报告编号：CERT-R-2023-213

报告来源：360CERT

报告作者：360CERT

更新日期：2023-06-12

本周收录安全热点58项，话题集中在安全漏洞、安全分析、恶意软件，主要涉及的实体有：Chrome、Cisco、Google等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

卡巴斯基研究人员透露，他们发现了一个似乎针对该网络安全公司员工的“零点击”移动恶意软件活动。据该公司称，一些员工的 iPhone 在收到包含附件的 iMessages 后感染了恶意软件，这些附件被发现包含恶意代码。该恶意软件使攻击者能够控制用户的设备，授予他们对设备的内核级访问权限和根访问权限——允许他们访问手机上存储的所有数据。该公司表示，它相信这次攻击是由一个新的、未知的演员精心策划的，他们没有将其归因于特定的政府机构或国家演员。该公司认为，根据研究人员制定的时间表，该活动可能会持续数年。卡巴斯基还否认了俄罗斯联邦安全局关于苹果和美国政府故意在他们的移动设备中放置后门的说法。

详情

一种 Python 软件包中隐藏了编译代码中的恶意软件，使其能够逃过常规的检测手段。该软件包名为“fshec2”，于4月17日被研究人员报告给 Python 开源库 PyPI 的管理员。恶意包在 PyPI 中并不罕见，但与其他恶意软件包不同的是，“fshec2”将其所有恶意功能都包含在了其编译代码中，使其很难被察觉。PyPI 管理员立即删除了该软件包，而该攻击方式被认为是“前所未见”的。这种攻击方式比较复杂，显示出攻击者不断进化并关注着新的检测技术，因此未来可能会增加类似的攻击方式。研究人员强调，“fshec2”的恶意功能是由 Python 码而不是源代码构建而成，这也是其能够难以被检测的重要原因。

详情

卡巴斯基发现来自几部iOS手机的可疑行动，将此行动称为“Operation Triangulation”。目标iOS设备通过iMessage服务接收一条消息，其中包含一个带有漏洞的附件。在没有任何用户交互的情况下，消息会触发导致代码执行的漏洞。漏洞利用中的代码从C&C服务器下载几个后续阶段，其中包括用于提权的额外漏洞利用。成功利用后，从C&C服务器下载最终的有效载荷，这是一个功能齐全的APT平台。最早的感染痕迹发生在2019年，截至2023年6月，攻击仍在继续，攻击成功的最新版本是iOS 15.7。最终有效载荷的分析尚未完成，该代码以root权限运行，实现了一组用于收集系统和用户信息的命令，并且可以运行从C&C服务器下载的任意代码。

详情

网络安全公司卡巴斯基发布了一个检测苹果iPhone和其他iOS设备是否感染了新型“三角定位”恶意软件的工具。该恶意软件由卡巴斯基在自己的网络上发现，自2019年以来已感染了其全球各处的多个iOS设备。卡巴斯基指出，“三角定位”恶意软件利用iMessage上的零日漏洞进行代码执行，从而实现攻击，该漏洞可以不通过用户交互和特权级别即可执行代码。这允许攻击者下载进一步的载荷到设备上以进行进一步的指令执行和信息收集。该恶意软件被俄罗斯情报和安全机构FSB与高级政府官员和外交官的感染联系在一起。卡巴斯基发布了一个易于使用的自动化三角定位扫描程序，为求保险，卡巴斯基表示，扫描的结果不一定完全可靠，也不应被视为对设备的最终保证。

详情

CloudSEK安全团队发现了一批新的包含SpinOk恶意SDK应用程序，并在Google Play上下载了30万次。他们在Google Play发现了43个恶意应用程序中的一部分，这些恶意应用程序被开发者用来释放每天的奖励，但实际上会窃取数据和替换剪贴板的内容。这批恶意应用程序中最受欢迎的是拥有500,000次下载量的Mega Win Slots。CloudSEK立即联系了Google，但该公司尚未回应，而目前多数恶意应用程序在Google Play上仍然可以下载。这显示了在Google Play等大型软件分发平台中对供应链攻击进行全面映射的复杂性，并难以找到使用特定模块的每个项目，导致严重的风险缓解过程滞后。值得注意的是，这些应用程序的开发人员可能认为这是广告库，无意间使用了恶意SDK。

详情

Cyclops 勒索软件被用来提供一种信息窃取恶意软件工具，能够从受感染的计算机中捕获敏感数据。该勒索软件可以针对 Windows、macOS 和 Linux，终止任何可能干扰加密的进程。 macOS 和 Linux 版本是用 Golang 编写的，并结合了非对称和对称加密的组合。信息窃取器组件旨在针对 Windows 和 Linux，检索操作系统信息、计算机名称、进程数和与特定扩展名匹配的感兴趣文件等详细信息。然后将收集到的数据发送到远程服务器以供使用。随着更高级的信息窃取程序（如 Dot Net Stealer）被识别出来，这一发展也随之而来。

详情

网络安全公司Vulcan Cyber的研究团队发现，黑客利用OpenAI语言模型ChatGPT的代码生成能力，可以虚构代码库（Packages）传播恶意包，绕过常规的攻击方式，如错别字钓鱼或伪装。他们称这种新的恶意包广泛技术为“AI包妄想（AI package hallucination）”。攻击者可以通过向ChatGPT提出问题，请求一个发行代码库来解决编码问题，并获得多个发行库的建议来实现这一技术。黑客会将那些不实际存在的代码库替换成自己的恶意代码包，使未来依赖ChatGPT的推荐的用户上当受骗。为避免此类风险，开发人员应该审查代码库，仔细检查创建日期、下载数量、注释和所附注释等。保持警觉和对可疑的代码包保持怀疑态度，对软件安全至关重要。

