Informe semanal de incidentes de seguridad (07.04-07.10)

Esta semana incluye puntos críticos de seguridad 50, los temas se centran en 恶意程序, 网络攻击aspectos y las organizaciones involucradas son: UAC-0056, Gitlab, Lazarus, Bitteretc. En este sentido, 360CERT recomienda usarlo 360安全卫士para la detección de virus, usarlo 360安全分析响应平台para la detección de tráfico de amenazas, usarlo 360城市级网络安全监测服务QUAKEpara el mapeo de activos y hacer un buen trabajo en la autoinspección y prevención de activos para evitar ser atacado por piratas informáticos.

El nuevo ransomware RedAlert apunta a servidores Windows, Linux, VMware ESXi

Fecha: 2022-07-10Tags 
: Tecnologías de la información, Linux, Doble Ransomware,

RedAlert (también conocido como N13V) es un nuevo ransomware que cifra los sistemas Windows y Linux VMWare ESXi. Con respecto al ransomware RedAlert, MalwareHunterTeam descubrió el nuevo ransomware y publicó varias capturas de pantalla de su sitio de fuga de datos. El ransomware se llama RedAlert debido a las cadenas en el texto del rescate. Sin embargo, los atacantes se refirieron internamente a su operación como N13V en la versión de Linux Encryptor. Diseñado para su uso en servidores VMware ESXi, el cifrador de Linux incluye opciones de línea de comandos que permiten a un atacante apagar cualquier máquina virtual en ejecución antes de bloquear los datos. Al igual que otras operaciones de ransomware dirigidas a empresas, RedAlert realiza un doble ataque de ransomware, donde se obtienen datos y luego se usa ransomware para encriptar computadoras. El ransomware se dirige específicamente a los datos de la máquina virtual VMware ESXi, como archivos de memoria, archivos de registro, discos virtuales y archivos de intercambio.

Detalles

http://urlqh.cn/n07FH

La campaña de adware ABCsoup utiliza 350 variantes de extensión de navegador para dirigirse a los usuarios rusos

Fecha: 2022-07-09 
Etiquetas: Rusia, TI, Google Chrome, ABCsoup,

Los investigadores de Zimperium han identificado una campaña de adware dirigida a los usuarios rusos de los navegadores Google Chrome, Opera y Mozilla Firefox. La campaña utiliza más de 350 versiones de la extensión de navegador malicioso, usando la ID de extensión de Google Translate para engañar a las víctimas para que descarguen archivos maliciosos. Estas extensiones se instalan en las computadoras de las víctimas a través de ejecutables basados ​​en Windows, sin pasar por la mayoría de las soluciones de seguridad de punto final, así como los controles de seguridad en la tienda oficial de extensiones. Los complementos de navegador maliciosos tienen la misma ID de extensión que Google Translate para engañar a los usuarios haciéndoles creer que tienen instalada una extensión legítima. Sin embargo, estas extensiones no están disponibles en la tienda web oficial del navegador. Los piratas informáticos los entregan a través de varios ejecutables de Windows que instalan complementos en los navegadores web de las víctimas. Si el usuario objetivo ya tiene instalada la extensión Google Translate, la versión original se reemplazará con una variante maliciosa debido a su número de versión más alto (30.2.5 frente a 2.0.10).

Detalles

https://t.co/F7hmLcvjEe

El nuevo malware sigiloso OrBit roba datos de dispositivos Linux

Fecha: 2022-07-07 
Etiquetas: Tecnologías de la información, OrBit, Linux,

El malware de Linux recién descubierto se utiliza para robar información en secreto de los sistemas Linux de puerta trasera e infectar todos los procesos en ejecución en una máquina. El malware, denominado OrBit por los investigadores de seguridad de Intezer Labs que fue descubierto por primera vez, secuestra bibliotecas compartidas para interceptar llamadas a funciones modificando la variable de entorno LD_PRELOAD en el dispositivo infectado. Si bien puede usar dos métodos diferentes para frustrar los intentos de eliminación por persistencia, OrBit también se puede implementar como un implante volátil cuando se replica en un almacenamiento poblado. También puede conectarse a varias funciones para evadir la detección, controlar el comportamiento del proceso, mantener la persistencia al infectar nuevos procesos y ocultar la actividad de la red que revelaría su existencia. El malware implementa técnicas avanzadas de evasión y gana persistencia en las máquinas al conectarse a funciones críticas, brindando a los actores de amenazas acceso remoto a través de SSH, recopilando credenciales y registrando comandos TTY. Una vez que se instala el malware, infecta todos los procesos en ejecución en la computadora, incluidos los nuevos.

Detalles

http://urlqh.cn/n1hVL

Los piratas informáticos de Corea del Norte apuntan a la atención médica con el ransomware Maui

Fecha: 2022-07-06Etiquetas 
: Estados Unidos, Corea del Norte, Industria de la Salud,

El 6 de julio de 2022, el FBI, CISA y el Departamento del Tesoro dijeron que los piratas informáticos de Corea del Norte habían estado atacando el sector de la salud con ransomware y advirtieron a las víctimas que pagar las tarifas podría violar las normas de sanciones de EE. UU. que los piratas informáticos están utilizando. después de las organizaciones sanitarias y de salud pública. Esta actividad maliciosa de los ciberactores patrocinados por el estado de Corea del Norte que tienen como objetivo los sectores de la salud y la salud pública representa un riesgo significativo para las organizaciones de todos los tamaños. La variante de ransomware Maui (Maui) recibió poco escrutinio público hasta el miércoles. El mismo día que el FBI alertó, la empresa de seguridad cibernética Stairwell publicó su análisis del ransomware y dijo que era significativamente diferente de las ofertas tradicionales de ransomware como servicio, donde el ransomware crea Permite que otros usen sus productos a cambio de una participación en las ganancias. Stairwell dijo que observó a Maui por primera vez el 3 de abril.

Detalles

http://urlqh.cn/n1AJu

El nuevo ransomware RedAlert apunta a servidores Windows, Linux, VMware ESXi

Fecha: 2022-07-05Tags 
: Estados Unidos, Tecnologías de la información, Microsoft (Microsoft), Linux, Ransomware,

El 5 de julio de 2022, MalwareHunterTeam descubrió que un nuevo tipo de ransomware llamado RedAlert o N13V encripta servidores Windows y Linux VMWare ESXi para ataques en redes corporativas. El cifrador dirigido a Linux del ransomware se creó para apuntar a los servidores VMware ESXi con opciones de línea de comandos que permiten a los actores de amenazas apagar cualquier máquina virtual en ejecución antes de cifrar los archivos. Al cifrar archivos, el ransomware utiliza el algoritmo de cifrado de clave pública NTRUEncrypt, que admite varios "conjuntos de parámetros" que brindan diferentes niveles de seguridad. Y, al cifrar archivos, el ransomware solo se dirige a archivos asociados con máquinas virtuales VMware ESXi, incluidos archivos de registro, archivos de intercambio, discos virtuales y archivos de memoria.

