国外:一周网络安全态势回顾之第94期
国外:一周网络安全态势回顾之第94期
原创 铸盾安全 河南等级保护测评 2025-04-14 05:54
以下是本周回顾:
日立能源漏洞
美国CISA发布了两份公告,描述了日立能源产品中的漏洞。一份公告描述了RTU500系列产品中的两个高严重性和两个中等严重性漏洞,这些漏洞可用于发起DoS攻击。第二份公告描述了TRMTracker应用程序中的三个中等严重性漏洞,这些漏洞可导致远程命令执行、Web缓存中毒和敏感信息泄露。
EncryptHub 揭秘
据 Outpost24称,名为EncryptHub(又名Larva-208)的威胁行为者似乎是一名乌克兰公民,他在寻找合法工作的同时参与了网络犯罪活动。由于运营安全措施 (OPSEC) 不力,Outpost24的研究人员得以追踪该男子近年来的行踪,但他们并未公开其姓名。最近,他因负责任地披露了两个漏洞而受到微软的表彰。
Neptune RAT 窃取 270 个应用程序的密码
Cyfirma分析了Neptune RAT,这是一款针对Windows系统的远程访问木马,具有破坏性,能够窃取270多个应用程序的密码。该恶意软件使用各种持久化方法和反分析技术,还包含勒索软件、加密货币裁剪器、桌面监控和反杀毒功能。
谷歌披露俄罗斯针对欧洲的间谍活动
谷歌云披露了与俄罗斯有关联的威胁行为者UNC5837在针对欧洲政府和军事组织的网络间谍攻击中所采用的策略和技术细节。谷歌的报告重点关注了攻击者如何利用鲜为人知的RDP功能来访问受害者的设备并窃取数据。此前,微软和AWS曾对此次攻击活动进行过分析。
WK Kellogg 数据泄露
食品巨头WK Kellogg已通知员工,他们的信息可能在Cl0p勒索软件组织发起的Cleo攻击中遭到泄露。目前尚不清楚此次数据泄露事件影响了多少人,但受影响人数可能不多。例如,在缅因州,目前仅确认一名受影响人员。
Rydox 网络犯罪市场管理员被引渡至美国
科索沃国民Ardit Kutleshi 和 Jetmir Kutleshi已被从科索沃引渡到美国,他们面临身份盗窃、洗钱和访问设备欺诈指控,这些指控与他们涉嫌担任 Rydox 网络犯罪市场的管理员有关,当局于去年年底 捣毁了该市场。
重大医疗数据泄露
最近又曝光了两起较为严重的医疗数据泄露事件。默瑟县联合镇社区医院通知8.8万人,他们的个人信息(包括社会安全号码和财务信息)可能在2024年4月发生的网络攻击中被盗。
第二起案件涉及德克萨斯州中部儿科骨科诊所,该诊所最近成为“麒麟”勒索软件组织的攻击目标。调查显示,网络犯罪分子成功窃取了14万人的个人及健康信息。
Splunk和Palo Alto Networks补丁
Splunk发布了15条公告,描述了2025年4月的第三方软件包更新。这些更新主要解决了Juniper、Microsoft、Symantec和其他组件中的严重和高严重性漏洞。
Palo Alto Networks发布了近十几份新安全公告。其中大多数针对影响 Cortex XDR、PAN-OS、Prisma 和 GlobalProtect 产品的中低严重性问题。这些安全漏洞可能导致命令注入、DoS攻击、信息泄露、用户冒充和权限提升。这家安全巨头表示,目前尚无证据表明这些漏洞已被野外利用。
尽管被捕,但“散落蜘蛛”仍然活跃
尽管多名成员已被逮捕和起诉,但“散落蜘蛛”网络犯罪团伙仍然活跃。据Silent Push报道,今年黑客攻击的目标包括Klaviyo、HubSpot和Pure Storage等服务,以及Chick-fil-A、福布斯、Instacart、路易威登、晨星、新闻集团、耐克、X、Tinder、T-Mobile和沃达丰等品牌。
Fortinet 称黑客利用新技术利用已知漏洞
Fortinet已告知客户,已观察到威胁行为者利用已知漏洞“使用新技术在原始访问向量被锁定后,保持对易受攻击的FortiGate设备的只读访问权限”。该公司的调查确定,这些攻击并非针对特定地区或部门。
分散蜘蛛的遗留 TTP 和行为
Silent Push分析师会审查所有追踪威胁的机会,从页面内容、服务器详情、部署流程到首选技术解决方案。以下是安全团队观察到的Scattered Spider的一些遗留行为:
网络钓鱼工具包有多种变体,每种变体如下:
视觉上平等
使用非常独特的源代码
重复使用专用服务器
