安全事件周报 (08.24-08.30)

  • A+
所属分类:安全新闻

报告编号:B6-2020-083102

报告来源:360CERT

报告作者:360CERT

更新日期:2020-08-31

0x01 事件导览

本周收录安全事件33项,话题集中在恶意程序网络攻击方面,涉及的厂商有:AppleTeslaLinkedInamazonaws 等。勒索病毒横行,寻找着安全防护脆弱的企业入口。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

恶意程序 等级
Gozi:变化多端恶意软件 ★★★★★
Emotet恶意软件的新“Red Dawn”附件同样危险 ★★★★★
加拿大快递公司Canpar Express遭遇勒索软件攻击 ★★★★
Node.JS Quaverse远程访问木马 ★★★★
Ryuk的继任者Conti勒索软件发布数据泄露站点 ★★★★
DarkSide勒索软件袭击了北美房地产开发商 ★★★★
雇佣兵黑客组织将目标对准了使用3Ds Max的公司 ★★★★
探索Qbot的最新攻击方法 ★★★★
伊朗黑客组织最近利用Dharma勒索软件进行攻击 ★★★
SunCrypt勒索软件揭露了迷宫勒索软件联盟组织 ★★★
Lemon_Duck cryptominer恶意软件现在针对Linux设备 ★★★
恶意npm软件包'fallguys'从官方存储库中删除 ★★★
数据安全
3.5亿个解密后的电子邮件地址暴露在不安全的服务器上 ★★★★★
由于开发人员错误导致GitHub上的医疗数据泄漏 ★★★★
印度火车票销售商RailYatri对于数据泄露毫不在意 ★★
黑客攻击
美国政府警告称,朝鲜黑客攻击全球银行 ★★★★★
联邦调查局称:网络恋情诈骗案金额超4.75亿美元 ★★★★★
网络爆破攻击在巴西兴起 ★★★★
Lazarus黑客组织通过投递LinkedIn招聘广告攻击加密货币公司 ★★★★
死亡跟踪者网络雇佣兵组织瞄准金融业 ★★★★
黑客从数百家商店盗取信用卡 ★★★★
暗网“帝国市场”在DDoS攻击后瘫痪 ★★★
新西兰证券交易所因DDos攻击关闭 ★★★
REvil勒索软件运营商攻击医疗保健组织Valley Health Systems ★★★
伊朗APT组织“Charming Kitten”通过WhatsApp、LinkedIn攻击目标 ★★★
其它事件
Bcrypt哈希库bug导致Node.js应用程序容易受到爆破攻击 ★★★★
安全公司发布Safari最新漏洞 ★★★★
思科工程师辞职后,关闭16,000个WebEx帐户,456个VMs ★★★★
医学图像中的“隐藏”PHI会带来风险 ★★★
专家入侵了28000台不安全的打印机,以提高人们对打印机安全问题的认识 ★★★
埃隆·马斯克证实:俄罗斯黑客试图通过招募特斯拉员工来植入恶意软件 ★★★
Palo Alto网络公司以2.65亿美元收购事件响应公司Crypsis Group ★★
微软将删除其Linux软件存储库中不安全的TLS支持 ★★

0x02 恶意程序

Gozi:变化多端恶意软件

日期: 2020年08月28日
等级: 高
来源: CHECKPOINT
标签: Gozi, Malware, Malicious, Neverquest, ISFB

2007年首次公开亮相以来,前三年,Gozi就是一个简单的恶意程序-单个代码库一直保存在紧密封闭的网络犯罪分子群体中。然后,在2010年,第一版Gozi的源码泄漏。其他攻击者得到并更新了代码,创建了两个新版本:GoziPrinimalka(后来与Pony合并并成为Neverquest)和Gozi“ISFB”。仅这些早期突变就已经破坏了行业跟踪Gozi的能力。当第二波Gozi出现了足够长的时间后,一些攻击者感到市场上已经有了新的主要版本的成熟时机,由此导致了Goziv3(RM3加载程序),ISFB3Gozi2RM3(IAP2.0)的诞生。这些都对恶意软件的混淆机制,控制流和C&C通信方案进行了自己的调整。

详情

Gozi: The Malware with a Thousand Faces

https://research.checkpoint.com/2020/gozi-the-malware-with-a-thousand-faces/

Emotet恶意软件的新“Red Dawn”附件同样危险

日期: 2020年08月29日
等级: 高
来源: BLEEPINGCOMPUTER
标签: Emotet, Malware, Document, Red Dawn, Word attachments, Malicious Macros

Emotet僵尸网络已经开始使用一个新的模板来处理他们的恶意附件,这和以前一样危险。在经历了5个月的“休假”后,Emotet恶意软件于2020年7月卷土重来,并开始在全球范围内喷出大量恶意垃圾邮件。这些垃圾邮件活动假装是发票、发货信息、COVID-19信息、简历、财务文档或扫描文档,如下所示。这些垃圾邮件的附件都是恶意的Word(.doc)附件或下载链接。打开后,这些附件将提示用户“启用内容”,以便恶意宏运行,在受害者的计算机上安装Emotet恶意软件。