Detalles

http://urlqh.cn/n1mou

Actualizaciones de Hive ransomware en Rust

Fecha: 2022-07-05 
Etiquetas: TI, Rust, Golang,

El Centro de inteligencia de amenazas de Microsoft (MSTIC) descubrió nuevas variantes al analizar las técnicas de ransomware Hive detectadas para eliminar archivos .key. La actualización en la última variante es efectivamente una revisión: los cambios más notables incluyen la migración del código completo a otro lenguaje de programación y el uso de métodos de encriptación más sofisticados. El impacto de estas actualizaciones es de gran alcance si se tiene en cuenta que Hive es una carga útil de RaaS, que Microsoft ha observado en los ataques contra organizaciones de la industria del software y la atención médica por parte de grandes afiliados de ransomware como DEV-0237. La principal diferencia entre la nueva variante de Hive y la antigua variante de Hive es el lenguaje de programación utilizado. La variante anterior está escrita en Go (también conocida como GoLang), mientras que la nueva variante de Hive está escrita en Rust. Hive no es el primer ransomware escrito en Rust: BlackCat, otro ransomware popular, fue el primero. Al cambiar el código subyacente a Rust, Hive se beneficia de las siguientes ventajas de Rust sobre otros lenguajes de programación:

• Proporciona seguridad de memoria, tipo de datos y subprocesos

• Tiene un control profundo sobre los recursos de bajo nivel

• Tiene una sintaxis fácil de usar

• Cuenta con múltiples mecanismos de concurrencia y paralelismo para un cifrado de archivos rápido y seguro

• Tiene varias librerías criptográficas

• Relativamente más difícil de aplicar ingeniería inversa

Detalles

http://urlqh.cn/mZwRL

Consejos de seguridad relacionados

1. Implemente dispositivos de seguridad en el límite de la red, como firewalls, IDS, pasarelas de correo, etc.

2. Hacer un buen trabajo en la recopilación y clasificación de activos, cerrar puertos y servicios de red externos innecesarios y riesgosos, y descubrir problemas de red externos de manera oportuna

3. Actualice oportunamente el sistema y varios componentes de servicio con actualizaciones de versión y actualizaciones de parches

4. Las aplicaciones personales, incluidos navegadores, clientes de correo, vpn, escritorios remotos, etc., deben actualizarse a la última versión a tiempo.

5. Instale productos EDR en cada host para detectar amenazas a tiempo

6. Centrarse en la formación interna en seguridad de los empleados

7. No crea en las noticias en línea, no navegue por sitios web malos, no abra archivos adjuntos de correo electrónico a voluntad y no ejecute programas ejecutables a voluntad.

8. Después de ser reclutado por extorsión, debe desconectar la red a tiempo y comunicarse con el departamento o la empresa de seguridad para recibir tratamiento de emergencia lo antes posible.

La filtración de datos de PFC USA afecta a pacientes de 650 proveedores de atención médica

Fecha: 2022-07-05Tags 
: industria de la salud, industria financiera, mayorista y minorista, tecnología de la información, PFC USA, violación de datos,

El 4 de julio, la empresa de gestión de cobros Professional Finance Corporation (PFC USA) comenzó a enviar cartas de notificación de violación de datos a pacientes de más de 650 proveedores de atención médica en todo el país.

La empresa con sede en el norte de Colorado ha estado recuperando deudas durante más de un siglo, trabajando con organizaciones en los sectores de salud, financiero, minorista y gubernamental. El 1 de julio, PFC USA anunció que había comenzado a notificar a las personas afectadas que su información personal y de salud podría haberse visto comprometida en el ataque de ransomware de febrero de 2022. Debido a que los atacantes pudieron acceder y deshabilitar algunas de las computadoras de la compañía, la información personal almacenada en esos sistemas puede haberse visto comprometida, PFC notificó a los proveedores de atención médica potencialmente afectados el 5 de mayo. La información a la que un atacante podría haber accedido incluye nombres, direcciones, fechas de nacimiento, saldos de cuentas por cobrar e información de pago, números de seguro social e información médica y de seguro médico. La PFC no dijo cuántas personas pueden haber sido afectadas por la violación de datos, pero compartió una lista de proveedores de atención médica afectados, que contenía un total de 657 entradas.

Detalles

http://urlqh.cn/mX6jD

Marriott confirma violación de datos

Fecha: 2022-07-05Tags 
: Estados Unidos, Servicios para residentes, Alojamiento y catering, Marriott International, Ingeniería social,

El 5 de julio de 2022, Marriott International, una de las cadenas hoteleras más grandes del mundo, confirmó que piratas informáticos no identificados irrumpieron en su red informática y luego intentaron chantajear a la empresa. Los piratas informáticos robaron aproximadamente 20 GB de datos de un empleado del hotel Baltimore BWI Airport Marriott, incluida información de tarjetas de crédito e información confidencial de huéspedes y empleados de los empleados de BWI. Un portavoz de Marriott dijo que la compañía estaba "al tanto de los piratas informáticos que utilizaron la ingeniería social para defraudar a un empleado del hotel Marriott e intentar obtener acceso a la computadora del empleado. Marriott descubrió e investigó el incidente antes de que los piratas informáticos intentaran extorsionarlo. Actualmente, Marriott no pagó .

Detalles

http://urlqh.cn/n1tLB

Hospital en la prefectura de Gifu sufre violación de datos, 110,000 datos personales afectados

Fecha: 2022-07-04 
Etiquetas: Japón, Industria de la salud, Violación de datos,

El Hospital Koki Hoi Anjiang (ciudad de Qifu, condado de Qifu) anunció el 4 de julio que se accedió a las computadoras del hospital sin autorización, y es posible que se hayan filtrado hasta 111 991 piezas de información personal de pacientes y nuevos receptores de vacunas contra el coronavirus. Incluya nombre, fecha de nacimiento, dirección, número de teléfono, información médica (historial médico, historial de tratamiento, etc.) e historial de vacunación. Se detecta acceso no autorizado desde el 27 de mayo. Se perdió el acceso a las bases de datos de información de los pacientes y algunos sistemas hospitalarios, como los registros médicos electrónicos, dejaron de funcionar. El mismo día, el hospital tomó un sistema médico que restringió algunas operaciones y volvió a la normalidad.

Detalles

https://t.co/vb3tCX7v1P

Consejos de seguridad relacionados

1. Realice una copia de seguridad de los datos a tiempo y garantice la seguridad de los datos

2. Establezca razonablemente los permisos de acceso de varios archivos en el lado del servidor

3. Controle estrictamente los derechos de acceso a los datos

4. Verifique y elimine los datos confidenciales filtrados de manera oportuna

5. En caso de un incidente de fuga de datos, tome las medidas de seguridad pertinentes, como el cambio de contraseña de manera oportuna.

