国产成人毛片毛片久久网_国产午夜激无码av毛片不_国产乱对白精彩在线播放_av资源站中文字幕_亚洲男人的天堂网站_国产成 人 综合 亚洲网_中国国产激情一区_少妇一级淫片免费放_亚洲一本大道av久在线播放_免费观看美女裸体网站

0x01   事件導(dǎo)覽

本周收錄安全熱點57項，話題集中在惡意程序、網(wǎng)絡(luò)攻擊方面，涉及的組織有：BlackCat、APT37、Lazarus、Apple等。對此，360CERT建議使用360安全衛(wèi)士進行病毒檢測、使用360安全分析響應(yīng)平臺進行威脅流量檢測，使用360城市級網(wǎng)絡(luò)安全監(jiān)測服務(wù)QUAKE進行資產(chǎn)測繪，做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

0x02   事件目錄

0x03   惡意程序

FBI 警告 BlackCat 勒索軟件入侵全球 60 多個組織

日期: 2022-04-24
標(biāo)簽: 美國, 信息技術(shù), 美國聯(lián)邦調(diào)查局 (FBI), BlackCat, 

美國聯(lián)邦調(diào)查局 (FBI) 對 BlackCat 勒索軟件即服務(wù) (RaaS) 發(fā)出警報，稱自去年 11 月出現(xiàn)以來，截至 2022 年 3 月，全球至少有 60 個實體受害。BlackCat 勒索軟件也稱為 ALPHV 和Noberus，是第一個以 Rust 編程語言編寫的惡意軟件。BlackCat/ALPHV 的許多開發(fā)人員和洗錢者都與 DarkSide / BlackMatter 有關(guān)聯(lián)，這表明他們擁有廣泛的網(wǎng)絡(luò)和勒索軟件操作經(jīng)驗。BlackCat勒索軟件通常利用受損的用戶憑據(jù)來獲得對目標(biāo)系統(tǒng)的初始訪問權(quán)限。FBI 敦促組織審查域控制器、服務(wù)器、工作站和活動目錄中是否有新的或無法識別的用戶帳戶，進行離線備份，實施網(wǎng)絡(luò)分段，應(yīng)用軟件更新，并通過多因素身份驗證保護帳戶。

詳情

https://t.co/TV1TgCvmiZ

APT37的新惡意軟件GOLDBACKDOOR

日期: 2022-04-24
標(biāo)簽: 韓國, 朝鮮, 文化傳播, 韓國國家情報局（NIS）, APT37, GOLDBACKDOOR, 

2022年3月18日，NK News與Stairwell威脅研究團隊共享了多個惡意文件，這些文件來自一場針對專門研究朝鮮問題的記者的網(wǎng)絡(luò)釣魚活動。這些信息是從韓國國家情報局（NIS）前局長的個人電子郵件中發(fā)送的。其中一個是名為GOLDBACKDOOR的新惡意軟件樣本。Stairwell以中高等的置信度將GOLDBACKDOOR歸因于APT37,它是BLUELIGHT惡意軟件的繼承者或與BLUELIGHT一起使用，因為兩個惡意軟件家族之間有技術(shù)重疊以及冒充關(guān)注朝鮮的韓國新聞網(wǎng)站Daily NK。

詳情

https://stairwell.com/wp-content/uploads/2022/04/Stairwell-threat-report-The-ink-stained-trail-of-GOLDBACKDOOR.pdf

Emotet惡意軟件近日重現(xiàn)

日期: 2022-04-24
標(biāo)簽: 美國, 法國, 意大利, 波蘭, 俄羅斯, 西班牙, 信息技術(shù), 政府部門, Emotet, 

Emotet 惡意軟件在被有效關(guān)閉一年多后再次強勢回歸�？ò退够�稱，一場迅速加速且復(fù)雜的垃圾郵件活動正在用欺詐性電子郵件吸引目標(biāo)，這些欺詐性電子郵件旨在誘騙受害者拆包和安裝 Emotet 或 Qbot 惡意軟件，這些惡意軟件可以竊取數(shù)據(jù)、在受感染的公司網(wǎng)絡(luò)上收集信息并橫向移動通過網(wǎng)絡(luò)在聯(lián)網(wǎng)計算機上安裝勒索軟件或其他木馬。2022年2月，卡巴斯基發(fā)現(xiàn)了 3,000 封與 Emotet 相關(guān)的惡意電子郵件，3月又發(fā)現(xiàn)了 30,000 封，語言包括英語、法語、意大利語、波蘭語、俄語和西班牙語。Emotet惡意軟件在4月威脅或感染了全球多達 10% 的組織，是2月份的兩倍。

詳情

https://t.co/8iaqjdbjR6

Avast發(fā)布惡意軟件Certishell的分析報告

日期: 2022-04-21
標(biāo)簽: 斯諾伐克, 捷克, Avast, Certishell, 

2022年4月21日，安全廠商Avast 發(fā)布了一份關(guān)于惡意軟件 Certishell 的技術(shù)報告。Certishell是一種專門針對捷克和斯洛伐克用戶的惡意軟件。該惡意軟件從Avast用戶群中的注冊表項啟動 powershell 代碼的惡意任務(wù)，通過歌曲和電影的非法副本以及游戲和常用工具托管在捷克和斯洛伐克最流行的文件共享服務(wù)uloz.to之上。

詳情

https://t.co/G5MLlLlax8

黑客將“More_Eggs”惡意軟件植入招聘簡歷中

日期: 2022-04-21
標(biāo)簽: 加拿大, 美國, 英國, 交通運輸, 商務(wù)服務(wù), More_Eggs, Golden Chickens, Venom Spider, 社會工程, 律師, 人力資源, 會計, 

eSentire的研究和報告負(fù)責(zé)人Keegan Keplinger在一份聲明中表示：“今年，more_eggs運營部門已經(jīng)翻轉(zhuǎn)了社會工程腳本，針對的是帶有虛假簡歷的招聘經(jīng)理，而不是針對具有虛假工作機會的求職者”。這家加拿大網(wǎng)絡(luò)安全公司表示，它發(fā)現(xiàn)并破壞了四起獨立的安全事件，其中三起發(fā)生在三月底。目標(biāo)實體包括一家總部位于美國的航空航天公司、一家位于英國的會計企業(yè)、一家律師事務(wù)所和一家位于加拿大以外的人力資源機構(gòu)。該惡意軟件被懷疑是名為Golden Chickens（又名Venom Spider）的威脅參與者的手筆，是一種隱蔽的模塊化后門套件，能夠竊取有價值的信息并在受感染的網(wǎng)絡(luò)中進行橫向移動。

詳情

https://t.co/DvmdqFle4m

新的隱形BotenaGo惡意軟件變種以DVR設(shè)備為目標(biāo)

日期: 2022-04-19
標(biāo)簽: 信息技術(shù), Lilin DVR, BotenaGo, Lillin BotenaGo, 攝像頭, 

BotenaGo是一種相對較新的惡意軟件，用谷歌的開源編程語言Golang編寫。

Nozomi Networks Labs的研究人員最近發(fā)現(xiàn)了BotenaGo的一個新變體，它似乎來自泄露的源代碼。他們分析的樣本針對Lilin安全攝像頭DVR設(shè)備，這促使研究人員將其命名為“Lillin掃描儀”。

Lillin BotenaGo變體最顯著的特征是，VirusTotal掃描平臺上的防病毒引擎無法檢測到它。其中一個原因是，它的作者已經(jīng)刪除了原始BotenaGo中存在的所有漏洞，并且只專注于使用兩年前的關(guān)鍵遠程代碼執(zhí)行缺陷來針對Lilin DVR。

詳情

https://t.co/lcjr6fyOLT

研究人員稱：飛馬間諜軟件的目標(biāo)是英國首相

日期: 2022-04-19
標(biāo)簽: 政府部門, 國際組織, WhatsApp, Apple, Pegasus（飛馬間諜軟件）, 

研究人員透露，在過去兩年中，一種與多個國家支持的活動有關(guān)的臭名昭著的間諜軟件變體被用來針對英國首相辦公室。

近年來，加拿大非營利組織公民實驗室（Citizen Lab）一直積極參與跟蹤以色列NSO集團生產(chǎn)的Pegasus間諜軟件的使用情況。

該公司正在被WhatsApp和蘋果起訴，此前科技巨頭的客戶成為秘密惡意軟件的目標(biāo)。它也被用來破壞九名美國國務(wù)院官員的iPhone，它出現(xiàn)在去年年底。

2022年4月18日，公民實驗室透露，在發(fā)現(xiàn)“英國官方網(wǎng)絡(luò)內(nèi)出現(xiàn)多個疑似Pegasus間諜軟件感染事件”后，它也被迫在2020年和2021年通知英國政府。

