报告编号：CERT-R-2023-33

报告来源：360CERT

报告作者：360CERT

更新日期：2023-03-13

本周收录安全热点52项，话题集中在恶意程序、数据安全、安全漏洞，主要涉及的黑客组织有：APT-C-56、Kasablanka、Kimsuky等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

已观察到名为 BATLOADER 的恶意软件下载程序滥用 Google Ads来提供辅助有效负载，例如 Vidar Stealer 和 Ursnif。根据网络安全公司eSentire的说法，恶意广告被用来欺骗各种合法的应用程序和服务，例如 Adobe、OpenAPI 的 ChatGPT、Spotify、Tableau 和 Zoom。BATLOADER顾名思义，是一个加载器，负责分发下一阶段的恶意软件，例如信息窃取程序、银行恶意软件、Cobalt Strike，甚至勒索软件。BATLOADER 操作的关键特征之一是使用软件模拟策略来传递恶意软件。这是通过设置类似的网站来实现的，这些网站托管伪装成合法应用程序的 Windows 安装程序文件，当搜索软件的用户点击 Google 搜索结果页面上的流氓广告时触发感染序列。

详情

名为 Medusa 的勒索软件行动在 2023 年开始兴起，以全球范围内的企业受害者为目标，索要数百万美元的赎金。美杜莎行动于 2021 年 6 月开始，但活动相对较少，受害者很少。然而，在 2023 年，勒索软件团伙的活动有所增加，并推出了一个“美杜莎博客”，用于向拒绝支付赎金的受害者泄露数据。本周，美杜莎声称对明尼阿波利斯公立学校 (MPS) 学区的袭击事件负责  ，并分享了一段被盗数据的视频后，引起了媒体的关注。

详情

2023年3月上旬，首尔高丽大学网络安全学院的研究人员发现了一种名为“Casper Attack”的新型攻击技术，可以窃取离线计算机中的敏感数据。Casper Attack利用电磁波干扰音响系统，从而在不需要物理网络或网络连接的情况下，通过无线信号传输窃取数据，即使目标计算机是被隔离到一个另一个房间、建筑物或甚至是另一个国家中。Casper Attack攻击利用了空气中保证了总体数据流（音阶）的内部扬声器的漏洞。攻击者可在受害者计算机内通过插入微控制器的内部扬声器实现无线传输。利用这种技术，攻击者可以将音频信号模拟为数据，并通过电磁波干扰窃取数据。此外，Casper Attack利用超声波窃取敏感数据，在干扰音响信号的同时进行数据窃取，可以实现更大范围的攻击。对于需要保护敏感数据的用户，建议将离线计算机放置在尽可能安全的地方，并确认其与无线网络和有线网络断开连接。此外，加强物理安全措施和防护技术，如对听障员工在工作时的面部、红外、超声等进行计量，以监测无线信号窃取。最重要的是，安全研究人员和工程师需要更加关注和研究类似的黑客攻击手段，不断改进和升级防范措施以保护用户的数据和隐私。

详情

2023年3月11日，网络安全媒体The Hacker News报道了一起新型恶意软件的攻击事件。事件发生于2023年3月，攻击者使用Google广告作为攻击媒介，通过篡改返回页面实现了针对BatLoader恶意软件的攻击。BatLoader是一款流行的恶意软件，通过植入后门实现对受害者计算机的远程访问和控制。攻击者将BatLoader软件包植入Google广告中，并利用广告渠道将软件传播至受害者计算机，进而掌控其计算机。据报道，该攻击具有较高的隐蔽性和破坏性，使得受害者难以发现和排除。而攻击者利用广告这一常见媒介进行攻击，给互联网广告行业带来极大的安全隐患。针对该事件，建议广告行业企业应加强广告筛查，谨防恶意软件植入广告中。个人用户应当安装可靠的安全软件，以保障其计算机的安全。