6. Se recomienda encarecidamente que los servicios, como las bases de datos, se coloquen en lugares a los que no se pueda acceder desde la red externa. Si se deben colocar en la red pública, se deben implementar medidas estrictas de control de acceso.

La campaña de phishing de devolución de llamada imita a una gran organización de ciberseguridad

Fecha: 2022-07-10Tags 
: Estados Unidos, Tecnología de la información, CrowdStrike, Cobalt Strike, Phishing, Ingeniería social,

A principios de julio de 2022, CrowdStrike Intelligence descubrió una campaña de phishing de devolución de llamada que empleaba técnicas de ingeniería social similares que imitaban a las grandes empresas de ciberseguridad, incluida CrowdStrike. Los correos electrónicos de phishing dicen que la empresa (correo electrónico) del destinatario se ha visto comprometida y que la víctima debe comunicarse con el número de teléfono proporcionado. La campaña puede incluir una verdadera herramienta de administración remota (RAT) genérica para el acceso de la fase inicial, herramientas de prueba de penetración listas para usar para el movimiento lateral y la ejecución de ransomware o extorsión de datos. En el pasado, los operadores de campañas de devolución de llamadas han tratado de convencer a las víctimas de que instalen un software RAT comercial para obtener un punto de apoyo temprano en la red. Ahora, es probable que los operadores de devolución de llamadas de campañas de phishing utilicen ransomware para monetizar sus operaciones.

Detalles

https://t.co/Il94CXFh5f

Los piratas informáticos apuntan al portal estatal indio con phishing 'sin precedentes'

Fecha: 2022-07-07Tags 
: India, Tecnología de la información, Sector gubernamental, Ataque del navegador (BitB), ShadowPad,

El 7 de julio de 2022, expertos en ciberseguridad anunciaron el descubrimiento de un método de phishing "sofisticado y sin precedentes" que ha estado chantajeando a personas desde sitios web oficiales de todo el mundo, incluido el portal del gobierno indio https://india.gov.in. Según CloudSEK, una startup de seguridad cibernética impulsada por IA, los actores de amenazas han estado usando URL falsas para engañar a los usuarios para que ingresen información confidencial, como números de tarjetas de crédito, meses de vencimiento y códigos CVV para apuntar a las páginas web del gobierno indio. En una de las técnicas de phishing más avanzadas, conocida como ataque de navegador (BitB), los piratas informáticos imitan la ventana del navegador de un sitio web del gobierno indio con un inicio de sesión único, más comúnmente una página SSO (inicio de sesión único). Los ataques de BitB se hacen pasar por sitios web acreditados para robar contraseñas de usuarios y otros datos confidenciales, como información de identificación personal (PII). Las nuevas URL que aparecieron debido al ataque de BitB parecen ser legítimas.

Detalles

http://urlqh.cn/n3wHt

UAC-0056 ataca a la organización estatal ucraniana usando una baliza de ataque de cobalto

Fecha: 2022-07-07 
Etiquetas: Ucrania, Departamento de Gobierno, EMBER Bear (UAC-0056, Lorec53, Lorec Bear, Bleeding Bear, Saint Bear), Guerra ruso-ucraniana,

El CERT-UA ucraniano descubrió el 5 de julio de 2022 que estaba distribuyendo correos electrónicos con el asunto "Oficina del Fiscal Especial en los Campos Militar y de Defensa". Un archivo XLS que contiene "información sobre las vacantes y su dotación de personal". El documento contiene una macro que, cuando se activa, crea un archivo "write.exe" en la computadora. Además, el archivo EXE también mantiene el inicio automático mediante la creación de una entrada "Comprobar licencia" en la ruta "EJECUTAR" del registro de Windows. El script de PowerShell resultante, además de omitir AMSI y deshabilitar el registro de eventos de PowerShell, descodifica y descomprime los datos en el siguiente script de PowerShell. CERT-UA asocia esta actividad con UAC-0056 con confianza moderada.

Detalles

http://urlqh.cn/n3Pr2

El grupo APT de Corea del Norte utiliza el ransomware Maui para atacar los sectores de la salud y la salud pública

Fecha: 2022-07-07 
Etiquetas: Corea del Norte, Industria de la salud, Maui, Opinión pública de APT,

Desde mayo de 2021, el FBI ha detectado y respondido a múltiples incidentes de ransomware de Maui dirigidos a unidades HPH. Los atacantes cibernéticos patrocinados por el estado de Corea del Norte utilizaron el ransomware Maui en estos incidentes para cifrar los servidores responsables de los servicios de atención médica, incluidos los servicios de registros médicos electrónicos, servicios de diagnóstico, servicios de imágenes y servicios de intranet. En algunos casos, estos eventos han interrumpido durante mucho tiempo los servicios proporcionados por los departamentos de HPH. Se desconoce el medio de acceso inicial para estos eventos.

Detalles

http://urlqh.cn/n3bJB

Disneyland investiga cuentas comprometidas de Facebook e Instagram

Fecha: 2022-07-07Tags 
: Comunicación Cultural, Disneylandia, Facebook, Instagram,

El 7 de julio de 2022, los funcionarios de Disneyland están investigando un incidente en el que las cuentas de Facebook e Instagram del parque temático fueron pirateadas y utilizadas para enviar varios mensajes objetables. En la mañana del 7 de julio, un hacker que se hace llamar "David Do" publicó varias fotos de personas con mucha información. Los atacantes afirmaron ser "súper piratas informáticos" y usaron repetidamente las palabras n y f en los mensajes. Las publicaciones se eliminaron a las pocas horas de la breve eliminación de la cuenta con alrededor de 8,4 millones de seguidores. Un portavoz de Disney dijo que el equipo de seguridad está investigando el incidente.

Detalles

http://urlqh.cn/mWWRM

Microsoft advierte que el 'grupo 8220' apuntará a servidores Linux

Fecha: 2022-07-07 
Etiquetas: tecnología de la información, opinión pública,

Los expertos en inteligencia de seguridad de Microsoft emitieron una nueva advertencia a un conocido grupo de actores de amenazas en la nube (TA) llamado 8220: observamos una actualización notable de una campaña de malware de larga data dirigida a sistemas Linux por un grupo llamado 8220 gang. Estas actualizaciones incluyen la implementación de nuevas versiones de criptomineros y bots de IRC, así como el uso de vulnerabilidades recientemente reveladas. Según Cisco Talos Intelligence Group, la pandilla 8220 ha estado operando desde al menos 2017, centrándose principalmente en actividades de criptominería. Los actores de amenazas hablan chino y el nombre del grupo proviene del número de puerto 8220 que los mineros usan para comunicarse con el servidor C2. En una campaña reciente, el grupo de piratas informáticos apuntó a los sistemas Linux i686 y x86_64 y utilizó vulnerabilidades RCE para obtener acceso inicial a CVE-2022-26134 (Atlassian Confluence) y CVE-2019-2725 (Oracle WebLogic), dijeron investigadores de Microsoft.

