“192”号端诈骗电话开卡团伙被打掉，涉案金额超1亿

从去年12月份开始，全国各地“冒充客服类”电信网络诈骗案件高发。骗子多以“192”号段拨打电话，后又以“影响征信”、“注销账户”、“国家利率下调”等理由一步步引导被害人转账。那么这些“192”电话是哪里来的呢？近日，浙江嘉兴平湖市网安大队打掉了一个“192”电话开卡团伙，抓获犯罪嫌疑人20余名，涉案价值超1亿元！行动还紧急关停1万余张“192”号段手机卡，从源头上成功阻断电信网络诈骗犯罪活动。

简要案情

今年1月上旬，平湖市网安大队接群众举报称，其在去年12月下旬办理了5张“192”号段的广电手机卡，后被有价收走后用于犯罪使用。平湖市局结合近期高发的“192”号段电话诈骗的情况，会同广电公司对“192”号段进行全面的排查整治，发现本市多名外来务工人员在非正常办理广电公司“192”号段手机卡。

帮信团伙

经过侦查，平湖市网安大队发现一个流窜在江浙沪三省一市之间的帮信团伙。该团伙通过层层发展人力资源公司，拉开卡人员供卡，将低价收取的“192”号段广电卡高价提供给GOIP团伙，为境外诈骗团伙提供远程终端服务，骗取境内人员财物。

今年2月，平湖市网安大队相继在浙江、上海、江苏等地抓获犯罪嫌疑人20名，串并案件793起，涉及全国25个省市，总涉案金额达1.173亿元。目前，以上人员已被平湖市公安局以帮助信息网络犯罪活动罪采取刑事强制措施。

精彩后续：

经查，该团伙通过某地广电公司及其外包单位，以办理手机卡可得现金的名义吸引人员至上海、嘉兴、杭州、绍兴等地进行批量办卡。根据开卡特点，平湖市网安大队会同浙江、上海两地工信部门紧急排查并关停万余张“192”号段手机卡，全国发案得到有效遏制！

利用同一漏洞，多个黑客组织入侵美国联邦机构

近日，多个威胁行为者，包括一个民族国家组织，利用Progress Telerik中存在三年的严重安全漏洞闯入美国一个未命名的联邦实体。

该披露来自网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和多州信息共享与分析中心(MS-ISAC)发布的联合咨询。

“利用此漏洞允许恶意行为者在联邦文职行政部门(FCEB)机构的Microsoft Internet 信息服务(IIS) Web 服务器上成功执行远程代码。”这些机构表示。

从2022年11月到2023年1月初，确定了与数字入侵相关的妥协指标(IoC)。

跟踪为CVE-2019-18935（CVSS分数：9.8），该问题与影响ASP.NET AJAX的Progress Telerik UI的.NET反序列化漏洞有关，如果不打补丁，可能会导致远程代码执行。

在此值得注意的是，CVE-2019-18935之前曾在2020年和2021年被各种威胁参与者滥用的一些最常利用的漏洞中占有一席之地。

CVE-2019-18935与CVE-2017-11317一起，也被追踪为Praying Mantis（又名TG2021）的威胁行为者武器化，以渗透到美国的公共和私人组织网络。

上个月，CISA还将CVE-2017-11357——另一个影响 Telerik UI 的远程代码执行错误——添加到已知被利用漏洞(KEV)目录中，引用了积极利用的证据。

在2022年8月记录的针对FCEB机构的入侵中，据说威胁行为者利用CVE-2019-18935 通过 w3wp.exe 进程上传和执行伪装成 PNG 图像的恶意动态链接库(DLL)文件。

DLL工件旨在收集系统信息、加载额外的库、枚举文件和进程，并将数据泄露回远程服务器。

早在2021年8月就观察到的另一组攻击很可能是由名为XE Group的网络犯罪分子发起的，需要使用上述规避技术来规避检测。

这些DLL文件投放并执行反向（远程）shell实用程序，用于与命令和控制域进行未加密的通信，以投放额外的有效负载，包括用于持久后门访问的ASPX web shell。

Web shell配备了“枚举驱动器；发送、接收和删除文件；以及执行传入的命令”和“包含一个用于轻松浏览系统上的文件、目录或驱动器的界面，并允许用户上传或将文件下载到任何目录。”

为应对此类攻击，建议组织将其 Telerik UI ASP.NET AJAX 实例升级到最新版本，实施网络分段，并对具有特权访问权限的帐户强制实施抗网络钓鱼的多因素身份验证。

文章来源 ：中国广电、E安全

精彩推荐

最难就业季|“本想先读书躲一躲，谁料行情还不如两年前”

WEB渗透夏日特训来袭！|web渗透入门基础篇|暑期充电

‍

‍

严厉打击！“内鬼”泄露公民个人信息违法犯罪

‍