詳情

https://t.co/rmmuNWz2on

美國警告Lazarus黑客使用惡意加密貨幣應(yīng)用程序

日期: 2022-04-18
標(biāo)簽: 美國, 金融業(yè), 美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA), 美國聯(lián)邦調(diào)查局 (FBI), 美國財政部, Lazarus, 社會工程, 

2022年4月18日，CISA，聯(lián)邦調(diào)查局和美國財政部警告說，朝鮮Lazarus黑客組織正在針對加密貨幣和區(qū)塊鏈行業(yè)的組織提供特洛伊木馬化的加密貨幣應(yīng)用程序。

攻擊者使用社交工程來誘騙加密貨幣公司的員工下載和運行惡意的Windows和macOS加密貨幣應(yīng)用程序。

然后，Lazarus運營商使用這些特洛伊木馬工具訪問目標(biāo)的計算機，在整個網(wǎng)絡(luò)中傳播惡意軟件，并竊取私鑰，從而發(fā)起欺詐性區(qū)塊鏈交易并從錢包中竊取受害者的加密資產(chǎn)。

詳情

https://t.co/bc825qNFsV

非官方的Windows 11升級存在竊取信息的惡意軟件

日期: 2022-04-18
標(biāo)簽: 信息技術(shù), 微軟（Microsoft）, 網(wǎng)絡(luò)釣魚, Windows 11, 

黑客正在通過偽造的Windows 11升級來吸引毫無戒心的用戶，該升級帶有竊取瀏覽器數(shù)據(jù)和加密貨幣錢包的惡意軟件。

該活動目前處于活躍狀態(tài)，信息竊取者通過依靠中毒搜索結(jié)果來推送模仿微軟Windows 11促銷頁面的網(wǎng)站。

Microsoft為用戶提供了一個升級工具，用于檢查其計算機是否支持該公司的最新操作系統(tǒng)（OS）。一個要求是對受信任的平臺模塊 （TPM） 版本 2.0 的支持，該版本存在于不超過四年的計算機上。黑客正在掠奪那些跳到安裝Windows 11的用戶，而沒有花時間了解操作系統(tǒng)需要滿足某些規(guī)范。

詳情

https://t.co/XUzycUBkyr

相關(guān)安全建議

1. 在網(wǎng)絡(luò)邊界部署安全設(shè)備，如防火墻、IDS、郵件網(wǎng)關(guān)等

2. 做好資產(chǎn)收集整理工作，關(guān)閉不必要且有風(fēng)險的外網(wǎng)端口和服務(wù)，及時發(fā)現(xiàn)外網(wǎng)問題

3. 及時對系統(tǒng)及各個服務(wù)組件進行版本升級和補丁更新

4. 包括瀏覽器、郵件客戶端、vpn、遠程桌面等在內(nèi)的個人應(yīng)用程序，應(yīng)及時更新到最新版本

5. 各主機安裝EDR產(chǎn)品，及時檢測威脅

6. 注重內(nèi)部員工安全培訓(xùn)

7. 不輕信網(wǎng)絡(luò)消息，不瀏覽不良網(wǎng)站、不隨意打開郵件附件，不隨意運行可執(zhí)行程序

8. 勒索中招后，應(yīng)及時斷網(wǎng)，并第一時間聯(lián)系安全部門或公司進行應(yīng)急處理

0x04   數(shù)據(jù)安全

�？怂箯V播公司遭遇數(shù)據(jù)泄露

日期: 2022-04-18
標(biāo)簽: 美國, 文化傳播, 福克斯, 

2022年4月17日，由研究人員發(fā)現(xiàn)了一個開放且不受密碼保護的數(shù)據(jù)庫，其中包含 12,976,279 條記錄。數(shù)據(jù)集的總大小為 58 GB，包含內(nèi)容管理數(shù)據(jù)，包括員工 PII。經(jīng)過進一步研究，幾乎所有記錄都包含指示 FOX 內(nèi)容、存儲信息、內(nèi)部 FOX 電子郵件、用戶名、員工 ID 號、附屬電臺信息等的信息。FOX 安全團隊迅速采取行動，關(guān)閉了對不安全和公開暴露的數(shù)據(jù)庫的訪問。目前尚不清楚這些記錄暴露了多長時間，或者還有誰可能訪問了數(shù)據(jù)集。

詳情

https://t.co/PXCvpQTYqX

黑客組織Anonymous泄露600多名俄羅斯聯(lián)邦安全局官員的個人資料

日期: 2022-04-19
標(biāo)簽: 烏克蘭, 俄羅斯, 政府部門, 俄羅斯聯(lián)邦安全局, 烏克蘭國防部主要情報局, Anonymous（匿名者）, 俄烏戰(zhàn)爭, 

2022年4月19日，黑客組織Anonymous泄露了600多名俄羅斯聯(lián)邦安全局官員在莫斯科的個人資料。這些信息包括姓名、出生日期、注冊地址、護照號碼、債務(wù)、機票、SIM卡等。黑客組織Anonymous還講這些信息發(fā)布在了烏克蘭國防部主要情報局的政府網(wǎng)站上。

詳情

https://t.co/atXmuWWkjw

相關(guān)安全建議

1. 及時備份數(shù)據(jù)并確保數(shù)據(jù)安全

2. 合理設(shè)置服務(wù)器端各種文件的訪問權(quán)限

3. 嚴(yán)格控制數(shù)據(jù)訪問權(quán)限

4. 及時檢查并刪除外泄敏感數(shù)據(jù)

5. 發(fā)生數(shù)據(jù)泄漏事件后，及時進行密碼更改等相關(guān)安全措施

6. 強烈建議數(shù)據(jù)庫等服務(wù)放置在外網(wǎng)無法訪問的位置，若必須放在公網(wǎng)，務(wù)必實施嚴(yán)格的訪問控制措施

0x05   網(wǎng)絡(luò)攻擊

勒索團伙Conti攻擊哥斯達黎加政府系統(tǒng)

日期: 2022-04-23
標(biāo)簽: 哥斯達黎加, 信息技術(shù), 政府部門, 金融業(yè), Conti, 

近一周的勒索軟件攻擊導(dǎo)致哥斯達黎加政府計算機系統(tǒng)癱瘓，該國表示拒絕支付贖金。哥斯達黎加的財政部、社會保障機構(gòu)的人力資源系統(tǒng)、勞工部以及其他政府機構(gòu)都遭到攻擊。Conti聲稱對這次襲擊負(fù)責(zé)，但哥斯達黎加政府尚未證實其來源。2022年4月22日，勒索團伙Conti表示，它已經(jīng)公布了 50% 的被盜數(shù)據(jù)，包括來自財政部和其他機構(gòu)數(shù)據(jù)庫的超過 850 GB 的材料。Conti目前正在追求雙重勒索：加密政府文件以凍結(jié)機構(gòu)的運作能力，并在沒有贖金的情況下將被盜文件發(fā)布到該組織在暗網(wǎng)上的勒索網(wǎng)站獲取資金。

詳情

https://t.co/nF506SWczJ

AWS和阿里云遭到加密礦工的攻擊

日期: 2022-04-24
標(biāo)簽: 金融業(yè), 思科（Cisco）, 阿里云, 亞馬遜（Amazon ）, TeamTNT腳本, 

一位英特爾消息人士最近向思科 Talos 提供了 TeamTNT 網(wǎng)絡(luò)犯罪團隊受感染的 shell 腳本的修改版本，趨勢科技記錄了該腳本的早期版本。惡意軟件創(chuàng)建者在得知安全專家已經(jīng)披露了其腳本的先前版本后修改了這些工具。這些腳本主要用于 Amazon Web Services （AWS），但它們也可能在本地、容器或其他 Linux 實例中使用。除了主要的憑據(jù)竊取腳本之外，還有多個TeamTNT有效負(fù)載專注于比特幣挖掘，持久性和橫向移動，這些策略采用的策略包括識別和安裝本地網(wǎng)絡(luò)中的所有Kubernetes pod。還包括一個包含分發(fā)系統(tǒng)服務(wù)器的用戶憑據(jù)的腳本和另一個具有 API 密鑰的腳本，該密鑰可能允許遠程訪問 tmate 共享登錄會話。旨在擊敗阿里云安全技術(shù)的防御規(guī)避功能包含在一些TeamTNT腳本中。