Detalles

http://urlqh.cn/mZbjI

El gigante de servicios de TI SHI golpeado por un "ataque de malware profesional"

Fecha: 2022-07-05 
Etiquetas: nueva jersey, tecnología de la información, SHI, ataque cibernético,

SHI International, un proveedor de productos y servicios de tecnología de la información (TI) con sede en Nueva Jersey, confirmó que un ataque de malware golpeó su red durante el fin de semana. SHI afirma ser uno de los proveedores de soluciones de TI más grandes de América del Norte, con ingresos en 2021 de 12 300 millones de dólares y 5000 empleados en todo el mundo, que trabajan en centros de operaciones en los EE. UU., el Reino Unido y los Países Bajos. También dijo que fue atacado por malware profesional el 4 de julio. Luego del ataque, SHI agregó un mensaje a su sitio web advirtiendo a los clientes y visitantes que sus sistemas de información estaban en mantenimiento debido a "interrupciones en curso".

Este mensaje fue reemplazado más tarde por una declaración de ataque de malware publicada en el blog de la empresa. A partir de la mañana del 5 de julio, el personal de SHI cerró todos los servidores de correo electrónico tras el ataque. Sus expertos en TI también están trabajando para restaurar el acceso a otros sistemas afectados en la red.

Detalles

http://urlqh.cn/n1QM7

El grupo de piratería APT Bitter continúa apuntando a Bangladesh

Fecha: 2022-07-05 
Etiquetas: Bangladesh, Departamento de Gobierno, Amargo, Opinión Pública APT,

El 5 de julio de 2022, el equipo de expertos en seguridad cibernética de SecuInfra emitió un aviso que describe la actividad reciente de las APT en el sur de Asia, con la amenaza persistente avanzada (APT) "Amarga" continuando los ataques cibernéticos contra entidades militares en Bangladesh. Los hallazgos de SecuInfra se basan en un informe publicado por Talos en mayo del año pasado que reveló la expansión del grupo y sus intenciones de tomar medidas enérgicas contra las organizaciones gubernamentales de Bangladesh y cubrir un posible ataque a mediados de mayo de 2022. Específicamente, el ataque probablemente provino de un documento de Excel armado que probablemente se distribuyó a través de correos electrónicos de phishing. El correo electrónico explotará una vulnerabilidad del Editor de ecuaciones de Microsoft (CVE-2018-0798) para descargar una carga llamada ZxxZ desde un servidor remoto. Según SecuInfra, APT hace esto para evitar la detección por parte de los sistemas IDS/IPS basados ​​en este divisor en particular. Para prevenir este tipo de ataques, los investigadores de seguridad dicen que las empresas y los gobiernos deberían implementar regularmente medidas de detección y respuesta de red y punto final y parchear el software que se explota con frecuencia, como Microsoft Office.

Detalles

http://urlqh.cn/mZ2SE

Consejos de seguridad relacionados

1. Realice activamente pruebas de penetración de redes externas para descubrir problemas del sistema con anticipación

2. Reduzca los recursos de la red externa y los servicios irrelevantes para reducir el riesgo de ser atacado

3. Haz un buen trabajo en las medidas de alarma automática del producto.

4. Actualice oportunamente el sistema y varios componentes de servicio con actualizaciones de versión y actualizaciones de parches

5. Las aplicaciones personales, incluidos navegadores, clientes de correo, vpn, escritorios remotos, etc., deben actualizarse a la última versión a tiempo.

6. Centrarse en la formación interna en seguridad de los empleados

Autos Honda vulnerables al ataque Rolling-PWN

Fecha: 2022-07-10Etiquetas 
: Japón, fabricación, Honda, seguridad de redes de automóviles,

Los vehículos modernos a menudo están equipados con sistemas remotos de entrada sin llave. Estos sistemas RKE permiten desbloquear o arrancar el vehículo de forma remota. Los investigadores han descubierto una vulnerabilidad de ataque Rolling-PWN que afecta a todos los vehículos Honda actualmente en el mercado desde 2012 hasta 2022. La vulnerabilidad existe en una versión vulnerable del mecanismo de código variable, que se ha implementado en una gran cantidad de vehículos Honda. Un atacante podría aprovechar la falla para abrir permanentemente la puerta de un automóvil Honda e incluso encender el motor del automóvil a distancia. La estrategia de mitigación sugerida es actualizar el firmware BCM vulnerable a través de una actualización inalámbrica (OTA) cuando sea factible.

Detalles

http://urlqh.cn/n3TSw

Puerta trasera de Rozena implementada al abusar de la vulnerabilidad de Follina

Fecha: 2022-07-10 
Etiquetas: Tecnologías de la información, Rozena, Phishing, Follina,

Una campaña de phishing recientemente descubierta está explotando la falla de seguridad de Follina (CVE-2022-30190) para implementar una puerta trasera privada llamada Rozena en los sistemas Windows. Rozena es un malware de puerta trasera capaz de inyectar conexiones de shell remotas en la máquina de un atacante. La última cadena de ataque es un documento de Office armado que, cuando se abre, se vincula a una URL de CDN de Discord para recuperar un archivo HTML ("index.htm") que, a su vez, activa una utilidad de diagnóstico que utiliza comandos de PowerShell desde el mismo espacio adjunto de CDN. carga útil de la siguiente etapa. Esto incluye implantes de Rozena ("Word.exe") y archivos por lotes ("cd.bat") diseñados para matar procesos MSDT, establecer la persistencia de puertas traseras a través de modificaciones del registro de Windows y descargar documentos de Word inofensivos como cebo. La función principal del backdoor de Rozena es inyectar un código shell que lanza un shell inverso ("microsofto.duckdns[.]org") al dispositivo del hacker, de esta forma el actor malicioso puede asegurar el control total del sistema.

Detalles

http://urlqh.cn/n0ocj

OpenSSL parchea la vulnerabilidad de ejecución remota de código

Fecha: 2022-07-07 
Etiquetas: Tecnología de la información, OpenSSL, Parcheo de vulnerabilidades,

OpenSSL ha emitido una advertencia de emergencia sobre una vulnerabilidad de corrupción de memoria que podría exponer los servidores a ataques de ejecución remota de código. La vulnerabilidad, rastreada como CVE-2022-2274, se introdujo en OpenSSL 3.0.4 y podría permitir que piratas informáticos maliciosos lanzaran ataques de código remoto en dispositivos del lado del servidor SSL/TLS sin parches. El equipo de código abierto calificó esto como un problema de "alta gravedad" e instó a los usuarios a actualizar a OpenSSL 3.0.5.

