网安资讯一周要闻（2022.11.28-12.4）

网安资讯一周要闻

■ 2022年11月28日-12月4日

■ 轻松了解网安行业最新动态

1

  网络公司贩卖直播信息牟利，

   “榜一大哥”数据遭泄漏

近日，上海警方发现一互联网站售卖知名直播平台主播数据，据此循线深入侦查，侦破一起非法获取计算机信息系统数据并公开售卖获利的案件，抓获夏某、张某等24名犯罪嫌疑人。

2

   英国破获大型跨国网络诈骗案，

   120名嫌疑人被捕

英国警方破获该国有史以来最大的跨国网络诈骗案，取缔该国“最大的犯罪网站”，截至发稿时共120名嫌疑人被捕，

据《爱尔兰新闻报》24日报道，利用犯罪网站将自己的来电显示伪装成银行或税务局等的官方号码，犯罪嫌疑人向目标受害者致电，直接骗取钱财或者套取对方的银行账号等信息。据英国《卫报》报道，该案涉案金额超过5000万英镑。警方表示，实际金额可能远高于这个数字

3

   天才黑客称12周修好推特搜索功能

    但因不会改react发帖求助

以首个攻破iPhone 3GS和PS3而闻名天下的天才少年黑客@George Hotz现应马斯克邀请而加入Twitter工作，而且他还答应马斯克会在12周内修复推特“摇摇欲坠的”搜索功能。

Geohot因为在2008年首次破解了苹果引以为傲的iPhone而一举成名，并在一年后再次破解了PlayStation 3而被索尼起诉，不过双方最终在庭外达成和解。现在，Hotz已经同意以“临时工”身份加入Twitter。

不过，在这一过程中他也遇到了很多问题，例如前端方面的代码问题，于是不得不发帖求助该如何去改react。

4

   WhatsApp被曝数据大泄露

   黑客叫卖近5亿用户信息

日前，Meta再爆用户数据泄露事件。据外媒Cybernews报道，某境外黑客论坛上的一则帖子正在公然兜售来自84个国家和地区的4.87亿条用户数据，而这些数据均来自Meta旗下通信软件WhatsApp。

据售卖者称这些数据均为2022年的最新活跃用户数据，其中有3200万条来自美国，4500万条来自埃及，1000万条来自俄罗斯。

5

   Google Chrome紧急更新

   修复年内第8个0day漏洞

日前，Google紧急更新修复了一个正被利用的Chrome桌面浏览器0day，这是今年 Chrome 的第8个0day。

据悉，该高危漏洞编号为CVE-2022-4135，为GPU中的一个堆溢出漏洞，由Google Threat Analysis Group的Clement Lecigne在11月22日发现。在大部分用户完成更新前Google没有披露漏洞细节，它建议桌面用户立即更新到新版本107.0.5304.122。

6

   黑客伪造“苹果”来电

   精准网络钓鱼Web3名人

a16z Crypto 首席安全官（CSO） Nasse-nassyweazy.eth 透露，目前有黑客伪造“苹果公司”电话对大量Web3名人进行网络钓鱼攻击。

攻击者伪造来电显示为“Apple,Inc.”的号码并索取 iCloud“恢复密码”，一旦得手就会窃取所有 iCloud 同步数据并要求受害者支付赎金。黑客还通过扫描文档/图片获取加密钱包助记词或密码，然后注册新地址转移和出售受害者钱包内全部有价值的加密资产并清空钱包。

7

   弱密码威胁：2022年最常用

   的密码仍是password

NordPass 公布了 2022 年最常用密码名单，以及破解密码所需的时间。最常用密码相比过去几年差异并不大：password、123456、123456789、guest、qwerty、12345678、111111、12345、col123456 和 123123。

对于不重要的密码，大部分人都会选择容易记忆的数字或短语。破解大部分常用密码只需要不到一秒钟，少数可能需要 10 秒或更长时间，比如 col123456。

8

   Ragnar Locker勒索软件团伙

   染指比利时警察局

日前，Ragnar Locker勒索软件团伙盯上比利时Zwijndrecht 警察局，并从该机构窃取大量数据。媒体披露消息中提到，泄露的数据涉及数千个车牌、罚款、犯罪报告文件、人员详细信息、调查报告等，此类数据的暴露可能危及正在进行的执法行动和调查。