详情

Emotet malware's new 'Red Dawn' attachment is just as dangerous

https://www.bleepingcomputer.com/news/security/emotet-malwares-new-red-dawn-attachment-is-just-as-dangerous/

加拿大快递公司Canpar Express遭遇勒索软件攻击

日期: 2020年08月24日
等级: 高
作者: Pierluigi Paganini
标签: Attack, Canpar Express, Ransomware, Canada, TFI

就在运输和物流公司TFI国际(TFIInternational)通过股票发行筹集了数百万美元资金的几天后,其四个加拿大快递部门(CanparExpressICScourierLoomisExpressTForceIntegratedSolutions)就遭遇勒索软件攻击。勒索软件攻击的消息是由该公司在其网站上公布的。“2020年8月19日,我们成为了勒索软件攻击的目标,该攻击影响了我们的某些系统。放心,我们将继续满足大多数客户的运输需求,并且我们尚未发现任何滥用客户数据的情况。”CanparExpress称:“CanparExpress负有认真保护客户信息的义务。得知此事件后,我们立即开始调查,并聘请网络安全专家协助完成此过程。我们已采取措施遏制和纠正该问题,并正在采取一切必要步骤来帮助防止将来发生类似的情况。””

详情

Canadian delivery company Canpar Express suffered a ransomware attack

https://securityaffairs.co/wordpress/107476/cyber-crime/canpar-express-ransomware.html

Node.JS Quaverse远程访问木马

日期: 2020年08月24日
等级: 高
作者: Diana Lopera
标签: Malware, Qua, Trojan, RAT, Spam, Node.JS

Qua或Quaverse远程访问木马(QRAT)是基于Java的RAT,可用于获得对系统的完全控制。QRAT于2015年推出,作为一种不可检测的JavaRAT进行销售,并以软件服务模式提供。首次亮相后,QRAT就被用于垃圾邮件,并可以通过Quaverse提供的插件来扩展功能。最近,我们遇到了更多试图传播QRAT的垃圾广告。初始恶意软件包含一个QHub的订阅帐户(用户:@qhub-subscription[.]store[.]qua[.]one),该服务提供了一个用于控制远程计算机的界面。其域名qua.one与我们在2015年所见的Quaverse网站具有相同的logo。

详情

RATs and Spam: The Node.JS QRAT

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/rats-and-spam-the-nodejs-qrat/

Ryuk的继任者Conti勒索软件发布数据泄露站点

日期: 2020年08月25日
等级: 高
作者: Lawrence Abrams
标签: Data Breach, Ransomware, TrickBot, Ryuk, Conti

臭名昭著的“琉克”(Ryuk)的继承者康帝勒索软件(Contiransomware)公布了一个数据泄露网站,以此作为勒索策略的一部分,迫使受害者支付赎金。过去,当TrickBot木马感染网络时,最终将导致Ryuk勒索软件的部署,作为最终攻击。根据AdvancedIntelVitaliKremez的说法,自2020年7月以来,不再部署Ryuk,而与TrickBot相关的运营商正在使用Conti勒索软件来代替它。Conti是一种相对较新的私有勒索软件即服务(RaaS),已招募经验丰富的黑客来分发勒索软件以换取很大一部分勒索付款。

详情

Ryuk successor Conti Ransomware releases data leak site

https://www.bleepingcomputer.com/news/security/ryuk-successor-conti-ransomware-releases-data-leak-site/

DarkSide勒索软件袭击了北美房地产开发商

日期: 2020年08月25日
等级: 高
作者: Lawrence Abrams
标签: Malware, Brookfield Residential, Ransomware, DarkSide, Leaked

北美土地开发商和房屋建筑商BrookfieldResidential是新型DarkSide勒索软件的首批受害者之一。BrookfieldResidential是一家美国和加拿大计划中的社区和独栋住宅建筑商,资产为57亿美元。BrookfieldResidential由加拿大资产管理公司BrookfieldAssetManagement拥有,该公司管理着超过5,000亿加元的资产。与其他人为操纵的勒索软件一样,DarkSide将破坏网络并在设备之间横向传播,同时窃取未加密的数据。

详情

DarkSide Ransomware hits North American real estate developer

https://www.bleepingcomputer.com/news/security/darkside-ransomware-hits-north-american-real-estate-developer/

雇佣兵黑客组织将目标对准了使用3Ds Max的公司

日期: 2020年08月26日
等级: 高
作者: Catalin Cimpanu
标签: Malware, Security firm bitdefender, Hacker group, 3Ds Max, Architecture, PhysXPluginMfx

