报告编号:B6-2021-
报告来源:360CERT
报告作者:360CERT
更新日期:2021-01-04
目录
0x01事件导览
本周收录安全事件26项,话题集中在网络攻击、数据泄露方面,涉及的组织有:SolarWinds、Chrome、GitHub、日本川崎重工等。数据窃取贩卖频发,数据防护不可忽视。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
恶意程序等级基于GitHub的恶意软件从Imgur pic下载恶意脚本★★★★Nefilim勒索软件运营商泄露从Whirlpool窃取的数据★★★★新的基于AutoHotkey的恶意软件针对美国、加拿大银行★★★★Wasabi云存储服务因托管恶意软件而被下线★★★新的蠕虫病毒把Windows、Linux服务器变成了Monero矿工★★★数据安全电子商务应用程序21 Buttons公开数百万用户的数据★★★★★日本川崎重工披露可能造成数据泄露的安全漏洞★★★★慈善机构Get Schooled遭受数据泄露★★★★数据代理公司出售26家公司的用户记录★★★T-Mobile数据泄露暴露电话号码、通话记录★★网络攻击越南成为供应链攻击的目标★★★★★SolarWinds黑客访问了微软的源代码★★★★★在Shopify、BigCommerce等商店发现跨平台的信用卡窃取器★★★★黑客加强了COVID-19知识产权盗窃攻击力度★★★★SolarWinds黑客的目标是访问受害者的云资产★★★★FBI:攻击者劫持智能设备★★★★Voyager加密货币交易平台因网络攻击而暂停交易★★★★芬兰称黑客访问了国会议员的电子邮件帐户★★★Ticketmaster因侵入竞争对手的系统而被罚款1000万美元★★★金融服务业每天遭受数千万次攻击★★★其它事件超一百万个Zyxel防火墙、VPN网关中存在后门帐户★★★★★英国警方在网络打击行动中逮捕了21名WeLeakInfo用户★★★★CISA发布工具,用以检测Azure/Microsoft 365环境中的恶意活动★★★Google Docs的漏洞允许黑客访问私人文档★★★CISA发布有关SolarWinds补丁的新指南★★★Chrome修复了Windows10上的防病毒“文件锁定”错误★★0x02恶意程序
基于GitHub的恶意软件从Imgur pic下载恶意脚本
日期: 2020年12月28日等级: 高作者: Ax Sharma标签: PowerShell, GitHub, Macros, Cobalt Strike, Imgur pic, MuddyWater一个新的恶意软件使用带有宏的Word文件从GitHub下载PowerShell脚本。此PowerShell脚本进一步从图像托管服务Imgur下载合法的图像文件,以在Windows系统上执行CobaltStrike脚本。研究人员根据已知的信息,将该恶意软件与MuddyWater(又名SeedWorm)相关联,后者是政府支持的高级持续威胁(APT)小组。
详情
GitHub-based malware calculates Cobalt Strike payload from Imgur pic
https://www.bleepingcomputer.com/news/security/github-based-malware-calculates-cobalt-strike-payload-from-imgur-pic/
Nefilim勒索软件运营商泄露从Whirlpool窃取的数据
日期: 2020年12月28日等级: 高作者: Pierluigi Paganini标签: American, Nefilim, Whirlpool, Ransomware美国跨国家电生产商和批发商Whirlpool遭受了勒索软件攻击,Nefilim勒索软件运营商声称从公司那里窃取了数据,并威胁说如果公司不支付赎金,便会泄漏所有的数据。与Whirlpool高管的谈判失败后,Nefilim泄漏了数据,第一批数据包括员工福利、住宿要求、医疗信息要求和其他信息相关的文件。该公司在全球59个制造和技术研究中心拥有77,000多名员工。
详情
Nefilim ransomware operators leak data stolen from Whirlpool
新的基于AutoHotkey的恶意软件针对美国、加拿大银行
日期: 2020年12月30日等级: 高作者: Akshaya Asokan标签: AutoHotkey, Credentials, Browser研究人员发现了一种新的infostealer恶意软件,它是用自动热键编程语言编写的,能够从不同的web浏览器中窃取银行凭证。这项攻击活动在美国和加拿大各地都很活跃,目标客户包括ScotiaBank、PayPal、加拿大皇家银行、CapitalOne和汇丰银行等。
详情
New AutoHotkey-Based Malware Targets US, Canadian Banks
https://www.databreachtoday.com/new-autohotkey-based-malware-targets-us-canadian-banks-a-15680
Wasabi云存储服务因托管恶意软件而被下线
日期: 2020年12月29日等级: 中作者: Lawrence Abrams标签: Wasabi, Cloud storage, Amazon S3, Malware云存储提供商Wasabi遭遇了一次服务中断,原因是用于存储端点的域托管了恶意软件。Wasabi是一家云存储提供商,提供便宜的服务,不收取出口或API费用,并保证数据持久性。2020年12月28日,Wasabi用户突然发现他们不能再访问托管在wasabisys.com域名上的数据。Wasabi称目前正在调查。