详情

Vulcan Cyber研究人员发现，黑客可以利用ChatGPT，将恶意包传播到开发环境中。 ChatGPT和其他生成型AI平台有时会用虚假的源、链接、博客和统计数据作为回答，从而生成所谓的“AI包幻觉”。“AI包幻觉”源自语言模型（LLM），ChatGPT可以生成这些“幻觉”URL、引用、甚至整个代码库和函数，并给出来自CV漏洞和毒瘤轮漏洞修补程序等的可疑解决方案。攻击者可以使用这些幻觉来传播恶意包，而无需使用常见技术如typosquatting或伪装。安全专家建议公司不要下载和执行他们不了解和未经过测试的代码，同时应评估其安全性。

详情

Minecraft游戏中发现了名为“fracturizer”的蠕虫病毒，它隐藏在广受欢迎的Minecraft模组中。游戏玩家可以通过使用这些模组选择多个模式来获得更多的游戏体验。该病毒在模组之间传播，是根据4月份的文件撰写的，这些文件已经存在了很长时间。虽然当前尚不清楚该病毒的全部影响，但被感染的机器都应被视为给黑客完全控制。Mod玩家应遵循GitHub上给出的特定说明来检查是否被曝光，以及采取缓解措施。GitHub表示，与“fracturizer”相关的命令和控制服务器已被停用。CurseForge表示，目前正在为修复工作而努力。

详情

BitDefender研究人员发现，有60,000多个恶意的安卓应用程序伪装成伪造的安全软件、游戏破解、作弊软件、VPN软件、Netflix应用和第三方应用程序上的实用程序，并针对全球用户长达六个月。研究人员在博客文章中强调，虽然该活动主要旨在将广告软件推送到安卓设备以为恶意主体提供收入，但他们“可以轻松转向其他类型的恶意软件，如银行木马程序窃取凭据和财务信息或勒索软件”。这次研究人员发现的广告软件总计60,000个不同的应用程序，但研究人员对于目前这一恶意软件的分发仍然存在疑问。

详情

薪酬服务提供商 Zellis 遭受了网络攻击，导致包括 BBC 和英国航空公司 (BA) 在内的众多公司员工的个人数据暴露。报告显示，黑客利用 Zellis 传输工具 MOVEit 中的零日漏洞获取访问权限，虽然尚不清楚有多少公司受到影响，但 Zellis 拥有大约 1,200 家企业客户，其中包括捷豹路虎、戴森、冰岛、爱尔兰航空公司和靴子。 Zellis 的一位发言人证实，“少数”客户受到了影响，并且 Zellis 拥有的软件没有受到损害。目前，员工的个人财务信息被认为是安全的。

详情

哈佛医疗保健公司（Harvard Pilgrim Health Care）透露，它在2023年4月遭受的勒索软件攻击影响了2550922人，并且威胁行动者还从受攻击系统中窃取了他们的敏感数据。这家总部位于马萨诸塞州的非营利性健康服务提供商向美国卫生及公众服务部的违规门户网站共享了这一信息，这大致相当于其所有成员数量。该机构最近发布了一份通知，表示勒索软件攻击者在2023年3月28日至4月17日期间一直保持对其系统的访问权限，还称将在调查后重启正常业务运营。因此，哈佛医疗保健商业和医疗保险优势系统的通讯渠道就可能受到影响。涉及到的盗窃文件包括患者的全名、物理地址、电话号码、出生日期、健康保险账户信息、社保号码、供应商纳税人识别号、临床信息（包括病史、诊断、治疗、服务日期和供应商名称）等敏感信息。哈佛医疗保健公司已为受影响的个人提供了信用监控和身份盗窃保护服务。

详情

俄罗斯网络安全公司卡巴斯基报告称，黑客利用 iOS 漏洞通过 iMessage 中的零点击漏洞在其网络上的某些 iPhone 上安装恶意软件。该活动于 2019 年开始，但仍在进行中，被命名为“三角行动”。目前尚不清楚谁是该活动的幕后黑手，卡巴斯基实验室要求任何有信息的人分享信息。 root 权限升级后下载的工具集使攻击者能够收集受害者组织内的系统和用户信息，并从攻击者的服务器下载其他模块。俄罗斯的 FSB 情报和安全机构指控苹果公司向美国国家安全局提供后门，使其能够用间谍软件感染俄罗斯的 iPhone。

详情

Atomic Wallet 是一个支持 500 多种加密货币的平台，在最近的一次黑客攻击中损失了 3500 万美元。盗窃事件于 6 月 26 日得到证实，该公司表示攻击在第二天“似乎已经停止”。该公司尚未透露黑客是如何破坏钱包的，但安全研究员 ZachXBT 声称已追踪到 3500 万美元的损失。该公司已敦促受影响的人向相关交易所报告被盗资金。此类事件并非第一次发生。 Solana 钱包提供商 Slope 在 2022 年损失了相当于 800 万美元，而 MyAlog 在今年 2 月目睹了 920 万美元的盗窃案。