安全公司Bitdefender表示,他们发现了一个新的黑客组织,该组织目前针对的是全球公司,恶意软件隐藏在恶意3DsMax插件中。3DsMax是由软件巨头Autodesk开发的3D计算机图形应用程序,通常由工程、建筑、游戏或软件公司安装和使用。2020年8月早些时候,Autodesk发布了一个安全警报,称为“PhysXPluginMfx”的恶意插件滥用了3DsMax软件附带的脚本工具MAXScript。安全公告警告用户,如果加载到3DsMax中,PhysXPluginMfx插件将运行恶意MAXScript操作,以损坏3DsMax设置、运行恶意代码、传播和感染Windows系统上的其他Max文件(*.Max),并帮助恶意软件传播到接收和打开文件的其他用户。

详情

Mercenary hacker group targets companies with 3Ds Max malware

https://www.zdnet.com/article/mercenary-hacker-group-targets-companies-with-3ds-max-malware/

探索Qbot的最新攻击方法

日期: 2020年08月27日
等级: 高
作者: Alex Ilgayev
标签: Malware, Qbot, Banking, Pinkslipbot, Qakbot, Stealing, Trojan

臭名昭著的银行木马Qbot已经运营了十多年。该恶意软件也被称为Qakbot和Pinkslipbot,于2008年被发现,以收集浏览数据以及从受害者那里窃取银行凭证和其他财务信息而闻名。它是高度结构化,多层的,并且正在不断开发新功能以扩展其功能。这些新的“技巧”意味着Qbot尽管年代久远,但仍然是对组织的危险和持续的威胁。它已成为相当于瑞士军刀的恶意软件。

详情

An Old Bot’s Nasty New Tricks: Exploring Qbot's Latest Attack Methods

https://research.checkpoint.com/2020/exploring-qbots-latest-attack-methods/

伊朗黑客组织最近利用Dharma勒索软件进行攻击

日期: 2020年08月24日
等级: 中
作者: Catalin Cimpanu
标签: Attack, Iranian, Unskilled, Dharma, Ransomware, GitHub, Telegram

网络安全公司Group-IB称,它发现了一群在伊朗境外活动的低技能黑客,他们一直在攻击亚洲公司,并试图使用Dharma勒索软件的版本对其网络进行加密。根据Group-IB研究人员于8月24日发布的报告,攻击针对位于俄罗斯,日本,中国和印度的公司。Group-IB称,这群黑客是“新手黑客”,在攻击过程中,他们的技术水平较低,使用的策略和工具也比较简单。根据这份报告,该组织只使用了公开的黑客工具,要么是GitHub上的开源工具,要么是从Telegram黑客频道下载的。

详情

Group of unskilled Iranian hackers behind recent attacks with Dharma ransomware

https://www.zdnet.com/article/group-of-unskilled-iranian-hackers-behind-recent-attacks-with-dharma-ransomware/

SunCrypt勒索软件揭露了迷宫勒索软件联盟组织

日期: 2020年08月26日
等级: 中
作者: Lawrence Abrams
标签: Ransomware, Maze cartel, Attack, DATA LEAK, Maleware, SunCrypt

一个名为SunCrypt的勒索软件加入了“迷宫联盟”(MazeCartel)组织,通过他们的成员身份,可以了解到这些组织是如何合作的。2020年6月,BLEEPINGCOMPUTER报道了一个故事,迷宫威胁组织成员创建了一个勒索软件操作联盟,分享信息和技术,帮助彼此敲诈受害者。刚开始的时候,这个联盟勒索软件包括Maze和LockBit,但很快就扩展到了RagnarLocker。

详情

SunCrypt Ransomware sheds light on the Maze ransomware cartel

https://www.bleepingcomputer.com/news/security/suncrypt-ransomware-sheds-light-on-the-maze-ransomware-cartel/

Lemon_Duck cryptominer恶意软件现在针对Linux设备

日期: 2020年08月27日
等级: 中
作者: Sergiu Gatlan
标签: Remote, SSH, Lemon_Duck, Brute-Force, EternalBlue, SMB, MSSQL, Cryptocurrency

柠檬鸭子(Lemon_Duck)加密恶意软件已经升级,可以通过SSH暴力攻击Linux机器,利用存在smbghost漏洞的Windows系统,感染运行Redis和Hadoop实例的服务器。根据Guardicore的OphirHarpaz的说法,LemonDuck(去年被趋势科技公司发现,sentinelelone对此进行了进一步研究)以针对企业网络而闻名,它通过brute-force或使用EternalBlue的SMB协议获得主机访问权限。一旦它成功地感染了设备,该恶意软件就会丢失一个XMRigMonero(XMR)CPU矿机payload,该矿机利用受损系统的资源为LemonDuck的运营商挖掘加密货币。

