每日安全资讯（2022.06.23）

安全分析团队最近发现了 Bumblebee 的活跃分布，这是一种下载器类型的恶意软件。它使用 ISO 文件中的网络钓鱼电子邮件分发，该文件包含快捷方式和恶意 DLL 文件。还有一些恶意软件通过电子邮件劫持分发给韩国用户的案例。在分发Bumblebee的网络钓鱼电子邮件时，他们劫持了正常的电子邮件，并作为带有恶意附件的回复发送给用户。收到邮件的用户可能会以为是正常回复打开附件，请谨慎处理。其他网络钓鱼电子邮件也正在使用电子邮件劫持方法分发。钓鱼邮件还可能包含恶意URL，以提示用户下载文件。此方法使用Google Drive进行分发。

（来源：https://ti.nsfocus.com/security-news/IlNBZ）

以色列国家网络局（INCD）当地时间6月20日早上证实，19日晚上在耶路撒冷和埃拉特启动的虚假火箭警报很可能是由网络攻击引起的。据报道，以色列国防军最初将其归咎于系统故障，警报响了近一个小时。平民区的火箭弹袭击仍然是以色列的地方性危险。以色列国防军国土战线司令部表示，被破坏的警报器是市政系统，而不是军事系统。伊朗和以色列之间的紧张局势正在加剧，因为德黑兰指责这个犹太国家最近对其核基础设施发动了一连串袭击，而以色列则敦促其公民离开土耳其，因为担心伊朗特工可能在伊斯坦布尔对以色列人发动袭击。以色列网络安全公司公布了一项针对以色列和美国知名高管的鱼叉式网络钓鱼行动，并将其归咎于伊朗。

（来源：https://ti.nsfocus.com/security-news/IlNC1）

据网站披露，德国检察官对名为 Nikolaj Kozachek 的俄罗斯黑客发出了逮捕令，该名黑客被指控对位于德国的北约智库联合空中力量能力中心进行了网络间谍攻击。据悉，网络攻击事件发生在 2017 年 4 月，Kozachek 在成功入侵北约智库的计算机系统后，安装了一个键盘记录器以监视该组织。德国调查人员认为，Kozachek 是与俄罗斯有关的 APT 28 黑客组织（又名 Fancy Bear）的成员，该组织曾在 2015 年网络入侵了德国联邦议院。据 Spiegel 称，联邦检察官已从联邦法院获得了对 Kozachek 的逮捕令。

（来源：https://ti.nsfocus.com/security-news/IlNC4）

威胁参与者正在利用受感染的业务和个人电子邮件帐户将包含网络钓鱼链接的垃圾邮件传递到 Azure Front Door 上托管的虚假 WEB 资源，因为最终用户通常会将此类域列入允许列表或将其视为合法域。在最近的一次活动中观察到的典型网络钓鱼页面场景之一，代表SendGrid发送的虚假账单通知，SendGrid是一个位于科罗拉多州的客户通信平台，用于交易和营销电子邮件。原始的网络钓鱼电子邮件已被安全事务部门保留并遵守。根据分析的模板，攻击者可能会使用自动化的方式来生成他们的网络钓鱼信件，通过这样做，他们能够扩展他们的活动，最终针对全球范围内更广泛的客户。

（来源：https://ti.nsfocus.com/security-news/IlNBX）

6月18日，第十五届全国大学生信息安全竞赛创新实践能力赛（东北赛区）圆满落幕。本次比赛是由中国互联网发展基金会主办，长春理工大学承办，绿盟科技提供技术支持。长春理工大学副校长付跃刚、计算机科学技术学院党委书记刘博、计算机科学技术学院院长蒋振刚、网络中心主任底晓强、教务处副处长王文晶、绿盟科技集团北区总经理崔鸿、科教文卫本部总经理李永松等领导出席开幕式，长春理工大学计算机科学技术学院院长蒋振刚做会议主持。本次比赛受疫情影响，采用线上赛方式进行，共吸引了来自东北三省的28所高校，共50支队伍参赛。