Detalles

http://urlqh.cn/n40Jm

Vulnerabilidades de seguridad en Jira

Fecha: 2022-07-06 
Etiquetas: tecnología de la información, explotar,

Jira是Atlassian流行的问题跟踪和项目管理软件，容易受到服务器端请求伪造（SSRF）漏洞的影响，研究人员能够在不获取凭据的情况下滥用该漏洞（CVE-2022-26135）。它允许攻击者使用任何HTTP方法，标头和正文向任意URL发出请求。此问题会影响适用于 Jira 的移动插件中使用的批处理 HTTP 端点，该插件与 Jira 和 Jira 服务管理捆绑在一起。可以通过易受攻击端点正文中的方法参数来控制HTTP方法和预期URL的位置，根据部署 Jira 实例的环境，此 bug 的影响会有所不同。

详情

https://t.co/KQTTEnIVOf

微软修复了ShadowCoerce Windows NTLM Relay漏洞

日期: 2022-07-05
标签: 信息技术, 漏洞修复, 

微软已经证实，它修复了一个先前披露的“ShadowCoerce”漏洞，作为2022年6月更新的一部分，该漏洞使攻击者能够在NTLM中继攻击中以Windows服务器为目标。威胁参与者可以使用此 NTLM 中继攻击方法强制未修补的服务器对攻击者控制下的服务器进行身份验证，从而导致对 Windows 域的接管。虽然没有就此问题发表公开声明，但“MS-FSRVP强制滥用PoC（也称为'ShadowCoerce'）通过CVE-2022-30154得到了缓解，这影响了同一组件。虽然微软已经修复了这个漏洞，但他们还没有公开提供任何细节，也没有分配一个CVE ID。

详情

http://urlqh.cn/mZVQx

谷歌修补了Chrome中的新0day漏洞

日期: 2022-07-04
标签: 美国, 信息技术, 谷歌（Google）, CVE-2022-2294, Chrome 0-day, 

2022年7月4日，谷歌为 Windows 用户发布了 Chrome 103.0.5060.114，以解决攻击者在野外利用的高严重性0day漏洞，这是 2022 年谷歌修补的第四个 Chrome 零日漏洞。该0day漏洞（跟踪为 CVE-2022-2294 ）是 WebRTC（Web 实时通信）组件中基于堆的高严重缓冲区溢出漏洞。如果黑客在攻击期间实现了代码执行，成功利用堆溢出的影响可以从程序崩溃和任意代码执行到绕过安全解决方案。尽管谷歌表示这个0day漏洞是在野外被利用的，但该公司尚未分享技术细节或有关这些事件的任何信息。

详情

https://t.co/ueS3cW88kn

Gitlab 修补了最新安全公告中的一个关键 RCE 漏洞

日期: 2022-07-04
标签: 信息技术, Gitlab, 漏洞修补, 

Gitlab的安全研究人员已经发布了一个关键漏洞的补丁，该漏洞允许黑客远程执行代码。跟踪为 CVE-2022-2185 的安全漏洞会影响从 14.0 之前的 14.10.5、15.0.4 之前的 15.0 和 15.1.1 之前的 15.1 开始的所有版本，授权用户可以导入恶意设计的项目以启动远程代码执行。GitLab 是一个基于 Web 的 DevOps 生命周期平台，提供 GitLab Inc. 的开源许可证，以提供 wiki、问题跟踪以及持续管道集成和部署功能。乌克兰程序员Dmytro Zaporozhets和Valery Sizov制作了该程序。最新版本中还发布了对许多其他漏洞的修复，包括两个单独的跨站点脚本（XSS）错误。这些漏洞影响了GitLab Community Edition和Enterprise Edition。安全研究人员建议用户升级到最新版本。

详情

https://t.co/5K8gWbrohX

Django 修复了新版本中的 SQL 注入漏洞

日期: 2022-07-04
标签: 信息技术, Django, Python, 

Django项目是一个基于Python的开源Web框架，在其最新版本中修补了一个高严重性漏洞。跟踪为CVE-2022-34265，潜在的SQL注入漏洞存在于Django的主分支以及版本4.1（目前处于测试阶段），4.0和3.2中。7月4日发布的新版本和补丁消除了这个漏洞。数以万计的网站，包括美国的一些流行品牌，选择Django作为他们的模型 - 模板 - 视图框架。这就是为什么需要升级或修补Django实例来防止这样的错误是至关重要的。目前Django团队已经发布了Django 4.0.6和Django 3.2.14版本，以解决高严重性的SQL注入漏洞，并敦促开发人员尽快升级或修补他们的Django实例。

详情

https://t.co/QkfnH9WBrA

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

疑似APT-C-23（双尾蝎）组织伪装Threema通讯软件攻击分析

日期: 2022-07-07
标签: 信息技术, APT-C-23（Arid Viper/Desert Falcon）, APT舆情, 

以前的双尾蝎样本大多采用VC版本、Delphi版本，很少见到使用公开商业RAT组件进行攻击，此次发现的样本可能是该组织进攻方式的演变，也可能是双尾蝎组织内部出现了新的分支成员所采用的攻击手法。360高级威胁研究院最早通过一个名为“تسريب-اجتماع-القائد-محمد-دحلان-و-المخابرات-المصريه.pdf（Mohammed Dahlan 指挥官和埃及情报会议 (MoM) 泄漏.pdf）”的文档关联到了双尾蝎与之前攻击不太相同的活动，此次攻击行动直接把商业RAT伪装成Threema诱使用户点击打开，Threema是瑞士开发的一款付费的开源端到端加密即时通讯应用程序。

详情

https://mp.weixin.qq.com/s/1uJaPS-nuGNI8lQ1-ZekIA

Bitter针对孟加拉国军事组织的攻击活动分析

日期: 2022-07-05
标签: 孟加拉国, 政府部门, Almond RAT, 

SECUINFRA发现了Bitter组织针对孟加拉国军事组织的攻击活动。该组织使用恶意文档作为诱饵，使用公式编辑器漏洞下载第二阶段恶意软件。第二阶段由加载程序组成，加载程序收集有关受感染系统的信息，并从远程服务器检索第三阶段。攻击的第三阶段可能具有不同类型的恶意软件，例如键盘记录器、窃取器或远程访问木马（RAT）。SECUINFRA发现了一种较新的RAT，命名为Almond RAT。

详情

https://www.secuinfra.com/en/techtalk/whatever-floats-your-boat-bitter-apt-continues-to-target-bangladesh/

疑似Confucius组织最新攻击行动分析

日期: 2022-07-05
标签: 信息技术, CONFUCIUS, SideWinder（RattleSnake/Razor Tiger/T-APT-04/APT-C-17/Hardcore Nationalist）, Patchwork, APT舆情, 

在日常威胁猎捕过程中，深信服深瞻情报实验室监测到疑似Confucius组织的新一轮攻击活动，本次事件中使用到的相关攻击工具与基础设施与2021年国外安全厂商披露的相关攻击活动存在关联，通过对相关基础设施分析，该事件疑似与南亚其他组织如SideWinder、Patchwork也存在一定关联。

