币交易的KakaoTalk聊天日志。该行动中使用的网络基础设施和特定顶级域名(TLD)与朝鲜相关的APT组织 Kimsuky（APT43、Black Banshee、Thallium）存在多重重叠。

详情

黑客在木马诈骗活动中使用 Skype、Google Meet 和 Zoom

日期: 2024-03-07
标签: 信息技术, Skype, Google Meet, Zoom

据云安全提供商 Zscaler 称，攻击者一直在使用在线会议诱饵在 Android 和 Windows 操作系统上分发远程访问木马 (RAT)。Zscaler 的威胁情报团队 ThreatLabz 观察到，该活动至少自 2023 年 12 月以来一直在持续。分布式 RAT 包括专注于 Android 的 SpyNote RAT 和专注于 Windows 的 NjRAT 和 DCRat。为了引诱受害者下载 RAT，攻击者创建了多个虚假在线会议网站，冒充 Microsoft 旗下的 Skype、Google Meet 和 Zoom 等品牌。

详情

FBI：2023 年美国因网络犯罪损失125 亿美元

日期: 2024-03-08
标签: 政府部门, 网络犯罪

FBI 互联网犯罪投诉中心 (IC3) 发布了 2023 年互联网犯罪报告，报告损失较 2022 年增加了 22%，达到创纪录的 125 亿美元。IC3 的 2023 年互联网犯罪报告重点介绍了去年在美国造成最大经济损失的四种在线犯罪：商业电子邮件泄露 (BEC)、投资欺诈、勒索软件以及技术/客户支持和冒充政府诈骗。2023年向FBI提交的相关投诉数量达到88万起，比上一年增加10%，其中报告最多的年龄组是60岁以上的人，这表明老年人是多么容易受到网络犯罪的伤害。2023 年，增加的犯罪类型是技术支持诈骗和勒索，而网络钓鱼、个人数据泄露和不付款/不送货诈骗略有减少。

详情

0x08   行业动向

德国警方查获最大的德语网络犯罪市场 CRIMEMARKET

日期: 2024-03-04
标签: 信息技术, Crimemarket, 网络犯罪市场

德国警方查获了最大的德语网络犯罪市场 Crimemarket，并逮捕了其一名运营商。Crimemarket 是非法毒品、麻醉品和网络犯罪服务交易的重要平台。调查持续了数年，期间警方进行了多次搜查。当局逮捕了六人，其中包括一名被指控为该市场经营者的人。警方查获了大量电子设备，包括手机、IT 设备和数据载体。当局还扣押了近 60 万欧元的现金和动产。查封期间，该市场拥有超过 18 万注册用户。

详情

美国国家安全局发布零信任框架指导

日期: 2024-03-06
标签: 信息技术, 政府部门, 零信任框架

美国国家安全局发布了新的指导方针，以帮助组织通过采用零信任框架原则来限制对内部网络的敌对行动。零信任安全架构要求对网络上的资源进行严格控制，无论是在物理边界内还是外部，以尽量减少遭到入侵的影响。与传统的IT安全模型相比，零信任设计假定存在威胁，并不允许网络内部自由活动。零信任模型通过数据流映射、宏观和微观分段以及软件定义网络提供深入的网络安全。对于其中每个人，组织必须达到特定的成熟度级别，以便他们能够根据零信任原则继续进行建设。

详情

CISA、NSA 分享保护云服务的最佳实践

日期: 2024-03-08
标签: 信息技术, 云环境

美国国家安全局 (NSA) 和网络安全与基础设施安全局 (CISA) 发布了五份联合网络安全公告，其中包含保护云环境的最佳实践。这些指南重点关注身份和访问管理解决方案、密钥管理解决方案、云中数据加密、云存储管理以及降低托管服务提供商的风险。