詳情

https://t.co/pTVigi2Fvc

黑客組織Anonymous泄露多個俄羅斯實體電子郵件

日期: 2022-04-23
標(biāo)簽: 俄羅斯, 烏克蘭, 信息技術(shù), 能源業(yè), 建筑業(yè), 房地產(chǎn), Enerpred, Accent Capital, Worldwide Invest, Anonymous（匿名者）, 俄烏戰(zhàn)爭, 數(shù)據(jù)泄露, 

2022年4月23日，黑客組織Anonymous泄露了來自Enerpred的645000封電子郵件（432 GB），Enerpred是俄羅斯和獨聯(lián)體最大的液壓工具生產(chǎn)商，專注于能源、石化、煤炭、天然氣和建筑行業(yè)。2022年4月21日，黑客組織Anonymous泄露了來自俄羅斯房地產(chǎn)投資公司 Accent Capital 的 365.000 封電子郵件（211 GB）。同日，泄露了Worldwide Invest 的 250,000 封電子郵件（130 GB），這是一家與愛沙尼亞和俄羅斯鐵路有聯(lián)系的投資公司。

詳情

https://t.co/5rsCB2uRiR

Docker服務(wù)器在正在進行的加密采礦惡意軟件活動中遭到黑客攻擊

日期: 2022-04-21
標(biāo)簽: 信息技術(shù), 微軟（Microsoft）, Docker, Lemon_Duck, 

Linux服務(wù)器上的Docker API正成為Lemon_Duck僵尸網(wǎng)絡(luò)運營商大規(guī)模門羅幣加密挖掘活動的目標(biāo)。加密采礦團伙對安全性差或配置錯誤的Docker系統(tǒng)構(gòu)成了持續(xù)的威脅，近年來報道了多次大規(guī)模剝削活動。特別是LemonDuck，它以前專注于利用易受攻擊的Microsoft Exchange服務(wù)器，在此之前，它通過SSH暴力攻擊針對Linux機器，Windows系統(tǒng)容易受到SMBGhost的攻擊，以及運行Redis和Hadoop實例的服務(wù)器。根據(jù)2022年4月21日發(fā)布的Crowdstrike報告，正在進行的Lemon_Duck活動背后的威脅行為者正在將他們的錢包隱藏在代理池中。

詳情

https://t.co/zzITtArDKH

Gameredon繼續(xù)攻擊烏克蘭

日期: 2022-04-21
標(biāo)簽: 政府部門, 信息技術(shù), Shuckworm, Gameredon, Backdoor.Pterodo, 俄烏戰(zhàn)爭, 

與俄羅斯有關(guān)的Shuckworm間諜組織（又名Gameredon）正在繼續(xù)對烏克蘭的組織發(fā)起網(wǎng)絡(luò)攻擊。自2014年首次出現(xiàn)以來，Shuckworm專注于攻擊烏克蘭。自俄羅斯入侵該國以來，這些攻擊有增無減。該組織最近活動的特點之一是在目標(biāo)計算機上部署多個惡意軟件有效載荷，通常是同一惡意軟件（Backdoor.Pterodo）的不同變種，旨在執(zhí)行類似的任務(wù)，并且都將與不同的命令和控制服務(wù)器進行通信。

詳情

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/shuckworm-intense-campaign-ukraine

網(wǎng)絡(luò)攻擊者襲擊太陽翼航空公司

日期: 2022-04-20
標(biāo)簽: 加拿大, 交通運輸, Sunwing Airlines, 漏洞利用, 航空公司, 

據(jù)首席執(zhí)行官稱，加拿大低成本航空公司Sunwing Airlines Inc的數(shù)千名乘客在航空公司使用的第三方系統(tǒng)遭到黑客攻擊后，面臨四天的航班延誤。由于4月17日下午開始的技術(shù)問題，乘客仍然滯留在國外，其他人的假期被推遲。在接受CP24采訪時，Sunwing Airlines首席執(zhí)行官Mark Williams透露，該航空公司用于辦理登機手續(xù)和登機的系統(tǒng)被“破壞”。

詳情

https://t.co/51LbOrmMu5

俄羅斯APT組織使用多個新型惡意軟件變種攻擊烏克蘭

日期: 2022-04-20
標(biāo)簽: 烏克蘭, 俄羅斯, 信息技術(shù), 政府部門, Gamaredon, Pteredo, 俄烏戰(zhàn)爭, 

俄羅斯國家支持的威脅組織 Gamaredon（又名 Armageddon/Shuckworm）正在使用惡意軟件Pteredo的多個新型變體對烏克蘭的目標(biāo)發(fā)起攻擊。Gamaredon自 2014 年以來， 一直在發(fā)起針對烏克蘭政府和其他關(guān)鍵實體的網(wǎng)絡(luò)間諜活動。Gamaredon目前正在使用至少四種“Pteredo”惡意軟件變種。這些針對烏克蘭目標(biāo)部署的不同變種最近都執(zhí)行了類似的任務(wù)，但每個都與不同的命令和控制服務(wù)器 (C2) 服務(wù)器地址進行通信。這表明Gamaredon正在使用多個略有不同的惡意軟件變種來抵抗惡意軟件清理操作，保持后門持久性。

詳情

https://t.co/4xSElxJWPX

哥斯達黎加政府遭受Conti勒索軟件攻擊

日期: 2022-04-19
標(biāo)簽: 政府部門, 教育行業(yè), 哥斯達黎加政府, Conti, 

2022年4月19日哥斯達黎加證實，財政部的計算機系統(tǒng)在前一天對官方平臺進行網(wǎng)絡(luò)攻擊后仍處于禁用狀態(tài)。該部在一份聲明中表示，當(dāng)局在網(wǎng)絡(luò)攻擊后暫時禁用了被認(rèn)為易受攻擊的平臺，并補充說專家正在努力識別和解決問題。截至19日，稅務(wù)和海關(guān)平臺已暫停供外部用戶使用。教育部和最高選舉法院的內(nèi)部財務(wù)系統(tǒng)和薪金服務(wù)也被暫停。

詳情

https://t.co/tUxAZRuTOT

黑客組織GhostSec稱攻破俄羅斯地鐵系統(tǒng)

日期: 2022-04-20
標(biāo)簽: 俄羅斯, 烏克蘭, 交通運輸, 政府部門, Metrospetstekhnika, Anonymous（匿名者）, GhostSec, 俄烏戰(zhàn)爭, 

2022年4月20日，黑客組織Anonymous的分支GhostSec黑客組織稱，他們已經(jīng)訪問了Metrospetstekhnika的一個IT系統(tǒng)，Metrospetstekhnika是俄羅斯地鐵的供應(yīng)商。他們現(xiàn)在可能會擾亂系統(tǒng)，泄露公司數(shù)據(jù)。并且附上了幾張疑似是地鐵系統(tǒng)內(nèi)部的圖片。

詳情

https://t.co/Te6gIPIbwl

Funky Pigeon在網(wǎng)絡(luò)攻擊后暫停訂單

日期: 2022-04-19
標(biāo)簽: 批發(fā)零售, Funky Pigeon, 

禮品卡零售商Funky Pigeon經(jīng)歷了網(wǎng)絡(luò)攻擊，導(dǎo)致該公司暫時暫停訂單。

WHSmith擁有的Funky Pigeon透露，作為預(yù)防措施，它已經(jīng)將其系統(tǒng)脫機，以防止其履行客戶訂單。該公司的網(wǎng)站目前傳達的信息是：“哎呀！我們遇到了一些問題，目前無法接受新訂單。請稍后再試！”

該零售商表示，它已將這一事件通知了監(jiān)管機構(gòu)和執(zhí)法部門，目前正在外部網(wǎng)絡(luò)安全專家的幫助下進行調(diào)查。它向客戶保證，沒有支付數(shù)據(jù)存在風(fēng)險，并且不認(rèn)為任何帳戶密碼受到損害。

BlackCat 勒索病毒攻擊厄瓜多爾首都

日期: 2022-04-18
標(biāo)簽: 厄瓜多爾, 政府部門, Cabildo, BlackCat, 勒索攻擊, 

2022年4月18日，厄瓜多爾首都基多市報告說， 其技術(shù)基礎(chǔ)設(shè)施遭到BlackCat 勒索病毒的攻擊 ，此次攻擊旨在使所有信息和技術(shù)基礎(chǔ)設(shè)施不可用。Cabildo中央管理機構(gòu)數(shù)據(jù)庫的 20% 內(nèi)容受到影響。網(wǎng)絡(luò)攻擊的記錄時間在2022 年 4 月 16 日星期六凌晨。其政府制定的恢復(fù)計劃需要幾天時間，以防止其他感染了來自BlackCat 勒索病毒的計算機繼續(xù)通過網(wǎng)絡(luò)傳播。此次攻擊的目的是綁架信息以索取金錢。但其政府官員表示目前尚未收到所謂黑客的任何通信。