详情

一名克罗地亚国民因涉嫌操作NetWire而被捕，NetWire 是一种远程访问木马 (RAT)，自 2012 年以来一直在网络犯罪论坛上销售，作为监视受感染系统和窃取密码的隐秘方式。此次逮捕恰逢美国联邦调查局(FBI)没收 NetWire 销售网站。虽然本案被告的姓名尚未公开，但 NetWire 网站在过去 11 年中一直在泄露有关其所有者可能真实身份和位置的信息。NetWire通常由诱杀的 Microsoft Office 文档安装并通过电子邮件分发，是一种多平台威胁，不仅能够针对Microsoft Windows机器，而且能够针对Android、Linux和Mac系统。NetWire 的可靠性和相对较低的成本（80-140 美元，具体取决于功能）使其成为网络犯罪论坛上多年来极为流行的 RAT，并且 NetWire 感染一直位居使用中最活跃的 RAT 前 10名。自 2012 年以来，NetWire 一直在同一网站上公开销售：worldwiredlabs[.]com。该网站现在有美国司法部的没收通知，称该域名是“针对 NetWire 远程访问木马采取的协调执法行动”的一部分。

详情

IceFire 在最近的网络攻击中改变了其操作系统目标，这是勒索软件参与者越来越多地瞄准 Linux 企业网络的象征，尽管涉及额外的工作。最近几周，黑客一直在针对 Linux 企业网络部署“IceFire”勒索软件，这是曾经仅适用于 Windows 的恶意软件的明显转变。SentinelOne在2023年3月9日发布的一份报告表明，这可能代表了一种萌芽趋势。在最近几周和几个月的网络攻击中，勒索软件攻击者比以往任何时候都更关注 Linux 系统，尤其是因为“与 Windows 相比，Linux 更难部署勒索软件，尤其是在大规模部署时，”SentinelOne 的安全研究员 Alex Delamotte表示。

详情

2023年3月9日，网络安全研究人员警告称，一种功能强大的新型恶意软件旨在躲避 Microsoft Windows 用户启动计算机时运行的一项重要安全功能。名为 BlackLotus 的“bootkit”恶意软件允许黑客绕过 UEFI 安全启动，它会在 Windows 机器启动控制基本硬件功能的固件时监视恶意软件。“ 我们在这里处理的不仅仅是普通的恶意软件，”网络安全公司 ESET本月早些时候表示。专注于固件和硬件安全的 Eclypsium 在2023年3月9日发布了一篇帖子，称 BlackLotus 是“第一个可以绕过安全启动的野外启动套件”。BlackLotus 利用 Microsoft一年前修补的Windows 漏洞，但研究人员表示，该恶意软件可以绕过该更新。Eclypsium 说，应用补丁“不会削弱攻击者执行后续攻击链的能力”，因为黑客可能会安装较旧的、易受攻击的引导管理器版本作为攻击的一部分。ESET 表示，一旦 BlackLotus 在启动过程中持久存在——这意味着它会在每次计算机启动时运行——它就能够“禁用 BitLocker、HVCI 和 Windows Defender 等操作系统安全机制”。

详情

一个疑似与中国有关的活动通过在未修补的SonicWall Secure Mobile Access（SMA）100系列设备上运行恶意软件来保持长期持久性，该活动具有窃取用户凭据、提供外壳访问以及通过固件升级持久性的功能。在2023年3月8日发表的博客文章中，Mandiant 表示他们在与 SonicWall 的产品安全和事件响应团队 (PSIRT) 合作时发现了该活动。他们将黑客组织追踪为 UNC4540。虽然Mandiant表示他们无法确定感染源，但该恶意软件或其前身很可能在 2021 年部署。Mandiant 认为攻击者的访问权限通过多次固件更新持续存在。SonicWall SMA100 系列是一种流行的边缘网络访问控制系统，可作为独立硬件设备、虚拟机或托管云实例实施。随着组织转向在家工作模式并迁移到云端，它们在大流行期间被广泛部署。