详情
Wasabi cloud storage service knocked offline for hosting malware
新的蠕虫病毒把Windows、Linux服务器变成了Monero矿工
日期: 2020年12月30日等级: 中作者: Sergiu Gatlan标签: Windows, Linux, Golang, ELF Malware, Brute Force自2020年12月初以来,一种新发现并自我传播的基于Golang的恶意软件一直积极地在Windows和Linux服务器上下放XMRig加密货币矿工。这种多平台恶意软件通过对面向公众的服务(即MySQL,Tomcat,Jenkins和WebLogic)进行暴力破解,将其传播到其他系统。
详情
New worm turns Windows, Linux servers into Monero miners
相关安全建议
1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
2. 减少外网资源和不相关的业务,降低被攻击的风险
3. 各主机安装EDR产品,及时检测威胁
4. 及时对系统及各个服务组件进行版本升级和补丁更新
5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
6. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理
0x03数据安全
电子商务应用程序21 Buttons公开数百万用户的数据
日期: 2020年12月28日等级: 高作者: Pierluigi Paganini标签: 21 Buttons, Europe, AWS bucket, vpnMentor, E-commerce网络安全公司vpnMentor的研究人员发现,电子商务应用程序21Buttons正在公开用户的私人数据。21Buttons允许用户共享其所穿衣服的照片以及指向所穿品牌的链接,然后其关注者可以使用该应用直接从相关品牌购买自己喜欢的衣服。2020年11月2日,vpnMentor专家发现21Buttons应用程序使用了配置错误的AWS存储库,该存储库包含超过5000万个文件,包括许多敏感信息,如全名、地址、财务信息、照片和视频等。
详情
E-commerce app 21 Buttons exposes millions of users’ data
日本川崎重工披露可能造成数据泄露的安全漏洞
日期: 2020年12月29日等级: 高作者: Sergiu Gatlan标签: Japan, Kawasaki Heavy Industries, Japanese, Data Leak, Unauthorized, Security Breach日本川崎重工(KawasakiHeavyIndustries)披露了一项安全漏洞,利用该漏洞,攻击者可能在未授权的情况下从多个海外办事处访问日本公司的服务器。
川崎重工是一家日本跨国公司,拥有35,000多名员工,活跃于重型设备,机车车辆,汽车,航空航天和国防工业。
川崎重工在2020年12月28日发表的一份声明中说,经过彻底的调查,该公司发现海外办事处的某些信息可能已经泄露给外部各方。
详情
Kawasaki discloses security breach, potential data leak
慈善机构Get Schooled遭受数据泄露
日期: 2020年12月31日等级: 高作者: Derek B. Johnson标签: AWS, TurgenSec, Get Schooled, AWS bucket纽约一家慈善机构GetSchooled遭受了数据泄露,导致与数十万名学生相关的记录留在了一个不安全的AWSbucket中,该bucket是开放的,可以从互联网访问。这些公开的数据包括与该非营利组织有关的学生的详细信息,包括姓名、电子邮件、年龄、性别、高中或大学以及毕业数据、实际地址和电话号码。
详情
Non-profit founded by Gates Foundation suffers massive exposure of student records
数据代理公司出售26家公司的用户记录
日期: 2020年12月31日等级: 中作者: Lawrence Abrams标签: Data breach broker一家数据代理公司开始在黑客论坛上出售26家公司总计36.88万条被盗用户记录。当攻击者和黑客组织破坏一家公司并窃取其用户数据库时,他们通常会与数据代理公司合作,后者为他们推销数据。经纪人随后会在黑客论坛和黑暗网络市场上发布帖子,推销被盗数据。
详情
Data breach broker selling user records stolen from 26 companies
https://www.bleepingcomputer.com/news/security/data-breach-broker-selling-user-records-stolen-from-26-companies/
T-Mobile数据泄露暴露电话号码、通话记录
日期: 2020年12月30日等级: 低作者: Lawrence Abrams标签: CPNI, T-Mobile据T-Mobile称,其安全团队最近发现了对其系统的恶意攻击。在网络安全公司进行调查后发现,攻击者获得了由客户生成的电信信息,即CPNI。这次泄露的信息包括电话号码、通话记录和账户上的线路数。“访问了联邦通信委员会(FCC)规定的客户专有网络信息(CPNI)。T-Mobile在一份数据泄露通知中表示:“访问的CPNI可能包括电话号码、您账户上订阅的线路数,在某些情况下,还包括作为您无线服务正常运行的一部分而收集的与通话相关的信息。”。