详情

http://urlqh.cn/n0SFr

Lazarus利用VSingle恶意软件从GitHub获取C2服务器信息

日期: 2022-07-05
标签: GitHub, Lazarus, VSingle, Linux, APT舆情, 

最近，Lazarus组织使用的恶意软件VSingle功能更新，支持从GitHub获取C2服务器信息。VSingle具有针对Windows和Linux的版本，本篇报告将对具有大量更新的Linux版本进行分析。

详情

https://blogs.jpcert.or.jp/ja/2022/07/vsingle.html

黑客组织Lazarus窃取Axie Infinity 6.25亿美元

日期: 2022-07-10
标签: 美国, 信息技术, 文化传播, 金融业, LinkedIn, Ronin Network (RON), Lazarus, 社会工程, 网络钓鱼, 加密货币, 区块链安全, 

2022年早些时候，流行的加密游戏 Axie Infinity 和 Axie DAO 背后的区块链网络 Ronin Network (RON) 经历了有史以来针对去中心化金融网络的最大加密攻击。美国政府声称，这次袭击是由朝鲜黑客组织 Lazarus 实施的。黑客组织Lazarus通过向Sky Mavis的一名员工提供携带恶意软件的PDF文件，进入该公司的网络。为了访问公司的网络，攻击者需要抓住9个验证者中的5个。带有间谍软件的 PDF 允许攻击者控制四个验证器并进入社区运行的 Axie DAO（去中心化自治组织），从中他们获得了第五个验证器的控制权。攻破网络后，攻击者从 Axie Infinity 的金库中拿走了 2500 万美元的 USDC 稳定币和 173,600 以太币（约合 5.97 亿美元），总计 6.25 亿美元的加密货币。

详情

http://urlqh.cn/n41kw

谷歌Chrome新功能可延长用户设备的电池寿命

日期: 2022-07-10
标签: 美国, 信息技术, 谷歌（Google）, 技术创新, 

据Chromebooks报道，谷歌目前正在测试一项新功能，名为“快速密集计时器节流”，该功能将5分钟的宽限期减少到10秒，允许更多的暂停标签，快速降低CPU利用率，将 CPU 时间减少 10%，从而延长笔记本电脑和移动设备的电池寿命。新功能正在 Chrome Canary 和 Dev 版本中进行测试。

详情

http://urlqh.cn/n2jj7

俄罗斯情报部门将加强在荷兰的宣传活动

日期: 2022-07-09
标签: 乌克兰, 俄罗斯, 政府部门, 俄乌战争, 

俄罗斯继续在荷兰开展宣传运动和心理活动，以增强对该国政治制度的影响。由民主派亲俄政党论坛协助的“了解乌克兰冲突”研讨会定于7月10日在阿姆斯特丹1078GZ欧洲广场24号举行。莫斯科为该活动的组织者设定了一个目标，即把战争归咎于西方和美国，并阻止荷兰向乌克兰提供军事援助。预计组织者还将试图质疑俄罗斯在乌克兰的战争罪行的事实，并为普京的政策辩护。

详情

http://urlqh.cn/mXLCu

PyPI 对关键项目强制执行 2FA，部分开发人员拒绝

日期: 2022-07-10
标签: 美国, 信息技术, PyPI, 供应链安全, Python, 双重身份验证(2FA), 

2022年7月8日，第三方开源 Python 项目的官方存储库 Python 包索引 (PyPI) 宣布计划对“关键”项目的维护者强制要求双重身份验证(2FA)。在过去六个月中占下载量前 1% 的任何 PyPI 项目以及 PyPI 的依赖项都被指定为关键项目。尽管许多社区成员对此举表示赞赏，但一些开发人员却拒绝执行该举措，例如“atomicwrites”PyPI 项目的开发人员 Markus Unterwaditzer。Unterwaditzer决定从PyPI中删除他的代码，并重新发布，以使分配给他的项目的“关键”状态无效。而Unterwaditzer 的atomicwrites 在给定月份的下载量超过 600 万次。针对开源软件组件反复的恶意软件事件和攻击迫使PyPI加强其平台的安全性。但除了开发项目之外，保护项目的额外负担与开源软件开发人员的期望是否相符还有待观察。

详情

http://urlqh.cn/mYL7J

QNAP 警告新的 Checkmate 勒索软件以 NAS 装置为目标

日期: 2022-07-07
标签: 中国台湾, 信息技术, QNAP, 

网络储存存储 （NAS） 供应商 QNAP 警告客户，要使用 Checkmate 勒索软件加密数据，保护他们的装置免受攻击。QNAP 表示，这些攻击主要集中在启用了 SMB 服务的暴露在互联网的 QNAP 设备上，以及密码较弱的帐户，这些帐户很容易在暴力攻击中被破解。NAS制造商在7月7日发布的安全公告中表示。“一种名为Checkmate的新勒索软件最近引起了我们的注意。”Checkmate是最近发现的勒索软件株，首次部署在5月28日左右的攻击中，它将.checkmate扩展名附加到加密文件并丢弃名为！CHECKMATE_DECRYPTION_README。该公司警告客户不要将其NAS设备暴露在互联网上访问，并使用VPN软件来减少攻击面，并阻止威胁行为者尝试使用受感染的帐户登录。此外，QNAP 用户应立即检讨所有 NAS 帐户，确保他们使用严密密码、备份档案及定期拍摄快照以恢复数据。

详情

http://urlqh.cn/n2irr

在线编程 IDE 可用于发起远程网络攻击

日期: 2022-07-07
标签: 信息技术, DataCamp, 

安全研究人员警告说，黑客可以滥用在线编程学习平台来远程发起网络攻击，窃取数据并扫描易受攻击的设备，只需使用Web浏览器即可。有一个这样的平台，称为DataCamp，允许威胁行为者编译恶意工具，托管或分发恶意软件，并连接到外部服务。DataCamp为近1000万用户提供集成开发环境（IDE），这些用户希望使用各种编程语言和技术（R，Python，Shell，Excel，Git，SQL）学习数据科学。作为平台的一部分，DataCamp用户可以访问自己的个人工作区，其中包括一个IDE，用于练习和执行自定义代码，上传文件以及连接到数据库。IDE 还允许用户导入 Python 库、下载和编译存储库，然后执行已编译的程序。换句话说，勤劳的威胁行为者需要直接从DataCamp平台内发起远程攻击的任何东西。

