2024年3月2日至2024年3月8日，国家信息技术安全研究中心威胁监测部对境内外互联网上的网络安全信息进行了搜集和整理，并按APT攻击、勒索攻击、网络动态、漏洞资讯、木马病毒进行了归类，共计22条。

01

APT攻击

01

APT37以朝鲜敏感话题为诱饵对韩国目标实施网络攻击

近日，安全研究人员捕获到APT37以朝鲜敏感话题为诱饵对韩国目标实施网络攻击的两个样本。其中，样本一以韩国国家安全与统一研究所高级研究员、檀国大学行政法研究生院兼职教授、21世纪战略研究所所长关于朝鲜敌意行为加剧及对外渗透和间谍活动增多等文章为诱饵，诱使韩国目标用户点击实施入侵；样本二使用了多个诱饵文件，包括朝鲜研究所人员及社会人士发表的针对朝鲜政治话题的文章，攻击韩国从事朝鲜政治问题研究的相关人员。从捕获的样本看，本次攻击该组织使用的核心木马较一年前无太大变化，仅通过改变诱饵文件及木马加载方式来提高攻击的成功率，这种简单快捷的攻击方式虽然可以快速发起攻击，但也存在易被安全产品检测的问题，为此，攻击活动中该组织扩大了压缩包的容量以逃避检测。随着两国关系的持续紧张，类似的攻击活动将会继续增多。

链接：

02

APT组织使用新后门对参与印度外交活动的欧洲有关官员实施网络攻击

APT组织使用名为的新后门对参与印度外交活动的欧洲有关官员实施网络攻击。据 安全公司报告透露，该APT组织伪造印度大使PDF文件，并于2024年1月30日从拉脱维亚将该文件上传到，诱使欧洲外交人员点击2024年2月2日印度大使举办品酒活动的邀请函，以实施网络渗透入侵。安全研究人员苏迪普·辛格( Singh)和罗伊·泰(Roy Tay)表示：“此次攻击的特点是攻击量非常小，并且在恶意软件和命令与控制(C2)基础设施中采用了先进的策略、技术和程序(TTP)。”这次新型攻击的核心是PDF文件，该文件嵌入了一个伪装成调查问卷的恶意链接，敦促收件人填写该链接才能参与。单击该链接将为包含代码的HTML应用程序（wine.hta）嵌入铺平道路，同时将包含的ZIP文件部署到目标设备上，以实现持久化远控。

链接：

02

勒索攻击

01

美国网络和执法机构针对勒索软件攻击活动发布安全公告

美国CISA、FBI和MS-ISAC发布联合网络安全公告(CSA)，警示相关用户防范、Devos、Eight、和Faust等勒索软件变种的攻击。2024年2月，攻击者使用该勒索软件对政府、教育、紧急服务、医疗保健和其他关键基础设施等目标实施了攻击。自2019年5月以来一直活跃，并采用勒索软件即服务(RaaS)的模式和各种开源工具对目标实施入侵。这些开源工具包括 、 和，可在不同的操作环境中使用，且有助于勒索软件及相关变体的应用。据观察，背后的攻击者通过网络钓鱼方式获得目标网络的初始访问权限，然后利用隐藏的有效负载或互联网协议(IP)扫描工具（例如Angry IP ）对易受攻击的远程桌面协议(RDP)端口或 环境进行搜索，使用启动文件夹和运行注册表项在受感染的环境中保持持久性，进而使用、、、和 等开源工具枚举和收集目标设备的活动目录及凭据，并将窃取的数据上传到FTP服务器或云存储。

链接：

03

网络动态

01

新加坡.Pro AI平台发生数据泄露，2000万日志信息被泄露

2024年2月27日，位于新加坡从事图像和视频编辑的.Pro人工智能平台发生数据泄露事件，一名自称的黑客声称，成功攻破了.Pro，并在网络犯罪和黑客论坛（包括 ）上公布了窃取的数据，内容包括：用户全名、IP地址、电子邮件地址、密码哈希值和帐户注册数据，以及2000万条日志条目。

02

新的 SAML攻击可规避身份系统中的SAML防御功能

网络安全研究人员披露了一种名为 SAML的新攻击技术，即使在针对 SAML攻击采取防护缓解措施的情况下也能获得成功。研究人员表示，该技术可对配置为SAML的应用程序（例如）发起攻击，且冒充组织中的任何身份，以任意权限访问目标网络中的各类服务，并以隐秘的方式在目标环境中长期驻留。

03

美国律师事务所 LLP发生数据泄露事件

专门为知名金融机构提供服务的美国律师事务所 LLP表示，近期发生的一起攻击活动中暴露了超过325,000人的个人数据。该公司表示，某些文件在事件发生期间被加密，数据包括：用户姓名、社会安全号码、驾驶执照号码、个人纳税识别号码、金融账户信息和医疗信息中的一项或多项。目前，该公司已向加州总检察长提交了报告。