詳情

https://t.co/Ryo4AhEfop

Beanstalk DeFi平臺在flash load攻擊中損失1.82億美元

日期: 2022-04-18
標(biāo)簽: 烏克蘭, 金融業(yè), Beanstalk, Beanstalk DeFi, 俄烏戰(zhàn)爭, 

金融系統(tǒng)Beanstalk透露，它在2022年4月17日遭受了flash load攻擊，導(dǎo)致1.82億美元的經(jīng)濟損失，攻擊者竊取了8000萬美元的加密資產(chǎn)。由于這次攻擊，對Beanstalk市場的信任受到了損害，其分散的基于信用的BEAN穩(wěn)定幣的價值已經(jīng)從周日的略高于1美元暴跌至現(xiàn)在的0.11美元。該平臺仍在調(diào)查這一事件，并公開致電DeFi社區(qū)和區(qū)塊鏈分析專家，以幫助他們挽救力所能及的。同時，它還邀請剝削者進行談判。PeckShield區(qū)塊鏈分析報告稱，黑客已向烏克蘭捐贈了25萬美元的被盜金額。

詳情

https://t.co/dIcDQQrvAP

相關(guān)安全建議

1. 積極開展外網(wǎng)滲透測試工作，提前發(fā)現(xiàn)系統(tǒng)問題

2. 減少外網(wǎng)資源和不相關(guān)的業(yè)務(wù)，降低被攻擊的風(fēng)險

3. 做好產(chǎn)品自動告警措施

4. 及時對系統(tǒng)及各個服務(wù)組件進行版本升級和補丁更新

5. 包括瀏覽器、郵件客戶端、vpn、遠程桌面等在內(nèi)的個人應(yīng)用程序，應(yīng)及時更新到最新版本

6. 注重內(nèi)部員工安全培訓(xùn)

0x06   安全漏洞

美國國土安全部系統(tǒng)中存在122個安全漏洞

日期: 2022-04-22
標(biāo)簽: 美國, 政府部門, 美國國土安全部（DHS）, 安全漏洞, 

2022年4月22日，美國國土安全部（DHS）表示參加其“黑客國土安全部”漏洞賞金計劃的漏洞賞金獵人在外部國土安全部系統(tǒng)中發(fā)現(xiàn)了122個安全漏洞，其中27個被評為嚴(yán)重性。國土安全部向450多名經(jīng)過審查的安全研究人員和道德黑客頒發(fā)了總計125600美元的獎勵，根據(jù)漏洞的嚴(yán)重程度，每個漏洞的獎勵高達5000美元。

Apple的開源音頻編解碼器出現(xiàn)嚴(yán)重漏洞，影響數(shù)百萬安卓手機

日期: 2022-04-22
標(biāo)簽: 美國, 信息技術(shù), 制造業(yè), Apple, 谷歌（Google）, 高通, 聯(lián)發(fā)科, CVE-2021-0675, CVE-2021-0674, CVE-2021-30351, Android, 

Apple 開發(fā)的開源音頻編解碼器ALAC受到嚴(yán)重漏洞的影響，牽連數(shù)百萬臺 Android 設(shè)備。這些漏洞被稱為ALHACK，可以使用特制的音頻文件觸發(fā)，并可能導(dǎo)致遠程代碼執(zhí)行。Apple 于 2004 年推出了 Apple Lossless Audio Codec (ALAC)，并在2011年將 ALAC 開源。如今，開源 ALAC 代碼已被許多其他供應(yīng)商用于非 Apple 設(shè)備中。雖然Apple 一直在不斷改進編解碼器的專有版本，但開源代碼在過去 11 年中從未更新過，使用該代碼的第三方供應(yīng)商也沒有更新代碼確保其安全。目前至少有兩家主要的移動芯片組制造商——高通和聯(lián)發(fā)科——已將其用于音頻解碼器。大約三分之二的 Android 用戶的隱私處于危險之中。

幾個影響智能ICS工業(yè)產(chǎn)品的關(guān)鍵漏洞

日期: 2022-04-22
標(biāo)簽: 俄羅斯, 美國, 信息技術(shù), 制造業(yè), Elcomplus, 

研究人員Michael Heinzl在俄羅斯公司Elcomplus的SmartPTT SCADA產(chǎn)品中發(fā)現(xiàn)了九個漏洞，該產(chǎn)品將SCADA / IIoT系統(tǒng)的功能與專業(yè)無線電系統(tǒng)的調(diào)度軟件相結(jié)合。此外，SmartICS（一家專門從事SCADA和工業(yè)物聯(lián)網(wǎng)可視化平臺的Elcomplus部門）制造的產(chǎn)品似乎也受到一些漏洞的影響，因為它們共享代碼。受影響的產(chǎn)品被包括美國在內(nèi)的90個國家的2000多個組織使用

取RainLoop用戶的電子郵件

日期: 2022-04-22
標(biāo)簽: 信息技術(shù), RainLoop, CVE-2022-29360, XSS漏洞, 

RainLoop是許多組織使用的基于Web的開源電子郵件客戶端。Sonar報告說，使用Shodan搜索引擎識別了數(shù)千個暴露在互聯(lián)網(wǎng)上的實例。Sonar的研究人員發(fā)現(xiàn)，RainLoop 1.16.0 （這是該應(yīng)用程序的最新版本，大約在一年前發(fā)布） 受到存儲的跨站點腳本（XSS）漏洞（CVE-2022-29360）的影響，該漏洞可以針對默認(rèn)配置進行利用。攻擊者可以通過簡單地向 RainLoop 用戶發(fā)送經(jīng)特殊設(shè)計的電子郵件來利用此漏洞。一旦受害者打開惡意電子郵件，就會在瀏覽器中執(zhí)行隱藏的java script有效負(fù)載，而無需其他用戶交互。

QNAP 建議用戶更新 NAS 固件以修補 Apache HTTP 漏洞

日期: 2022-04-22
標(biāo)簽: 中國臺灣, 信息技術(shù), QNAP, CVE-2022-23943, CVE-2022-22721, CVE-2022-22719, CVE-2022-22720, 漏洞修復(fù), 

2022年4月22日，網(wǎng)絡(luò)附加存儲（NAS）設(shè)備制造商QNAP表示它正在調(diào)查其陣容，以了解上個月在Apache HTTP服務(wù)器中解決的兩個安全漏洞所產(chǎn)生的潛在影響。嚴(yán)重缺陷（跟蹤為 CVE-2022-22721 和 CVE-2022-23943）在 CVSS 評分系統(tǒng)上的嚴(yán)重性評級為 9.8，并影響 Apache HTTP 服務(wù)器版本 2.4.52 及更早版本 –

• CVE-2022-22721 – 緩沖區(qū)可能溢出，限制XMLRequestBody非常大或無限

• CVE-2022-23943 – Apache HTTP Server mod_sed中的越界寫入漏洞

這兩個漏洞以及 CVE-2022-22719 和 CVE-2022-22720 均由項目維護人員作為版本 2.4.53 的一部分進行了修復(fù)，該版本于 2022 年 3 月 14 日發(fā)布。

Cisco發(fā)布了安全更新，包含三個嚴(yán)重漏洞

日期: 2022-04-21
標(biāo)簽: 信息技術(shù), 思科（Cisco）, CVE-2022-20783, CVE-2022-20773, CVE-2022-20732, 

網(wǎng)絡(luò)設(shè)備制造商思科已發(fā)布安全更新，以解決其產(chǎn)品中的3個高嚴(yán)重性漏洞，這些漏洞可能被利用來導(dǎo)致拒絕服務(wù) (DoS) 條件并控制受影響的系統(tǒng)。這三個漏洞分別是：CVE-2022-20783（CVSS 分?jǐn)?shù)：7.5）、CVE-2022-20773（CVSS 評分：7.5）和CVE-2022-20732（CVSS 評分：7.8）。這三個漏洞分別影響Cisco TelePresence 協(xié)作終端 (CE) 軟件和 Cisco RoomOS 軟件、 Cisco Umbrella 虛擬設(shè)備 (VA) 和Cisco Virtualized Infrastructure Manager思科還解決了其產(chǎn)品組合中的10 個中等嚴(yán)重性錯誤，包括 Webex Meeting、統(tǒng)一通信產(chǎn)品、Umbrella Secure Web Gateway 和 IOS XR 軟件。

聯(lián)想消費者筆記本電腦中發(fā)現(xiàn)高影響UEFI漏洞

日期: 2022-04-19
標(biāo)簽: 信息技術(shù), 制造業(yè), 聯(lián)想, CVE-2021-3970, CVE-2021-3971, CVE-2021-3972, 