详情
T-Mobile data breach exposed phone numbers, call records
相关安全建议
1. 及时备份数据并确保数据安全
2. 及时检查并删除外泄敏感数据
3. 合理设置服务器端各种文件的访问权限
4. 条件允许的情况下,设置主机访问白名单
0x04网络攻击
越南成为供应链攻击的目标
日期: 2020年12月28日等级: 高作者: Catalin Cimpanu标签: Vietnamese, the Vietnam Government Certification Authority, Supply Chain Attack, ESET, Certificate一群黑客通过在政府软件工具包中插入恶意软件,对越南的私营公司和政府机构实施了一次巧妙的供应链攻击。该攻击是由安全公司ESET发现的,并在名为OperationSignSight的报告中进行了详细描述。攻击的对象是越南政府证书颁发机构(VGCA),该政府组织颁发可以用于电子签名正式文件的数字证书。但是ESET表示,2020年某个时候,黑客入侵了该机构位的的网站ca.gov.vn,并将恶意软件插入了两个VGCA客户端应用程序中,这些应用程序可供在该网站上下载。ESET表示,在2020年7月23日至8月5日期间,这两个文件包含了一个名为PhantomNet的后门木马。
详情
Vietnam targeted in complex supply chain attack
https://www.zdnet.com/article/vietnam-targeted-in-complex-supply-chain-attack/
SolarWinds黑客访问了微软的源代码
日期: 2020年12月31日等级: 高作者: Catalin Cimpanu标签: SolarWinds, Microsoft, Source CodeSolarWinds供应链攻击背后的黑客成功访问了对微软内部网络,并获得了少量内部账户的访问权限,这些账户使他们可以访问微软源代码库。微软表示,黑客并没有对他们访问的存储库进行任何更改,因为被泄露的账户只有查看代码的权限,而没有修改代码的权限。微软强调,尽管黑客查看了一些源代码,但攻击者并没有将攻击升级到生产系统、客户数据或使用微软产品攻击微软客户。
详情
SolarWinds hackers accessed Microsoft source code
在Shopify、BigCommerce等商店发现跨平台的信用卡窃取器
日期: 2020年12月28日等级: 高作者: Sergiu Gatlan标签: Shopify, MageCart, E-Commerce Platform, Skimmer, Payment Card最近发现的跨平台信用卡窃取器可以在Shopify,BigCommerce,Zencart和Woocommerce的商店中收集付款信息。这种恶意软件通常是针对单一类型的电子商务平台设计的,但这种新型的网络恶意软件可以通过注入恶意的结账页面,接管多个商店的结账过程。该窃取器通过在客户登陆真实的结帐页面之前显示一个伪造的付款页面,并使用键盘记录器拦截付款和个人信息来做到这一点。
详情
Multi-platform card skimmer found on Shopify, BigCommerce stores
黑客加强了COVID-19知识产权盗窃攻击力度
日期: 2020年12月28日等级: 高作者: Tara Seals标签: IP, Pfizer, Moderna, COVID-19, Zebrocy, Vaccine Supply Chain随着对COVID-19疫苗的研究发展,Pfizer公司,Moderna公司和其他生物技术公司开始大量生产疫苗,攻击者现在将医疗保健空间视为一个丰富的知识产权(IP)库。网络攻击最近集中在COVID-19疫苗供应链上,黑客继续使用Zebrocy恶意软件进行与疫苗相关的网络攻击。2020年12月,攻击者获取了辉瑞和生物技术公司提交给欧盟监管机构的疫苗文件。
详情
Hackers Amp Up COVID-19 IP Theft Attacks
https://threatpost.com/hackers-amp-up-covid-19-ip-theft-attacks/162634/
SolarWinds黑客的目标是访问受害者的云资产
日期: 2020年12月29日等级: 高作者: Pierluigi Paganini标签: Microsoft, SolarWinds, Solorigate, Cloud, Backdoor, SAML, Supply Chain AttackMicrosoft365Defender团队透露,SolarWinds供应链攻击的目标是受害者的云资产,一旦Sunburst/Solorigate后门感染了受害者的网络,攻击者便将其转移到受害者的云基础架构。一旦部署了后门,攻击者就可以使用它来窃取凭据,提升特权并在目标网络内进行横向移动,从而获得创建有效SAML令牌的能力。接着,攻击者就可以利用SAML令牌来访问云资源并泄露电子邮件和敏感数据。
详情
SolarWinds hackers aimed at access to victims’ cloud assets
https://securityaffairs.co/wordpress/112773/hacking/solarwinds-solorigate-attack-chain.html
FBI:攻击者劫持智能设备