目前redis在全球均有分布,具体分布如下图,数据来自于360 QUAKE

安全事件周报 (08.24-08.30)

目前hadoop在全球均有分布,具体分布如下图,数据来自于360 QUAKE

安全事件周报 (08.24-08.30)

详情

Lemon_Duck cryptominer malware now targets Linux devices

https://www.bleepingcomputer.com/news/security/lemon-duck-cryptominer-malware-now-targets-linux-devices/

恶意npm软件包'fallguys'从官方存储库中删除

日期: 2020年08月30日
等级: 中
作者: Pierluigi Paganini
标签: NPM, fallguys, JavaScript, Discord, Package library

npm安全团队已从npm门户中删除了JavaScript库fallguys,因为其中包含用于从受感染用户的浏览器和Discord应用程序中窃取敏感文件的恶意代码。fallguys库声称提供了“FallGuys:UltimateKnockout”游戏API的接口。该软件包在存储库中可用了两个星期,并被下载了近300次。

详情

Malicious npm package ‘fallguys’ removed from the official repository

https://securityaffairs.co/wordpress/107691/malware/npm-package-fallguys-removed.html

相关安全建议

1. 注重内部员工安全培训

2. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

3. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 各主机安装EDR产品,及时检测威胁

6. 网段之间进行隔离,避免造成大规模感染

7. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

8. 主机集成化管理,出现威胁及时断网

0x03 数据安全

3.5亿个解密后的电子邮件地址暴露在不安全的服务器上

日期: 2020年08月27日
等级: 高
作者: Pierluigi Paganini
标签: Data Breach, Leak, Account, Unencrypted, Email, Amazon, AWS server

赛博新闻研究小组发现了一个由一个身份不明的人拥有的不安全的数据存储库,其中包含价值7千兆字节的未加密文件,包括3.5亿串独特的电子邮件地址。大量的电子邮件留在了一个可公开访问的AmazonAWS服务器上,任何人都可以下载和访问这些数据。即使以现在的标准来看,这也是一个巨大的泄漏,2020年平均每天有700万份记录被曝光。

详情

350 million decrypted email addresses left exposed on an unsecured server

https://securityaffairs.co/wordpress/107604/data-breach/email-addresses-data-leak.html

由于开发人员错误导致GitHub上的医疗数据泄漏

日期: 2020年08月26日
等级: 高
来源: THREATPOST
标签: Data Breach, GitHub, Developer Errors, DataBreaches, Microsoft, Google

开发人员错误导致最近在GitHub上发现的Microsoft和Google存储在生产力应用程序中的150,000至200,000位患者健康记录泄露。荷兰研究人员耶勒·乌尔塞姆(JelleUrsem)从9个不同的卫生组织的Office365和GoogleGSuite等应用程序中发现了9个独立的高度敏感的个人健康信息(PHI)文件。他很难联系到数据泄露的公司,因此最终向DataBreaches.net报告了违规行为,并与他合作发表了合作论文《发现时没有漏洞》。该论文称,标题是指发现信息不是通过攻击或未经正当进入卫生系统的方式发现的,而是由于开发人员在信息存储中对访问控制和硬编码凭据的配置不当所致。

详情

Medical Data Leaked on GitHub Due to Developer Errors

https://threatpost.com/medical-data-leaked-on-github-due-to-developer-errors/158653/

印度火车票销售商RailYatri对于数据泄露毫不在意

日期: 2020年08月25日
等级: 低
作者: Jessica Haworth
标签: Data Breach, RailYatri, India, Leaked, Encryption, Cloud

印度铁路票务公司RailYatri并不在意70万名乘客的个人信息被曝光的数据泄漏事件。2020年8月,来自安全侦探(SafetyDetectives)的安全研究人员披露了他们如何发现由RailYatri维护的,未受密码保护或加密的公开搜索服务器。安全侦探网站上的一篇博客文章称,暴露的数据包括姓名、年龄、物理地址和电子邮件地址、支付记录以及部分信用卡和借记卡信息记录。

详情

Indian train ticketing vendor RailYatri downplays data breach incident

https://portswigger.net/daily-swig/indian-train-ticketing-vendor-railyatri-downplays-data-breach-incident

相关安全建议

1. 条件允许的情况下,设置主机访问白名单

2. 及时备份数据并确保数据安全

3. 合理设置服务器端各种文件的访问权限

4. 明确每个服务功能的角色访问权限

5. 严格控制数据访问权限

6. 及时检查并删除外泄敏感数据

7. 发生数据泄漏事件后,及时进行密码更改等相关安全措施

0x04 黑客攻击

美国政府警告称,朝鲜黑客攻击全球银行

日期: 2020年08月26日
等级: 高
作者: Sergiu Gatlan
标签: Bank, Beagleboyz, Access, Cryptocurrency, Attack, North Korea