详情

http://urlqh.cn/n24Yq

俄罗斯信息行动的重点是分裂支持乌克兰的西方联盟

日期: 2022-07-07
标签: 俄罗斯, 乌克兰, 文化传播, 俄乌战争, 

2022年7月7日，网络安全公司Recorded Future发布的一份报告，俄罗斯情报部门一直在利用国家控制的媒体和其他虚假信息渠道来传播旨在分裂支持乌克兰的西方联盟的宣传。许多开源宣传《记录的未来》发现，与该公司所称的俄罗斯联邦安全局（FSB）第五局的“未经验证的分析说明”密切相关，据报道，乌克兰安全局于6月5日截获并发布了该说明。报告称，据称FSB撰写的分析说明针对“欧洲共同体”，并传达了有关支持乌克兰和大量乌克兰难民将导致欧盟内部“生活水平恶化”的信息。根据Recorded Future的说法，分析说明解释说，它所谓的“大规模”信息行动旨在“激起内部公众对西方国家政府和政治精英的压力”。

详情

https://t.co/iC8ozYUR5N

超过1200个NPM软件包参与“CuteBoi”加密挖矿活动

日期: 2022-07-07
标签: 金融业, CuteBoi, 

研究人员披露了一项针对NPM JavaScript软件包存储库的新的大规模加密货币挖掘活动。该恶意活动归因于名为CuteBoi的软件供应链威胁行为者，涉及来自1，000多个不同用户帐户的1，283个流氓模块的数组。据说所有有问题的已发布软件包都包含来自一个名为eazyminer的现有软件包的几乎相同的源代码，该软件包用于通过利用Web服务器上未使用的资源来挖掘门罗币。这些软件包是通过自动化技术发布的，该技术允许威胁参与者击败双因素身份验证（2FA）保护。

详情

http://urlqh.cn/mZ8Zh

AsyncRAT被分发到易受攻击的MySQL服务器

日期: 2022-07-07
标签: AsyncRAT, MySQL数据库, 

ShadowServer基金会最近发布了一份报告，显示大约有360万台MySQL服务器暴露在外部。与MS-SQL服务器一起，MySQL服务器是主要的数据库服务器之一，它提供了在企业或用户环境中管理大量数据的功能。MS-SQL主要用于Windows环境，但MySQL仍然被Linux环境中的许多人使用。ASEC分析团队不断监控分发到易受攻击的数据库服务器的恶意软件。在Windows环境中，大多数攻击都是针对MS-SQL服务器进行的，这可以在AhnLab的ASD日志中得到证实。在之前的ASEC博客中引入了各种攻击案例，例如Cobalt Strike，Remcos RAT和CoinMiner.cjdmacjdmwk。尽管已确认的攻击数量相对较低，但针对MySQL服务器的攻击不断被发现。还有Gh0stCringe攻击MS-SQL服务器以及MySQL服务器的情况。

详情

http://urlqh.cn/n1hNv

NFT骗子在乌克兰捐款中看到机会

日期: 2022-07-05
标签: 乌克兰, 俄罗斯, 政府部门, 俄乌战争, NFT, 

乌克兰政府和名人一直在推广不可替代的代币（NFT）和加密货币，以便在与俄罗斯的持续战争期间为该国的军队筹集资金。尽管这种策略已被证明是有效的 - 在战争的前五周，乌克兰收到了超过1.35亿美元的加密货币捐款 - 但有一个缺点。据研究人员称，与许多加密货币行业一样，乌克兰的捐赠活动充斥着欺诈和诈骗。2022年7月5日，乌克兰开源情报公司Molfar发布了一项调查，详细说明了一家名为ZelenskiyNFT的公司如何出售乌克兰主题的NFT，据称是为了帮助军队和难民，但似乎已经把钱收入囊中了。

详情

http://urlqh.cn/n1bbT

Apple 的新锁定模式可抵御政府间谍软件

日期: 2022-07-06
标签: WhatsApp, NSO Group, Pegasus（飞马间谍软件）, Apple, 

2022年7月6日，据bleepingcomputer报道，苹果宣布，一项名为“锁定模式”的新安全功能将在iOS 16，iPadOS 16和macOS Ventura上推出，以保护人权捍卫者，记者和持不同政见者等高风险个人免受有针对性的间谍软件攻击。启用后，锁定模式将为Apple客户提供消息传递，Web浏览和连接保护，旨在阻止雇佣军间谍软件（如NSO Group的Pegasus），政府支持的黑客在感染恶意软件后监控其Apple设备。攻击者试图使用针对WhatsApp和Facetime等消息传递应用程序或Web浏览器的零点击攻击来破坏Apple设备，这将自动被阻止，因为链接预览等易受攻击的功能将被禁用。

详情

http://urlqh.cn/n0MB9

勒索软件，黑客组织从Cobalt Strike转移到Brute Ratel

日期: 2022-07-06
标签: 信息技术, 

黑客组织和勒索软件操作正在从Cobalt Strike转向更新的Brute Ratel开发后工具包，以逃避EDR和防病毒解决方案的检测。Cobalt Strike是红队中最受欢迎的工具之一，这是一个工具包，允许攻击者在受感染的设备上部署“信标”，以执行远程网络监视或执行命令。Brute Ratel是一种对抗性攻击模拟工具，允许红队员在远程主机上部署“Badgers”（类似于Cobalt Strike中的信标）。这些Badgers连接回攻击者的命令和控制服务器，以接收命令以执行或传输以前运行的命令的输出。

详情

http://urlqh.cn/n0syp

WhatsApp上流传的欺诈性英国签证骗局

日期: 2022-07-06
标签: 英国, 居民服务, 网络诈骗, 

根据Malwarebytes的一份报告，在英国工作的个人正在被WhatsApp上最近的网络钓鱼活动所欺骗。WhatsApp聊天应用程序用于传输到目标卷以启动欺诈。用户被告知，英国正在开展招聘活动，拥有超过186，000个空缺职位，因为到2022年，该国将需要超过132，000名额外的工人。当受害者点击骗局链接时，会向他们显示一个看起来像英国签证和移民网站的恶意域名。“申请英国已有数千个工作岗位”，这是根据骗局向外国公民提出的要求。该网站的目标是收集受害者的姓名，电子邮件地址，电话号码，婚姻状况和就业状况。用户可以选择在WhatsApp上报告和阻止，如果他们收到来自不在联系人列表中的人的消息。人们应该忽略这些垃圾邮件，并使用报告按钮提出投诉。此外，用户可以阻止这些联系人，以停止从他们那里获得未来的诈骗消息。

详情

http://urlqh.cn/n1PHB

匈牙利当局对政府数据管理员处以7500欧元的罚款

日期: 2022-07-05
标签: 匈牙利, 政府部门, 匈牙利国家数据保护和信息自由管理局 (NAIH), 政府罚款, 数据泄漏, 

2022年7月5日，匈牙利国家数据保护和信息自由管理局 (NAIH) 发表决定称，一个政府的数据管理员对通过文件共享网站公开提供六个 Excel 文件的数据泄露负责，因违反欧盟通用数据保护条例 (GDPR) 的数据安全规定且未能与当局合作，处以 300 万匈牙利福林（7,500 欧元）的罚款。被泄露的文件包含政党成员的个人数据列表（例如姓名、电话号码、电子邮件地址、地址、身份证号码）和政党的运作数据。总的来说，此次泄露影响了大约 2,000 名数据主体。