详情

自 2022 年 11 月以来，威胁行为者一直使用名为 SYS01 的信息窃取程序来感染关键政府基础设施员工和制造公司等的系统。由Morphisec的安全研究人员发现的新活动利用谷歌广告和虚假的 Facebook 个人资料吸引 Facebook 商业帐户，宣传游戏、成人内容和破解软件。然后诱饵导致恶意链接下载。“这次攻击旨在窃取敏感信息，包括登录数据、cookie 以及 Facebook 广告和企业帐户信息，” Morphisec恶意软件研究员 Arnold Osipov 在周二的 报告中写道。“该活动于 2022 年 5 月首次出现，最初归因于 Zscaler 的 Ducktail 行动。后来发现这种归因是不正确的，”奥西波夫补充道。Vulcan Cyber 的高级技术工程师 Mike Parkin同意 Osipov 的分析，并补充说 Morphisec 的新研究表明威胁参与者仍然活跃并且他们的恶意软件的开发正在进行中。

详情

自2022年年底以来，东南亚备受瞩目的政府实体成为中国威胁行为者 Sharp Panda 开展的网络间谍活动的目标。这些入侵的特点是使用了新版本的 Soul 模块化框架，标志着该组织与 2021 年观察到的攻击链有所不同。以色列网络安全公司 Check Point表示， “长期”活动历来只针对越南、泰国和印度尼西亚等国家。该公司于 2021 年 6 月首次记录了Sharp Panda ，并将其描述为“高度组织化的行动，为保持低调付出了巨大努力”。有趣的是，博通旗下的赛门铁克公司在 2021 年 10 月详细介绍了 Soul 后门的使用情况，涉及针对东南亚国防、医疗保健和 ICT 行业的不明间谍活动。根据Fortinet FortiGuard Labs 于 2022 年 2 月发布的研究，该植入物的起源可追溯到 2017 年 10 月，该恶意软件重新利用了来自 Gh0st RAT 和其他公开可用工具的代码。

详情

2023年3月7日，在中断三个月后，Emotet 恶意软件操作再次开始发送垃圾邮件，重建其网络并感染全球设备。Emotet 是一种臭名昭著的恶意软件，通过包含恶意 Microsoft Word 和 Excel 文档附件的电子邮件进行分发。当用户打开这些文档并启用宏时，Emotet DLL 将被下载并加载到内存中。一旦加载了 Emotet，恶意软件就会静静地等待来自远程命令和控制服务器的指令。最终，该恶意软件将窃取受害者的电子邮件和联系人，用于未来的 Emotet 活动或下载额外的有效负载，例如 Cobalt Strike 或其他通常会导致勒索软件攻击的恶意软件。虽然 Emotet 过去被认为是分布最广的恶意软件，但它的速度已逐渐放缓，其最后一次垃圾邮件操作出现在 2022 年 11 月。然而，即便如此，垃圾邮件的传播也只持续了两周。

详情

2023年3月7日，ESET的研究人员发布报告表示，一个名为Transparent Tribe的疑似与巴基斯坦结盟的高级持续威胁 (APT) 组织与正在进行的针对印度和巴基斯坦 Android 用户的网络间谍活动有关，该活动带有一个名为CapraRAT的后门。“透明部落通过木马化的安全消息传递和调用品牌为 MeetsApp 和 MeetUp 的应用程序分发了 Android CapraRAT 后门，”ESET在一份报告中说。据估计，多达 150 名可能具有军事或政治倾向的受害者已成为攻击目标，恶意软件 ( com.meetup.app ) 可从伪装成这些应用程序官方分发中心的虚假网站下载。

详情

一份新报告称，黑客正在使用盗版的视频编辑软件 Final Cut Pro 在 Apple 设备上安装恶意加密软件。

设备管理公司 Jamf 的研究人员表示，他们一直在监控一系列恶意软件，这些恶意软件在过去几个月重新出现并且一直在未被发现的情况下运行。这家位于明尼阿波利斯的公司负责 MacOS 检测的高级经理 Jaron Bradley 告诉 The Record，自软件盗版初期以来，伪装成盗版应用程序或嵌入盗版应用程序中的恶意软件一直是一个问题。“当攻击者不必说服用户运行他们的恶意软件时，他们看到了一个容易的机会，而是用户来找他们愿意安装他们知道是非法的东西，”他说。Final Cut Pro 是一套流行的视频编辑工具，Apple 用户的售价约为 300 美元。