Zwijndrecht 警察局通过 Facebook回应了勒索攻击以及造成的数据泄露事件，强调黑客只访问了警方持有行政数据网络中的一部分。

9

    国际刑警组织“HAECHI-III”

   打击行动，缴获1.3 亿美元

日前，国际刑警组织宣布没收价值 1.3 亿美元的虚拟资产，这些资产与全球打击网络金融犯罪和洗钱活动有关。

被称为HAECHI-III的国际警察行动于2022年6月28日至11月23日期间进行，累计抓捕975人并结案1600多起案件。其中，包括韩国通缉的两名逃犯，他们涉嫌参与庞氏骗局，从2000 名受害者那里骗取2800万欧元。

10

   Elon Musk确认Twitter 2.0

   将消息提供端到端加密

近日，Twitter首席执行官埃隆·马斯克 (Elon Musk) 证实了针对平台上的直接消息进行端到端加密(E2EE)的计划。

该功能是马斯克 Twitter 2.0 愿景的一部分，预计将成为所谓的“一切应用程序”。根据马斯克周末分享的幻灯片，其他功能包括长篇推文和支付。该公司的加密消息计划在2022年11月中旬首次曝光，当时移动研究员 Jane Manchun Wong发现Twitter 的 Android 应用程序源代码发生了变化，引用了E2EE聊天的对话密钥。

11

   推特员工离职潮冲击

   监管合规和内容审查部门

据华尔街日报中文网28日报道，马斯克清理不认同自己愿景的Twitter(推特)员工的举动，已导致全球政策和安全事务员工纷纷离职，引发了主要司法辖区监管机构对该网站持续合规努力的质疑。

12

   Facebook识别与美国军方

   相关宣传账号

Meta/Facebook 公布了它的 2022 年第三季度《Adversarial Threat Report》，它识别了数十个与美国军方相关联的宣传账号，以及数千个与俄罗斯相关联的宣传账号。

13

   安全团队发现Crysis勒索

   软件变种Wiki在韩国活动

AhnLab于11月25日披露了勒索软件Wiki在韩国的活动。

该勒索软件已被确定为Crysis的变种，伪装成正常程序。在执行实际加密之前，Wiki将自己复制到%AppData%或%windir% system32路径，并添加到注册表中注册为启动程序之一。此外，它还会解码要在内存中终止的与数据库相关的服务和进程名称，并查找当前正在运行的服务和进程并终止它们。由于Crysis类型的勒索软件通常通过RDP分发，研究人员建议注意RDP连接环境。

14

  北约举行年度“网络联盟”演习

北约28日起举行一年一度的”网络联盟”演习(Cyber Coalition)，芬兰、瑞典、日本等国以”北约伙伴国”身份派人参加。

据北约当日发布的公告，此次”网络联盟”演习为期5天，至12月2日结束；北约26个成员国、6个伙伴国以及欧盟共派出约1000人参加，另有业界和学术界人士。

公告称演习在爱沙尼亚首都塔林举行，参演国家首都和其它地点会有人远程连线；演习期间主要演练如何应对现实网络挑战，如针对电网、项目、北约及成员国资产的网络攻击等，意在提高北约网络防御和网络空间”共同作战”能力。

15

  Group-IB研究显示：世界杯

  球迷正遭遇网络诈骗浪潮

网络安全公司Group-IB收集的数据显示，随着卡塔尔世界杯进入第二周，国际足联世界杯的诈骗活动正在激增。

研究人员已经确认了多达90个可能被入侵的Hayya账户。Hayya是世界杯观众进入卡塔尔、购买门票和交通等其他服务的强制系统。他们还在谷歌Play Store中发现了大约40个虚假应用程序，承诺可以获得门票，以及至少5个自称是求职申请表的网站，用于获取个人信息。该公司与国际刑警组织分享了调查结果，并与卡塔尔计算机应急响应小组达成合作。

16

   UNC4191网络间谍活动使用

   USB作为初始感染载体

日前，Mandiant已确认网络间谍活动的细节，目前被追踪为UNC4191，利用USB设备作为初始感染媒介，并集中在菲律宾。

Mandiant的研究人员在28日的一篇文章中写道:“在通过USB设备进行初始感染后，威胁行为者利用合法签名的二进制文件侧加载恶意软件，包括MISTCLOAK、DARKDEW和BLUEHAZE的三个新家族。”恶意软件通过感染插入受损系统的新的可移动驱动器进行自我复制，允许恶意有效载荷传播到其他系统，并可能从物理隔离系统中收集数据。

17

   Anker未经用户同意向云端上传信息

Anker旗下Eufy安全监控探头被发现会在未启用云服务的情况下将用户信息和人脸的缩略图上传到云端服务器。

日前，安全顾问Paul Moore购买了一个Eufy Doorbell Dual，发现在未启用云服务时用户信息的缩略图会被上传。他发布了一则视频，演示了拍摄自己脸部视频，相关信息被上传到云端。即使没有注册云服务，从Eufy应用中删除视频，缩略图仍然能从网站访问。

18

   FTX交易平台前CEO称

   完全不懂编程

最近申请破产的 FTX 交易平台前 CEO Sam Bankman-Fried（SBF） 接受了加密货币视频博主 Tiffany Fong 的两次电话采访。

第一次采访是在 11 月 6 日，11 月 29 日发布。在采访中他被问道了一些尖锐的问题，如 FTX 的系统是否存在后门，允许 SBF 在不惊动其他人的情况下执行命令改变公司财务记录。SBF 对此表示惊讶，称他完全不懂编程，从未打开过 FTX 的任何代码。

19

  索尼、雷克沙等闪存设备

   加密提供商泄露敏感数据

索尼、雷克沙、闪迪等USB设备的加密解决方案提供商—荷兰软件公司 ENC Security 被曝出泄露配置和证书文件长达一年多。

购买 Sony、Lexar 或 Sandisk USB 密钥或任何其他存储设备时，它会附带一个加密解决方案来保护您的数据安全，而该软件由第三方供应商 ENC Security 开发。Cybernews 研究团队发现，ENC Security 已经泄露其配置和证书文件一年多了。

20

  Twitter用户涌向Mastodon，

  安全问题再成争议点

在马斯克（Elon Musk）控制Twitter之后，大量用户涌向了它的去中心化替代Mastodon。仅在两周内，Mastodon就增加了100万新用户，月活跃用户达到350万，总用户达到870万。Mastodon采用联邦式架构，每个人都可以创建自己的服务器或实例，像电子邮件那样互相通信。由志愿者运营的实例数量也在此期间超过了 1.7万。

21

  Akamai：Web应用程序和

   API在金融服务领域攻击

   激增257%

日前，Akamai披露称，在过去12个月里，金融服务行业检测到的web应用程序和API攻击数量同比激增3.5倍。并称，针对WEB应用程序和API的威胁增加，反映出金融机构对数字服务的投资增加，这是欧洲PSD2等开放银行授权的结果。

此外，还发现bot活动(81%)和DDoS攻击(22%)同比大幅增加，同时针对客户的网络钓鱼攻击也出现激增。

近期威胁情报

1.继Hive、Blackcat、Luna等勒索软件家族后，RansomExx勒索软件也在近期进行了Rust 编程语言的升级。

RansomExx勒索软件，又名Defray777和Ransom X，其幕后运营商近期开发了一种新的恶意软件变体，跟踪为RansomExx2，并已升级为Rust编程语言。升级为Rust 编程语言，可以说是带来了更加复杂的加密方法，因为与用常见的语言编写的恶意软件相比，用 Rust 重写恶意软件具有较低的 AV 检测率。