据多家美国政府机构2020年8月26日发布的联合咨询报告称,被追踪为BeagleBoyz的朝鲜黑客一直在使用恶意远程访问工具,作为持续攻击的一部分,以从国际银行窃取数百万美元。联合发布称,自2020年2月以来,朝鲜的BeagleBoyz黑客组织再次开始通过远程互联网抢劫银行,以资助朝鲜政权。美国网络司令部在推特上称,BeagleBoyz目前正在对30多个国家的银行实施抢劫计划,企图盗窃20亿美元。

详情

US govt warns of North Korean hackers targeting banks worldwide

https://www.bleepingcomputer.com/news/security/us-govt-warns-of-north-korean-hackers-targeting-banks-worldwide/

联邦调查局称:网络恋情诈骗案金额超4.75亿美元

日期: 2020年08月28日
等级: 高
来源: BLEEPINGCOMPUTER
标签: FBI, Romance Scams, Crime Complaint Center, Fake

网络恋情诈骗是种一直存在的网络犯罪事件,会导致巨大的经济损失,以及毁灭性的情感创伤。这类欺诈背后的骗子利用伪造的网络身份,在社交媒体和交友网站上获得受害者的信任。一旦目标被引诱进来,骗子就利用恋爱的幻觉,操纵他们给他们寄钱或财务信息,然后用在其他类型的欺诈计划中。美国联邦调查局说:“2019年,向IC3报告的恋爱骗局投诉近2万起(比前一年增加约1000起),与这些投诉相关的损失超过4.75亿美元。”。受害者报告显示,经济损失额每年都在急剧增加,2017年损失超过2.11亿美元,2018年超过3.62亿美元。

详情

Single & penniless: FBI warns of $475M lost to romance scams

https://www.bleepingcomputer.com/news/security/single-and-penniless-fbi-warns-of-475m-lost-to-romance-scams/

网络爆破攻击在巴西兴起

日期: 2020年08月24日
等级: 高
作者: Angelica Mari
标签: Attack, Brazil, Brute-Force, Remote Desktop Protocol, SSH

根据一份关于2020年前六个月安全威胁的新报告,由于远程工作的增加,巴西的网络爆破攻击激增。从2020年1月到6月,网络安全公司Fortinet记录的网络攻击次数超过26亿次,而整个拉丁美洲和加勒比地区总共有150亿次网络攻击。根据该报告,暴力破解攻击“大幅增加”,即通过自动方式多次猜测登录信息的可能组合,直到发现正确的登录信息。巴西Fortinet公司工程总监亚历山大•博纳蒂(AlexandreBonatti)表示,远程工作的增多重新点燃了网络犯罪分子对这类攻击的兴趣。他指出:“(攻击者)发现了大量配置错误的远程桌面协议服务器,这为入侵提供了便利。”

详情

Brute-force cyberattacks on the rise in Brazil

https://www.zdnet.com/article/brute-force-cyberattacks-on-the-rise-in-brazil/

Lazarus黑客组织通过投递LinkedIn招聘广告攻击加密货币公司

日期: 2020年08月25日
等级: 高
作者: Charlie Osborne
标签: Attack, Lazarus Group, LinkedIn, Cryptocurrency, APt, Phishing

Lazarus黑客组织再次攻击加密货币行业,现在通过利用公司链的人为因素对加密组织发起了有针对性的攻击。2020年8月25日,来自F-Secure的网络安全研究人员表示,加密货币组织是全球网络攻击活动的最新受害者之一,该活动针对至少14个国家(包括英国和美国)的企业。拉撒路(Lazarus)是一个APT组织,被认为与朝鲜有关。由于核项目、侵犯人权等原因对该国实施的经济制裁可能与该组织有关,该组织主要关注以金融为动机的攻击,在过去三年中已经扩大到包括加密货币在内。据F-Secure称,最新的拉撒路袭击事件是通过LinkedIn的一个招聘广告追踪的。目标人为一名系统管理员,在其个人LinkedIn账户中收到了一份钓鱼文档,该文档与区块链技术公司寻找具有该员工技能的新系统管理员有关。

详情

Lazarus group strikes cryptocurrency firm through LinkedIn job adverts

https://www.zdnet.com/article/lazarus-group-strikes-cryptocurrency-firm-through-linkedin-job-adverts/

死亡跟踪者网络雇佣兵组织瞄准金融业

日期: 2020年08月26日
等级: 高
作者: Pierluigi Paganini
标签: Deathstalker, Deathstalkers, Information, Powersing, Powerse, Financial, Business

