网安资讯一周要闻（2022.11.21-11.27）

网安资讯一周要闻

■ 2022年11月21日-11月27日

■ 轻松了解网安行业最新动态

1

  疑遭网络攻击，太平洋岛国

   瓦努阿图政府网站已瘫痪数日

BBC报道，瓦努阿图的多个政府网站已瘫痪数日，其服务器疑似遭到网络攻击。这些网站或网络服务的瘫痪，导致瓦努阿图约31.5万名居民在纳税、开发票、申请执照和签证等事务上遇到困难。

另据澳大利亚《悉尼先驱晨报》报道，疑似有网络黑客要求瓦努阿图政府支付赎金，但瓦努阿图政府拒绝支付。对于疑似黑客的身份、网络攻击如何发生、网络何时能够恢复等疑问，目前仍然没有答案。

2

   瑞士警方逮捕疑似JabberZeus

   网络犯罪团伙头目“Tank”

Vyacheslav Igorevich Penchukov，又称Tank，是臭名昭著的JabberZeus网络犯罪团伙的头目之一，上个月在日内瓦被捕。瑞士联邦司法办公室 (FOJ) 表示，Penchukov上个月被捕，正在等待被引渡到美国，但他仍可以对司法机构的决定提出上诉。

3

   医疗索赔处理公司服务器暴露

   60万囚犯公共卫生信息

总部位于肯塔基州的CorrectCare Integrated Health Inc.服务器配置错误暴露了近60万名囚犯的敏感信息。

10月，CorrectCare Integrated Health Inc. 向美国卫生与公共服务部报告称，至少三起涉及其服务器错误配置事件的“未经授权的访问/披露”违规行为，影响了近500000 人。据悉，受此次事件影响的人群，主要涉及路易斯安那州公共安全和惩教部、萨克拉门托县成人惩教健康中心和Mediko Correctional Healthcare等组织机构。

4

   Meta开源其内部源码管理

   系统Sapling

韩联社16日报道称，韩国国防部当天宣布，东盟防长扩大会议网络安全专家工作组第9次会议于16日至17日以视频方式举行。会议内容包括网络安全跨国演习，这将是中美俄首次共同参与此类演习。在演习中，两国组成一队，共同解决勒索软件攻击等网络安全问题。韩国国防部期望“此次演练有助于缩小各国之间网络响应能力的差距”。各方还将于明年下半年在韩国以面对面的方式实施演习。

5

   CISA：伊朗黑客利用Log4Shell

   漏洞入侵联邦机构

美国联邦调查局和CISA在联合公告中透露，一个未具名的伊朗支持的威胁组织入侵了联邦民事行政部门（FCEB）组织，以部署XMRig加密恶意软件。

据悉，攻击者利用Log4Shell (CVE-2021-44228) 远程代码执行漏洞，通过漏洞攻击未打补丁的 VMware Horizon 服务器后，入侵了联邦网络。不仅在受攻击设备上部署加密货币旷工，还在受感染的服务器上设置反向代理，以维持 FCEB 机构网络内的持久性。

6

    世界杯来袭，针对

    中东国家网络钓鱼攻击飙升

Trellix最新报告称，卡塔尔世界杯来临，针对中东地区的电子邮件网络钓鱼攻击在10月份翻了一番。大部分电子邮件均以仿冒FIFA或售票机构为主，其中不乏冒充特定团队或部门。作为世界杯指定合作伙伴的Snoonu也成为网络犯罪团伙仿冒或者恶搞的目标。

据悉，电子邮件钓鱼活动通过看仿真度极高的网页，分发多类型恶意软件。在攻击目的上则涉及金融欺诈、凭证收集、数据泄露、监视以及损害国家或组织声誉等多种。

7

  Hive勒索软件从全球1300+

   公司，洗劫超亿美元赎金

日前，CISA报告称，截至2022年11月， Hive 勒索软件即服务 (RaaS)运营商已向全球1300多家公司勒索了1亿美元的赎金。报告中强调，从2021年6月到2022年11月，威胁组织使用Hive勒索软件攻击广泛的企业和关键基础设施部门，具体涉及政府设施、通信、关键制造、信息技术，以及医疗保健和公共卫生部门（HPH）。