“苹果在这种特殊情况下处于劣势，因为选择运行盗版软件的用户基本上已经接受免费获得应用程序值得冒应用程序可能构成的任何威胁的风险，”布拉德利说。名为 XMRig 的加密挖掘工具可以合法地用于在自己的设备上挖掘加密货币，但适应性强并且已被网络犯罪分子广泛滥用。

详情

2023年3月6日，SentinelOne 研究人员对最新的 Remcos 活动进行了观察和分析，他们在报告中记录了他们的发现。一项新的网络钓鱼活动利用两年前发现的旧 Windows 用户帐户控制绕过方法，利用 Remcos RAT 恶意软件针对东欧国家的组织。使用模拟可信目录绕过 Windows 用户帐户控制在攻击中脱颖而出，因为它自 2020 年以来就为人所知，但至今仍然有效。Sentinel One 建议系统管理员将 Windows UAC 配置为“始终通知”，还应该监控带有尾随空格的信任文件系统路径中的可疑文件创建或进程执行，尤其是包含字符串“\Windows”的文件夹。

详情

一家名为TeleMed的远程医疗创业公司被曝出暴露了超过100万名患者的敏感医疗信息，包括COVID-19测试结果、诊断记录和医疗图像等。这些敏感数据遭到黑客攻击者窃取和出售，有安全专家表示这是有史以来最大的医疗信息泄露事件之一TeleMed是一家提供远程医疗服务的创业公司，用户可以通过应用程序进行医疗咨询和在线诊断。黑客攻击者通过利用TeleMed的VPN（虚拟私人网络）漏洞来窃取最近上传的医疗数据，包括患者的姓名、出生日期、联系信息、诊断记录、药方和医疗图像等。攻击者还利用这些信息进行诈骗和犯罪活动，危及了患者的隐私和安全。为了保护患者的隐私和安全，建议各类医疗机构和远程医疗服务供应商加强数据的安全和保护意识，加强对安全漏洞和风险的管理和控制。同时，建议患者保持警惕性，避免在未经验证的应用程序上提供敏感信息，并密切关注个人信息的安全。政府还应完善、加强相关数据保护法律法规的立法和实施，以确保患者的隐私和安全得到充分的保护。

详情

数字加密艺术品交易平台OpenSea的超过400万用户信息被泄露，在黑客论坛上公布出售。这些信息包括用户的姓名、电子邮件地址、地址、手机号码和密码等，犯罪分子可以利用这些信息进行钓鱼攻击、信用卡诈骗和身份欺诈等违法活动。黑客攻击者通过钓鱼攻击和社交工程手段获得了OpenSea用户的凭证，并窃取了他们的个人信息。OpenSea随后发布了一份声明，承认了数据泄露事件，并表示正在全力以赴查明事发原因和调查此次事件的影响。OpenSea用户可以采取以下措施保护自己的隐私和安全：第一，更改其账户密码并使用强密码；第二，启用双因素身份验证；第三，关注电子邮件收件箱和垃圾邮件，避免提供个人信息和敏感信息；第四，在使用数字艺术品交易平台时保持警惕性和谨慎性，避免踩到诈骗陷阱；第五，及时反馈和通知平台相关负责人，以防止类似事件再次发生。此外，数字艺术品交易平台应加强数据的安全和保护，制定全面的安全保护计划，并定期对系统进行安全扫描和漏洞修复。

详情

AWS公开了一项全新的匿名教育和雇佣数据集，这将帮助人们更好地了解工作搜索和职业方向。该数据集名为SOREL-20M，包含了超过2000万份关于美国员工受教育程度、职业和雇佣情况的记录。

技术细节：SOREL-20M数据集是由AWS和Sociometric Solutions联合开发的，基于Sociometric的社会认知分析技术来分析员工的记录。数据集中的信息包括受教育程度、工作类型、职业方向和公司类型等。该数据集是一个开放的、匿名的数据集，任何人都可以使用它来研究员工职业方向和雇佣趋势等问题。由于该数据集是开放的和匿名的数据集，所有未经过滤或处理的数据都有可能被滥用和利用，因此在使用数据集时应谨慎处理和保护个人隐私。建议使用该数据集的人员遵循数据保护法规，并在任何发布前匿名化数据。据集开放了S3 Bucket供人们使用，使用者需要注意控制数据传输的安全，如加密传输等。任何人都应该尽可能使用安全的方式来保护自己的个人信息。

