第359期

你好呀~歡迎來到「安全頭條」！如果你是第一次光顧，可以先閱讀站內公告了解我們哦。

歡迎各位新老顧客前來拜訪，在文章底部時常交流、瘋狂討論，都是小安歡迎噠~如果對本小站的內容還有更多建議，也歡迎底部提出建議哦！

1、360公司：關於西北工業大學發現美國NSA網絡攻擊調查報告（之一）

2022年6月22日，西北工業大學發布《公開聲明》稱，該校遭受境外網絡攻擊。陝西省西安市公安局碑林分局隨即發布《警情通報》，證實在西北工業大學的信息網絡中發現了多款源於境外的木馬程序樣本，西安警方已對此正式立案調查。

中國國家計算機病毒應急處理中心和360公司第一時間成立技術團隊開展調查工作，全程參與此案技術分析。技術團隊先後從多個信息系統和上網終端中捕獲到了木馬程序樣本，綜合使用國內現有數據資源和分析手段，並得到歐洲、南亞部分國家合作夥伴的通力支持，全面還原了相關攻擊事件的總體概貌、技術特徵、攻擊武器、攻擊路徑和攻擊源頭，初步判明相關攻擊活動源自美國國家安全局(NSA)的「特定入侵行動辦公室」(Office of Tailored Access Operation，後文簡稱TAO)。

該系列研究報告將公布美國國家安全局(NSA)「信號特定入侵行動辦公室」(TAO)對西北工業大學發起的上千次網絡攻擊活動中，某些特定攻擊活動的重要細節，為全球各國有效防範和發現TAO的後續網絡攻擊行為提供可以借鑑的案例。[閱讀原文]

2、今年第二次，三星證實部分美國用戶信息被盜

三星發布公告，證實部分美國用戶信息在 7 月發生的網絡攻擊事故中被盜。

三星稱它在七月下旬檢測到有未經授權的第三方從其美國系統中竊取了信息。8 月 4 日前後它確定部分客戶信息被訪問。三星表示客戶的社會安全號碼或信用卡和借記卡號碼未受到影響，攻擊者可能訪問了客戶姓名、聯繫人和人口統計信息、出生日期和產品註冊信息。目前，三星表示正在加強系統安全，與執法部門協調調查。[閱讀原文]

3、美國國稅局數據泄露暴露12萬納稅人個人信息

《華爾街日報》消息，美國官員們周五表示，美國國稅局曾無意中公布涉及約12萬人的機密信息，之後發現了這一錯誤並將這些數據從其網站上刪除。

這些數據來自990-T表，該表通常用於那些擁有個人退休帳戶（IRA）、並從這些退休計劃中賺取某種商業收入的人進行納稅申報。這些人員通常包括個人退休帳戶投資於業主有限合夥企業、房地產或其他產生收入的資產的人，而不包括那些個人退休帳戶只投資於證券的人。

被公布的信息包括姓名、聯繫信息和有關這些IRA收入的財務信息。據美國財政部周五發給國會主要議員的一封信，財政部確定這些被公布的信息不包括社會安全號碼、全部個人收入信息或其他可能影響納稅人信用的數據。美國國稅局和財政部將數據泄露歸咎於去年開始網上提交990-T表時發生的人為編碼錯誤。[閱讀原文]

4、攻擊打車APP，黑客在莫斯科製造巨大交通堵塞

近日，有黑客利用俄羅斯當地網約車應用程式Yandex Taxi同時召喚數十輛計程車前往同一地點，在莫斯科造成了嚴重的交通堵塞。雖然莫斯科在2021年被列為世界上交通最擁擠的城市，但這一事件與日常的交通堵塞無關。

Yandex Taxi在給俄羅斯國有媒體TASS的一份聲明中表示：「9月1日上午，Yandex.Taxi遇到了黑客攻擊，數十名司機收到了前往菲利地區的批量訂單。」堵塞持續了大約40分鐘，其檢測和預防此類攻擊的算法已經得到改進，以防止將來發生類似事件。

Yandex尚未確認是誰發動了襲擊，但有黑客組織匿名者聲稱對此次事件負責。黑客組織表示，它與一個叫做「烏克蘭IT軍」的黑客團體合作，該團體是烏克蘭副總理米哈伊洛·費多羅夫在俄羅斯首次入侵烏克蘭時幫助組建的。

今年早些時候，「匿名者」組織宣稱對俄羅斯發動了一場「網絡戰爭」，並隨後聲稱他們劫持了俄羅斯的電視頻道，播放了這場在俄羅斯被認為是「非法」的戰爭的片段。自那以後，黑客活動分子泄露了大量數據，以及大量屬於俄羅斯政府機構和大公司的電子郵件，這是一場針對俄羅斯的持續網絡行動的一部分。[閱讀原文]

5、新型網絡釣魚詐騙，盯上美國運通卡用戶

網絡安全公司 Armorblox 發現了針對美國運通客戶的新網絡釣魚活動。研究人員稱，為誘使持卡人打開釣魚郵件，這些電子郵件的主題通常會標註為「關於您的帳戶的重要通知」，試圖敦促收件人打開它。打開後，該電子郵件會顯示為來自美國運通的合法電子郵件通信，而內容會指導持卡人如何查看附加的安全加密消息。

打開附件後，受害者收到一條消息，宣布對關聯帳戶的額外驗證要求。通過包含這樣的語言，「這是您在我們暫停之前確認它的最後機會」向受害者灌輸了緊迫感，並提示受害者完成作為全球更新的一部分所需的一次性驗證過程來自美國運通團隊。」單擊消息中的連結後，受害者將被重定向到虛假的美國運通登錄頁面，其中包括公司的徽標和下載美國運通應用程式的連結。該頁面旨在要求受害者輸入他們的用戶 ID 和密碼。

據悉，該網絡釣魚活動通過 DKIM 和 SPF 電子郵件身份驗證，繞過了本地 Google Workspace 電子郵件安全控制，目前已此類郵件已發送到16000 多個用戶的地址。 [閱讀原文]

6、SharkBot惡意軟體潛入Google Play竊取帳戶信息

最新消息顯示，SharkBot 惡意軟體的新升級版本已「回歸」Google Play商店，這一次該惡意軟體的目標是通過安裝數萬次的應用程式登錄Android用戶的銀行業務。

該惡意軟體存在於兩個 Android 應用程式中，這些應用程式在提交給 Google 的自動審查時沒有任何惡意代碼。但SharkBot實際會在用戶安裝並啟動dropper應用程式後發生的更新中添加，此外還增加了從銀行帳戶登錄中竊取 cookie 的功能。

安全研究人員稱，暗藏惡意軟體的兩款應用程式分別是「Mister Phone Cleaner」和「Kylhavy Mobile Security」，下載總數為60000次。目前，這兩款應用已在Google Play中刪除。[閱讀原文]

本文由安全客原創發布
轉載，請參考轉載聲明，註明出處： https://www.anquanke.com/post/id/279556
安全客 - 有思想的安全新媒體