（来源：https://ti.nsfocus.com/security-news/IlNC2）

研究人员已将一个名为 ToddyCat 的新 APT 组织与至少自 2020 年 12 月以来针对欧洲和亚洲知名实体的一系列攻击联系起来。威胁行为者最初对台湾和越南的实体发起了网络间谍活动，观察到 APT 以零日漏洞利用 Microsoft Exchange 服务器为目标。该工具允许攻击者在公开的 Web 服务器上安装 PHP、ASP、ASPX、JSP 和 CFM webshell（后门）。一旦安装了China Chopper Web Shell ，攻击者就可以通过暴露的网站获得对远程服务器的完全访问权限。研究人员观察到与此 APT 相关的其他针对多个国家实体的攻击，包括阿富汗、印度、印度尼西亚、伊朗、吉尔吉斯斯坦、马来西亚、巴基斯坦、俄罗斯、斯洛伐克、泰国、英国和乌兹别克斯坦。ToddyCat 是一个复杂的 APT 组织，它使用多种技术来避免检测，从而保持低调。研究人员无法将这些攻击归因于一个已知的组织；还有很多关于我们没有的操作的技术信息。受影响的政府和军方组织表明，该组织专注于非常引人注目的目标，并且可能用于实现可能与地缘政治利益相关的关键目标。根据我们的遥测，该组织对东南亚的目标表现出浓厚的兴趣，但他们的活动也影响到亚洲其他地区和欧洲的目标。

（来源：https://ti.nsfocus.com/security-news/IlNBY）

研究人员发现，哈萨克斯坦政府实体在其境内部署了复杂的意大利间谍软件。根据上周发布的研究，哈萨克斯坦政府的一名代理人一直在对国内目标使用企业级间谍软件。该政府实体使用品牌冒充来诱骗受害者下载被称为“隐士”的恶意软件。Hermit是由RCS Lab开发的高级模块化程序，RCS Lab是一家专门从事数字监控的意大利臭名昭著的公司。它具有对目标手机进行各种监视的能力——不仅收集数据，还可以记录和拨打电话。这种间谍行动的时机具有额外的意义。研究人员推测，间谍软件是通过假装来自合法来源的 SMS 消息传播的。分析的恶意软件样本冒充电信公司或智能手机制造商的应用程序。Hermit 通过在后台启动恶意活动时提供其冒充品牌的合法网页来欺骗用户。

（来源：https://ti.nsfocus.com/security-news/IlNC0）

为更好把握软件供应链的发展趋势，积极应对不断出现的供应链攻击安全治理难题，推动软件供应链安全产业健康发展，中国信息通信研究院（以下简称“中国信通院”）发起建立“软件供应链安全实验室（3S-Lab）”，并已于6月17日召开的“2022年首届软件供应链安全论坛”暨3S CON（议程及报名详见文章最后）中正式宣布实验室成立，对实验室首批成员单位代表进行授牌。作为国内专业提供开源成分管理及威胁情报服务的创新型科技企业，拥有完备软件供应链安全管理解决方案和深厚供应链安全产业发展经验的棱镜七彩，成功入围当选，成为软件供应链安全实验室3S-Lab的首批成员之一。

（来源：https://ti.nsfocus.com/security-news/IlNC5）

攻击者可以入侵公共设施的SCADA系统来监控峰值负载，或更改分布式能源管理系统 (DERMS) 控制设置，以便当系统负载超过某个限制时，它会向所有车辆发送命令同时充电。”埃森哲安全副总监Gib Sorebo和OT安全高级经理 Aaron Bayles在太平洋时间2022年6月6日的“Hacking and Protecting Distributed Energy Infrastructure（入侵和保护分布式能源基础设施）”的主题汇报中讲到。同时埃森哲预估“到2024年能源互联网市场将达到 2000 亿美元”。2020年9月我国明确提出2030年“碳达峰”与2060年“碳中和”目标，这是中国基于人类实现可持续发展的内在要求做出的重大战略决策，为了实现这一目标，就需要在新能源、新材料、新材料、环保等行业做加法，对钢铁、化工、建筑等行业做减法。通过交通、电力等部门的节能减排、新能源份额的提升、汽车电动化等措施，逐步实现碳中和。

（来源：https://ti.nsfocus.com/security-news/IlNC7）

WEB缓存投毒简单的来说，就是利用缓存将有害的HTTP响应提供给用户。什么是缓存，这里借用Burp官方的一张图来说，就是当一个用户去发起一个请求的时候，会经过缓存，但是缓存中如果不存在的话，后端才会响应并将其添加到缓存，之后的用户如果发送等效请求的话，会直接从缓存中获取。

（来源：https://ti.nsfocus.com/security-news/IlNC9）