详情

AT&T 使用的未具名营销供应商的IoC暴露了与近 900 万个无线电信账户相关的数据。AT&T 表示，泄露的数据不包含支付信息、账户密码、社会安全号码或其他个人身份信息。相反，网络攻击允许未经授权访问用于确定其所说的资格的信息，并将数据描述为多年。它说，移动运营商正在通知受影响的客户。根据 AT&T 社区论坛中的通知信。“我们最近确定未经授权的人破坏了供应商的系统并获得了对您的客户专有网络信息 (CPNI) 的访问权限，”AT&T 社区论坛中的数据泄露通知信中写道。 “在我们的行业中，CPNI 是与您从我们这里购买的电信服务相关的信息，例如您帐户中的线路数量或无线计划您已订阅。”它补充说，“我们已按照联邦通信委员会的要求，将未经授权访问您的 CPNI 的情况通知了联邦执法部门。我们向执法部门提交的报告不包含有关您帐户的具体信息，只是发生了未经授权的访问。”

详情

2023年3月8日，立法机构获悉，涉及华盛顿特区医疗保健交换平台的数据泄露事件包括国会议员和工作人员的敏感信息。根据众议院首席行政官 Catherine Szpindor 的一封信，该违规行为泄露了 DC Health Link 网站上登记者的个人信息。Daily Caller 首先获得了这封信。她写道，联邦调查局通知她，数百名受影响的人要么在职，要么是工作人员。她希望在周四之前收到更具体的信息，了解究竟是谁泄露了他们的信息。周一，Breached 论坛上一名自称是黑客的人表示，他们获得了一个包含约 170,000 人个人信息的数据库。黑客声称其中包括姓名、身份证号码、保单 ID、社会安全号码、计划名称、雇主、地址等等。黑客要求以 Monero 加密货币付款，到2023年3月8日，帖子更新为说数据库已售出。

详情

2023年3月8日，美国联邦调查局正在调查影响美国众议院议员和工作人员的数据泄露事件，此前他们的帐户和敏感个人信息从 DC Health Link 的服务器中被盗。DC Health Link 是管理美国众议院议员、他们的员工及其家人的医疗保健计划的组织。据DailyCaller最先报道，受影响的个人2023年3月8日在美国众议院首席行政官 Catherine L. Szpindor 的电子邮件中收到了违规通知 。“2023年3月7日，DC Health Link 遭受了重大数据泄露，可能会暴露数千名登记者的个人身份信息 (PII)。作为有资格通过 DC Health Link 获得健康保险的会员或员工，您的数据可能已被包含，”Szpindor 说。“目前，我不知道违规的规模和范围，但联邦调查局 (FBI) 已告知，数百名 Mernber 和 House 员工的账户信息和 Pit 被盗。“值得注意的是，目前看来，议员或众议院似乎并不是袭击的具体目标。”

详情

宏碁的一份声明证实，维修技术人员的文件服务器遭到破坏，但表示客户数据似乎不是泄漏的一部分。宏碁已确认其系统在威胁行为者提供 160GB 的数据后被攻破，他们称这些数据是从这家电子公司窃取的。宏碁销售各种消费电子产品，包括 Chromebook、显示器、笔记本电脑和台式电脑。

网络犯罪论坛中的帖子声称有大量秘密信息可供出售，包括 Acer 幻灯片、员工手册和产品信息。宏碁在一份声明中回应称，泄露的数据似乎不包括客户信息。宏碁在一份关于网络安全事件的声明中说：“我们最近发现了一起未经授权访问我们的维修技术人员文档服务器的事件。 ” “虽然我们的调查仍在进行中，但目前没有迹象表明任何消费者数据都存储在该服务器上。”