8

   大连警方侦破利用“跑马机”设备

   非法控制计算机信息系统案

近日,大连警方成功侦破全省首例利用“跑马机”设备非法控制计算机信息系统案。抓获涉嫌提供侵入、非法控制计算机信息系统程序、工具和涉嫌非法控制计算机信息系统罪的犯罪嫌疑人2人。扣押能够采集学员照片视频，并在学员不在场的情况下，帮助学员签到或者不定时上传学员照片视频给计时打卡终端，从而实现学员本人不在现场时也可以练车的录像机和播放机；以及与录像和播放机配合使用能够实现学员不在驾校练车，便可自动计学时、计里程的功能的“跑马机”等设备9套。

9

   QQ安全中心App将下线

 「QQ 保护、邮箱保护、

   Q 币保护」功能

近日，据网友反馈，QQ安全中心App近期弹窗通知，由于业务调整，QQ安全中心App将于2022年12月31日下线「QQ 保护、邮箱保护、Q 币保护」功能，后续将由对应的产品团队各自提供安全保障。根据其通知说法，下线的功能功能后续预计将由 QQ、QQ 邮箱等独立App保障安全。

10

 印度政府发布《2022年

个人数据保护法案》草案

日前，印度政府发布了期待已久的数据保护法规草案，这是自2018年7月首次提出数据保护法规以来的第四次调整。

《2022年个人数据保护法案》草案旨在确保个人数据的安全，在用户同意的情况下，表明收集信息的目的并确切分类。该草案将在2022年12月17日之前公开征求公众意见。据悉，所谓的2022 年数字个人数据保护法案旨在保护个人数据，同时征求用户的同意，草案声称“清晰明了的语言”描述了将收集的信息的确切种类以及收集的目的。

11

   赢了！谷歌诉讼Glupteba

   僵尸网络运营商胜了

日前，谷歌赢得了针对参与Glupteba僵尸网络运营的两名俄罗斯国民的诉讼。

2021年12月，谷歌威胁分析小组 (TAG) 分享了其为破坏Glupteba僵尸网络的运行而采取的行动，并宣布已在纽约南区对其运营商提起诉讼。在经过长达近一年的司法诉讼斗争后，终于艰难地赢得了针对两名Glupteba僵尸网络运营组织成员的诉讼。

12

   FTX黑客在市场上抛售ETH，

   价格暴跌

据悉，攻击 FTX 交易所的黑客已经开始卸载价值数百万美元的 ETH，导致加密货币价格大幅下跌。这名黑客已经逃脱了价值近 3 亿美元的加密货币，Chainalysis 爆出被盗资金再次转移的消息，并敦促交易所保持警惕，以防黑客试图套现。

13

   为修复Twitter搜索功能，

   马斯克聘请知名黑客

据外媒报道，马斯克聘请了著名的安全黑客乔治·霍兹(George Hotz)来修复Twitter损坏的搜索功能。

此前，马斯克曾对推特进行大批量裁员，甚至因为裁员过猛还误裁数十名员工，并让其返岗工作。据了解，为了修复Twitter损坏的搜索功能，马斯克还聘请著名安全黑客为实习生。

乔治·霍兹在17岁时成为第一个解除iPhone SIM卡锁的人，从而引起了公众的注意。之后，他对PS3进行了逆向工程，并创立了AI创业公司comma.ai，致力于基于机器学习算法的车辆自动化技术。不过，修复Twitter搜索可能是他目前面临的最棘手的问题。

14

   量子密钥分发系统将

   在俄罗斯正式部署应用

据外媒报道，InfoTex公司研发的ViPNet QSS量子密钥分发系统已经获得俄罗斯安全局的证书，通过监管机构认证，并将在俄罗斯的企业间开始部署应用。

据了解，量子密钥分发是利用量子力学特性来保证通信安全性的一项技术，使通信的双方能够产生并分享一个随机的、安全的密钥，来加密和解密消息。InfoTex表示，ViPNetQSS量子密钥分发系统通过认证并开始应用将成为俄罗斯量子通信发展的重要里程碑，为在俄罗斯企业的基础设施上引入量子密码通信综合体开辟了新的机遇。