日期: 2020年12月29日等级: 高作者: Catalin Cimpanu标签: FBI, Smart Devices, Hijacking, Leaked美国联邦调查局(FBI)表示,攻击者劫持了安全保障薄弱的智能设备,包括具有视频和音频功能的家庭监控设备。
攻击者正在接管一些设备,这些设备的所有者在这些设备上创建了帐户,但重复使用了以前在其他公司的数据泄露出来的凭据。
详情
FBI: Pranksters are hijacking smart devices to live-stream swatting incidents
https://www.zdnet.com/article/fbi-pranksters-are-hijacking-smart-devices-to-live-stream-swatting-incidents/
Voyager加密货币交易平台因网络攻击而暂停交易
日期: 2020年12月29日等级: 高作者: Lawrence Abrams标签: Voyager, Cryptocurrency Broker, DNS, CyberattackVoyager加密货币交易平台于12月28日暂停了交易,因为其DNS配置遭到了网络攻击。
VoyagerDigitalLLC是一家加密货币交易平台,允许投资者使用Voyager移动应用程序交易资产。Voyager2020年增长迅速,在12个月内增长了40倍,管理的资产为2亿美元。
详情
Voyager cryptocurrency broker halted trading due to cyberattack
芬兰称黑客访问了国会议员的电子邮件帐户
日期: 2020年12月28日等级: 中作者: Catalin Cimpanu标签: Parliament, IT System, APT28, Finland, MPs, Emails Accounts芬兰议会2020年12月28日表示,黑客入侵了其内部IT系统,并访问了一些国会议员的电子邮件帐户。政府官员说,袭击发生在2020年秋天,是12月由议会IT人员发现的。芬兰中央刑事警察(KRP)目前正在调查此事。KRP专员TeroMuurman在一份正式声明中说,这次袭击并未对议会内部的IT系统造成任何损害。
详情
Finland says hackers accessed MPs emails accounts
https://www.zdnet.com/article/finland-says-hackers-accessed-mps-emails-accounts/
Ticketmaster因侵入竞争对手的系统而被罚款1000万美元
日期: 2020年12月31日等级: 中作者: Sergiu Gatlan标签: Ticketmaster, Live Nation, CrowdSurgeTicketmaster是LiveNation的子公司,也是一家领先的票务分销和销售公司,因使用其一名前雇员的证件非法访问竞争对手CrowdSurge的系统而被罚款1000万美元。该员工在加入LiveNation后,为TicketMaster高管使用的票务网页草稿共享了私有的CrowdSurgeURL。
详情
Ticketmaster fined $10 million for breaking into rival’s systems
金融服务业每天遭受数千万次攻击
日期: 2020年12月31日等级: 中作者: Steve Zurier标签: Akamai, Financial, CyberAttack在更新的互联网现状报告中显示,在过去一年中,金融服务行业每天遭受数百万或数千万次攻击。仅在2020年9月,就追踪到3300万起针对金融服务行业的web应用程序攻击。报告发现,攻击者主要使用常见的攻击路径,如SQL注入、本地文件包含和跨站点脚本。
详情
Financial services industry hit with tens of millions of attacks per day
相关安全建议
1. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
2. 积极开展外网渗透测试工作,提前发现系统问题
3. 及时对系统及各个服务组件进行版本升级和补丁更新
4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
5. 软硬件提供商要提升自我防护能力,保障供应链的安全
0x05其它事件
超一百万个Zyxel防火墙、VPN网关中存在后门帐户
日期: 2021年01月02日等级: 高作者: Catalin Cimpanu标签: Zyxel, VPN, Firewall超过一百万个Zyxel防火墙、VPN网关和访问点控制器包含一个硬编码的管理级后门帐户,该帐户可以通过SSH接口或web管理面板授予攻击者对设备的根访问权限。
受影响的型号包括Zyxel的许多顶级产品,包括:
-高级威胁防护(ATP)系列-主要用作防火墙
-统一安全网关(USG)系列-用作混合防火墙和VPN网关
-USGFLEX系列-用作混合防火墙和VPN网关
-VPN系列-用作VPN网关
-NXC系列-用作WLAN接入点控制器
详情
Backdoor account discovered in more than 100,000 Zyxel firewalls, VPN gateways
英国警方在网络打击行动中逮捕了21名WeLeakInfo用户