在同一天或几天内注册大量域名,通常针对特定公司或同一业务领域的几家公司。
在不同的攻击中创建针对特定公司的多个域名。
上次看到的首选注册商:
NiceNIC
上次看到的首选主机:
Njalla
、
Virtuo
和
Cloudflare
历史上首选的主机和注册商:
Porkbun
、
Namecheap
、
Hostinger
、
Tucows
和
Hosting Concepts
首选
ASN
:
Cloudflare
(
AS13335
)、
Choopa
(
AS20473
)、
DigitalOcean
(
AS14061
)、
Hostinger
(
AS47583
)、
Akamai-Linode
(
AS63949
)和
Namecheap
(
AS22612
)
目标行业:
金融、零售、娱乐、电信、云存储平台和软件提供商
域名关键词的使用:
“
connect”
、
“corp”
、
“duo”
、
“help”
、
“he1p”
、
“helpdesk”
、
“helpnow”
、
“info”
、
“internal”
、
“mfa”
、
“my”
、
“okta”
、
“onelogin”
、
“schedule”
、
“service”
、
“servicedesk”
、
“servicenow”
、
“rci”
、
“rsa”
、
“sso”
、
“ssp”
、
“support”
、
“usa”
、
“vpn”
、
“work”
、
“dev”
、
“workspace”
、
“it”
和
“ops”
。顶级域名
(TLD)
关键词的使用:
“com”
、
“co”
、
“us”
、
“net”
、
“org”
和
“help”
。
2024年10月,谷歌威胁情报小组 (GTIG) 观察到一场针对欧洲政府和军事组织的新型网络钓鱼攻击活动,该活动被归咎于一个疑似与俄罗斯有关联的间谍组织,我们追踪的编号为 UNC5837。该攻击活动使用签名的 .rdp 文件附件与受害者的计算机建立远程桌面协议 (RDP) 连接。与典型的专注于交互式会话的 RDP 攻击不同,该攻击活动创造性地利用了资源重定向(将受害者的文件系统映射到攻击者的服务器)和RemoteApps(向受害者呈现攻击者控制的应用程序)。有证据表明,该攻击活动可能涉及使用
PyRDP
等RDP代理工具来自动执行文件泄露和剪贴板捕获等恶意活动。这种技术
之前被称为
“Rogue RDP”。
该活动可能使攻击者能够读取受害者驱动器、窃取文件、捕获剪贴板数据(包括密码)并获取受害者环境变量。虽然没有观察到攻击者在受害者机器上直接执行命令的情况,但攻击者可能利用欺骗性应用程序进行网络钓鱼或进一步入侵。该活动的主要目标似乎是间谍活动和文件窃取,但攻击者的具体能力尚不确定。此次活动再次警示人们,隐蔽的 RDP 功能可能带来安全风险,并强调保持警惕和主动防御的重要性。
— 欢迎关注 往期回顾
—
精彩回顾:祺印说信安2024之前
网络安全等级保护:等级保护工作、分级保护工作、密码管理工作三者之间的关系
浅谈网络“四法四条例四办法一意见”与山东数字政府建设改革方案
祺印说信安2024年一年回顾
2025收集更新信通院白皮书系列合集(665个)下载
——等级保护
河南省新规定测评与密评预算再调低
四川省等级测评与商密评估预算计算方法
广西壮族自治区等级测评与商密评估预算为几何?
黑龙江财政关于等级测评与商密评估预算为几何?
和Deepseek一起共同探讨《国家信息化领导小组关于加强信息安全保障工作的意见》
和Deepseek一起共同探讨《关于信息安全等级保护工作的实施意见》
——数据安全
《网络数据安全管理条例》解读
——错与罚
江苏涟水农村商业银违反网络安全与数据安全管理规定等被罚114.5万
江苏灌南农商行因违反数据安全管理规定等被罚97.5万
网安企业“内鬼”监守自盗,窃取个人信息2.08亿条
郑州3家公司未履行网络安全保护义务被网信部门约谈
25年郑州新增两家公司违反《网络安全法》被市网信办行政处罚
驻马店市委网信办就网络安全问题依法约谈相关责任单位
两家银行因数据安全相关问题,被罚款
河北保定竞秀区委网信办依法约谈网站负责人
贵港市网信办公布2起网络安全违法违规典型案例
公安机关依法严厉打击侵犯公民个人信息犯罪,10起典型案例公布
重庆网信部门近期就企业违法违规情况开展多起约谈与处罚
新华社:中国电信、中国移动、中国联通,集体回应!