15

   澳慈善机构遭网络攻击，

   黑客企图盗取资金

据澳媒消息，澳洲慈善机构The Smith Family遭遇网络攻击，捐赠者信息可能已被黑客窃取。

该慈善机构表示，在关闭之前，一个未经授权的第三方正试图利用该团队成员的电子邮件账户从The Smith Family盗取资金。

首席执行官Doug Taylor在一份声明中表示：“我们迅速采取了行动，对方未能成功。我们立即采取措施保护系统。随后开始对该事件进行调查，并聘请网络安全专家了解发生了什么。”

The Smith Family发现，个人捐赠者的个人信息可能在黑客攻击中被访问。包括姓名、电话号码、地址或电子邮件地址，以及捐款金额等信息极可能已被攻击黑客访问。

16

   黑客撞库攻击体彩公司，

   非法窃取30万美元

日前，美国体育博彩公司DraftKings 发布消息称遭遇黑客撞库攻击，导致客户损失高达30万美元。据悉，DraftKings 所有被劫持账户的共同点似乎是最初的5美元存款。攻击者更改密码后，在不同的电话号码上启用双因素身份验证 (2FA)，然后从受害者关联的银行账户中盗取了尽可能多的现金。

DraftKings公司在公告中表示，该公司将把钱返还给客户账户，并强调没有证据表明DraftKings系统受损。

17

   Windows 8.1将于2023年

   1月10日停止支持

微软将于2023年1月10日停止对Windows 8.1的支持，且不提供扩展支持包。

对Windows 8.1用户而言，选择只有两个：购买新Windows PC，或者付费升级到Windows 10或11。1月10日之后，微软将停止向Windows 8.1 提供安全补丁，意味着用户将会面临更大的安全风险。如果Windows 8.1想要升级，鉴于Windows 11提高了硬件需求，大部分Windows 8.1 PC 可能满足不了升级条件，只剩下升级到Windows 10这一选项。微软将会一直支持Windows 10到2025年10月14日。

18

   欧洲议会官网遭攻击，

   一度瘫痪无法显示

当地时间11月23日下午，欧洲议会官网遭到黑客攻击，网站一度瘫痪无法显示。据了解，大约在该机构报告故障两小时后，议会网站再次启动。

随后，俄罗斯背景的黑客组织 Killnet声称对造成欧洲议会网站瘫痪的DDoS 攻击负责。欧洲议会主席梅特索拉在网站瘫痪后不久发推文称，“欧洲议会正遭受复杂的网络攻击。一个亲克里姆林宫的组织（pro-Kremlin group）声称对此负责。我们的 IT 专家正在反击，保护我们的系统。”

19

  晋江文学城：

   域名被黑客攻击

11月23日消息，” 晋江文学城 ” 官微发文称，今日下午，晋江域名被黑客攻击，技术人员在 2 小时内找到问题并恢复解析，目前绝大部分地区状态正常。

但由于个别地区通信运营商未遵守定期更新 DNS 规则，强行缓存了错误的 IP 地址，致使该区域 jjwxc.net 域名被污染，造成部分用户访问晋江有异常。

20

  黑客借停产网络服务器漏洞

   破坏印度能源组织

日前，微软发布消息称，自2005年以来，影响Web服务器的安全漏洞已被用来针对和破坏能源领域的组织。

网络安全公司早在今年4月，曾发布报告称有国家背景的黑客组织以印度电网运营商为目标，破坏了印度国家应急响应系统和一家跨国物流公司的子公司。据悉，攻击者通过网络上暴露在互联网上的摄像头作为命令和控制服务器，获得了对被黑实体内部网络的访问权限。

近期威胁情报

1.近日，有安全研究人员披露称，持续的供应链攻击一直利用恶意Python包分发名为W4SP Stealer的恶意软件。截止目前，已有数百名受害者落中招。

安全研究人员分析称，此次攻击活动与网络犯罪有关，在披露的信息中还指出，标记了Python包索引 (PyPI) 上发布的 30 个不同模块，这些模块旨在以看似良性的包为幌子传播恶意代码。此外，这次攻击只是针对软件供应链的最新威胁，不同的使用了隐写术来提取隐藏在Imgur上托管图像文件中的多个恶意软件负载。