卡巴斯基研究人员称,自2012年以来,一个名为死亡跟踪者的黑客组织一直针对金融行业的组织。DeathStacker是卡巴斯基发现的一个黑客雇佣组织,自2012年以来,它一直针对全世界的组织,主要是律师事务所和金融实体。受害者组织是位于阿根廷、中国、塞浦路斯、印度、以色列、黎巴嫩、瑞士、俄罗斯、台湾、土耳其、联合王国和阿拉伯联合酋长国的中小型企业。APT集团迅速发展其策略,以妥协目标组织。死亡跟踪者:一个独特的威胁集团,似乎是针对金融行业的律师事务所和公司。

详情

DeathStalker cyber-mercenary group targets the financial sector

https://securityaffairs.co/wordpress/107532/cyber-warfare-2/deathstalker-hacking-group.html

黑客从数百家商店盗取信用卡

日期: 2020年08月28日
等级: 高
来源: BLEEPINGCOMPUTER
标签: Sniffer, Steal Payment Card, Store, Online Shop, UltraRank

一个专门感染网店窃取支付卡数据的网络犯罪团伙。对近700家网站和十几家第三方服务提供商造成了损害。他们使用了几个网页浏览工具,恶意的JavaScript代码,也被称为JS嗅探器来进行攻击。窃取数据后,该团伙通过一家会员卡商店出售被盗支付信息,每周获利数万美元。在2015年、2016年和2018年发起的三次长期活动中,该团伙能够在691个流量较大的个人网站(如体育赛事门票经销商)上植入JS嗅探器。

详情

UltraRank hackers steal credit cards from hundreds of stores

https://www.bleepingcomputer.com/news/security/ultrarank-hackers-steal-credit-cards-from-hundreds-of-stores/

暗网“帝国市场”在DDoS攻击后瘫痪

日期: 2020年08月24日
等级: 中
作者: Ax Sharma
标签: Attack, DDos, Empire Market, Dark Web, Cryptocurrency

受欢迎的黑网帝国市场(EmpireMarket)已经瘫痪了至少48小时,一些用户指出这是由于一个长时间的分布式拒绝服务(DDoS)攻击。2020年8月22号到23号,TwitterReddit上出现了许多关于用户抱怨没有加载EmpireMarket网站的报道。帝国市场(EmpireMarket)以大量非法商品为特色,包括非法药品、化学品、仿制品、珠宝和信用卡号码,同时提供支付方式,包括比特币(BTC)、莱特币(LTC)和莫奈罗(XMR)。

详情

Dark web market Empire down for days from DDoS attack

https://www.bleepingcomputer.com/news/cryptocurrency/dark-web-market-empire-down-for-days-from-ddos-attack/

新西兰证券交易所因DDos攻击关闭

日期: 2020年08月27日
等级: 中
作者: Simon Sharwood
标签: DDoS, Attack, New Zealand’s stock exchange, Spark

由于分布式拒绝服务(DDoS)攻击,新西兰证券交易所(NZX)已经连续第三天关闭。事件的确切性质尚不清楚:NZX的一位发言人告诉《注册报》说,“与DDoS网络安全攻击有关的网络连接问题”是在2020年8月27日决定关闭市场的幕后推手。股市也在2020年8月24日和2020年8月25日收市,纽交所表示希望在这些事件发生后迅速恢复元气。

详情

DDoS downs New Zealand stock exchange for third consecutive day

https://www.theregister.com/2020/08/27/nzx_ddos_third_day/

REvil勒索软件运营商攻击医疗保健组织Valley Health Systems

日期: 2020年08月27日
等级: 中
作者: Pierluigi Paganini
标签: Medical, Cybersecurity, Datum leak, Healthcare, REvil, Ransomware, COVID19, Valley Health Systems

在对数据泄露的普通监控活动中,Cyble研究团队发现REvil勒索软件运营商发布的消息,声称已经入侵了一家医疗机构——山谷医疗系统(ValleyHealthSystems)。由于医疗机构管理的敏感数据,它们是黑客的特殊目标。在此期间,由于持续进行的COVID19大流行,这些机构面临更大的压力,也更容易遭受网络风险的威胁。根据《Cisco/CybersecurityVentures网络安全年鉴》,医疗机构在2019年遭受的网络攻击比其他行业的平均数量多2-3次。

详情

REvil ransomware operators breached healthcare org Valley Health Systems

https://securityaffairs.co/wordpress/107580/cyber-crime/valley-health-systems-revil-ransomware.html

伊朗APT组织“Charming Kitten”通过WhatsApp、LinkedIn攻击目标

日期: 2020年08月28日
等级: 中
来源: SECURITYAFFAIRS
标签: Phishing, Fake, LinkedIn, WhatsApp, Charming Kitten, APT, Iran, COVID-19

Clearsky的安全研究人员报告了一个新的网络钓鱼活动的细节,在这个网络钓鱼活动中,黑客冒充《德意志报》和《犹太日报》的记者。利用电子邮件和WhatsApp欺骗受害者点击恶意链接。专家们还观察到攻击者使用伪造的LinkedIn个人资料与受害者建立第一次联系。在过去的几个月里,这个CharmingKitten网络间谍组织扩大了目标名单,增加了巴哈伊社区2、美国高级公务员和官员(包括美国国务院的大使和前雇员)以及COVID-19相关组织(如Gilead3和WHO4)。

