报告编号:B6-2020-082401
报告来源:360CERT
报告作者:360CERT
更新日期:2020-08-24
0x01 事件导览
本周收录安全事件31项,话题集中在恶意程序、网络攻击方面,涉及的厂商有:Google、WordPress、Carnival Corporation、西班牙税务机构等。网络攻击瞄准各行各业,利益驱使下,恶意程序持续肆掠。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
| 恶意程序 | 等级 |
|---|---|
| 新的FritzFrog P2P僵尸网络已经侵入了至少500家企业和政府服务器 | ★★★★★ |
| 世界最大的邮轮运营商遭勒索软件攻击 | ★★★★ |
| 勒索软件袭击美国最大的医疗债务催收公司R1 RCM | ★★★★ |
| 发现了多个GoldenSpy卸载程序变体 | ★★★★ |
| CISA警告BLINDINGCAN,一种新型的朝鲜恶意软件 | ★★★★ |
| Grandoreiro银行木马冒充西班牙税务机构 | ★★★★ |
| 加密蠕虫窃取AWS凭证 | ★★★ |
| CISA 警告 KONNI 远程木马的网络钓鱼攻击 | ★★★ |
| 用新的逃避策略重新启动了IcedID木马 | ★★★ |
| Lucifer加密挖矿DDoS恶意软件现在针对Linux系统 | ★★★ |
| 数据安全 | |
| 数据搜集公司泄露了2.35亿Instagram、TikTok和YouTube的用户记录 | ★★★★★ |
| Gym App 管理平台公开了成千上万用户的信息 | ★★★★ |
| 南非益百利披露数据泄露影响2400万客户 | ★★★★ |
| 伦敦丽兹酒店怀疑数据泄露,欺诈者冒充信用卡数据诈骗人员 | ★★★ |
| Blackbaud勒索软件攻击暴露了来自两个英国慈善机构的捐助者数据 | ★★★ |
| 犹他大学向勒索团伙支付了45.7万美元 | ★★★ |
| 免费照片、图形网站Freepik泄露830万用户的数据 | ★★ |
| 黑客攻击 | |
| 成千上万的加拿大政府帐户遭到黑客攻击 | ★★★★★ |
| 网络钓鱼在巴西利用新冠肺炎假新闻扩散 | ★★★★ |
| 透明部落APT组织通过感染USB设备来瞄准政府和军方 | ★★★★ |
| Google Drive的漏洞可能允许攻击者提供恶意软件 | ★★★★ |
| Duri运动通过HTML和JavaScript走私恶意软件 | ★★★ |
| 山寨黑客团体发起DDoS攻击 | ★★★ |
| 黑客劫持设计平台进行网络钓鱼 | ★★★ |
| 数千个WordPress WooCommerce商店可能遭受黑客攻击 | ★★★ |
| 其它事件 | |
| Jenkins Server中的严重漏洞可能导致信息泄露 | ★★★★ |
| Spotify因忘记更新认证而宕机 | ★★★ |
| 前优步首席执行官因2016年掩盖黑客行为被起诉 | ★★★ |
| 谷歌修复了Gmail允许攻击者发送欺骗电子邮件的错误 | ★★★ |
| IBM DB2中的内存泄漏提供了对敏感数据的访问,从而导致了DoS | ★★★ |
| 乌克兰逮捕了经营20个密码交易所并为勒索软件团伙洗钱的团伙 | ★★ |
0x02 恶意程序
新的FritzFrog P2P僵尸网络已经侵入了至少500家企业和政府服务器
日期: 2020年8月19日
等级: 高
作者: Charlie Osborne
标签: Malware, P2P, FritzFrog, Bopnet Encyclopedia, SSH, Brute-Force
在2020年之前,研究人员新发现的P2P僵尸网络攻击了至少500台政府和企业SSH服务器。2020年8月19日,网络安全公司Guardicore公布了对FritzFrog的研究,这是一种P2P(P2P)僵尸网络,自2020年1月以来该公司的传感器就检测到了该网络。根据研究人员OphirHarpaz的说法,在过去的八个月中,FritzFrog试图暴力破解属于全球政府,教育,金融,医疗和电信参与者的SSH服务器。据姊妹网站TechRepublic报道,Harpaz是在BopnetEncyclopedia(一个免费的安全威胁跟踪程序)上工作时被发现的。
详情
New FritzFrog P2P botnet has breached at least 500 enterprise, government servers
https://www.zdnet.com/article/new-fritzfrog-p2p-botnet-has-breached-at-least-500-enterprise-government-servers/
世界最大的邮轮运营商遭勒索软件攻击
日期: 2020年8月17日
等级: 高
作者: Catalin Cimpanu
标签: Malware, Ransomware, Carnival Corporation, Data Leaked
全球最大的游轮运营商嘉年华公司2020年8月17日披露了一项安全漏洞,承认在8月15日遭受了勒索软件攻击。在向美国证券交易委员会(SEC)提交的8-K备案文件中,该公司表示,该事件发生在8月15日(星期六)。嘉年华说,攻击者“访问并加密了一个品牌的信息技术系统的一部分”,入侵者还从该公司的网络下载了文件。
详情
World's largest cruise line operator discloses ransomware attack