ESET 研究人員在各種聯(lián)想筆記本電腦型號中發(fā)現(xiàn)三個漏洞，允許具有管理員權(quán)限的攻擊者將用戶暴露于固件級惡意軟件。這三個漏洞分別是：SMM 任意讀/寫漏洞 CVE-2021-3970 、禁用 SPI 閃存保護漏洞 CVE-2021-3971、禁用 UEFI 安全啟動漏洞CVE-2021-3972。CVE-2021-3971、CVE-2021-3972–影響原本打算僅在聯(lián)想消費類筆記本電腦制造過程中使用的 UEFI 固件驅(qū)動程序。但它們也被錯誤地包含在生產(chǎn) BIOS 映像中，而沒有正確停用。攻擊者可以激活這些受影響的固件驅(qū)動程序，以在操作系統(tǒng)運行時從特權(quán)用戶模式進程直接禁用 SPI 閃存保護（BIOS 控制寄存器位和受保護范圍寄存器）或 UEFI 安全啟動功能。這意味著利用這些漏洞將允許攻擊者在受影響的設(shè)備上部署并成功執(zhí)行 SPI 閃存或 ESP 植入程序。

相關(guān)安全建議

1. 及時對系統(tǒng)及各個服務(wù)組件進行版本升級和補丁更新

2. 包括瀏覽器、郵件客戶端、vpn、遠程桌面等在內(nèi)的個人應(yīng)用程序，應(yīng)及時更新到最新版本

0x07   安全分析

泄露的聊天顯示 LAPSUS$ 竊取了 T-Mobile 源代碼

日期: 2022-04-22
標(biāo)簽: 英國, 德國, 信息技術(shù), T-Mobile, LAPSUS$, SIM 交換攻擊, 

KrebsOnSecurity 最近審查了LAPSUS$網(wǎng)絡(luò)犯罪組織成員之間的私人聊天消息副本。日志顯示 LAPSUS$在2022年3月份多次入侵德國電信品牌T-Mobile，竊取了一系列公司項目的源代碼。T-Mobile 表示，此次入侵中沒有客戶或政府信息被盜。LAPSUS$ 成員不斷針對T-Mobile員工，他們訪問公司內(nèi)部工具來為SIM 交換攻擊打下基礎(chǔ)。這些未經(jīng)授權(quán)的SIM 交換攻擊允許攻擊者攔截目標(biāo)的短信和電話，包括通過 SMS 發(fā)送的用于密碼重置的任何鏈接，或為多因素身份驗證發(fā)送的一次性代碼。

微軟 Exchange 服務(wù)器被黑以部署 Hive 勒索軟件

日期: 2022-04-20
標(biāo)簽: 信息技術(shù), 微軟（Microsoft）, Hive, CVE-2021-34473, CVE-2021-34523, CVE-2021-31297, ProxyShell, 

近日，Varonis的安全研究人員在受委托調(diào)查一名客戶的勒索軟件攻擊事件時，發(fā)現(xiàn)了Hive 勒索軟件團伙利用ProxyShell，黑掉了Microsoft Exchange 服務(wù)器。在利用 ProxyShell 之后，黑客在可訪問的 Exchange 目錄中植入了四個 Web Shell，并以高權(quán)限執(zhí)行 PowerShell 代碼以下載 Cobalt Strike stagers。在所有文件都被泄露后，一個名為“Windows.exe”的勒索軟件有效負(fù)載被刪除并在多個設(shè)備上執(zhí)行。在加密組織的文件之前，Golang 有效負(fù)載刪除了卷影副本，禁用了 Windows Defender，清除了 Windows 事件日志，終止了文件綁定進程，并停止了安全帳戶管理器以使警報失效。此次事件表明，對于黑客來說，ProxyShell漏洞仍有利用空間，來攻擊易受攻擊的服務(wù)器。

美國中央情報局（CIA）“蜂巢”惡意代碼攻擊控制武器平臺分析報告

日期: 2022-04-20
標(biāo)簽: 美國, 政府部門, 國際組織, 信息技術(shù), 國家計算機病毒應(yīng)急處理中心, 美國中央情報局（CIA）, Hive, 網(wǎng)絡(luò)武器, 

近日，國家計算機病毒應(yīng)急處理中心對“蜂巢”（Hive）惡意代碼攻擊控制武器平臺（以下簡稱“蜂巢平臺”）進行了分析，蜂巢平臺由美國中央情報局（CIA）數(shù)字創(chuàng)新中心（DDI）下屬的信息作戰(zhàn)中心工程開發(fā)組（EDG，以下簡稱“美中情局工程開發(fā)組”）和美國著名軍工企業(yè)諾斯羅普·格魯曼（NOC）旗下XETRON公司聯(lián)合研發(fā)，由美國中央情報局（CIA）專用。蜂巢平臺屬于“輕量化”的網(wǎng)絡(luò)武器，其戰(zhàn)術(shù)目的是在目標(biāo)網(wǎng)絡(luò)中建立隱蔽立足點，秘密定向投放惡意代碼程序，利用該平臺對多種惡意代碼程序進行后臺控制，為后續(xù)持續(xù)投送“重型”武器網(wǎng)絡(luò)攻擊創(chuàng)造條件。美國中央情報局（CIA）運用該武器平臺根據(jù)攻擊目標(biāo)特征定制適配多種操作系統(tǒng)的惡意代碼程序，對受害單位信息系統(tǒng)的邊界路由器和內(nèi)部主機實施攻擊入侵，植入各類木馬、后門，實現(xiàn)遠程控制，對全球范圍內(nèi)的信息系統(tǒng)實施無差別網(wǎng)絡(luò)攻擊。

LinkedIn成為網(wǎng)絡(luò)釣魚攻擊中被模仿最多的品牌

日期: 2022-04-19
標(biāo)簽: 美國, 信息技術(shù), 文化傳播, LinkedIn, 網(wǎng)絡(luò)釣魚, 

根據(jù)網(wǎng)絡(luò)安全公司CPR的最新研究，LinkedIn 已成為迄今為止網(wǎng)絡(luò)釣魚攻擊中被模仿最多的品牌。在“大辭職”期間，冒充 LinkedIn 的電子郵件網(wǎng)絡(luò)釣魚攻擊激增了 232%。調(diào)查結(jié)果反映了社會工程詐騙從航運公司和科技巨頭轉(zhuǎn)向社交媒體網(wǎng)絡(luò)的新興趨勢。2022 年第一季度，社交網(wǎng)絡(luò)是最具針對性的類別，其次是航運。繼 LinkedIn 之后，在網(wǎng)絡(luò)釣魚攻擊中最常被冒充的品牌是 DHL (14%)、谷歌 (7%)、微軟 (6%)、聯(lián)邦快遞 (6%)、WhatsApp (4%)、亞馬遜 (2%)、馬士基 ( 1%）、速賣通（0.8%）和蘋果（0.8%）。

新發(fā)現(xiàn)的零點擊 iPhone 漏洞用于 NSO 間諜軟件攻擊

日期: 2022-04-18
標(biāo)簽: 西班牙, 美國, 英國, 芬蘭, 歐洲, 政府部門, Apple, NSO Group, HOMAGE, iOS, iPhone, 

2022年4月18日，Citizen Lab的安全研究員發(fā)現(xiàn)了一種新的零點擊 iMessage 漏洞利用，用于在屬于加泰羅尼亞政治家、記者和活動家的 iPhone 上安裝 NSO Group 間諜軟件。這個iOS零點擊漏洞名為HOMAGE，會影響 iOS 13.2 之前的部分版本（最新的穩(wěn)定 iOS 版本為 15.4）。間諜軟件秘密地滲透到手機（和其他設(shè)備）中，能夠閱讀文本、聽電話、收集密碼、跟蹤位置、訪問目標(biāo)設(shè)備的麥克風(fēng)和攝像頭，以及從應(yīng)用程序中獲取信息，還可以監(jiān)控加密的通話和聊天，甚至可以在感染結(jié)束后保持對受害者云帳戶的訪問。Citizen Lab 并未最終將這些黑客行動歸咎于特定政府，但一系列間接證據(jù)表明與西班牙政府內(nèi)的一個或多個實體存在密切聯(lián)系 。此外NSO Group 的間諜軟件也針對歐盟委員會、英國政府、芬蘭外交官、美國國務(wù)院。

針對PYSA勒索軟件的深入分析

日期: 2022-04-18
標(biāo)簽: 美國, 歐洲, 政府部門, 教育行業(yè), 衛(wèi)生行業(yè), PYSA, Mespinoza, 

研究人員對PYSA勒索軟件操作進行了為期18個月的分析顯示，網(wǎng)絡(luò)犯罪卡特爾從2020年8月開始遵循五個階段的軟件開發(fā)周期，惡意軟件作者優(yōu)先考慮功能以提高其工作流程的效率。這包括一個用戶友好的工具，如全文搜索引擎，以方便提取元數(shù)據(jù)，并使威脅行為者能夠快速找到和訪問受害者信息。PYSA是Mespinoza勒索軟件的繼任者，于2019年12月首次被觀察到，并已成為2021年第四季度檢測到的第三大最普遍的勒索軟件。

針對韓國多個機構(gòu)的竊密攻擊活動的分析

日期: 2022-04-18
標(biāo)簽: 韓國, 制造業(yè), LokiBot, 

安天CERT監(jiān)測到一起目標(biāo)為韓國獎學(xué)金基金會、重工企業(yè)等多個機構(gòu)的竊密攻擊活動。攻擊者利用釣魚郵件的方式投遞惡意載荷，主題為“請求基礎(chǔ)產(chǎn)業(yè)報價”的報價單，以此誘導(dǎo)受害者解壓并執(zhí)行壓縮包中的LokiBot竊密木馬，導(dǎo)致用戶的隱私和信息泄露。LokiBot竊密木馬執(zhí)行后，會自動收集受害者的瀏覽器數(shù)據(jù)、電子郵件、遠程連接憑據(jù)等數(shù)據(jù)并回傳至攻擊者服務(wù)器，造成受害者數(shù)據(jù)泄露。LokiBot還支持接收C2命令、執(zhí)行下載其他惡意代碼等功能，對受害者數(shù)據(jù)產(chǎn)生更多威脅。

詳情

https://mp.weixin.qq.com/s/lnCAGb_lMTzRL-CwnOzVCg

0x08   其他事件

西班牙誓言對Pegasus間諜軟件的使用進行透明調(diào)查

日期: 2022-04-24
標(biāo)簽: 西班牙, 加拿大, 以色列, 政府部門, Pegasus（飛馬間諜軟件）, 飛馬間諜軟件, 

西班牙當(dāng)局承諾對Pegasus間諜軟件的使用進行透明調(diào)查，他們開始調(diào)查指控數(shù)十名加泰羅尼亞獨立支持者的手機被黑客入侵，這些間諜軟件只出售給政府機構(gòu)。2022年4月24日，總統(tǒng)和與議會關(guān)系部長費利克斯·博拉尼奧斯宣布：該國情報機構(gòu)的內(nèi)部調(diào)查，一個分享其結(jié)果的特別議會委員會，以及西班牙監(jiān)察員的單獨調(diào)查將被安排，以表明馬德里的中央當(dāng)局“沒有什么可隱瞞的”。

摩托羅拉推出公共安全網(wǎng)絡(luò)威脅信息共享中心

日期: 2022-04-23
標(biāo)簽: 美國, 信息技術(shù), 政府部門, 摩托羅拉, 

近日，摩托羅拉宣布成立公共安全威脅聯(lián)盟(PSTA)，這是一個公共安全社區(qū)的網(wǎng)絡(luò)威脅情報共享中心。摩托羅拉將公共安全威脅聯(lián)盟 (PSTA) 描述為一個信息共享和分析組織 (ISAO)，并指出它得到了美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 的認(rèn)可。PSTA 對所有公共安全機構(gòu)開放，它的作用是幫助成員共享和分析來自多個來源的信息，以改善公共安全組織的網(wǎng)絡(luò)安全態(tài)勢。它旨在幫助各機構(gòu)提高防御能力和復(fù)原力。信息來源多種多樣，包括執(zhí)法、EMS、移動通信系統(tǒng)、商業(yè)安全產(chǎn)品和 ISAO 合作伙伴等。這些信息用于創(chuàng)建更多情報，包括報告、API、威脅列表、暗網(wǎng)情報、SOC 情報和 MDR 數(shù)據(jù)。

美國政府撥款1200萬美元用于開發(fā)網(wǎng)絡(luò)攻擊防御工具

日期: 2022-04-22
標(biāo)簽: 美國, 能源業(yè), 政府部門, 信息技術(shù), 美國能源部 (DoE), 技術(shù)創(chuàng)新, 

2022年4月22日，美國能源部 (DOE) 宣布將向六個大學(xué)團隊提供 1200 萬美元的資金，用于開發(fā)防御和緩解工具，以保護美國能源輸送系統(tǒng)免受網(wǎng)絡(luò)攻擊。這些網(wǎng)絡(luò)安全工具將專注于檢測、阻止和減輕破壞美國電網(wǎng)內(nèi)關(guān)鍵控制的企圖，推進異常檢測、人工智能和機器學(xué)習(xí)以及基于物理的分析，以加強下一代能源系統(tǒng)的安全性。這些由美國政府資助的研發(fā)項目背后的團隊還將致力于創(chuàng)新技術(shù)，使能源輸送系統(tǒng)能夠在網(wǎng)絡(luò)攻擊后快速生存和恢復(fù)。

美國醫(yī)療公司SuperCare Health因數(shù)據(jù)泄露而面臨訴訟

日期: 2022-04-22
標(biāo)簽: 美國, 衛(wèi)生行業(yè), SuperCare Health, 

2021 年7月27日，美國呼吸保健提供商SuperCare Health 在其系統(tǒng)上發(fā)現(xiàn)了未經(jīng)授權(quán)的活動。2022 年2月4日，SuperCare Health發(fā)現(xiàn)數(shù)據(jù)泄漏，泄露的數(shù)據(jù)可能包括姓名、地址、出生日期、醫(yī)院或醫(yī)療組、患者帳號、病歷編號、健康保險信息等。2022年3月下旬，SuperCare Health 才開始通知患者數(shù)據(jù)安全事件。該事件 已向 美國衛(wèi)生與公眾服務(wù)部的民權(quán)侵犯門戶辦公室報告，影響了 318,379 人。隨后，針對 SuperCare Health 的投訴被提交到美國加利福尼亞中區(qū)地方法院。投訴稱，SuperCare Health違反了《加利福尼亞州醫(yī)療信息保密法》和《加利福尼亞州不公平競爭法》，并且未能采取充分和合理的措施來保護其數(shù)據(jù)系統(tǒng)免受網(wǎng)絡(luò)攻擊。

關(guān)于Nokoyawa勒索軟件研究分析報告

日期: 2022-04-21
標(biāo)簽: 信息技術(shù), SentinelLabs, Nokoyawa, Nemty, Karma, Hive, 勒索軟件, 研究報告, 

2022年2月初，SentinelLabs觀察到了兩個名為“Nokoyawa”的新Nemty變體的樣本。SentinelLabs認(rèn)為Nokoyawa是之前的Nemty菌株Karma的進化。3月份，TrendMicro表示這種勒索軟件與Hive有一定關(guān)系。SentinelLabs評估Hive和Nokoyawa是不同的，后者不是Hive RaaS的品牌重塑。

在這篇文章中，將更廣泛地研究Nokoyawa和Karma勒索軟件之間的相似之處。之前的研究人員強調(diào)了Nokoyawa和Hive勒索軟件之間攻擊鏈的相似之處，得出的結(jié)論是“Nokoyawa可能與Hive有關(guān)，因為這兩個家族在攻擊鏈中有著一些驚人的相似之處，從使用的工具到它們執(zhí)行各種步驟的順序�，F(xiàn)在的分析發(fā)現(xiàn)與之前結(jié)論矛盾，研究人員評估Nokoyawa顯然是Karma（Nemty）的進化，與Hive沒有重大的代碼相似之處。

加泰羅尼亞負(fù)責(zé)人指責(zé)西班牙情報機構(gòu)進行黑客攻擊

日期: 2022-04-21
標(biāo)簽: 西班牙, 加泰羅尼亞, 政府部門, Pegasus（飛馬間諜軟件）, 間諜軟件, 

加泰羅尼亞地區(qū)政府負(fù)責(zé)人指責(zé)西班牙情報機構(gòu)對其東北地區(qū)的獨立運動進行了大規(guī)模政治間諜活動，并表示因此與西班牙國家當(dāng)局的關(guān)系“擱置”。名為 Pegasus 的 NSO 間諜軟件惡意程序悄悄地滲透手機以獲取其數(shù)據(jù)，并有可能將它們變成其所有者的間諜設(shè)備。至少有 65 人成為 Pegasus 或類似間諜軟件的目標(biāo)，這些間諜軟件僅出售給政府機構(gòu)以針對犯罪分子和恐怖分子。西班牙政府沒有否認(rèn)也沒有證實它是否使用了 Pegasus 或其他難以檢測的間諜軟件。