详情

法国控制的加勒比海马提尼克岛遭到网络攻击，导致互联网访问和其他基础设施中断数周。该岛政府尚未对 5 月 16 日开始的袭击事件发表评论，但当地消息人士称，政府网络已遭到破坏，目前与互联网的通信是通过移动网络提供商进行的。 Rhysida 勒索软件组织声称对此负责并泄露了大量文件，据信其中包含大量政府数据。去年，法属瓜德罗普岛也遭到当地政府系统的网络攻击。

详情

美国国防承包商中至少有一家遭遇名为“PowerDrop”的后门攻击。这种后门利用Windows PowerShell，可以实现完全的计算机访问，因其高级别的管理权限。PowerDrop由常规Windows程序组成，避免了对系统的损害。尽管PowerDrop使用了安全措施，但也很容易被检测到，攻击者通过WMI注册自身作为合法服务，使其具有持久性。此后门攻击可能与国家相关，值得关注的是，文中提到迄今为止发现只有一家国内航空航天公司遭到此次攻击。建议采取防范措施，例如AI驱动的行为分析，或启用脚本块记录，以显示运行的解密PowerShell命令。防御后门攻击的其他预防措施包括：白名单、审核Windows Management Instrumentation等，这些措施合并使用即可有效防御PowerDrop和类似的“living-off-the-land”恶意软件。

详情

微软的 Outlook.com 在过去几天经历了数次停机，据报道，黑客组织 Anonymous Sudan 声称对此负责。该组织有发起 DDoS 攻击的历史，表示由于微软卷入苏丹事务，它有动机针对微软。昨天，微软被要求发布一份声明，声称停机不是由攻击造成的，而是其工程师一直在解决的“技术问题”造成的。全球用户都受到服务中断的影响，他们的访问受到干扰到电子邮件和移动应用程序。Anonymous Sudan 是否真的对中断负责还有待观察。

详情

日本拉链制造商 YKK 已确认它已成为黑客的目标，并表示它能够遏制威胁。尽管尚不清楚是否遭受勒索软件攻击，但 LockBit 勒索软件团伙将该公司被盗数据与全球其他组织一起发布，并威胁要在 6 月 16 日之前泄露被盗细节。据报道，该团伙是全球最多产的勒索软件活动，其目标是从教堂到市政府的组织，以及警长办公室和公交公司。上个月，美国司法部表示，LockBit 发起了 1,400 多次攻击，发出了超过 1 亿美元的赎金要求，并收到了超过 7500 万美元的赎金。

详情

安全厂商ESET日前发布报告称，一组名为“Asylum Ambuscade”的黑客组织已针对全球中小企业进行网络攻击，其攻击方式与策略结合了网络间谍活动和网络犯罪。Asylum Ambuscade于2020年至少开始活动，在2022年后实施了一系列网络攻击，2012年6月以后使用了CVE-2022-30190漏洞。该组织的攻击范围涉及北美、欧洲和中亚地区的银行客户、加密货币交易者、政府机构和中小企业。ESET表示，该组织的最新攻击活动中发现了新的入侵载体，并部署了一款名为“Nodebot”的新工具，其功能包括捕获屏幕截图、从IE、Firefox和基于Chromium的浏览器中窃取密码，并将AutoHotkey插件部署到受攻击设备。自2022年1月追踪Asylum Ambuscade以来，已经有4500个受害者，每月平均265个受害者。

详情

网络安全厂商Check Point Research发布了最新咨询报告，揭示了一种名为“隐形士兵”（Stealth Soldier）的模块后门，主要针对北非利比亚地区的个人，有着严密的监视能力。后门可以执行文件窃取、屏幕和麦克风录制、按键记录和窃取浏览器信息等功能。隐形士兵与一次2019年袭击埃及平民的黑客攻击事件“尼罗河之眼”有相似之处，这表明同一威胁探针可能在长时间间隔之后再次出现。攻击活动的策划者利用模块后门和诱骗网站，并对利比亚和埃及目标进行监视和间谍操作。Check Point Research建议加强数据安全措施来应对目标化的间谍袭击。

详情

Progress Software 的 MOVEit Transfer 文件传输应用程序中存在一个零日漏洞，可能会导致特权升级和对数百万 IT 环境的潜在未授权访问。 CVE-2023-34362 是一个 SQL 注入漏洞，可能会产生广泛影响，因为从 1,700 家软件公司和 350 万开发人员到国土安全部和大型银行的数千家企业和机构都在使用 MOVEit。研究人员已经发现了活跃的入侵，并预计还会有更多入侵，这可能会导致数据的公开发布，强调需要对受影响的系统进行快速修补和取证清理。大规模利用和广泛的数据盗窃已经发生，但网络安全公司 Mandiant 尚未确定肇事者的动机。

详情

新的研究揭示了黑鲨网络的电子邮件安全网关中存在漏洞并被利用数月的三种先前未知的恶意程序。黑鲨网络于5月19日披露了这个致命的漏洞 (CVE-2023-2868)，并在第二天适用了一系列补丁来修复其受影响的ESG设备。远程命令注入漏洞具有9.4分的CVSS基础分数，发现在用于筛查传入电子邮件附件的模块中。研究人员发现，恶意软件曾在该漏洞的背景下进入了一些设备，并获得了持久后门访问权限。一些受影响的设备已被检测到存在数据外泄的迹象。其中一种明确的恶意程序被命名为SaltWater，是一个伪装后门功能的黑鲨SMTP服务程序模块。另外两种恶意程序分别是SeaSpy和SeaSide。黑鲨网络提供与该攻击相关的IOCs及可应用于猎捕恶意.tar文件的YARA规则的详细信息。黑鲨网络称，发现受影响的设备的客户应停止使用它们并联系其支持人员，以获得新设备。

详情

Gigabyte已发布了一个BIOS更新，增强安全性。此前，Eclypsium Labs的研究人员公开揭示了数百种Gigabyte计算机上存在一个意外的系统后门，可以被网络犯罪分子利用。硬件、主板和图形卡制造商在6月1日发布了Intel700/600和AMD 500/400系列Beta BIOS更新。Eclypsium分析师在一篇博客中指出，Gigabyte系统处理应用程序中心的方式存在问题，固件在系统启动过程中会丢弃并执行一个Windows本地可执行文件，该文件不安全地下载并执行额外的负载。此漏洞中使用的技术与其他OEM后门功能相同，例如堆雪计算机后门(也称为LoJack DoubleAgent)和其他恶意软件后门。

详情

美国航空公司与空间司令部(SSC)和空军研究实验室(AFRL)合作，推出了一款名为Moonlighter的卫星，定于今年8月发射升空。Moonlighter将成为Hack-A-Sat 4太空安全挑战赛的一部分，决赛选手将可以瞄准真实的卫星，而非模拟卫星。Moonlighter旨在增强太空物体的运行安全。它具有专用的网络安全负载，带有隔离机制的防火墙，以及一款“完全可重新编程的负载计算机，它表现得像飞行计算机”(根据美国航空公司的公告)。由于频繁的卫星黑客攻击，Moonlighter应对此问题有助益。有关机构提醒，2022年早期，FBI和CISA警告说，对卫星基础设施的攻击可能会成为现实，并呼吁太空领域努力加强网络安全。

详情

GIGABYTE已发布针对超过270个主板的固件升级，解决了可能被利用安装恶意软件的安全漏洞。硬件安全公司Eclypsium报告发现了GIGABYTE功能中存在的漏洞，该功能用于安装Windows中的软件自动更新应用程序。其中Windows平台二进制表（WPBT）允许固件开发人员从固件映像自动提取可执行文件并在操作系统中执行。这使得攻击者能够利用WPBT功能在中间人攻击中传递恶意软件。GIGABYTE已经发布了针对Intel 400/500/600/700和AMD 400/500/600系列主板的固件更新，加强了对下载文件进行的签名验证并实现标准加密验证。虽然漏洞的风险可能较低，但建议所有GIGABYTE主板用户安装最新的固件更新以获得安全修复。同时，如果您想删除GIGABYTE自动更新应用程序，请先在BIOS中关闭’APP Center Download & Install Configuration’设置，然后在Windows中卸载该软件。

详情

KeePass已发布2.54版本，修复了CVE-2023-32784漏洞。该漏洞允许从应用程序的内存中提取明文主密码。2023年5月，安全研究人员“vdohney”披露了该漏洞及可行的利用方式。由于SafeTextBoxEx的输入处理方式，当用户输入密码时，会有遗留字符串。黑客可以利用此漏洞通过获取大部分主密码字符，访问保存在KeePass密码数据库中的所有帐户凭据。为解决这一漏洞，KeePass现在使用Windows API来从文本框中设置或检索数据，增加了"虚假字符串"功能。推荐所有KeePass 2.x版本的用户升级到2.54版本。如果无法升级，则建议重置主密码或删除可能包含主密码片段的崩溃转储，休眠文件和交换文件，或执行新的操作系统安装。

详情

谷歌发布了Android平台的月度安全更新，针对56个漏洞添加修复程序，其中5个漏洞具有危急程度评级，而其中一个漏洞至少自去年12月份以来被利用。安全补丁级别为2023-06-05，集成了针对Arm Mali GPU内核驱动程序中的高危漏洞CVE-2022-22706的修复程序，谷歌的威胁分析小组（TAG）认为可能被用于瞄准三星手机的间谍软件攻击。该漏洞被定为7.8分的高危漏洞，允许非特权用户获得对只读内存页面的写入访问。值得注意的是，三星已在其2023年5月的更新中解决了CVE-2022-22706的问题，该漏洞的存在使得该公司的用户成为间谍软件攻击的特别目标。本月安卓更新中的其他危急漏洞包括远程代码执行漏洞、影响Qualcomm封闭源代码组件的关键类型漏洞等，安装更新可以缓解设备面临的安全风险。同时，安装安全更新也可避免第三方攻击者利用安全漏洞对设备上存储的个人信息进行攻击。

详情

在 RenderDoc 中发现了三个严重的安全漏洞，RenderDoc 是一种用于游戏软件的图形调试器，可与领先的游戏软件引擎（如 Unity 和 Unreal）集成。 Qualys 威胁研究部门发现了这些漏洞，其中包括一个权限提升实例和两个基于堆的缓冲区溢出实例。其中包括一个符号链接漏洞、一个整数下溢和整数溢出，第二个和第三个漏洞有可能被攻击者远程利用来执行和运行任意代码。 Qualys 建议电子邮件团队尽快应用安全漏洞补丁。

详情

KeePass密码管理器存在一个安全漏洞，可以在特定情况下恢复受害者的主密码明文。此漏洞追踪为CVE-2023-32784，针对在Windows、Linux和macOS上运行的KeePass 2.x版本。研究人员"vdohney"发现了该漏洞并设计了概念验证。该漏洞源于输入主密码时遗留下来的痕迹。攻击者可以从程序内存中转储以获取密码明文，但首字符可能无法获得。此问题预计将在下个月的2.54版本中修复。 利用此漏洞需要攻击者已经入侵了潜在目标计算机的情况，还需要从键盘输入密码而不是从设备的剪贴板中复制密码。KeePass建议用户更新到可用的2.54版本以消除漏洞。

详情

谷歌最近确认它的BIMI邮件认证方法存在漏洞，可以让黑客伪装成合法邮件发送者，技术人员也会认成合法邮件，较易遭黑客攻击。黑客可以利用域名伪造技术，欺骗谷歌布置的BIMI系统，显示伪造邮件来自认证公司，并加入认证符号，让接收者误认为是合法邮件。 该漏洞仅影响了Google的BIMI实现。 谷歌最初认为这种漏洞并非“需要修复的现象”，并在Chris Plummer报告后回绝报告。但谷歌的一个安全小组重新审查了这一问题，并且确定了它作为一项“1级重要性（Priority P1）”的漏洞问题，需要立即解决。 解决方案是让发送者使用更强大的DomainKeys Identified Mail（DKIM）认证标准。

详情

Barracuda 已警告其客户，在针对零日漏洞的一系列攻击中遭到黑客攻击后，他们必须更换电子邮件安全网关 (ESG) 设备，该漏洞已被修补。尽管有补救建议，但无论补丁版本级别如何，都需要进行全面更换，此举是必要的。 Barracuda 表示，尚未更换受损设备的客户应通过电子邮件联系支持人员。该严重漏洞被追踪为 CVE-2023-2868，允许攻击者远程向网关注入命令并运行潜在的恶意代码。在发布补丁之前，该漏洞被用作零日漏洞至少七个月。据报道，威胁行为者能够为受感染的设备设置后门并控制它们、窃取数据并安装自定义恶意软件。

详情

本田汽车的电商平台（涵盖动力设备、船舶和草坪和花园设备）存在API漏洞，使任何人都能进行未经授权的访问。该平台的密码重置API允许重置任何账户的密码，但不需要提供任何令牌或旧密码验证。这个问题最初是由一位匿名的安全研究员发现的，据悉他之前就曾利用类似的漏洞入侵过丰田的供应商门户网站。该研究员通过重置有价值账户的密码，获得了在公司网络中无限制的管理员级访问权限。通过这种方式，相关数据也遭到曝光，包括21,393份客户订单，1,570个经销商网站以及35,88个经销商用户账户，内部财务报告，以及大量客户和经销商的电子邮件等。此外，攻击者还可以通过访问经销商网站在其中植入恶意JavaScript脚本创建信用卡窃取程序。关于这个漏洞，Honda在2023年3月16日获悉后已进行修复。

详情

一项高危漏洞已在Cisco Secure Client (之前的AnyConnect Secure Mobility Client)软件中得到修复，该漏洞可以使攻击者升级到操作系统使用的SYSTEM账户的权限。这个问题是因为在升级过程中创建临时目录时分配了不正确的权限。本地权限较低的攻击者可以利用此安全漏洞，不需要用户交互，就可以进行低复杂度的攻击。Cisco已经在安全客户端的最新版本中修复了该漏洞。据Cisco称，这个漏洞并不影响其他产品，例如Linux和移动设备等。Cisco表示，目前尚未发现任何有关该漏洞的公开利用代码。但在十月份，Cisco已曾提醒客户修补两个其他AnyConnect安全漏洞，其中一个是已有公开利用代码，并被攻击者利用。

详情

VMware 已发布多个补丁来修复 VMware Aria Operations for Networks 中的严重和高严重性漏洞。该补丁修复了三个安全漏洞，包括一个被跟踪为 CVE-2023-20887 的命令注入漏洞，未经身份验证的威胁参与者可以在不需要用户交互的低复杂性攻击中利用该漏洞。此漏洞可能导致远程代码执行。其他两个安全漏洞是一个经过身份验证的反序列化漏洞，编号为 CVE-2023-20888，可导致远程代码执行，另一个是信息泄露漏洞，编号为 CVE-2023-20889，可在命令注入攻击成功后未经授权访问敏感信息。建议管理员使用 VMware Customer Connect 网站上提供的最新补丁修补所有 VMware Aria Operations Networks 6.x 本地安装。

详情

安全研究人员警告称，微软Visual Studio安装程序中的漏洞为网络攻击者提供了一种方法，可以在伪装成合法软件发布者的名义下创建和分发恶意扩展给应用开发人员。从那里，他们可以渗透开发环境，控制指令，窃取高价值的知识产权等。微软已经发布了针对虚假漏洞跟踪编号为2023-28299的补丁，该漏洞具有中等危害性。但是，Varonis的研究人员在本周的博客中提供了这种漏洞及其潜在影响的不同看法。与安全评估机构的评估结果不同，这个漏洞易于利用，是一个占市场份额26%、拥有30,000多个客户的产品。这个漏洞可能给系统带来串改代码、窃取敏感信息或完全控制系统等损失。

详情

黑猫勒索软件（BlackCat，又称ALPHV）再次浮出水面，新研究详述了该团队今年早些时候对其深度探究的再度升级，使其成为一种更加强大的威胁。IBM Security X-Force 的研究人员在周二发布的团队及其演化的恶意软件的分析中说：“自黑猫于2021年11月首次亮相以来，它已成为一种高度强大和创新的勒索软件运营”，“黑猫一直被多个研究机构列为最活跃的勒索软件十大团队之一，并且与现已关闭的BlackMatter /DarkSide勒索软件在2022年4月的FBI通报中有关”。报告中详细介绍了黑猫的犯罪纪录、受害情况、技术特征和演化路线。预计黑猫将继续使用新方法提高其攻击的速度和隐蔽性。

详情

微软已将 Cl0p 勒索软件组（它称为 Lace Tempest）与最近针对 Progress Software 的 MOVEit 文件传输平台的零日网络攻击联系起来。据威胁情报公司 Greynoise 称，MOVEit 的漏洞于 6 月 1 日首次公布，黑客迅速利用了该漏洞。安全研究人员认为，Lace Tempest 可能是一个与 FIN11 网络犯罪团伙有联系的“新”组织，尽管微软称其为“勒索软件和新兴勒索领域的主导力量”。 Cl0p 组织在 4 月份对 Fortra 的 GoAnywhere 服务进行了类似的网络攻击。文件传输部门正在成为网络犯罪分子的热点，他们将其视为有价值数据的丰富来源。

详情

联邦调查局 (FBI)、美国国务院和国家安全局 (NSA) 以及大韩民国国家情报院 (NIS)、国家警察厅 (NPA) 和外交部 ( MOFA) 联合发布此公告，以强调朝鲜民主主义人民共和国（DPRK a.k.a. North Korea）国家支持的Kimsuky组织使用社会工程学在全球范围内对研究中心和智库雇用的个人、学术机构和新闻媒体组织进行网络攻击。朝鲜网络攻击者伪装成真正的记者、学者或其他与朝鲜政策圈有可靠联系的个人进行鱼叉式网络钓鱼行动。 朝鲜利用社会工程通过非法获取其目标的私人文件、研究和通信来收集影响其利益的地缘政治事件、外交政策战略和外交相关的情报。

详情

恶意软件团伙Magecart组织近期感染了美国、英国、巴西、西班牙、爱沙尼亚、澳大利亚和秘鲁等国的多个电子商务网站，以窃取网站访客的信用卡号码和个人身份信息数据。该威胁行动相比较以往的Magecart活动来说，更显危险，因为攻击者利用 感染的目标网站来传递恶意软件到其他目标网站。Akamai的研究人员注意到该威胁活动已持续一个月以上，并对已经被潜在影响数万人的网站进行了评估。而值得注意的是，本轮活动的攻击对象不仅限于该组织以往常在攻击的开源Magento电子商务平台，还包括WooCommerce、Shopify、WordPress等软件。Magecart组织在过去几年间已经将名为卡片刷数据的软件注入了数万家网站中，窃取了数百万张信用卡信息，并以不同的方式进行了变现。

详情

报道称，朝鲜涉及的两个高级持久性威胁组织分别从事金融恶意活动和社交工程活动，前者攻击金融机构和风险投资公司，后者目标是获取对朝鲜的战略情报。这两个组织都和朝鲜政府有关，专业程度很高，他们的行动遵循朝鲜政府的指示。虽然朝鲜受到国际制裁的困扰，但报道指出，这些高级持续性威胁组织的活动是朝鲜为了增加政权收入而发起的。此类攻击可能造成大量敏感信息泄露和经济损失。为防止此类攻击，建议加强密码和网络安全等措施。

详情

Insikt Group发现了欺骗了日本、越南和美国的几家金融机构和风险投资公司的恶意网络威胁行动。目前将此行动背后的组织称为TAG-71，与朝鲜政府资助的APT38的公开报道密切相关。在2022年9月至2023年3月的最近一次活动集群中，发现了74个域名解析到5个IP地址，以及6个恶意文件。

详情

2023年4月下旬，IBM Security X-Force发现了可能是模仿可信发件人的网络钓鱼行动，由X-Force称为ITG10的组织精心策划，旨在传播RokRAT恶意软件。ITG10的TTP与APT37和ScarCruft重叠。最初的交付方法是通过一个LNK文件进行的，该文件会投放两个Windows快捷方式文件，其中包含负责下载第二阶段RokRAT shellcode的混淆PowerShell脚本。RokRAT可以执行远程C2命令、数据渗漏、文件下载/上传和键盘记录。揭露的诱饵文件表明ITG10可能针对参与与朝鲜半岛相关的外交政策的个人和组织，包括韩国政府、大学、智库和持不同政见者。

详情

SentinelLabs一直在追踪针对非政府部门朝鲜事务专家的有针对性的社会工程行动。该行动的重点是窃取电子邮件凭据、分发侦察恶意软件以及窃取NK News订阅凭据。根据使用的恶意软件、基础设施和战术，非常有信心地评估该行动是由Kimsuky威胁组织精心策划的。

详情

从2022年下半年开始，乌克兰CERT-UA监控到与乌克兰国家组织和大众媒体代表有关的间谍行动。文件由不知名的人使用电子邮件和即时通讯工具分发，这些文件的启动会导致LONEPAGE恶意程序对受害者的计算机造成损害。同时，恶意程序“THUMBCHOP”、“CLOGFLAG”可以下载到受影响的计算机以创建隐藏服务或建立反向连接并以这种方式为未授权远程访问计算机创造先决条件。还发现了使用Go语言开发的恶意软件样本SEAGLOW和OVERJAM。在2022年至2023年期间，上述组织获得了对乌克兰数十台计算机的未经授权的远程访问权限。

详情

据分析人士称，Lazarus集团臭名昭著的朝鲜黑客可能要对去中心化钱包平台Atomic wallet的3500万美元加密货币抢劫案负责。据Atomic Wallet的声明，早在上周，Atomic Wallet用户的钱包就已被黑客攻破。受影响的用户不到活跃月度用户的1％。据Elliptic的研究人员周三发布的声明，此次事件与拉萨路斯组有“高度信任联系”，因为黑客使用了以前攻击时类似的技术。此前，Lazarus还被指控窃取了超过20亿美元的数字资产。

详情

近期，深信服深瞻情报实验室监测到响尾蛇组织对巴基斯坦政府单位的最新攻击动态。响尾蛇组织，又称Sidewinder、APT-C-17、T-APT-04，是一个来自于南亚地区的境外APT组织。该组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动，其中以窃取敏感信息为主。在本次攻击活动中，监测到响尾蛇组织使用钓鱼邮件攻击政府单位的事件，本次事件相关的邮件附件名称为“ Adv-16-2023”，是关于巴基斯坦内阁部门发布的网络安全咨询16号文件。

详情

近日，安恒信息中央研究院猎影实验室发现了Sidecopy组织最新的攻击活动，近期攻击活动的大致特征如下：1.本次捕获的加载器样本均托管在一家印度翻译公司网站上；2.捕获到的样本主要针对印度国防、军事；3.活动初始阶段攻击手法仍以模仿Sidewinder为主，后续下发新的C#后门木马FetaRAT，该后门主要功能包括网络连接、信息获取、文件上传、截屏上传、播放音频等。

详情

微软近日表示，将默认要求所有连接使用SMB签名（又称安全签名），以抵御NTLM中继攻击。从今天开始，Insiders（内部测试人员）可以在金丝雀频道中获得新的Windows版本，这个版本的企业版将自动启用SMB签名。通过这种攻击手段，威胁行动者会迫使网络设备（包括域控制器）反向认证恶意服务器，以代表它们并提升权限，从而完全控制Windows域。微软表示：“这种改变了过去的行为模式，Windows 8和11在连接到SYSVOL和NETLOGON以及主动目录域控制器时，才需要默认启用SMB签名。”SMB签名有助于通过确认消息末尾的签名和哈希来验证发送方和接收方的身份，从而阻止恶意身份验证请求。该安全机制已经存在了相当长一段时间，从Windows 98和2000开始提供，随后在Windows 11和Windows Server 2022时进行了更新以提高性能和保护。虽然防止NTLM中继攻击应该是任何安全团队的首要任务，但Windows管理员可能会对此方法有所异议，因为它可能会导致SMB复制速度降低。不过，管理员可以通过从特权的Windows PowerShell终端运行以下命令，在服务器和客户端连接上禁用SMB签名要求：

详情

谷歌Chrome浏览器的内置密码管理器正在新增安全增强功能，使用户更容易管理其密码，避免帐户劫持攻击。Chrome密码管理器是谷歌服务的一部分，可以在Chrome浏览器和其他谷歌软件产品上管理和自动填充凭据，将登录信息在同一谷歌帐户使用的所有应用程序之间同步。虽然在Web浏览器中存储帐户凭据会使其容易受到信息窃取器（恶意软件）的窃取和解密，但使用正确的安全实践，用户可以享受谷歌密码管理器的便利性并有最小的顾虑。今天，谷歌宣布了五个新功能，可进一步增强其密码管理器中存储的数据的安全性，并设置防护措施，以保护用户免受风险的影响。这些新功能包括：为Google密码管理器添加专用的桌面快捷方式，在桌面上引入生物识别认证，允许在已保存的每个登录下保存自定义笔记，支持从其他密码管理器导入密码，并增强iOS上的密码检查功能。

详情

Microsoft宣布将OpenAI技术集成到其服务中，以赋予美国政府机构更强的洞察力，同时优先考虑信息安全。通过Azure OpenAI服务，政府机构将能够获得新的洞察力，优化语义搜索、内容摘要和简化代码生成，从而加快内容生成和自动化响应，并提高决策流程。此外，政府数据据报道无法用于OpenAI的培训模型，维护敏感信息的机密性和完整性。Azure政府的独特架构保证了提交给Azure OpenAI Service的查询通过加密网络传输，并且不会停留在商业环境中。

详情

美国非营利组织“哈佛护理卫生保健组织”（Harvard Pilgrim Health Care，HPHC）在4月份被勒索软件攻击，近期披露数据泄露风险比先前所透露更为严重，导致其2,550,922名成员敏感数据遭到泄露，涉及患者的姓名、生日、社交安全码、地址、电话、医疗史、治疗方式、之前看过的医生以及医保账户等各种私人信息。据报道，这是全美历史上泄露患者信息覆盖面最广的一起安全事件之一。目前尚不清楚这个勒索软件攻击是由什么组织发动。HPHC表示，已经提供信用监测和身份盗窃保护方案以保障受影响的个人。

详情

日本制药公司Eisai已披露遭受黑客勒索软件攻击，承认攻击者加密了一些服务器。Eisai是一家总部位于东京的制药公司，年收入达53亿美元，拥有超过10000名员工。该公司在日本、英国、北卡罗来纳和马萨诸塞州拥有九个制造和15个医学研究单位。公司开发并生产各种癌症治疗药物，以及治疗化疗副作用、抗癫痫、神经病和痴呆的药物。Eisai在其网站上发布通知，称该公司在周末遭受了勒索软件攻击。该公司已经将IT系统的许多部分下线，以遏制损害并防止锁定软件传播到被攻击公司网络的其他部分。虽然公司网站和电子邮件通信仍然可以正常工作，但包括物流系统在内的多个系统都必须下线，并将继续停止服务，直到调查结束。Eisai表示已迅速报告有关执法部门，并雇用外部网络安全专业人员加速恢复。目前，这次网络攻击对公司当前财年的综合盈利预测影响尚不明确。

详情

一项新的Magecart信用卡窃取活动利用合法网站作为“临时”命令和控制（C2）服务器，在目标电子商务网站中注入并隐藏欺诈者。Magecart攻击是黑客入侵在线商店，并注入恶意脚本，可以在结账过程中窃取客户的信用卡和个人信息。根据Akamai的研究人员监控此次活动，它已经入侵了美国、英国、澳大利亚、巴西、秘鲁和爱沙尼亚的组织。此攻击的窃取方式是滥用合法的网站，并利用其进行攻击。攻击者选择可疑的合法网站，并将其定位为C2服务器。采用此方式，攻击者可以避免被检测，并且不需要设置自己的基础设施来进行攻击。攻击者还使用Base64编码和类似于Google Tag Manager或Facebook Pixel的代码结构来混淆欺诈程序和主机的URL，增加攻击隐秘性。网站所有者可以通过恰当地保护网站管理员帐户并对其CMS和插件应用安全更新来防止Magecart感染。在线商店的客户可以通过使用电子支付方式、虚拟卡或在其信用卡上设置收费限额来最小化数据曝光的风险。

详情

Microsoft已同意支付2000万美元罚款，并更改儿童数据隐私程序，以解决美国联邦贸易委员会（FTC）就违反《儿童在线隐私保护法》（COPPA）收取的指控。COPPA是一项旨在保护13岁以下儿童在互联网上隐私的美国联邦法律。FTC表示，微软未经请求或通知家长，收集和保留了注册Xbox Live服务的儿童的个人信息。FTC对微软的指控包括违反《儿童在线隐私保护法》中的多个部分。除了罚款外，FTC提出了微软必须采取的措施以确保遵守COPPA。这些措施包括通知父母创建专门的帐户以提供额外的隐私保护、删除由于不必要而不需要的COPPA受保护用户的个人数据等。这个协议仍需法庭批准，FTC最近已采取行动来强调科技公司遵守数据隐私法规的重要性，尤其是那些涉及敏感未成年用户数据的法规。

详情

佛罗里达州一名39岁男子通过19家在新泽西州和佛罗里达州成立的公司和数个在线商店，向各种机构，包括教育、政府机构、医疗机构和军方销售伪造的思科网络设备。他从中国和香港进口旧、使用过的或低档次的网络设备，让出口商修改设备，使其看起来是真正的全新思科设备。然而，购买这些设备的人遭受了数个问题，包括性能、功能和安全问题，导致许多人向思科寻求支持。思科意识到Aksoy的业务性质，并在2014年至2019年期间向他发出了七封终止和解信。 2023年11月6日，他将面临最高6.5年的监禁，必须返还1500万美元，这些资金将作为赔偿款支付给受害者。如果有人或企业从列出的商店购买产品，则鼓励它们按照指导，填写调查问卷并通过邮件发送给国土安全部。

详情

FBI 警告称，恶意行为者正在使用 AI 和窃取的图像和视频来制作 deepfakes，以勒索包括未成年人和不同意的成年人在内的无辜者支付金钱或礼品卡，以换取从在线网站上删除内容。受害者报告说，这些照片和视频是从他们的社交媒体帖子中创建并在色情网站上分享的，这使得受害者很难保证将它们从网络上删除。联邦调查局最近发现这些骗局有所增加，并敦促人们在网上发布照片或视频时要谨慎行事，并在社交媒体平台上应用严格的隐私设置。父母和监护人应监控孩子的在线活动并讨论在线共享内容的风险。

详情

2023年6月8日，挪威公司 Vivaldi 浏览器宣布，为了使用 Bing 的 ChatGPT4 服务，将在其手机和桌面版本6.1 上进行更改，使其浏览器在访问Bing Chat 时模仿 Edge ，从而绕过了微软对Bing Chat的浏览器限制。 由于Bing Chat采用了ChatGPT4，这种服务被证明非常受欢迎，但微软认为只能在Microsoft Edge浏览器上使用。如今，Vivaldi浏览器的用户代理字符串和Sec-CH-UA用户代理客户端提示在访问 Bing Chat 时将更改为Microsoft Edge的信息以欺骗浏览器。如果不想更换浏览器，则可以通过安装浏览器扩展程序或更改浏览器中的配置选项来实现相同的功能。

详情

Royal勒索软件团伙最近开始测试一种新的加密程序——BlackSuit。这个加密程序与该操作惯用的加密程序有很多相似之处，自4月底以来，有传言说Royal勒索软件操作正在准备在新的名称下进行品牌翻新。5月份发现了一个新的BlackSuit勒索软件操作，使用自己的品牌加密器和Tor谈判网站。当时有人认为这是Royal勒索软件组重新打造的勒索软件操作。然而，重新品牌化从未发生过，Royal勒索软件仍在积极攻击企业，同时在有限的攻击中使用BlackSuit。今年1月的Royal勒索软件行动被认为是臭名昭著的Conti操作的直接继承者，它由五个人或更多的测试人员、从“Conti团队1”招募的合作伙伴和从其他公司针对勒索软件团伙招募的人员组成。

详情

若想了解更多信息或有相关业务需求，可移步至http://360.net

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

2023-06-05 360CERT发布安全周报