日期: 2020年12月28日等级: 高作者: Prajeet Nair标签: U.K., Britain, WeLeakInfo, Cyber Crackdown英国国家犯罪局(NationalCrimeAgency)称,英国警方已经逮捕了21人,他们是现已倒闭的WeLeakInfo网站的客户,该网站为网络罪犯提供了超过120亿份的个人记录,这些数据是从1万个数据库中违规获取的。在运营期间,WeLeakInfo向犯罪分子出售帐户的名称,电子邮件地址,用户名,电话号码和密码等,这些犯罪分子每天将以低至2美元的价格购买订阅,以访问数据。
详情
UK Police Arrest 21 WeLeakInfo Users In Cyber Crackdown
https://www.databreachtoday.com/uk-police-arrest-21-weleakinfo-users-in-cyber-crackdown-a-15666
CISA发布工具,用以检测Azure/Microsoft 365环境中的恶意活动
日期: 2020年12月28日等级: 中作者: Sergiu Gatlan标签: CISA, PowerShell-based, Azure, Microsoft 365, Tool网络安全和基础结构安全局(CISA)发布了基于PowerShell的工具,该工具可帮助检测Azure/Microsoft365环境中可能受到威胁的应用程序和帐户。在此之前,Microsoft披露了攻击者如何利用窃取的凭据和访问令牌来登陆Azure客户。该工具旨在供事件应急响应人员使用,仅检测基于身份验证攻击的活动。
详情
CISA releases Azure, Microsoft 365 malicious activity detection tool
https://www.bleepingcomputer.com/news/security/cisa-releases-azure-microsoft-365-malicious-activity-detection-tool/
Google Docs的漏洞允许黑客访问私人文档
日期: 2020年12月29日等级: 中作者: The Hacker News标签: Google Docs, Vulnerability, Screenshots, Private Documents, Cloud, Iframe谷歌修复了其服务集成的反馈工具中的一个漏洞,攻击者可以利用该漏洞将该反馈工具嵌入到恶意网站中,从而窃取GoogleDocs文档的截图。该漏洞于7月9日被安全研究员SreeramKL发现,他因此获得了Google漏洞奖励计划的3133.70美元。
详情
A Google Docs Bug Could Have Allowed Hackers See Your Private Documents
https://thehackernews.com/2020/12/a-google-docs-bug-could-have-allowed.html
CISA发布有关SolarWinds补丁的新指南
日期: 2020年12月31日等级: 中作者: Akshaya Asokan标签: SolarWinds, CISACISA要求各大机构在12月31日前更新到最新版本网络安全和基础设施安全局发布紧急指令,要求所有仍在运行易受攻击的SolarWindsOrion软件的联邦组织立即更新至最新版本。CISA称:“国家安全局已经检查了这个版本,并验证了它消除了先前发现的恶意代码,”
详情
CISA Releases New Guidance on SolarWinds Patch
https://www.databreachtoday.com/cisa-releases-new-guidance-on-solarwinds-patch-a-15684
Chrome修复了Windows10上的防病毒“文件锁定”错误
日期: 2021年01月03日等级: 低作者: Ax Sharma标签: Google Chrome, Windows 10, Antivirus, File Locking作为一种安全预防措施,通常防病毒程序会暂时锁定系统上新生成的文件,直到可以扫描这些文件并排除恶意活动。对此,googlechrome团队修复了一个相关的bug,该bug使windows10上的防病毒程序能够锁定新创建的文件。修补这个漏洞意味着运行在Windows上的防病毒程序将不再阻止Chrome浏览器生成的新文件,比如书签。
详情
Google Chrome fixes antivirus file locking bug on Windows 10
相关安全建议
1. 及时对系统及各个服务组件进行版本升级和补丁更新
2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
0x06产品侧解决方案
360城市级网络安全监测服务
360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
0x07时间线
2021-01-04 360CERT发布安全事件周报
0x08特制报告下载链接
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。
安全事件周报 (12.28-01.03)
【360CERT】安全事件周报_12月28日-01月03日.pdf
若有订阅意向与定制需求请扫描下方二维码进行信息填写,或发送邮件至g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。
推荐阅读:
1、深信服SSL VPN注入漏洞通告
2、《安全事件分析报告-2020下半年》
3、《2020安全漏洞年报》
长按下方二维码关注360CERT!谢谢你的关注!
注:360CERT官方网站提供 《安全事件周报 (12.28-01.03)》 完整详情,点击阅读原文