美國財政部制裁俄羅斯虛擬貨幣采礦巨頭BitRiver

日期: 2022-04-21
標(biāo)簽: 美國, 俄羅斯, 烏克蘭, 瑞士, 能源業(yè), 金融業(yè), 美國財政部外國資產(chǎn)控制辦公室（OFAC）, BitRiver, 制裁, 

美國財政部外國資產(chǎn)控制辦公室（OFAC）本周對幾家俄羅斯組織實施了制裁，其中包括在俄羅斯虛擬貨幣采礦業(yè)運營的多家公司。制裁針對礦業(yè)公司BitRiver，該公司成立于2017年，在俄羅斯設(shè)有三個辦事處。OFAC對一家控制BitRiver資產(chǎn)的瑞士控股公司以及該公司在俄羅斯的其他10家子公司實施了制裁。OFAC的行動將阻止BitRiver從美國獲得采礦硬件或其他設(shè)備。

朝鮮通過網(wǎng)絡(luò)活動資助核計劃

日期: 2022-04-20
標(biāo)簽: 美國, 朝鮮, 政府部門, 文化傳播, 信息技術(shù), 美國聯(lián)邦調(diào)查局 (FBI), 

2022年4月20日，一位聯(lián)合國朝鮮問題專家表示，朝鮮正在通過網(wǎng)絡(luò)活動資助其被禁止的核計劃和導(dǎo)彈計劃。聯(lián)合國目前正在對朝鮮實施最嚴(yán)厲的制裁。 盡管出現(xiàn)這種情況，朝鮮還是加快了導(dǎo)彈試驗。聯(lián)合國成員認(rèn)為網(wǎng)絡(luò)活動已經(jīng)成為朝鮮逃避聯(lián)合國制裁為其核計劃和導(dǎo)彈計劃籌集資金的“絕對基礎(chǔ)”。例如，朝鮮黑客最近 盜竊 了與視頻游戲 Axie Infinity 相關(guān)的價值 6.18 億美元的加密貨幣；美國聯(lián)邦調(diào)查局上周 將 3 月 23 日發(fā)生的大規(guī)模網(wǎng)絡(luò)搶劫與朝鮮網(wǎng)絡(luò)犯罪團伙 Lazarus 聯(lián)系起來。聯(lián)邦調(diào)查局表示，它將繼續(xù)揭露和打擊朝鮮利用包括網(wǎng)絡(luò)犯罪和加密貨幣盜竊在內(nèi)的非法活動。

詳情

https://t.co/uSPkki8ols

兩黨法案將為能源部門網(wǎng)絡(luò)研究創(chuàng)建贈款計劃

日期: 2022-04-21
標(biāo)簽: 政府部門, 立法, 

2022年4月21日，兩黨眾議院二人組提出了一項立法，旨在加強能源部門應(yīng)對未來網(wǎng)絡(luò)攻擊和其他數(shù)字威脅的能力。Deborah Ross（D-N.C）和Mike Carey（R-Ohio）的能源網(wǎng)絡(luò)安全大學(xué)領(lǐng)導(dǎo)計劃法案將在能源部內(nèi)創(chuàng)建一個贈款計劃，為研究生和博士后研究人員提供經(jīng)濟援助網(wǎng)絡(luò)安全和能源基礎(chǔ)設(shè)施。該措施還將允許研究人員在美國能源部的國家實驗室學(xué)習(xí)，并促進與歷史上黑人學(xué)院和大學(xué)以及其他少數(shù)族裔服務(wù)機構(gòu)的聯(lián)系。

ICS漏洞在2022年邁阿密Pwn2Own上為黑客賺取40萬美元-

日期: 2022-04-21
標(biāo)簽: 美國, 信息技術(shù), ZDI, Pwn2Own, ICS, 

Pwn2Own Miami 2022 是一場專注于工業(yè)控制系統(tǒng) (ICS) 的黑客競賽，于2022年4月19日至4月21日與 S4x22 ICS 安全會議同時舉行，參賽者的總獎金為 400,000 美元。本次比賽由趨勢科技的零日倡議 (ZDI) 組織，11 名參賽者針對 ICS 和 SCADA 產(chǎn)品進行了 26 次零日攻擊（以及幾次錯誤沖突），獲得了 40萬美元的收入。此次比賽針對多個生產(chǎn)類別：控制服務(wù)器、OPC 統(tǒng)一架構(gòu) (OPC UA) 服務(wù)器、數(shù)據(jù)網(wǎng)關(guān)和人機界面 (HMI)。在 Pwn2Own 期間利用的安全漏洞被報告后，供應(yīng)商有 120 天的時間發(fā)布補丁。

美國盟國稱新的情報顯示俄羅斯將發(fā)動網(wǎng)絡(luò)攻擊

日期: 2022-04-20
標(biāo)簽: 美國, 英國, 加拿大, 澳大利亞, 新西蘭, 烏克蘭, 俄羅斯, 政府部門, 國際組織, DDoS, 俄烏戰(zhàn)爭, 

2022年4月20日，包括美國在內(nèi)的五個盟國警告說，“不斷發(fā)展的情報”表明俄羅斯準(zhǔn)備對支持烏克蘭的競爭對手發(fā)動強大的網(wǎng)絡(luò)攻擊。“五眼”情報共享網(wǎng)絡(luò)的成員 – 美國，英國，加拿大，澳大利亞和新西蘭 – 表示，莫斯科也可能涉及現(xiàn)有的網(wǎng)絡(luò)犯罪集團對政府，機構(gòu)和企業(yè)發(fā)動攻擊。警報稱，俄羅斯國家贊助的網(wǎng)絡(luò)行為者有能力破壞IT網(wǎng)絡(luò)，從中竊取大量數(shù)據(jù)同時保持隱藏狀態(tài)，部署破壞性惡意軟件，并通過“分布式拒絕服務(wù)”攻擊鎖定網(wǎng)絡(luò)。該警報確定了十幾個黑客組織，這些組織既是俄羅斯情報和軍事機構(gòu)的一部分，也是私人運營的，它們構(gòu)成了威脅。

MetaMask警告蘋果用戶警惕iCloud網(wǎng)絡(luò)釣魚攻擊

日期: 2022-04-20
標(biāo)簽: 美國, 信息技術(shù), Apple, MetaMask, 網(wǎng)絡(luò)釣魚, iCloud, 比特幣, 

Metamask 是一個在線加密錢包，允許用戶存儲他們的加密資產(chǎn)，如比特幣、以太坊等，以及不可替代的代幣 (NFT)。近日，MetaMask 警告其社區(qū)可能通過 Apple 的 iCloud 服務(wù)進行網(wǎng)絡(luò)釣魚攻擊。早在2022年4月17日，MetaMask就警告其客戶，如果在應(yīng)用程序上啟用了 iCloud 備份選項，他們帳戶的加密密碼（稱為 MetaMask 保險庫）將被上傳到蘋果的云服務(wù)。因此，利用客戶 iCloud 帳戶的網(wǎng)絡(luò)釣魚帳戶也將危及他們的密碼，從而危及他們的加密錢包。而此前，一位名為“revive_dom”的蘋果用戶在 Twitter 上聲稱從他的 MetaMask 加密錢包中丟失了價值 65 萬美元的加密資產(chǎn)。

CISA 通過與工業(yè)控制系統(tǒng)合作伙伴擴展網(wǎng)絡(luò)防御計劃

日期: 2022-04-20
標(biāo)簽: 信息技術(shù), 美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA), 聯(lián)合網(wǎng)絡(luò)防御合作組織（JCDC）, Bechtel, Claroty, Dragos, Honeywell, Nozomi Networks, Schneider Electric, Siemens, Xylem, Schweitzer Engineering Laboratories, 網(wǎng)絡(luò)防御, 

2022年4月20日，網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）主任Jen Easterly宣布擴大聯(lián)合網(wǎng)絡(luò)防御合作組織（JCDC），以納入包括安全供應(yīng)商，集成商和分銷商在內(nèi)的行業(yè)領(lǐng)導(dǎo)者。加入JCDC-ICS計劃的廣泛公司名單包括Bechtel，Claroty，Dragos，GE，Honeywell，Nozomi Networks，Schneider Electric，Schweitzer Engineering Laboratories，Siemens和Xylem等巨頭。

Okta結(jié)束對一月份黑客組織LAPSUS$攻擊事件的調(diào)查，稱影響很小

日期: 2022-04-19
標(biāo)簽: 信息技術(shù), Sitel, Okta, LAPSUS$, 

2022年4月19日，身份和訪問管理提供商 Okta 表示，對 1 月份 Lapsus$ 攻擊事件的調(diào)查得出結(jié)論，該事件的影響遠小于預(yù)期。這起攻擊事件發(fā)生在2022年1月21日，當(dāng)時 LAPSUS$ 黑客組織未經(jīng)授權(quán)遠程訪問了 Sitel 支持工程師的工作站。但直到近兩個月后，當(dāng)對手在他們的 Telegram 頻道上發(fā)布Okta 內(nèi)部系統(tǒng)的屏幕截圖時，此次事件才被發(fā)現(xiàn)。此次調(diào)查結(jié)果表明，Lapsus$ 黑客組織的攻擊僅持續(xù)了 25 分鐘，只有 2 名客戶受到影響。攻擊者無法成功執(zhí)行任何配置更改、MFA 或密碼重置，也無法直接對任何 Okta 帳戶進行身份驗證。Okta 因其延遲披露和對事件的處理而受到批評，它表示已終止與 Sitel 的關(guān)系，并正在對其客戶支持工具進行更改。

30多個國家參加北約“鎖定盾牌2022”網(wǎng)絡(luò)演習(xí)

日期: 2022-04-19
標(biāo)簽: 國際組織, 政府部門, 北約合作網(wǎng)絡(luò)防御卓越中心（CCDCOE）, 鎖定盾牌, 

2022年4月19日，北約合作網(wǎng)絡(luò)防御卓越中心（CCDCOE）啟動了第十三期“鎖定盾牌”，這是其年度實彈網(wǎng)絡(luò)防御演習(xí)。

《鎖定盾牌》在愛沙尼亞首都塔林舉行，將持續(xù)到4月22日。來自32個國家的2000多名參與者，這項復(fù)雜的國際網(wǎng)絡(luò)演習(xí)旨在促進國家，行業(yè)以及公共和私人組織之間的合作與協(xié)調(diào)，以準(zhǔn)備應(yīng)對國家贊助的網(wǎng)絡(luò)攻擊。今年的活動將涉及大約5500個虛擬化系統(tǒng)，這些系統(tǒng)將面臨8000多個網(wǎng)絡(luò)攻擊。

美國政府加強警告，以防御俄羅斯網(wǎng)絡(luò)攻擊

日期: 2022-04-19
標(biāo)簽: 俄羅斯, 美國, 烏克蘭, 政府部門, 金融業(yè), 能源業(yè), 美國司法部（DoJ）, 美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA), 俄烏戰(zhàn)爭, 

近日，隨著俄烏沖突的加劇，美國高級官員加強了俄羅斯對美國關(guān)鍵國家基礎(chǔ)設(shè)施 (CNI) 進行網(wǎng)絡(luò)攻擊的警告。美國司法部 (DoJ)和 美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 (CISA)正在采取應(yīng)對可能的俄羅斯網(wǎng)絡(luò)攻擊的準(zhǔn)備。其政府官員表示，發(fā)現(xiàn)俄羅斯APT組織正在探索機會，尋找美國系統(tǒng)在關(guān)鍵基礎(chǔ)設(shè)施和企業(yè)方面的弱點，關(guān)鍵基礎(chǔ)設(shè)施應(yīng)該假設(shè)它們將成為目標(biāo)并做好相應(yīng)準(zhǔn)備。由于美國及其盟國對俄羅斯實施經(jīng)濟制裁，美國的能源和金融部門很可能成為俄羅斯網(wǎng)絡(luò)犯罪分子的目標(biāo)。

詳情

https://t.co/TqXvJJwrvD

實時語音隱藏算法阻止麥克風(fēng)間諜活動

日期: 2022-04-19
標(biāo)簽: 教育行業(yè), 哥倫比亞大學(xué), 間諜活動, 

哥倫比亞大學(xué)的研究人員開發(fā)了一種新穎的算法，可以通過智能手機，語音助手和一般連接設(shè)備中的麥克風(fēng)阻止流氓音頻竊聽。

該算法可以預(yù)測性地工作。它推斷用戶接下來要說什么，并實時生成阻塞性可聽見的背景噪音（耳語）以掩蓋聲音。

這項研究和語音竊聽干擾系統(tǒng)的發(fā)展證明了系統(tǒng)性監(jiān)管在無限制地收集數(shù)據(jù)以進行有針對性的營銷方面存在失敗。

詳情

https://t.co/N5hjQLd6A7

卡巴斯基發(fā)布“閻羅王”勒索軟件的解密程序

日期: 2022-04-18
標(biāo)簽: 信息技術(shù), 卡巴斯基（Kaspersky）, Yanluowang（閻羅王）, 勒索軟件, 

2022年4月18日，卡巴斯基透露，它發(fā)現(xiàn)了Yanluowang 勒索軟件加密算法中的一個漏洞，接著發(fā)布了針對這個勒索軟件的解密工具Rannoh。Yanluowang 勒索軟件于 2021 年 10 月首次被發(fā)現(xiàn)，已被用于針對企業(yè)實體的人為、高度針對性的攻擊。一旦部署在受感染的網(wǎng)絡(luò)上，Yanluowang 就會停止管理程序虛擬機，結(jié)束所有進程，并對附加 .yanluowang 擴展名的文件進行加密。Yanluowang 勒索軟件的漏洞允許通過已知明文攻擊解密受影響用戶的文件。這種勒索軟件使用不同的方法對大于 3GB 和小于 3GB 的文件進行加密：較大的文件在每 200MB 后以 5MB 的條帶部分加密，而較小的文件則從頭到尾完全加密。如果原始文件大于 3 GB，則可以這個解密工具可以解密受感染系統(tǒng)上無論大小的所有文件。但如果原始文件小于 3 GB，則只能解密小文件。

美國政府發(fā)布惡意程序TraderTraiter的警報

日期: 2022-04-18
標(biāo)簽: 美國, 朝鮮, 政府部門, 金融業(yè), 美國聯(lián)邦調(diào)查局 (FBI), 美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA), Lazarus Group, TraderTraiter, 

2022年4月18日，美國聯(lián)邦調(diào)查局 (FBI)、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 和美國財政部 (Treasury)聯(lián)合發(fā)布了關(guān)于TraderTraiter的警報，稱TraderTraiter是朝鮮APT組織Lazarus Group使用的一系列惡意電子應(yīng)用程序。TraderTraitor 一詞描述了一系列使用跨平臺 java script 代碼和使用 Electron 框架的 Node.js 運行時環(huán)境編寫的惡意應(yīng)用程序。惡意應(yīng)用程序源自各種開源項目，聲稱是加密貨幣交易或價格預(yù)測工具。

T-Mobile用戶成為新的Smishing活動的目標(biāo)

日期: 2022-04-18
標(biāo)簽: 新澤西州, 信息技術(shù), T-Mobile, 新澤西州網(wǎng)絡(luò)安全與通信集成小組（NJCCIC）, 網(wǎng)絡(luò)釣魚, 

威脅行為者正在針對T-Mobile客戶進行持續(xù)的詐騙活動，通過使用SMS（短消息服務(wù)）組消息發(fā)送的不可阻止的文本進行惡意鏈接。新澤西州網(wǎng)絡(luò)安全與通信集成小組（NJCCIC）針對這一新的SMS網(wǎng)絡(luò)釣魚活動發(fā)出警告。

0x09   產(chǎn)品側(cè)解決方案

若想了解更多信息或有相關(guān)業(yè)務(wù)需求，可移步至

360城市級網(wǎng)絡(luò)安全監(jiān)測服務(wù)

360CERT的安全分析人員利用360安全大腦的QUAKE資產(chǎn)測繪平臺(quake.#)，通過資產(chǎn)測繪技術(shù)的方式，對該漏洞進行監(jiān)測。可聯(lián)系相關(guān)產(chǎn)品區(qū)域負(fù)責(zé)人或(quake##)獲取對應(yīng)產(chǎn)品。

360安全分析響應(yīng)平臺

360安全大腦的安全分析響應(yīng)平臺通過網(wǎng)絡(luò)流量檢測、多傳感器數(shù)據(jù)融合關(guān)聯(lián)分析手段，對網(wǎng)絡(luò)攻擊進行實時檢測和阻斷，請用戶聯(lián)系相關(guān)產(chǎn)品區(qū)域負(fù)責(zé)人或(shaoyulong##)獲取對應(yīng)產(chǎn)品。

360安全衛(wèi)士

針對以上安全事件，360cert建議廣大用戶使用360安全衛(wèi)士定期對設(shè)備進行安全檢測，以做好資產(chǎn)自查以及防護工作。