RansomExx 勒索软件自2018年发现以来一直活跃，其受害者名单包括政府机构、计算机制造商、奢侈品牌等等。

2.名为SharkBot的Android银行木马再次在官方Google Play 商店中抬头，伪装成文件管理器以绕过应用程序市场的限制。

SharkBot恶意软件最早于2021年底被首次发现，是一种反复出现的移动端威胁，广泛分布在Google Play 商店和其他第三方应用商店中。据悉，SharkBot恶意软件主要目标是通过一种“自动转账系统”( ATS )的技术从受感染的设备发起汇款，其中通过银行应用程序触发的交易被拦截，以将收款人账户与演员控制的账户交换的背景。当用户试图打开合法的银行应用程序时，它还能够提供虚假的登录覆盖，并在此过程中窃取凭证。

3.GSOC团队的专家观察到Qakbot感染激增，持续且激进的Qakbot恶意软件活动，导致美国地区出现大批量Black Basta勒索软件感染。在过去的两周时间里，已发现有十余起针对美国目标的攻击活动。

据悉，Black Basta勒索软件自2022年4月开始活跃，与其他勒索软件一样，也是进行双重勒索攻击。在新近发现的攻击活动中，Black Basta 勒索软件团伙使用 QakBot银行木马创建初始入口点并在组织网络内横向移动。一旦QakBot银行木马成功感染了一个环境，恶意软件就会安装一个后门，允许威胁者投放其他恶意软件——即勒索软件。

4.超过1600个公开可用的Docker Hub图像隐藏了恶意软件，具体涉及加密货币矿工、可用作后门的嵌入式秘密、DNS 劫持者和网站重定向器等。

据悉，Docker Hub是一个基于云的容器库，可允许自由搜索和下载Docker图像，或将他们的作品上传到公共图书馆或个人存储库。Docker 映像是用于快速轻松地创建包含即用型代码和应用程序的容器的模板。因此，那些希望设置新实例的人通常转向 Docker Hub 以快速找到易于部署的应用程序。

5.逾540万Twitter账号信息在一个黑客论坛免费共享。

今年早些时候黑客以3万美元的价格兜售这批数据。黑客利用的漏洞是在2022年1月1日HackerOne用户“zhirinovskiy”报告的， Twitter的Android客户端的身份验证环节存在漏洞，允许攻击者获取目标账号相关的电话号码和/或电子邮件地址。Twitter确认了这一漏洞，奖励了 zhirinovskiy 5040 美元奖金。但在修复前，可能有多位黑客利用了该漏洞窃取了数据。

6.近日，ESET研究人员观察到针对乌克兰组织的多次攻击涉及一个新的勒索软件家族，被追踪为RansomBoggs勒索软件。

该安全公司于11月21日首次检测到攻击，并立即向CERT US发出警报。该勒索软件是由.NET编写，经分析发现其部署类似于之前与俄罗斯相关的Sandworm APT组织发起的攻击。

Sandworm自2000年以来一直活跃，该组织还是 NotPetya勒索软件的开发者，该勒索软件曾于2017年6月袭击了全球数百家公司，造成数十亿美元的损失。

7.近日，Acer发布安全公告，修复了某些Acer笔记本电脑型号中的一个安全绕过漏洞（CVE-2022-4020），该漏洞的CVSSv3评分为8.1。

该漏洞存在于某些Acer笔记本设备上的HQSwSmiDxe DXE 驱动程序中，可能导致高权限恶意用户通过修改BootOrderSecureBootDisable NVRAM变量来修改/禁用UEFI安全启动设置，实现劫持操作系统加载过程并加载未签名的引导加载程序以绕过或禁用保护，并使用系统权限部署恶意Payload等。

目前该漏洞已经修复，受影响用户可将BIOS 更新到最新版本以修复此漏洞。

8.日前，Amazon Web Services (AWS) 修复了一个跨租户漏洞，该漏洞可能允许攻击者获得对资源的未授权访问。

亚马逊网络服务 (AWS) 解决了其平台中的跨租户混淆代理问题，该问题可能允许威胁行为者获得对资源的未授权访问。Datadog 的研究人员于 2022年9月1日向公司报告了该问题，并于9月6日修复了该漏洞。

当无权执行某项操作的实体可以强制具有更高权限的实体执行该操作时，就会出现混淆代理问题。如果所有者向第三方（称为 跨账户）或其他 AWS 服务（称为 跨服务）提供对您账户中资源的访问权限，AWS 会提供工具来保护账户。

来源：网安视界