详情

http://urlqh.cn/n0Z4I

NPM供应链攻击影响数百个网站和应用程序

日期: 2022-07-05
标签: 美国, 信息技术, npm, IconBurst, 供应链安全, 

供应链安全公司 ReversingLabs 的研究人员发现，可追溯到 2021 年 12 月的 NPM 供应链攻击使用了数十个包含混淆 Javascript 代码的恶意 NPM 模块来破坏数百个下游桌面应用程序和网站。该活动背后的黑客组织 IconBurst使用仿冒域名来感染正在寻找非常流行的软件包的开发人员，例如雨伞js 和 ionic.io NPM 模块。黑客会将旨在从嵌入式表单（包括用于登录的表单）窃取数据的恶意程序包添加到他们的应用程序或网站。虽然 ReversingLabs 团队于 2022 年 7 月 1 日联系 NPM 安全团队报告其发现，但 NPM 注册表中仍然存在一些 IconBurst 恶意程序包。虽然目前尚不清楚这次攻击的全部范围，但研究人员发现的恶意程序包可能被数百甚至数千个下游移动和桌面应用程序以及网站使用。

详情

http://urlqh.cn/mZ2hu

NIST选定前四种抗量子加密工具

日期: 2022-07-05
标签: 美国, 信息技术, 美国商务部国家标准与技术研究院 (NIST), 量子安全, 

美国商务部的国家标准与技术研究院 (NIST) 选择了有史以来第一组可能抵御量子计算机攻击的加密工具。对于一般加密（用于访问安全网站），NIST 选择了 CRYSTALS-Kyber 算法。对于数字签名，NIST 选择了三种算法 CRYSTALS-Dilithium、FALCON 和 SPHINCS+。据报道，这四种选定的加密算法现在将成为 NIST 后量子密码 (PQC) 标准的一部分，该标准应在大约两年内完成。NIST主任表示：“NIST 不断展望未来，以预测美国工业和整个社会的需求，当它们建成时，强大到足以破解当今加密的量子计算机将对我们的信息系统构成严重威胁。”

详情

http://urlqh.cn/n24aS

恶意行为者滥用的红队工具

日期: 2022-07-05
标签: 美国, 信息技术, 红队, 

unit42发现在5月19日有一个样本被上传到VirusTotal，该样本包含与Brute Ratel C4（BRc4）相关的恶意有效负载，这是最新的红队和对抗性攻击模拟工具。此工具具有独特的危险性，因为它专门设计用于避免通过端点检测和响应 （EDR） 以及防病毒 （AV） 功能进行检测。它这样做的有效性可以从上述VirusTotal上供应商之间缺乏检测来清楚地看到。在 C2 方面，发现该示例通过端口 443 调用位于美国的 Amazon Web Services （AWS） IP 地址。此外，侦听端口上的 X.509 证书配置为使用“Microsoft”的组织名称和“安全性”的组织单位来模拟 Microsoft。在证书和其他工件上，总共确定了41个恶意IP地址，9个BRc4样本，以及北美和南美另外三个迄今为止受此工具影响的组织。这个独特的样本以与已知的APT29技术及其最近的活动一致的方式打包，这些方法利用了众所周知的云存储和在线协作应用程序。

详情

http://urlqh.cn/n051l

英国议会和医院易受网络黑客攻击

日期: 2022-07-05
标签: 英国, 政府部门, 卫生行业, 网络安全, 

对英国公共服务网络安全的调查显示，国防预算存在巨大差异，数百个网站漏洞以及一个委员会的员工电子邮件地址和密码完全在线发布。ITV News的调查发现，一个英国议会每年在网络安全上只花费32，000英镑。相比之下，另一个人口较少的理事会的年度网络安全预算为100万英镑，是其30多倍。调查还显示，一家医院每年只为网络安全预留了10，000英镑。调查指出，许多专家对ITV News在网络安全方面缺乏明确性和公共服务标准表示担忧。

详情

http://urlqh.cn/n03FM

青少年黑客利用Discord传播恶意软件

日期: 2022-07-04
标签: 美国, 信息技术, Discord, Snatch, Lunar, Rift, 青少年黑客, 

Avast 安全研究人员发现了一个 Discord 频道，其中一群青少年正在开发、更新、推广和销售恶意软件和勒索软件，据称是为了赚取零用钱。研究人员通过他们的 Discord 聊天发现了该行为。他们出售 Snatch、Lunar 和 Rift 的恶意软件变种，并提供从数据盗窃到勒索软件和加密挖掘的各种服务。 然而，研究人员发现，这些青少年黑客大多提供易于使用的恶意软件构建器和工具包，允许用户通过使用“自己动手”（DIY）技术，在没有真正编程的情况下使用它们。对此，网络安全专家建议父母监控孩子的互联网活动。

详情

https://t.co/KJdXAZRP1a

AstraLocker勒索软件关闭并释放解密器

日期: 2022-07-04
标签: 信息技术, 勒索软件, 

鲜为人知的AstraLocker勒索软件背后的威胁行为者告诉BleepingComputer，他们正在关闭该操作，并计划切换到加密劫持。勒索软件的开发人员向VirusTotal恶意软件分析平台提交了带有AstraLocker解密器的ZIP存档。BleepingComputer下载了存档，并确认解密器是合法的，并且在对最近的AstroLocker活动中加密的文件测试其中一个解密器后工作。AstraLocker勒索软件的通用解密器目前正在开发中，将由Emsisoft发布，Emsisoft是一家以帮助勒索软件受害者进行数据解密而闻名的软件公司。

详情

https://t.co/FthncszyT4

北约将发展快速网络反应能力

日期: 2022-07-04
标签: 北约, 乌克兰, 政府部门, NATO, 

在举行完北约峰会后，北约宣布计划开发虚拟快速响应能力，以“应对重大的恶意网络活动”。除其他领域外，该计划还概述了成员国之间的一项协议，“在自愿基础上，利用国家资产，建立和行使虚拟快速反应网络能力”。参加峰会的北约国家元首和政府首脑还承诺加快向乌克兰提供非致命防御设备，包括提高该国的网络弹性。虚拟快速响应网络能力将大大提高北约对重大恶意网络活动做出更协调和有效响应的能力。这种能力可能类似于已经创建并部署在乌克兰冲突中的欧盟网络快速反应小组 (CRRT) 。

详情

https://t.co/5OGS7F0Km2

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

2022-07-11 360CERT发布安全事件周报

一直以来，360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务，现360CERT推出了安全通告特制版报告订阅服务，以便用户做资料留存、传阅研究与查询验证。

今后特制报告将不再提供公开下载，用户可扫描下方二维码进行服务订阅。