2.日前，微软Microsoft Exchange爆出两个高危的安全漏洞ProxyNotShell，目前已经有相关证据表明这两个漏洞已经被黑客利用发起攻击。

据悉，跟踪为 CVE-2022-41082 和 CVE-2022-41040，这两个漏洞影响 Microsoft Exchange Server 2013、2016 和 2019，并允许攻击者提升权限以在系统上下文中运行 PowerShell，并在系统上获得任意或远程代码执行受损的服务器。

在本月发布的补丁中，微软就两个高危安全漏洞进行了更新。

3.日前，微软安全威胁情报团队发布警告称，被跟踪为DEV-0569的黑客组织正在通过Google Ads分发各种恶意软件，近期活跃的Royal 勒索软件也在其中。

据悉，DEV-0569黑客组织进行的恶意软件分发活动，主要以 传播 指向嵌入垃圾邮件、论坛页面和博客评论中的伪装成正版软件安装程序的下载链接为主。

4.日前，有安全团队发现一新型勒索软件AXLocker，该勒索软件不仅会加密数据文件索要赎金，还会窃取感染用户的Discord帐户。

安全研究人员分析称，当用户使用凭据登录Discord时，平台会发回保存在计算机上的用户身份验证令牌。然后使用此令牌可以使用用户身份登录或发出 API请求检索关联帐户的信息，这也是勒索软件团伙窃取Discord帐户的目的所在。勒索软件组织通过窃取Discord帐户身份验证令牌，接管账户甚至以此为跳板，进一步实施恶意攻击。

5.日前，威胁情报公司Cyble披露称，发现三个新型勒索病毒，分别名为AXLocker、Octocrypt和Alice。其中，AXLocker 勒索软件在加密数据文件后，还会从受感染的设备上窃取Discord令牌。从代码分析来看，startencryption() 函数通过枚举 C: 驱动器上的可用目录来实现搜索文件的功能。不过，该恶意软件仅针对特定的文件扩展名，并从加密过程中排除目录列表。

6.Elastic Security Labs 报告《2022 Global Threat Report》称，只有 6.2% 的恶意程序是针对macOS设备，而针对Windows和Linux的恶意程序分别占54.4%和39.4%。

其中令人意外的是近半数macOS恶意程序来自一个应用MacKeeper，讽刺的是该应用自称零努力就能保护Mac干净且安全。但因为该应用拥有广泛的权限，能访问进程和文件，攻击者能滥用它，保护系统安全的应用变成了一种安全风险。MacKeeper 还被指对新手而言难以卸载，很多用户还将其标记为恶意杀毒软件。

7.一项名为Ducktail的网络犯罪行动，一直利用WhatsApp劫持Facebook Business帐户，造成高达60万美元的广告信用损失。据悉，Ducktail网络犯罪团伙在使用恶意软件窃取与Facebook相关的信息并劫持相关企业帐户时被发现。

经溯源发现，Ducktail网络犯罪团伙通过LinkedIn提供信息窃取恶意软件，引诱目标启动一个恶意文件，这些文件通常是与其品牌、产品和产品规划相关的关键词。此举的目的，则是获得受害者Facebook 商业帐户的访问权限。

8.研究人员发现，与 iPhone 相关的分析数据包括可以识别用户的目录服务标识符 (DSID)。

软件公司Mysk研究人员发现，iPhone收集的分析数据包括目录服务标识符 (DSID)，可被用于识别用户。Apple同时收集 DSID 和 Apple ID，这意味着它可以使用前者来识别用户并检索相关的个人信息，包括全名、电话号码、出生日期、电子邮件和地址。

Apple使用DSID来唯一标识Apple ID帐户。DSID 与您的姓名、电子邮件以及您 iCloud 帐户中的任何数据相关联。这是对 iCloud 的 API 调用的屏幕截图，可以清楚地看到 DSID 以及用户的个人数据。

专家分析称，这种行为违反了公司的隐私政策，该政策规定“所收集的信息都不会识别您的个人身份”。

来源：网安视界