详情

Iran-linked Charming Kitten APT contacts targets via WhatsApp, LinkedIn

https://securityaffairs.co/wordpress/107644/apt/charming-kitten-apt-whatsapp-linkedin.html

相关安全建议

1. 注重内部员工安全培训

2. 警惕网络诈骗,理性对待网络社交

3. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

4. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

5. 积极开展外网渗透测试工作,提前发现系统问题

6. 减少外网资源和不相关的业务,降低被攻击的风险

7. 域名解析使用CDN

8. 及时对系统及各个服务组件进行版本升级和补丁更新

0x05 其它事件

Bcrypt哈希库bug导致Node.js应用程序容易受到爆破攻击

日期: 2020年08月25日
等级: 高
作者: Ben Dickson
标签: Node.JS, Bcrypt, Vulnerability, Truncation, Encryption

根据上周发布的安全建议,最近在bcrypt的Node.js实现中出现了一个修补过的截断错误,导致在某些情况下加密强度不够。Node.jsbcrypt是一个流行的哈希库,具有数千个相关程序包,每周下载量超过500,000。截断错误导致将很长的输入缩短为几个字节,从而使哈希值非常不安全。该漏洞于2020年1月首次报告,已在该库的5.0.0版本中进行了修补。

详情

Bcrypt hashing library bug leaves Node.js applications open to brute-force attacks

https://portswigger.net/daily-swig/bcrypt-hashing-library-bug-leaves-node-js-applications-open-to-brute-force-attacks

安全公司发布Safari最新漏洞

日期: 2020年08月26日
等级: 高
作者: Thomas Claburn
标签: MacOS, iOS, Apple, Web Share API, Interaction, Vulnerability, Safari

Redteam.pl的安全顾问PawelWylecial发布了一种概念验证漏洞,可通过利用WebShareAPI的Web应用程序代码从iOS和macOS设备窃取文件。该安全漏洞目前并没有得到修复,因为它需要一些用户交互,因此并不太可怕。该漏洞诱导某人在Safari中打开网页,并带有一个按钮,该按钮以启动本机Mail或Gmail应用程序的方式触发WebShareAPI,向攻击者发送本地系统文件,例如浏览器历史记录和其他敏感文件。

详情

Here's a neat exploit to trick someone into inadvertently emailing their files to you from their Mac, iPhone via Safari

https://www.theregister.com/2020/08/26/safari_local_file_leak_api/

思科工程师辞职后,关闭16,000个WebEx帐户,456个VMs

日期: 2020年08月28日
等级: 高
来源: BLEEPINGCOMPUTER
标签: Cisco, Sudhish Kasaba Ramesh, Cloud, Application, Employer, Data Lost

根据2020年7月30日提交的认罪协议,2018年9月24日,30岁的SudhishKasabaRamesh未经许可访问了思科在亚马逊网络服务上托管的云基础设施——他于2018年4月辞职。拉梅什承认,在未经授权的访问过程中,他部署关闭了谷歌云项目账户的代码,导致思科的WebExTeams应用程序删除了456台虚拟机,迫使思科花费2400000美元的客户退款和大量的员工时间来弥补Ramesh造成的损失

详情

Cisco engineer resigns then nukes 16k WebEx accounts, 456 VMs

https://www.bleepingcomputer.com/news/security/cisco-engineer-resigns-then-nukes-16k-webex-accounts-456-vms/

医学图像中的“隐藏”PHI会带来风险

日期: 2020年08月26日
等级: 中
作者: Marianne Kolbasuk McGee
标签: Image, Patient, Information, Healthcare, PHI, Hidden

三家放射学协会警告说,植入用于在线演示的医学图像中的患者标识符有可能被搜索引擎中的高级网络爬虫技术无意中发现。美国放射学院的最新警报警告说:“搜索引擎供应商(例如Google,Bing等公司)采用的网络爬行和内容处理技术的进步越来越能够从以前存储的文件中进行大规模信息提取。”北美协会和医学影像信息学协会。警报警告说,因此,一个嵌入了患者信息的图像可以被搜索引擎编入索引。当明确的患者信息与搜索引擎数据库中的图像相关联时,就可以在随后对患者个人信息的互联网搜索中找到它。

详情

'Hidden' PHI in Medical Images Poses Risks

https://www.databreachtoday.com/hidden-phi-in-medical-images-poses-risks-a-14896

专家入侵了28000台不安全的打印机,以提高人们对打印机安全问题的认识

日期: 2020年08月27日
等级: 中
作者: Pierluigi Paganini
标签: Printer, Security, Hijacking, Iot, CyberNews