https://www.zdnet.com/article/worlds-largest-cruise-line-operator-discloses-ransomware-attack/
勒索软件袭击美国最大的医疗债务催收公司R1 RCM
日期: 2020年8月17日
等级: 高
作者: Waqas
标签: Malware, Ransomware, R1 RCM, Attack, Phishing, Defray
R1RCM(前称AccretiveHealthInc.)是勒索软件攻击的最新目标。它是美国最大的医疗债务追收公司之一,2019年的营业额超过11.8亿美元。RCM是指在整个生命周期中跟踪患者记录和利润详细信息的收入周期管理部门。其中包括患者保险,注册,医疗文件,福利验证,账单准备和收款等详细信息。目前尚不清楚攻击者是何时侵入该公司网络的,因为事件大约发生在8月10日,当时R1正准备发布2020年的第二季度财报。此外,R1RCM没有提供针对其系统的勒索软件的细节。
详情
Ransomware Hits Leading US Medical Debt Collector R1 RCM Inc
https://www.hackread.com/ransomware-hits-us-medical-debt-collector-r1-rcm/
发现了多个GoldenSpy卸载程序变体
日期: 2020年8月17日
等级: 高
作者: Reegun Jayapaul
标签: Malware, GoldenSpy, TrustWave, YARA, Variants
Trustwave发现了一个重大的恶意活动,涉及在中国开展业务所需的强制性税收发票软件。该活动被称为GoldenSpy,它是软件包中的嵌入式后门,它可以通过任意代码执行对受害人系统进行完全的远程命令和控制。在GoldenSpy公开之后,后门背后的人迅速争先恐后推动卸载程序从受感染的系统中删除GoldenSpy。卸载程序已从更新程序模块中删除,清理了GoldenSpy,最后删除了自身,没有留下任何痕迹。随后又发布了另一个卸载程序,专门用于逃避该团队发布的帮助感染者的YARA规则。由于了解到攻击者正在注视该团队的一切举动,以帮助受GoldenSpy影响的组织,所以该团队等待了一段时间,并悄悄地跟踪着该团队的威胁搜寻策略。该团队发现他们正在继续推销新的GoldenSpy卸载程序-到目前为止,该团队已经发现了五个变体,总计24个卸载程序文件。
详情
GoldenSpy Chapter 5 : Multiple GoldenSpy Uninstaller Variants Discovered
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/goldenspy-chapter-5-multiple-goldenspy-uninstaller-variants-discovered/
CISA警告BLINDINGCAN,一种新型的朝鲜恶意软件
日期: 2020年8月19日
等级: 高
作者: Catalin Cimpanu
标签: Malware, CISA, BLINDINGCAN, Trojan, RAT, North Korea
2020年8月19日,美国网络安全与基础设施安全局(CISA)发布了一份安全警报,其中包含朝鲜政府黑客2020年部署的一种新型恶意软件的细节。信息安全社区的消息人士告诉ZDNet,这种新的恶意软件被发现针对攻击活跃在军事防御和航空航天领域的美国和外国公司的攻击,并在McAfee(NorthStar运营)和ClearSky(DreamJob运营)的报告中记录了这些攻击。CISA专家说,朝鲜黑客利用该恶意软件来访问受害者的系统,进行侦察,然后“收集有关关键军事和能源技术的情报”。
详情
CISA warns of BLINDINGCAN, a new strain of North Korean malware
https://www.zdnet.com/article/cisa-warns-of-blindingcan-a-new-strain-of-north-korean-malware/
Grandoreiro银行木马冒充西班牙税务机构
日期: 2020年8月21日
等级: 高
作者: ESET Research
标签: Malware, Grandoreiro, Agencia Tributaria, Phishing, Spain, Tax
近段时间,许多西班牙人收到了声称来自西班牙官方税务机构--AgenciaTributaria的电子邮件。这些邮件使用了虚假的发件人信息,例如“ServiciodeAdministraciónTributaria”和电子邮件地址[email protected],目的是欺骗收件人,使他们认为收到了税务机构的正式来信。在邮件的正文中,收件人被指示下载一个ZIP存档,该存档可能包含数字税务收据,并且要付给AgenciaTributaria一定的费用。可能有些收件人已被欺骗通过提供的链接下载恶意ZIP文件。
详情
Grandoreiro banking trojan impersonates Spain’s tax agency
https://www.welivesecurity.com/2020/08/21/grandoreiro-banking-trojan-impersonates-spain-tax-agency/