详情

0x09   勒索攻击

美国执法机构对 PHOBOS 勒索软件攻击发出警告

日期: 2024-03-04
标签: 政府部门, 信息技术, Phobos

美国 CISA、FBI 和 MS-ISAC 发布联合网络安全公告 (CSA)，警告涉及Backmydata、Devos、Eight、Elking 和 Faust 等Phobos 勒索软件变种的攻击。这些攻击最近发生在 2024 年 2 月，目标是政府、教育、紧急服务、医疗保健和其他关键基础设施部门。Phobos 操作采用勒索软件即服务 (RaaS) 模式，自 2019 年 5 月以来一直活跃。根据公开来源的信息，由于观察到战术、技术和程序 (TTP) 方面的相似性，政府专家将多个 Phobos 勒索软件变体与 Phobos 入侵联系起来。 Phobos 入侵还涉及使用各种开源工具，包括 Smokeloader、Cobalt Strike和 Bloodhound。

详情

瑞士政府承认Play勒索软件泄露65,000份政府文件

日期: 2024-03-08
标签: 政府部门, 瑞士政府

瑞士国家网络安全中心 (NCSC) 发布了一份关于 Xplain 勒索软件攻击后数据泄露的分析报告，披露该事件影响了数千个敏感的联邦政府文件。Xplain是一家瑞士技术和软件解决方案提供商，为各个政府部门、行政单位，甚至国家军队提供服务。 Play 勒索软件团伙于 2023 年 5 月 23 日入侵了该公司。当时，攻击者声称窃取了包含机密信息的文件，并于 2023 年 6 月上旬在其暗网门户上发布了窃取的数据 。瑞士政府确认有 65,000 份政府文件在此次泄露中被泄露。

详情

0x0a   其他事件

APT37利用朝鲜政治话题针对韩国的攻击活动分析

日期: 2024-03-05
标签: 教育行业, ROKRAT, APT舆情

近日，安恒信息猎影实验室在日常威胁狩猎中发现APT37 组织多次利用朝鲜相关政治话题诱饵，向目标用户下发 ROKRAT 木马窃取信息。样本一中释放的诱饵为韩国国家安全与统一研究所高级研究员、檀国大学行政法研究生院兼职教授、21 世纪战略研究所所长发布的专栏文章，文章讨论了朝鲜敌意的加剧以及对外部渗透和间谍活动的担忧。样本2具有多个诱饵，为朝鲜研究所研究员以及社会人士发表的各类朝鲜政治话题的文章，推测该样本用于攻击朝鲜政治主题相关研究人员。

详情

黑猫勒索软件团伙关闭服务器

日期: 2024-03-05
标签: 信息技术, ALPHV/BlackCat

ALPHV/BlackCat 勒索软件团伙已关闭其服务器，据称他们向负责攻击 Change Healthcare 平台运营商Optum的附属公司诈骗了 2200 万美元。虽然 BlackCat 的数据泄露博客自周五以来一直处于关闭状态，但研究人员已证实谈判网站在周末仍然活跃。2024年3月4日，研究人员确认勒索软件操作谈判网站现已关闭，这表明勒索软件团伙的基础设施遭到进一步蓄意破坏。

详情

NoName057(16)组织在俄乌冲突中改变战术

日期: 2024-03-05
标签: 科研服务, NoName057(16)组织

乌克兰和俄罗斯冲突升级，攻击组织NoName057(16)改变战术。该组织以参与Project DDoSia而闻名，该项目旨在对支持乌克兰的实体，尤其是北约成员国，执行大规模分布式拒绝服务（DDoS）攻击。网络安全监控平台Sekoia.io积极跟踪NoName057(16)使用的DDoS工具的C2基础设施，并观察到该组分享的软件出现重大发展，包括更新以增强与不同处理器架构和操作系统的兼容性。受影响实体的分析显示，该组持续关注欧洲目标，乌克兰仍然是主要目标，芬兰和意大利也受到严重影响。受影响实体中有相当一部分属于政府相关部门注。NoName057(16)仍在扩大其影响力，成员人数不断增加，并与其他黑客组织合作。