04

数百万个存储库感染恶意代码

近日，安全研究人员在上发现了大规模的存储库混淆攻击活动，影响了数百万个存储库数据的安全。这种复杂的网络攻击通过诱骗开发人员下载和使用伪装成合法存储库的恶意存储库，以实现对开发人员的攻击。开发了一种恶意代码检测系统，可监控代码库并使用深度代码分析和反混淆等先进技术识别和防止此类攻击。用户可使用ANY.RUN恶意软件沙箱和威胁情报查找分析恶意软件文件、网络、模块和注册表活动，从而用户可以直接从浏览器与操作系统进行交互。这些存储库会自动分叉数千次，并在各种在线平台上进行推广，以提高其可见性和被开发人员错误使用的可能性。

05

乌克兰GUR入侵俄罗斯国防部的服务器，并泄露大量机密文件

乌克兰国防部情报局（GUR）宣布，作为一项特别行动的一部分，他们入侵了俄罗斯国防部的服务器，并泄露了机密文件。被盗文件包括：俄罗斯军队2000多个单位使用过的命令和报告等机密文件；俄罗斯国防部用来加密和保护其数据的软件；俄罗斯战争部的特工文件集。这些文件不仅揭示了俄罗斯国防部的领导层的结构，还详细列出了包括各个部门高层官员在内的重要人物，涉及到诸多代表、助理和专家等角色。此外，声明中还透露，乌克兰情报部门成功窃取了俄罗斯联邦国防部副部长帖木儿·瓦季莫维奇·伊万诺夫的个人文件。

06

韩国情报机构称，朝鲜黑客窃取了韩国公司的半导体信息

去年12月和今年2月份，朝鲜黑客组织先后入侵了至少两家韩国半导体制造设备生产商的服务器，窃取了产品设计图纸和工厂照片，并生产了自己的半导体产品，且用于武器项目。消息传出后，韩国总统警告称，朝鲜可能会采取挑衅行为，如开展网络攻击或散布虚假新闻，干扰韩国四月份的议会选举。情报机构表示，韩国公司自去年底就成为朝鲜黑客攻击的重点目标，并呼吁加强网络系统的安全性。

07

黑客在暗网市场上出售被盗的凭证

2023年1月至10月期间，超过22.5万个 凭证在地下市场上被出售。据Group-IB公司调查显示，这些被盗凭证在、和等恶意软件持有者的日志中被发现。该公司在《2023-2024年高科技犯罪趋势》报告中表示：2023年6月至10月期间，超过130,000个能够访问 的主机遭到黑客渗透，比前5个月增加了36%，参与窃取行动的前3个恶意软件家族包括：（70,484 台主机)、 （22,468 个主机）、（15,970 台主机）。

08

攻击者使用新型DNS劫持技术进行投资诈骗

一个名为Savvy 的攻击者正在利用复杂技术引诱目标进入虚假投资平台并窃取资金。攻击包括：俄语、波兰语、意大利语、德语、捷克语、土耳其语、法语、西班牙语和英语等目标用户。攻击者利用等社交媒体平台伪造的广告吸引用户，同时通过虚假的和机器人诱骗用户投资，以换取所谓的高回报投资机会。此次金融诈骗活动使用DNS规范名称(CNAME)记录创建流量分配系统(TDS)，以规避安全设备的检测。这种方法的一个优点是，当主机的IP地址发生更改时，仅需要更新根域的DNS A记录即可恢复对伪造域名的管理权限。

04

漏洞资讯

01

Parse 存在SQL注入漏洞（CVE-2024-27298）

近日，安全研究人员发现开源node.js后端框架Parse 存在SQL注入漏洞（CVE-2024-27298），是由正则表达式处理机制存在缺陷所导致，允许攻击者获取敏感信息或执行未授权操作。漏洞影响Parse < 6.5.0等版本，目前用户可通过版本升级修复上述漏洞。

02

存在反序列化漏洞（CVE-2024-23328）

近日，安全研究人员发现开源数据可视化分析工具存在反序列化漏洞（CVE-2024-23328），位于core/core-/src/main/java/io///type/Mysql.java组件中，是由用户jdbc参数过滤机制存在缺陷所导致，允许攻击者利用该漏洞绕过mysql jdbc攻击黑名单，进而导致反序列化执行或读取任意文件。漏洞影响 < 1.18.15等版本，目前用户可通过版本升级修复上述漏洞。

03

存在2个安全漏洞（CVE-2024-27198、CVE-2024-27199）

近日，安全研究人员发现 On-软件存在2个安全漏洞（CVE-2024-27198、CVE-2024-27199），攻击者可利用上述漏洞绕过目标设备身份验证机制，获取服务器的访问权限。漏洞影响2023 年 11 月 3 日之前的所有 On-版本，目前用户可通过版本升级修复上述漏洞。