现在,大多数人已经知道使用防病毒、反恶意软件和VPN来保护我们的计算机、电话和其他设备免受潜在攻击的重要性。为了帮助尽可能多的人保护其设备免受潜在的网络攻击,CyberNews安全团队访问了全球27,944台打印机,并强迫被劫持的设备打印出有关如何保护打印机的简短5步指南,并提供了链接。

详情

Experts hacked 28,000 unsecured printers to raise awareness of printer security issues

https://securityaffairs.co/wordpress/107607/hacking/28k-unsecured-printers-hacked.html

埃隆·马斯克证实:俄罗斯黑客试图通过招募特斯拉员工来植入恶意软件

日期: 2020年08月28日
等级: 中
来源: SECURITYAFFAIRS
标签: Kriuchkov, Russian, Tesla, Steal, Elon Musk, Incite Defection

最近,美国当局逮捕了俄罗斯国民伊戈尔·伊戈雷维奇·克里什科夫(27岁),他试图在一家目标公司招募一名员工来植入一个恶意软件。现在埃隆·马斯克证实,黑客的目标是他的公司,电动汽车制造商特斯拉。7月16日,这名俄罗斯公民通过WhatsApp联系了这名内华达州的员工,要求在内华达州的斯帕克斯市与他会面。在与员工见面几天后,克里什科夫向员工透露了自己的计划,向他提出了50万至100万美元的报酬。

详情

Elon Musk confirms that Russian hackers tried to recruit Tesla employee to plant a malware

https://securityaffairs.co/wordpress/107636/cyber-crime/elon-musk-russian-hackers-tesla.html

Palo Alto网络公司以2.65亿美元收购事件响应公司Crypsis Group

日期: 2020年08月24日
等级: 低
作者: Stephanie Condon
标签: Palo Alto, Crypsis Group, Acquire, Networks, Cortex XDR, ZP Group, Cloud

帕洛阿尔托网络公司(PaloAltoNetworks)2020年8月24日宣布了收购CrypsisGroup的计划。CrypsisGroup是一家事故响应、风险管理和数字取证咨询公司。帕洛阿尔托计划向CrypsisGroup支付2.65亿美元现金,该公司目前是ZPGroup的一部分,而ZPGroup是一个拥有多个公司的组织。该交易预计将在帕洛阿尔托网络公司的第一财季期间完成。交易完成后,PaloAlto计划将CrypsisGroup的流程和技术集成到其网络安全产品CortexXDR中,该产品本机集成网络,端点和云数据。

详情

Palo Alto Networks to acquire incident response firm Crypsis Group for $265M

https://www.zdnet.com/article/palo-alto-to-acquire-incident-response-firm-crypsis-group-for-265m/

微软将删除其Linux软件存储库中不安全的TLS支持

日期: 2020年08月28日
等级: 低
来源: BLEEPINGCOMPUTER
标签: Microsoft, Tls, Repository, Security, Packages, Linux, Windows

微软将从2020年9月24日起停止对其Linux软件库中不安全的TLS1.0和TLS1.1协议的支持。TLS是一种用于加密sit和web浏览器之间通信信道的安全协议,最初的tls1.0规范及其后续的tls1.1已经使用了大约20年。微软的Linux软件存储库为公司构建和支持的Linux系统提供了广泛的软件产品。这些产品可从packages.microsoft.com软件包通过标准的YUM和APT包存储库获取。该公司在Windows信息中心上说:“为了支持现代安全标准,packages.microsoft.com软件包将从2020年9月24日起停止支持通过传输层安全(TLS)1.0和1.1协议下载包。”

详情

Microsoft to remove insecure TLS support on its Linux Software Repository

https://www.bleepingcomputer.com/news/security/microsoft-to-remove-insecure-tls-support-on-its-linux-software-repository/

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 各主机安装EDR产品,及时检测威胁

3. 及时做好权限更新和清理,避免由于未授权访问导致数据丢失

4. 收到网络攻击之后,积极进行攻击痕迹、遗留文件信息等证据收集

0x06 0x06 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对事件相关组件进行监测,请用户联系相关产品区域负责人或(quake#360.cn)获取对应产品。

安全事件周报 (08.24-08.30)

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

安全事件周报 (08.24-08.30)

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

安全事件周报 (08.24-08.30)

0x07 时间线

2020-09-02 360CERT发布安全事件周报

安全事件周报 (08.24-08.30)推荐阅读:

1、360-CERT每日安全简报(2020-08-28)

2、CVE-2020-24616: Jackson 多个反序列化安全漏洞通告

3、360-CERT每日安全简报(2020-08-27)

长按下方二维码关注360CERT!谢谢你的关注!

安全事件周报 (08.24-08.30)

注:360CERT官方网站提供 《安全事件周报 (08.24-08.30)》 完整详情,点击阅读原文

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: