安全态势周刊

News information

六方云 安全态势周刊丨第207期

<<返回

2022年07月12日 12:00

01.

业界动态


1、乌克兰警方逮捕盗取超过300万美元的钓鱼团伙的成员

据7月4日报道,乌克兰警方成功逮捕了一个钓鱼团伙的9名成员。执法人员表示,他们创建了400多个钓鱼网站,以收集目标的银行卡数据并从他们的账户中盗取资金。目前,嫌疑人已获得了约1亿格里夫纳(337万美元),可能会面临长达15年的牢狱之灾。此次执法行动没收了他们的计算机、手机、银行卡以及非法获得的收益。尚不清楚其钓鱼链接的分发途径,可能是短信钓鱼(smishing)、垃圾邮件、社交媒体应用消息和SEO中毒等。

https://thehackernews.com/2022/07/ukrainian-authorities-arrested-phishing.html


2、苹果公司将为iPhone增加“隔离模式”,防范间谍软件

近日,苹果公司在官网发布公告称正在评估iPhone上的一项突破性安全措施——隔离模式(Lockdown Mode,又称锁定模式),为极少数面临高级间谍软件和针对性网络攻击风险的用户提供一种极端的保护模式。苹果还提供了其1000万美元赠款的详细信息,以支持揭露此类威胁的研究。

https://www.apple.com/newsroom/2022/07/apple-expands-commitment-to-protect-users-from-mercenary-spyware/


3、俄罗斯政府机构从Windows转向使用Linux

微软于 3 月 4 日暂停了在俄罗斯的产品销售后,该地区对盗版微软软件的网络搜索量飙升了 250%。到目前为止,6 月份 Excel 下载的搜索量增长了 650%。6 月底,微软禁止俄罗斯用户从官网下载 Windows 10 和 11。微软上个月表示,它正在大幅缩减在俄罗斯的业务规模。根据彭博社的报道,此举对俄罗斯造成了沉重打击,因为该国的许多制造和工程技术系统依赖于外国软件。根据俄罗斯媒体莫斯科时报的报道,俄罗斯政府机构正在从微软的 Windows 转向使用 Linux 操作系统。Kommersant 报道称,基于 Linux 开源操作系统的俄罗斯系统开发者也看到了更多需求。

https://www.moscowtimes.ru/2022/06/24/vsem-gosorganam-rossii-prikazali-pereiti-s-windows-na-linux-a21631



02.

关键基础设施


1、以色列首都特拉维夫的地铁的网络遭到大规模攻击

伊朗法尔斯通讯社(Fars News Agency)7月4日报道称,以色列首都特拉维夫的地铁的操作系统和服务器遭到了大规模网络攻击。该机构后来又称,此次攻击实际上是针对一家参与特拉维夫地铁系统建设的公司。巴勒斯坦组织Sabareen通过其Telegram频道声称进行了攻击,根据该团伙的Telegram中其它的报道,伊拉克黑客团伙Al-Tahera也瞄准了以色列数字情报机构。

https://securityaffairs.co/wordpress/132897/hacking/tel-aviv-metro-company-attacked.html



03.

安全事件


1、Unit 42发现黑客滥用红队渗透工具BRc4的攻击活动

据媒体7月6日报道,Unit 42发现有一个包含与Brute Ratel C4(BRc4)相关的payload恶意软件样本被上传到VirusTotal数据库。BRc4由安全研究人员Chetan Nayak开发,类似于Cobalt Strike,是最新上市的红队和对抗性攻击模拟工具。该样本是从斯里兰卡上传的,伪装成Roshan Bandara的个人简历("Roshan_CV.iso"),但实际上是一个光盘镜像文件。当目标双击该文件时,会将其挂载为一个Windows驱动器,其中包含一个看似无害的Word文档。启动后,它会在目标设备上安装BRc4,并与远程服务器建立通信。通过打包方式,研究人员将该活动归因于APT29。

https://thehackernews.com/2022/07/hackers-abusing-brc4-red-team.html


2、卡巴斯基发现针对IIS服务器的新后门SessionManager

6月30日,卡巴斯基发布了关于新后门SessionManager的分析报告。研究人员称,该后门自2021年3月以来一直被用于针对Microsoft IIS服务器的攻击。它由C++编写,利用Exchange服务器中的ProxyLogon漏洞伪装成Internet信息服务(IIS)的模块,具有读取、写入和删除任意文件的功能,可从服务器执行二进制文件,并与网络中的其它端点建立通信。此外,其充当了一个秘密通道,用于进行侦察、收集内存密码,并提供其它工具,如Mimikatz等。

https://securelist.com/the-sessionmanager-iis-backdoor/106868/


3、微软透露在数百个组织的内网中发现Raspberry Robin

据7月2日报道,微软最近在多个行业的数百家组织的内网中发现了一种Windows蠕虫Raspberry Robin。该恶意软件可通过被感染的USB设备传播,于2021年9月首次被发现。Raspberry Robin通过包含恶意.LNK文件的USB驱动器移动到新的Windows系统,用户一旦连接了USB设备并单击链接,该蠕虫就会使用cmd.exe生成一个msiexec进程来启动存储在被感染驱动器上的恶意文件。它还使用了几个合法的Windows程序执行恶意payload:fodhelper、msiexec和odbcconf。微软已将此活动标记为高风险,目前尚未将其归因于任何攻击团伙。

https://www.bleepingcomputer.com/news/security/microsoft-finds-raspberry-robin-worm-in-hundreds-of-windows-networks/


4、HackerOne现内鬼,员工窃取漏洞报告向7家开发商索要赏金

HackerOne是一个协调漏洞披露的平台并为提交安全报告的漏洞猎手提供货币奖励的中介 , 该平台与很多科技公司合作 , 但没想到竟然还有内鬼窃取漏洞报告找开发商要赎金,目前这名内鬼已经被抓并且正在评估是否转刑事责任。

https://view.inews.qq.com/a/20220705A0018F00



04.

漏洞事件


1、Atlassian Jira多款产品Mobile Plugin服务端请求伪造漏洞安全风险通告

Atlassian Jira 多款产品 Mobile Plugin 服务端请求伪造漏洞PoC及细节在互联网上公开,经过身份验证的远程攻击者可通过Jira Core REST API伪造服务端发送特制请求,从而导致服务端敏感信息泄露,同时为下一步攻击利用提供条件。

https://confluence.atlassian.com/jira/jira-server-security-advisory-29nd-june-2022-1142430667.html



05.

政策监管


1、网信办公布《数据出境安全评估办法》

7月7日,国家互联网信息办公室公布《数据出境安全评估办法》,自2022年9月1日起施行。国家互联网信息办公室有关负责人表示,出台《办法》旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》的规定,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。

http://www.cac.gov.cn/2022-07/07/c_1658811536396503.htm


2、《广东省数字经济发展指引1.0》发布

7月5日,广东省工业和信息化厅发布关于印发《广东省数字经济发展指引1.0》的通知,《指引》将网络安全产业列为十大发展重点产业,《指引》提到加快构建覆盖5G、大数据、云计算、工业互联网、物联网、人工智能、区块链等新一代信息技术、新应用的网络安全保障体系和监管机制。健全行业网络安全审查体系,推动网络安全保障体系与能力同步规划、同步建设、同步运行,深化网络安全漏洞管理、网络安全风险评估、网络安全运行监测等机制,建设网络安全公共服务体系,提升网络安全防护水平。

http://gdii.gd.gov.cn/zwgk/tzgg1011/content/post_3965062.html

 

3、深圳人大审议通过《深圳经济特区智能网联汽车管理条例》

7月5日,深圳大人公布《深圳经济特区智能网联汽车管理条例》,《条例》明确智能网联汽车相关企业应当依法取得网络关键设备和网络安全专用产品的安全检测认证,依法制定智能网联汽车网络安全事件应急预案,并建立网络安全评估和管理机制,确保网络数据的完整性、安全性、保密性和可用性,防止网络数据泄露和被窃取、篡改。《条例》要求智能网联汽车相关企业应当依照国家相关规定,制定数据安全管理制度和隐私保护方案,采取措施防止数据的泄露、丢失、损毁,并将存储数据的服务器设在中华人民共和国境内。未经批准,不得向境外传输、转移相关数据信息。

http://www.szrd.gov.cn/rdlv/chwgg/content/post_826149.html


4、欧洲议会通过《数字服务法》《数字市场法》

当地时间7月5日,欧洲议会以压倒性多数分别通过了《数字服务法》和《数字市场法》,这两部法律先后欧洲议会通过《数字服务法》《数字市场法》在今年4月和3月由欧盟委员会提出,并与欧洲理事会达成一致。《数字服务法》(DSA)规定,在欧盟经营的大型门户网站和社交媒体公司必须加强对非法内容的审查和用户个人数据的保护。《数字市场法》(DMA)要求被称为“看门人”的大型平台不能滥用市场支配地位打压其他竞争企业,不能未经用户许可强行推送广告或安装应用软件。

https://mp.weixin.qq.com/s/ca4LXGECwX3EYD499q3Ybg