04

Apple操作系统存在2个安全漏洞(CVE-2024-23296、CVE-2024-23225)

近日，安全研究人员发现Apple iOS与操作系统存在RTKit安全特性绕过漏洞(CVE-2024-23296)和安全特性绕过漏洞(CVE-2024-23225)，本地攻击者可利用上述安全漏洞绕过内核内存保护机制。漏洞影响iOS < 17.4、 < 17.4等版本，目前用户可通过版本升级修复上述漏洞。

05

ESXi & & 存在释放后使用漏洞（CVE-2024-22252、CVE-2024-22253）

近日，安全研究人员发现 ESXi&&存在释放后使用漏洞（CVE-2024-22252、CVE-2024-22253），具有虚拟机本地管理权限的攻击者可利用该漏洞在目标虚拟机上执行任意代码。漏洞影响 17.x等版本的多个产品，目前用户可通过补丁更新修复上述漏洞。

06

存在身份验证绕过漏洞（CVE-2024-0199）

近日，安全研究人员发现开源代码协作平台存在身份验证绕过漏洞（CVE-2024-0199），攻击者可利用该漏洞绕过身份验证，窃取受保护的变量，导致敏感信息泄露。漏洞影响 CE/EE ≥ 11.3等版本，目前用户可通过版本升级修复上述漏洞。

07

存在反序列化漏洞（CVE-2024-26580）

近日，安全研究人员发现数据集成框架 存在反序列化漏洞（CVE-2024-26580），位于方法组件中，攻击者可利用该漏洞向目标设备发送恶意载荷，进而读取目标设备任意文件。漏洞影响 1.8.0 - 1.10.0等版本，目前用户可通过版本升级修复上述漏洞。

08

Pulse VPN存在XXE漏洞（CVE-2024-22024）

近日，安全研究人员发现 Pulse VPN存在XXE漏洞（CVE-2024-22024），攻击者可利用该漏洞向目标服务器发送构造的恶意请求，触发XXE并获取目标服务器高级权限。漏洞影响 = 9.1R14.4、9.1R17.2等版本，目前用户可通过版本升级修复上述漏洞。

05

木马病毒

01

新的网络钓鱼工具包被披露

一种名为的新网络钓鱼工具包被安全人员披露。该工具包使用冒充的Okta、Gmail、、、、Yahoo和AOL等网络钓鱼页面，针对、、和等加密货币平台的用户和员工，以及联邦通信委员会(FCC)员工实施钓鱼攻击。攻击者利用精心策划的复杂网络钓鱼和社会工程攻击方式，包括电子邮件、短信和语音网络钓鱼，诱导受害者在网络钓鱼页面上输入用户名、密码等敏感信息，在某些情况下甚至包括带照片的身份证件。研究人员发现的网络钓鱼操作与 黑客组织2022年实施的活动类似，但没有足够的证据证明其归属关系。

02

间谍软件蔓延，致使11个国家的网络面临风险

集团研究人员披露了开发并由联盟管理的 间谍软件，可能对至少11个国家的网络构成影响。自2019年以来，该软件已在11个国家被发现，包括安哥拉、亚美尼亚、博茨瓦纳、埃及、印度尼西亚、哈萨克斯坦、蒙古、阿曼、菲律宾、沙特阿拉伯、特立尼达和多巴哥。该软件专为和iOS设备而设计，隐秘渗透功能强大，可在用户不知情的情况下访问设备的麦克风、摄像头和敏感数据。目前，这种多功能性的间谍软件，已成为黑客手中的强大工具。

03

针对移动运营商网络的隐形 Linux恶意软件被披露

安全研究人员 发现了一个以前未知的Linux后门，名为，专为移动运营商网络内的秘密操作而设计。使用的黑客通常以GPRS漫游交换(GRX)附近的系统为目标，例如SGSN、GGSN和P-GW，这些系统可以为攻击者提供对电信核心网络直接访问的环境。GRX是移动电信的一个组件，可促进跨不同地理区域和网络的数据漫游服务。服务GPRS 支持节点(SGSN)、网关GPRS支持节点(GGSN)和P-GW（分组数据网络网关（用于4G LTE）是移动运营商网络基础设施内的组件，每个组件在移动通信中发挥不同的作用。由于SGSN、GGSN和P-GW网络暴露在公众面前，IP地址范围列在公开文件中，研究人员认为它们可能是获得移动运营商网络初始访问权限的目标。是一种专为电信网络量身定制的复杂后门恶意软件，利用GPRS隧道协议控制平面(GTP-C)进行隐蔽命令和控制(C2)通信。它设计用于部署在与GRX相邻的基于Linux的系统中，负责路由和转发漫游相关的信令和用户平面流量。使用GTP-C进行通信允许与合法网络流量混合，并利用不受标准安全解决方案监控已允许的端口。为了提高隐蔽性，可以更改其进程名称，并可模仿合法的系统进程。