加密蠕虫窃取AWS凭证
日期: 2020年8月17日
等级: 中
作者: Catalin Cimpanu
标签: Malware, TeamTNT, AWS, Credentials, Docker, DDoS
安全研究人员发现,这似乎是第一个加密挖掘恶意软件操作,其中包含从受感染服务器窃取AWS凭证的功能。这种新的数据窃取功能已在TeamTNT使用的恶意软件中发现,TeamTNT是一个针对Docker安装的网络犯罪组织。根据安全公司趋势科技(TrendMicro)2020年早些时候发布的研究报告,该组织至少从4月开始活跃。根据这份报告,TeamTNT通过扫描互联网来运作,寻找配置错误、在没有密码的情况下将管理API暴露在互联网上的Docker系统。
详情
Crypto-mining worm steal AWS credentials
https://www.zdnet.com/article/crypto-mining-worm-steal-aws-credentials/
CISA 警告 KONNI 远程木马的网络钓鱼攻击
日期: 2020年8月17日
等级: 中
作者: Pierluigi Paganini
标签: Malware, Phishing, CISA, KONNI, Remote Access Trojan, Talos
网络安全和基础设施安全局(CISA)发布了警报,以提供有关KONNI远程访问木马(RAT)的新一波攻击的技术详细信息。思科Talos团队的研究人员于2017年5月首次发现了KONNIRAT,该技术被用于针对与朝鲜有联系的组织的攻击。恶意软件已经发展了多年,它能够记录击键,窃取文件,捕获屏幕快照,收集有关受感染系统的信息,从主要浏览器(即Chrome,Firefox和Opera)窃取凭据以及远程执行任意代码。
详情
CISA warns of phishing attacks delivering KONNI RAT
https://securityaffairs.co/wordpress/107239/malware/konni-rat-cisa-alert.html
用新的逃避策略重新启动了IcedID木马
日期: 2020年8月18日
等级: 中
作者: Tara Seals
标签: Malware, Banking Trojan, IcedID, COVID-19, Phishing, Email
威胁参与者增强了银行木马程序,该木马程序在COVID-19大流行期间被广泛使用,并具有新功能,可帮助其避免被潜在受害者发现并提供标准安全保护。据Juniper网络安全研究员PaulKimayong的一份新报告称,在最近的一次钓鱼活动中,攻击者使用了包括密码保护附件、关键字混淆和极简宏代码在内的新功能,攻击者使用的是被广泛使用的银行木马IcedID所攻击的文件。
详情
IcedID Trojan Rebooted with New Evasive Tactics
https://threatpost.com/icedid-trojan-rebooted-evasive-tactics/158425/
Lucifer加密挖矿DDoS恶意软件现在针对Linux系统
日期: 2020年8月19日
等级: 中
作者: Sergiu Gatlan
标签: Malware, Lucifer, Satan DDoS, Monero, Botnet, Windows
一种混合的DDoS僵尸网络以将易受攻击的Windows设备变成Monero加密僵尸程序而闻名,现在它也在扫描并感染Linux系统。僵尸网络的作者将其命名为SatanDDoS时,安全研究人员将其称为Lucifer,以区别于Satan勒索软件。除了添加Linux目标支持外,Lucifer的创建者还扩展了Windows版本的功能,以使用Mimikatz后利用工具窃取凭据和升级特权。
详情
Lucifer cryptomining DDoS malware now targets Linux systems
https://www.bleepingcomputer.com/news/security/lucifer-cryptomining-ddos-malware-now-targets-linux-systems/
相关安全建议
1. 注重内部员工安全培训
2. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序
3. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理
4. 及时对系统及各个服务组件进行版本升级和补丁更新
5. 各主机安装EDR产品,及时检测威胁
6. 网段之间进行隔离,避免造成大规模感染
7. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
8. 主机集成化管理,出现威胁及时断网
0x03 数据安全
数据搜集公司泄露了2.35亿Instagram、TikTok和YouTube的用户记录
日期: 2020年8月19日
等级: 高
作者: Sudais Asif
标签: Data Breach, Leaked, Instagram, YouTube, TikTok, Deep Social
虽然大家尽了最大的努力来保护自己的个人信息,但由于社交媒体网络的存在,很多信息仍然在公开。这导致过去许多机构和个人大量收集这些信息用于营销目的,尽管它是非法的。然而,最近事情出了问题,Comparitech的BobDiachenko发现,2020年8月1日该公司的一个数据库被曝光,其中包含来自不同社交网络的2.35亿用户的个人资料,包括以下内容:Instagram上共有192,392,954条记录,来自两个数据集TikTok42,129,799条记录,YouTube上有3,955,892条记录这些数据点是由另一家名为DeepSocial的非功能性公司发起的,据称这家公司与社交数据没有关联,但在过去一直因非法收集数据而臭名昭著。曝光的数据包括用户名、全名、联系信息、图片、粉丝统计数据、年龄、性别,以及一些更多的细节,其中大部分都是公开的,但重要的是要记住,尽管如此,所有的社交媒体网络都禁止此类抓取活动。
详情
Data scraping firm leaks 235m Instagram, TikTok, YouTube user records
https://www.hackread.com/data-scraping-firm-leaks-instagram-tiktok-youtube-records/
Gym App 管理平台公开了成千上万用户的信息
日期: 2020年8月18日
等级: 高
作者: Ionut Ilascu
标签: Data Breach, Brute Force, 2FA, Fizikal, OTP, Data Leaked
即使在两因素身份验证(2FA)机制处于活动状态的情况下,黑客也可能劫持数十个健身和健身房移动应用程序中的用户帐户。所有应用程序的共同点是Fizikal,这是以色列针对健身房和体育俱乐部提供的管理平台,允许客户处理其订阅和课程注册。几个影响Fizikal平台的漏洞可以通过链接绕过安全检查,枚举用户,强制使用一次性登录密码(OTP),以及访问用户的帐户。
详情
Gym app management platform exposed info of thousands of users
https://www.bleepingcomputer.com/news/security/gym-app-management-platform-exposed-info-of-thousands-of-users/
南非益百利披露数据泄露影响2400万客户
日期: 2020年8月19日
等级: 高
作者: Catalin Cimpanu
标签: Data Breach, Leaked, Experian, SABRIC, South African
2020年8月19日,消费信贷报告机构益百利(Experian)南非分公司披露了一起数据泄露事件。这家信贷机构承认将其南非客户的个人信息交给了一名冒充客户的诈骗者。虽然Experian没有透露受影响用户的数量,但来自反欺诈和银行业非营利性组织南非银行风险中心(SABRIC)的一份报告称,该违规行为影响了2400万南非人和793,749家本地企业。
详情
Experian South Africa discloses data breach impacting 24 million customers
https://www.zdnet.com/article/experian-south-africa-discloses-data-breach-impacting-24-million-customers/
伦敦丽兹酒店怀疑数据泄露,欺诈者冒充信用卡数据诈骗人员
日期: 2020年8月17日
等级: 中
作者: Charlie Osborne
标签: Data Breach, Ritz London, Credit Card, Data Leaked, Social Engineering
伦敦丽兹酒店已开始调查数据泄露事件,骗子可能会冒充工作人员冒充窃取信用卡数据。在8月15日发布到Twitter的一系列消息中,这家豪华酒店连锁店表示,8月12日,该公司被告知“其餐饮预订系统中存在潜在的数据泄露”。伦敦丽兹酒店(RitzLondon)补充说,这可能导致“某些客户的个人数据”受到损害。
详情
Ritz London suspects data breach, fraudsters pose as staff in credit card data scam
https://www.zdnet.com/article/ritz-london-struck-by-data-breach-fraudsters-pose-as-staff-in-credit-card-data-scam/
Blackbaud勒索软件攻击暴露了来自两个英国慈善机构的捐助者数据
日期: 2020年8月17日
等级: 中
作者: Jessica Haworth
标签: Data Breach, Attack, Ransomware, Blackbaud, UK, Charities
另一家英国慈善机构已确认,由2020年早些时候发生的Blackbaud勒索软件攻击,其捐助者的个人数据已遭到破坏。MAG是一家总部位于英国曼彻斯特的非营利组织,该组织致力于在饱受战争蹂躏的国家清除地雷。2020年8月10日,该组织通过电子邮件通知捐赠者,他们的数据可能被未经授权的第三方访问。该公告是受到针对第三方客户关系管理软件提供商Blackbaud的网络攻击的组织发出的一系列数据泄露警告中的最新消息。
详情
Blackbaud ransomware attack exposed donor data from two UK charities
https://portswigger.net/daily-swig/blackbaud-ransomware-attack-exposed-donor-data-from-two-uk-charities
犹他大学向勒索团伙支付了45.7万美元
日期: 2020年8月21日
等级: 中
作者: Catalin Cimpanu
标签: Data Breach, Utah, Ransomware, Leaked
犹他大学2020年8月21日透露,为了避免黑客在网上泄露学生信息,他们向勒索软件团伙支付了457,059美元。这起事件是一连串勒索软件攻击的最新一起。犯罪集团从被黑客攻击的公司窃取敏感文件,然后对其文件进行加密;如果受害者拒绝付款,威胁公布被盗文件作为第二种勒索方案。该大学表示,其员工已从备份中恢复;但是,勒索软件团伙威胁要在线发布与学生相关的数据,这反过来又使大学管理层重新考虑了他们不向攻击者付款的方法。
详情
University of Utah pays $457,000 to ransomware gang
https://www.zdnet.com/article/university-of-utah-pays-457000-to-ransomware-gang/
免费照片、图形网站Freepik泄露830万用户的数据
日期: 2020年8月21日
等级: 低
作者: Freepik Company
标签: Freepik, Data Breach, SQL Injection
Freepik是一个致力于提供高质量免费照片和设计图形访问的网站,2020年8月21日披露了一个安全漏洞。攻击者利用SQLinjection窃取了电子邮件,以及最老的830万用户的密码哈希。在这830万用户中,有450万没有哈希密码,因为他们仅使用外部登录(Google,Facebook和/或Twitter),其余的377万用户,攻击者获得了他们的电子邮件地址和密码的哈希值。Freepik并未透露违规发生的时间或何时发现。不过该公司表示,已经通知当局,并开始调查该违法行为以及黑客所访问的内容。
详情
Free photos, graphics site Freepik discloses data breach impacting 8.3m users
https://www.freepik.com/blog/statement-on-security-incident-at-freepik-company/
相关安全建议
1. 条件允许的情况下,设置主机访问白名单
2. 及时备份数据并确保数据安全
3. 合理设置服务器端各种文件的访问权限
4. 明确每个服务功能的角色访问权限
5. 严格控制数据访问权限
6. 及时检查并删除外泄敏感数据
7. 发生数据泄漏事件后,及时进行密码更改等相关安全措施
0x04 黑客攻击
成千上万的加拿大政府帐户遭到黑客攻击
日期: 2020年8月17日
等级: 高
作者: Pierluigi Paganini
标签: Attack, Canada, GCKey, Accounts
根据加拿大财政部秘书处发布的一份新闻稿,成千上万的在线政府服务用户账户最近遭到黑客攻击。黑客以凭据填充攻击GCKey服务为目标,该服务被大约30个联邦部门和加拿大税务局账户使用。GCKey允许加拿大公民进入加拿大就业和社会发展“我的加拿大服务”账户或加拿大移民、难民和公民账户。威胁行动者骗取9041名GCKey帐户持有人的登录凭证,并使用他们尝试和访问政府服务。
详情
Thousands of Canadian government accounts hacked, Treasury Board of Canada Secretariat say
https://securityaffairs.co/wordpress/107232/hacking/canadian-government-accounts-hacked.html
网络钓鱼在巴西利用新冠肺炎假新闻扩散
日期: 2020年8月19日
等级: 高
作者: Angelica Mari
标签: Attack, Fake News, COVID-19, Brazil, Phishing, Malicious Content
根据安全公司卡巴斯基发布的关于垃圾邮件和网络钓鱼的最新研究报告,由于巴西政府围绕Covid-19的举措所传播的假新闻,巴西被列为受网络钓鱼攻击影响最严重的国家之一。根据这份报告,巴西约有八分之一(12.9%)的互联网用户在2020年4月至6月期间至少访问过一个链接,该链接导致网站出现恶意内容。这远高于同期8.26%的全球平均水平。该软件公司指出,围绕所谓的与大流行有关的政府举措的虚假信息活动的大量增加是造成这种情况增加的主要动力。报告中提到的最近几个月发送给用户的骗局的例子是一封电子邮件,其中包含虚假信息,表明政府在大流行期间已暂停了能源账单的支付,其中包括一个邀请用户注册获取利益的链接。
详情
Fake news on Covid-19 government initatives boost phishing in Brazil
https://www.zdnet.com/article/fake-news-on-covid-19-government-initatives-boost-phishing-in-brazil/
透明部落APT组织通过感染USB设备来瞄准政府和军方
日期: 2020年8月20日
等级: 高
作者: Charlie Osborne
标签: Attack, Transparent Tribe, APT, USB, Government, Military, Trojan
“透明部落”APT组织参与了反对政府和军事人员的运动,揭露了一种旨在感染USB设备并传播到其他系统的新工具。根据之前Proofpoint(.pdf)的追踪,高级持续威胁(APT)组织至少从2013年就开始运作,此前被认为与针对印度政府和军方的攻击有关。最近,APT已经将重点转移到阿富汗,然而,研究人员已经记录了它在近30个国家的存在。
详情
Transparent Tribe APT targets government, military by infecting USB devices
https://www.zdnet.com/article/transparent-tribe-hacking-group-spreads-malware-by-infecting-usb-devices/
Google Drive的漏洞可能允许攻击者提供恶意软件
日期: 2020年8月23日
等级: 高
作者: Pierluigi Paganini
标签: Attack, Google Drive, Phishing, Vulnerability, Cloud
黑客可能利用GoogleDrive中未修补的漏洞来分发伪装成合法文档或图像的武器化文件。使不良行为者以相对较高的成功率执行鱼叉式网络钓鱼攻击。问题出在Google云端硬盘中实现的“管理版本”功能,该功能允许用户上载和管理文件的不同版本,并在允许用户向用户提供文件新版本的界面中。用户可以上传带有GoogleDrive中存储的任何文件扩展名的新版本,从而可以上传恶意可执行文件。
详情
A Google Drive weakness could allow attackers to serve malware
https://securityaffairs.co/wordpress/107437/hacking/google-drive-weakness.html
Duri运动通过HTML和JavaScript走私恶意软件
日期: 2020年8月18日
等级: 中
作者: Ax Sharma
标签: Attack, HTML Smuggling, JavaScript, Browser, Blob, Malware, Duri
一个新的攻击活动使用HTML走私技术和数据Blob的组合来逃避检测和下载恶意软件。这个活动被称为Duri,它利用了JavaScriptblob方法在浏览器中生成恶意文件,从而避免了沙箱和代理的检测。早在2020年7月份,门罗安全公司的研究人员就发现他们的浏览器阻止了一个可疑的下载。仔细查看后,他们发现文件的来源不是一个URL,而是JavaScript代码将恶意负载转移到受害者机器上的结果。
详情
Duri campaign smuggles malware via HTML and JavaScript
https://www.bleepingcomputer.com/news/security/duri-campaign-smuggles-malware-via-html-and-javascript/
山寨黑客团体发起DDoS攻击
日期: 2020年8月18日
等级: 中
作者: Doug Olenick
标签: Attack, Akamai, DDoS, Copycat Hacking, Fancy Bear, Armada Collective
根据Akamai的安全情报研究小组的说法,使用著名的威胁参与者名称(例如FancyBear和ArmadaCollective)的模仿者正在发起与针对金融机构的分布式拒绝服务攻击相关的勒索活动。Akamai的安全研究员SteveRagan告诉信息安全媒体集团:“Akamai团队认为这些是模仿者利用名字来吓唬目标受害者,让他们付钱。”Ragan说,自2020年8月初以来,美国和英国已经发生了大约12起这样的DDoS攻击。Akamai不知道有任何组织在受到DDoS攻击威胁或攻击后支付了赎金。它还表示,还没有确定到底是哪些组织在幕后支持这项运动。
详情
Copycat Hacking Groups Launch DDoS Attacks
https://www.databreachtoday.com/copycat-hacking-groups-launch-ddos-attacks-a-14846
黑客劫持设计平台进行网络钓鱼
日期: 2020年8月18日
等级: 中
作者: Larry Jaffee
标签: Attack, Canva, Phishing, Social Engineering, Credentials, Sharepoint, Office, Docusign
澳大利亚的设计平台Canva无意中为钓鱼活动提供了图片,使得威胁者的计划看起来更合法,因为他们通过社会工程的欺骗手段来窃取证书。据KnowBe4的一篇博客文章称,黑客劫持了这家平面设计网站,并在信息中利用Sharepoint、微软Office和Docusign等其他品牌。这家公司的估值最近从32亿美元增长到了60亿美元。自2020年2月中旬以来,网络钓鱼电子邮件数量明显增加,该公司的客户报告了通过Canva生成的4,200多个恶意电子邮件。
详情
Hackers hijack design platform to go phishing
https://www.scmagazine.com/home/security-news/phishing/hackers-hijack-design-platform-to-go-phishing/
数千个WordPress WooCommerce商店可能遭受黑客攻击
日期: 2020年8月22日
等级: 中
作者: Pierluigi Paganini
标签: Attack, WordPress, WooCommerce, SQL Injection, Cross-site Scripting, Vulnerability
黑客正在尝试利用WordPress插件WooCommerce折扣规则中的多个漏洞,该插件安装量为30,000多个。漏洞列表包括SQL注入,授权缺陷和前台存储型XSS安全漏洞。这些漏洞是由于缺乏随机数令牌和授权检查引起的,利用这些漏洞可以使未经身份验证的攻击者检索所有用户和优惠券代码的列表,并注入到任何显示位置,例如页眉,页脚或任何管理页面,并触发远程执行代码漏洞。
目前Wordpress在全球均有分布,具体分布如下图,数据来自于360 QUAKE
详情
Thousands of WordPress WooCommerce stores potentially exposed to hack
https://securityaffairs.co/wordpress/107396/hacking/wordpress-woocommerce-flaw-2.html
相关安全建议
1. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
2. 使用VPN等代理服务时,应当谨慎选择代理服务供应商,避免个人敏感信息泄漏
3. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
4. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
5. 积极开展外网渗透测试工作,提前发现系统问题
6. 减少外网资源和不相关的业务,降低被攻击的风险
7. 域名解析使用CDN
8. 及时对系统及各个服务组件进行版本升级和补丁更新
9. 注重内部员工安全培训
0x05 其它事件
Jenkins Server中的严重漏洞可能导致信息泄露
日期: 2020年8月18日
等级: 高
作者: Pierluigi Paganini
标签: Jenkins, CVE-2019-17638, CloudBees, Jetty, HTTP, Information Disclosure, Vulnerability
Jenkins服务器软件存在一个高危漏洞,编号为CVE-2019-17638,该漏洞可能导致服务器内存损坏,从而导致机密信息泄露。Jenkins是最受欢迎的开源自动化服务器,由CloudBees和Jenkins社区维护。自动化服务器支持开发人员构建,测试和部署其应用程序,它在全球拥有成千上万的活动安装,拥有超过100万用户。“Jenkins2.224至2.242和LTS2.222.1至2.235.4捆绑了带有安全漏洞CVE-2019-17638的Jetty9.4.27组件。此漏洞可能允许未经身份验证的攻击者获得HTTP响应标头,其中可能包含打算用于其他用户的敏感数据。”
目前Jenkins在全球均有分布,具体分布如下图,数据来自于360 QUAKE
详情
Critical flaw in Jenkins Server can cause information disclosure
https://securityaffairs.co/wordpress/107286/hacking/jenkins-information-disclosure.html/
Spotify因忘记更新认证而宕机
日期: 2020年8月19日
等级: 中
作者: Lawrence Abrams
标签:
Spotif2020年8月19日遭遇了一次短暂宕机,原因是他们忘记了更新作为服务一部分的证书。美国东部时间2020年8月19日上午8点左右,Spotify用户开始在Twitter上报告说,他们无法连接到该服务,它显示的错误是“无法加载页面”Cloudflare网络工程师LouisPoinsig表示,Spotify主机名*.wg.spotify.com的通配符证书没有续签或过期。过期的证书将导致与这些主机通信的Spotify服务出现问题,这可能导致中断。
详情
Spotify hit with outage after forgetting to renew a certifficate
https://www.bleepingcomputer.com/news/technology/spotify-hit-with-outage-after-forgetting-to-renew-a-certifficate/
前优步首席执行官因2016年掩盖黑客行为被起诉
日期: 2020年8月20日
等级: 中
作者: Charlie Osborne
标签: Uber, Former CSO, Joe Sullivan, Cover-Up, Hush Money
2020年8月20日,优步前首席安全官因掩盖公司2016年的安全漏洞而被起诉。在那次事件中,黑客窃取了5700万优步用户和60万优步司机的个人信息。北加州检察官起诉52岁的乔·沙利文,他在2015年4月至2017年11月期间担任优步首席执行官,当时优步更换了首席执行官和大部分管理团队。在2020年8月20日的新闻发布会上,美国加州北部地区的律师大卫·安德森表示,沙利文通过向当局和管理层隐瞒对优步的黑客攻击,间接帮助黑客侵入了其他公司。
详情
Former Uber CSO charged for 2016 hack cover-up
https://www.zdnet.com/article/former-uber-cso-charged-for-2016-hack-cover-up/
谷歌修复了Gmail允许攻击者发送欺骗电子邮件的错误
日期: 2020年8月20日
等级: 中
作者: Sergiu Gatlan
标签: Google, Gmail, G Suite, Vulnerability, Routing Rules, Spoofed Malicious Emails
Google修复了一个影响Gmail和GSuite的严重漏洞,该漏洞可能使攻击者像其他Google用户或企业客户一样发送欺骗性恶意电子邮件。根据安全研究员AllisonHusain发现的安全问题,当配置邮件路由时缺少验证,“Gmail和任何GSuite客户严格的DMARC/SPF策略都可能被破坏,使用GSuite的邮件路由规则来中继和授予欺骗性邮件的真实性。”
详情
Google fixes Gmail bug allowing attackers to send spoofed emails
https://www.bleepingcomputer.com/news/security/google-fixes-gmail-bug-allowing-attackers-to-send-spoofed-emails/
IBM DB2中的内存泄漏提供了对敏感数据的访问,从而导致了DoS
日期: 2020年8月20日
等级: 中
作者: Ionut Ilascu
标签: IBM, Db2, Dos, Memory Leak, Vulnerability, Linux, Windows, UNIX
IBMDb2关系数据库中存在内存泄漏漏洞,该漏洞允许攻击者访问敏感数据或在数据库中导致拒绝服务(DoS)攻击。该缺陷会影响用于Linux、UNIX和Windows(9.7、10.1、10.5、11.1、11.5)的IBMDb2版本。它起源于对共享内存的不当使用,并且可能通过发送一个特殊的精心设计的请求来进行利用。漏洞编号为CVE-2020-4414,问题在于Db2跟踪工具使用的共享内存,它缺乏显式保护,允许本地攻击者进行读写访问。在没有分配权限的情况下,本地黑客可以打开IBMDb2使用的给定内存部分并转储可用的内容。
目前Db2在全球均有分布,具体分布如下图,数据来自于360 QUAKE
详情
Memory leak in IBM DB2 gives access to sensitive data, causes DoS
https://www.bleepingcomputer.com/news/security/memory-leak-in-ibm-db2-gives-access-to-sensitive-data-causes-dos/
乌克兰逮捕了经营20个密码交易所并为勒索软件团伙洗钱的团伙
日期: 2020年8月18日
等级: 低
作者: Catalin Cimpanu
标签: Ukraine, Ransomware, Cryptocurrency Exchanges, Binance
乌克兰执法部2020年8月18日宣布逮捕了一个网络犯罪团伙,该团伙经营20个加密货币交易所,为犯罪团伙洗钱超过4200万美元。官方称该组织有三名成员,该组织自2018年以来一直在乌克兰的波尔塔瓦地区开展业务。据乌克兰官员说,该组织已在地下犯罪论坛上发布了其服务的广告,他们提出将加密货币从犯罪活动转化为法定货币(世界)货币,以帮助其他犯罪分子洗劫其不义之财。逮捕发生在2020年的6月下旬,但2020年8月18日由Binance和乌克兰网络警察联合发布的新闻稿中已经发布了新的细节。参与调查的币安(Binance)说,该组织与勒索软件帮派合作,并自行传播勒索软件。
详情
Ukraine arrests gang who ran 20 crypto-exchanges and laundered money for ransomware gangs
https://www.zdnet.com/article/ukraine-arrests-gang-who-ran-20-crypto-exchanges-and-laundered-money-for-ransomware-gangs/
相关安全建议
1. 及时对系统及各个服务组件进行版本升级和补丁更新
2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
3. 收到网络攻击之后,积极进行攻击痕迹、遗留文件信息等证据收集
0x06 0x06 产品侧解决方案
360城市级网络安全监测服务
360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对事件相关组件进行监测,请用户联系相关产品区域负责人或(quake#360.cn)获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
0x07 时间线
2020-08-24 360CERT发布安全事件周报
推荐阅读:
长按下方二维码关注360CERT!谢谢你的关注!
注:360CERT官方网站提供 《安全事件周报 (8.17-8.23)》 完整详情,点击阅读原文
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论