详情

2023年3月初，一份披露称，丰田 C360 客户关系管理工具的缺陷暴露了墨西哥未知数量客户的个人数据。丰田 C360 客户关系管理 (CRM) 工具中的生产 API 加载了未知数量的墨西哥汽车制造商客户的个人信息，被发现暴露了大量敏感数据。威胁猎手 Eaton Zveare 的披露概述了如何访问丰田客户的姓名、地址、电话号码、电子邮件和税号，以及存储在 C360 CRM 中的车辆所有权和服务历史记录。在向丰田报告该问题后，Zveare 表示这些网站已下线，API已受到保护，因此他们现在需要身份验证令牌。“我想强调的是，我不知道这个 CRM 中有多少客户，”Zveare写道。“没有用户列表——只能通过姓名、ID、电话号码或电子邮件地址搜索客户。”

详情

2023年3月6日，巴塞罗那市官员宣布，针对巴塞罗那市主要医院的勒索软件攻击已迫使数千个预约被取消。周六，巴塞罗那医院诊所遭到袭击，该机构众多实验室、诊所和急诊室的计算机都被关闭。其网站2023年3月6日无法访问。据《国家报》报道，官员们表示，2023年3月6日取消了 150 项非紧急手术，同时取消了多达 3,000 项患者检查，包括放疗就诊，因为工作人员无法访问患者的临床记录。据加泰罗尼亚地区网络安全局称，赎金屋团伙——将半导体公司 AMD 列为先前的受害者，声称出售了其“合作伙伴”窃取的数据——对这次袭击负责。该团伙本身在其泄密网站上声称“与任何违规行为无关”并且不“生产或使用任何勒索软件”。它将自己描述为“专业调解员社区”。加泰罗尼亚地区政府的电信部长 Segi Marcén 表示，尚未收到任何勒索要求，但即使收到，医院也不会支付赎金。“我们不会支付一分钱，”Marcén 说。勒索软件团伙通常会威胁说，如果勒索付款没有在特定期限内到来，他们就会公开发布被盗数据。截至2023年3月6日，Ransom House 的泄漏点上没有医院的任何信息。

详情

2023年3月上旬，Fortinet 警告用户修补 FortiOS 操作系统和 FortiProxy 安全 Web 网关中的关键远程代码执行 (RCE) 漏洞。 本周来自 FortiGuard Labs 的警报称，管理界面中的堆缓冲区下溢错误可能允许未经身份验证的远程网络攻击者在运行该平台的设备上执行代码。Fortinet 补充说，该漏洞还可能允许威胁参与者对运行易受攻击代码的设备的 GUI 执行拒绝服务 (DoS) 攻击。Fortinet 已为 FortiOS 和 FortiProxy接口发布了安全更新，并指出尚未检测到任何利用。 “ Fortinet 不知道有任何在野利用此漏洞的实例，”警报解释说。“我们不断审查和测试我们产品的安全性，这个漏洞是在该框架内内部发现的。”Fortinet 表示，用户应尽快修补影响 FortiOS 和 FortiProxy 管理界面的未经身份验证的远程代码执行错误。

详情

Bitwarden 的凭据自动填充功能包含一种危险行为，可能允许嵌入受信任网站的恶意 iframe 窃取人们的凭据并将其发送给攻击者。Bitwarden 是一种流行的开源密码管理服务，带有 Web 浏览器扩展，可将帐户用户名和密码等秘密存储在加密的保险库中。当其用户访问网站时，该扩展程序会检测是否存储了该域的登录信息并提供填写凭据的信息。如果启用了自动填充选项，它会在页面加载时自动填充它们，而无需用户执行任何操作Flashpoint 的分析师报告了该问题，他们表示 Bitwarden 在 2018 年首次了解到该问题，但选择允许它容纳使用 iframe 的合法网站。尽管默认情况下 Bitwarden 上的自动填充功能是禁用的，并且利用它的条件并不丰富，但 Flashpoint 表示仍有满足要求的网站，有动机的威胁行为者可以尝试利用这些缺陷。

详情

Veeam 敦促客户修补影响其备份和复制软件的高严重性备份服务安全漏洞。该漏洞（跟踪为 CVE-2023-27532）于 2 月中旬由名为 Shanigen 的安全研究员报告，它影响所有 Veeam Backup & Replication (VBR) 版本。未经身份验证的攻击者可以在获取存储在 VeeamVBR 配置数据库中的加密凭据后利用它访问备份基础架构主机。根据 Veeam 的 公告，此缺陷背后的根本原因是 Veeam.Backup.Service.exe（默认情况下在 TCP 9401 上运行）允许未经身份验证的用户请求加密凭据。“我们已经为 V11 和 V12 开发了补丁来缓解这个漏洞，我们建议您立即更新您的安装，”该公司在周二发给客户的电子邮件中说。“如果您不是 Veeam 环境的现任管理员，请将此电子邮件转发给合适的人。”该公司针对 VBR  V11 和 V12发布了解决此漏洞的安全更新，建议使用旧版本的客户首先更新到这两个受支持产品之一。

详情

去年，有人发现名为Lazarus Group 的朝鲜威胁组织利用未命名软件中的漏洞两次进入一家韩国金融公司。该消息来自Asec的安全研究人员，他们于周二发布了有关此次攻击的公告。该公司记录了第一次攻击发生在 2022 年 5 月，而第二次发生在同年 10 月。据报道，这两项行动都依赖于相同的零日漏洞。“在 2022 年 5 月的渗透期间，受影响的公司使用了公共机构和大学常用的证书程序的易受攻击版本，” Asec 公告中写道。“事件发生后，他们将所有软件更新到最新版本。而此次Lazarus组织利用该软件的零日漏洞进行渗透。”Asec 表示，在发现该漏洞后，它向韩国互联网安全局 (KISA) 披露了该漏洞。从技术角度来看，威胁行为者使用自带易受攻击的驱动程序 (BYOVD)方法来利用该软件易受攻击的驱动程序内核模块并禁用受感染机器上的安全产品。“此外，他们会执行反取证技术，通过在删除文件之前更改文件名或修改时间戳来隐藏他们的恶意行为，”Asec 解释说。

详情

2023年3月9日，Jenkins 开源自动化服务器中披露了一对严重的安全漏洞，可能导致代码在目标系统上执行。这些漏洞被追踪为CVE-2023-27898和CVE-2023-27905 ，影响 Jenkins 服务器和更新中心，并被云安全公司 Aqua统称为CorePlague 。2.319.2 之前的所有 Jenkins 版本都容易受到攻击和利用。“利用这些漏洞可能允许未经身份验证的攻击者在受害者的 Jenkins 服务器上执行任意代码，可能导致 Jenkins 服务器完全受损，”该公司在与黑客新闻分享的一份报告中表示。缺点是 Jenkins 如何处理更新中心提供的插件的结果，从而可能使威胁行为者能够上传带有恶意负载的插件并触发跨站点脚本 (XSS) 攻击。

详情

2023年3月7日，Nvidia 发布了一个显示驱动程序修补程序，以解决 最近报告的Windows 10 和 Windows 11 系统上的高 CPU 使用率和蓝屏问题。正如该公司所解释的那样，GeForce Hotfix 驱动程序版本 531.26 修复了 NVIDIA Container 的 CPU 使用率较高问题，这种情况在退出游戏和  某些笔记本电脑型号的随机错误检查后可能会出现。您可以从此 客户支持页面下载适用于 Windows 10 x64 和 Windows 11 x64 平台的修补驱动程序。“发布 GeForce Hotfix 驱动程序是为了解决 NVIDIA Container 导致的更高 CPU 使用率以及笔记本稳定性修复问题，”GeForce Game Ready 驱动程序 SPM Sean Pelletier 说。与 Game Ready 驱动程序不同，这些驱动程序包含快速修复，未经过 WHQL 认证，并且不经过通常的测试过程。“这些修复（以及更多）将出现在下一个 Game Ready 驱动程序中，该驱动程序将通过 WHQL 认证并通过 GeForce Experience 和通常的驱动程序下载页面交付给游戏玩家，”Pelletier 补充道。

详情

若想了解更多信息或有相关业务需求，可移步至http://360.net

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

2023-03-06 360CERT发布安全周报