详情

全球范围内Facebook和Instagram宕机

日期: 2024-03-06
标签: 信息技术, 文化传播, Meta（原Facebook）, Instagram, Facebook

Facebook和Instagram全球用户被迫登出，登录时出现密码错误的问题。这一宕机事件不限于特定地区或国家，影响了全球范围内的用户，包括美国、欧洲和亚洲。Downdetector网站收到大量报告，证实了这一宕机事件的全球性影响。用户被自动登出Meta，Instagram也无法正常运行，出现“无法刷新动态”等错误。重新登录时，Meta错误地显示Facebook用户密码错误，导致许多用户尝试重置密码以恢复访问，但问题仍未解决。这一情况让一些用户担心自己的账户可能已遭入侵。Instagram也无法连接，出现“无法连接到Instagram，请确保已连接到互联网并重试”的错误。Meta已确认其所有服务出现宕机，并表示工程团队正在积极寻求解决办法。截止2024年3月6日，Meta服务已恢复，但公司尚未透露宕机原因。

详情

美国对Predator商业间谍软件相关方实施制裁

日期: 2024-03-06
标签: 信息技术, Predator商业间谍软件

美国对与Predator商业间谍软件开发和分发有关的两名个人和五家实体实施了制裁，这些软件被用来针对美国人，包括政府官员和记者。制裁对象包括Intellexa Consortium的以色列创始人Tal Jonathan Dilian和波兰公司专家Sara Aleksandra Fayssal Hamou。被制裁的公司包括Cytrox AD、Cytrox Holdings ZRT、Intellexa Limited、Intellexa S.A.和Thalestris Limited。

详情

黑客滥用 QEMU 在网络攻击中秘密窃取网络流量

日期: 2024-03-06
标签: 信息技术, QEMU

攻击者被发现滥用开源虚拟化平台QEMU作为隧道工具进行对一家大型公司的网络攻击。Kaspersky分析人员发现，攻击者利用QEMU创建虚拟网络接口和套接字类型的网络设备，以连接到远程服务器，从而在受害者系统与攻击者服务器之间建立了网络隧道，几乎不影响系统性能。攻击者还利用QEMU创建了轻量级后门，通过Angry IP Scanner进行网络扫描和mimikatz进行凭证窃取。企业应采用多层保护来检测包括人工操作在内的复杂和有针对性的攻击。

详情

欧盟同意《网络团结法案》以加强事件响应和恢复

日期: 2024-03-07
标签: 信息技术, 欧盟 (EU) 

欧盟 (EU) 已同意新规则，以加强成员国之间的网络事件响应和恢复，该规则被称为“网络团结法案”。该临时法规旨在通过新的合作机制使欧盟对网络威胁更具弹性和反应能力。这包括建立欧盟范围内的网络安全警报系统，旨在快速共享整个地区的网络威胁信息。这个泛欧洲基础设施将由国家和跨境网络中心组成，负责检测和应对网络威胁，帮助当局更有效地应对重大事件。

详情

美国制裁 Predator 间谍软件制造商 Intellexa

日期: 2024-03-07
标签: 信息技术, Predator, 间谍软件

美国政府宣布对商业间谍软件制造商采取进一步行动，制裁与 Intellexa 联盟相关的两名人员和五个“实体”。Intellexa 是希腊、爱尔兰、匈牙利等地多家公司的伞式组织。其北马其顿 Cytrox 业务负责开发名为 Predator 的多产间谍软件，该软件至今仍被专制政权广泛用于窃听记者、持不同政见者、政客和其他人。与 NSO Group 的 Pegasus 等其他变体一样，Predator 使用零点击漏洞，无需用户交互即可感染设备。美国财政部表示，对 Intellexa 的制裁是因为其间谍软件被行为者滥用，侵犯人权、针对持不同政见者，甚至窃听美国政府官员、记者和政策专家。

详情

0x0b   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0c   时间线

2024-03-04 360CERT发布安全周报