安全事件周报 (08.31-09.06)

admin 2020年9月7日14:22:53评论168 views字数 20418阅读68分3秒阅读模式

报告编号:B6-2020-090702

报告来源:360-CERT

报告作者:360-CERT

更新日期:2020-09-07

0x01 事件导览

本周收录安全事件38项,话题集中在勒索网络攻击方面,涉及的厂商有:Google华纳音乐集团美国工资协会挪威议会等。数据泄露屡禁不止,权限控制也是企业安全管理的关键所在。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

恶意程序 等级
COVID-19网络钓鱼方案传播Agentsela特洛伊木马 ★★★★★
勒索软件袭击使阿根廷边境过境暂停4小时 ★★★★★
Qbot使用了一个新的电子邮件收集器模块 ★★★★
KryptoCibule恶意软件躲避杀毒软件窃取加密货币 ★★★★
Thanos勒索软件增加了MBR locker ★★★★
Visa国际组织警告称,最新信用卡窃取程序名为Baka ★★★★
谷歌从Play商店删除了恶意的Terracotta应用程序 ★★★
Jocker间谍软件困扰着更多的Google Play应用 ★★★
攻击者通过HTTPS滥用googledns下载恶意软件 ★★★
以金融科技公司为目标的Spy木马 ★★★
“Salfram”电子邮件活动向企业传播恶意软件 ★★★
数据安全
美国百万选民的详细资料被泄露 ★★★★★
在线营销公司曝光3800多万美国公民记录 ★★★★★
被盗的Fortnite帐户每年可为黑客赚取数百万美元 ★★★★
黑客入侵挪威议会电子邮件窃取数据 ★★★★
SunCrypt勒索软件关闭北卡罗来纳州学区 ★★★★
伊朗的APT集团Pioneer Kitten出售网络的访问权 ★★★
数千个新州驾驶执照数据被泄露 ★★★
华纳音乐集团发现黑客入侵了其在线商店 ★★★
黑客攻击
Cisco警告称,运营商级路由器中存在被高频利用的漏洞 ★★★★
黑客利用3年前的RCE漏洞对QNAP NAS设备进行后门攻击 ★★★★
“UltraRank”团伙出售窃取的信用卡数据 ★★★★
联邦调查局:数千个组织成为RDoS勒索活动的目标 ★★★★
美国工资协会披露信用卡被盗事件 ★★★
BEC诈骗集团平均一次窃取8万美元 ★★★
通过私人电报渠道走私的信用卡数据 ★★★
黑客正利用Wordpress文件管理器插件中的高危RCE漏洞 ★★★
印度总理莫迪的推特账号遭到黑客攻击 ★★★
攻击者通过合法网站上的覆盖屏幕窃取Outlook凭据 ★★★
恶意软件团伙使用.NET库生成绕过安全检查的Excel文档 ★★★
其它事件
Magento插件Magmi易被劫持管理会话 ★★★★
Slack高危漏洞允许攻击者访问私有对话 ★★★
一个安全漏洞可绕过Visa非接触式付款的PIN验证 ★★★
微软Defender可以用来下载恶意软件 ★★★
一安全主管偷走并转售41个政府的网络交换机 ★★★
暗网市场AlphaBay的主持人被判11年监禁 ★★★
WhatsApp通过专门的安全网站披露了6个漏洞 ★★★
新加坡对宽带运营商服务中断罚款44.7万美元 ★★★

0x02 恶意程序

COVID-19网络钓鱼方案传播Agentsela特洛伊木马

日期: 2020年08月31日
等级: 高
作者: Prajeet Nair
标签: Malware, COVID-19, AgentTesla, Information, Phishing, Torjan, Remote

Area1Security的研究人员表示,一场旨在提供疫情期间使用的外科口罩和其他个人防护设备信息的全球钓鱼活动,正在用AgentTeslaremoteaccess木马感染受害者的设备。该报告说,这项运动似乎始于五月,它利用人们对流感大流行期间口罩和额头温度计短缺的担忧,使用网络钓鱼电子邮件来欺骗化学品制造商以及进出口企业。该报告称,显然欺诈者每10天就会改变其策略、技术和程序,并对邮件和欺骗性域名进行调整,以免被发现。

详情

COVID-19 Phishing Scheme Spreads AgentTesla Trojan

https://www.databreachtoday.com/covid-19-phishing-scheme-spreads-agenttesla-trojan-a-14921

勒索软件袭击使阿根廷边境过境暂停4小时

日期: 2020年09月06日
等级: 高
作者: Lawrence Abrams
标签: Ransomware, Argentina, Netwalker, Dirección Nacional de Migraciones

阿根廷官方移民局DirecciónNacionaldeMigraciones遭遇Netwalker勒索软件攻击,暂时停止了出入该国的边境。虽然针对城市和地方机构的勒索软件攻击已经非常普遍,但这可能是已知的第一次针对联邦机构的攻击,它已经中断了一个国家的运作。为了防止勒索软件感染其他设备,移民局和控制站使用的计算机网络已被关闭。

详情

Ransomware attack halts Argentinian border crossing for four hours

https://www.bleepingcomputer.com/news/security/ransomware-attack-halts-argentinian-border-crossing-for-four-hours/

Qbot使用了一个新的电子邮件收集器模块

日期: 2020年08月31日
等级: 高
作者: Pierluigi Paganini
标签: Email, Qbot, Banking, Trojan, Hijack, Qakbot, Pinkslipbot

CheckPoint的研究人员警告说,在针对MicrosoftOutlook用户的QBotTrojan广告系列中观察到了新趋势。
QBot,又名QakbotPinkslipbot,自2008年以来一直很活跃,被恶意软件用来收集受害者的浏览数据、银行证书和其他财务信息。
QBot木马运营商正在使用新策略劫持合法电子邮件对话,并从受害者那里窃取个人和财务数据。
威胁行动者正在使用一个新的模块,专门设计来收集和危害受感染系统上的电子邮件线程。

详情

Qbot uses a new email collector module in the latest campaign

https://securityaffairs.co/wordpress/107731/malware/qbot-new-infection-chain.html

KryptoCibule恶意软件躲避杀毒软件窃取加密货币

日期: 2020年09月02日
等级: 高
作者: Ionut Ilascu
标签: Kryptocibule, Malware, Wallet, Remote, Cryptocurrency, ETHEREUM

威胁研究人员发现了一个新的恶意软件家族,它专注于从受害者那里获取尽可能多的加密货币。为此,它窃取钱包,劫持交易,并开始挖掘受感染的机器。这款名为KryptoCibule的恶意软件已经躲过了近两年的监控,并在每个新版本中都扩展了其功能。它通过在档案中假装安装流行软件和游戏的盗版版本的恶意种子传播。当启动可执行文件时,恶意软件安装将在后台启动,而被破解产品的预期例程将在前台运行。

详情

KryptoCibule malware dodges antivirus to steal cryptocurrency

https://www.bleepingcomputer.com/news/security/kryptocibule-malware-dodges-antivirus-to-steal-cryptocurrency/

Thanos勒索软件增加了MBR locker

日期: 2020年09月04日
等级: 高
作者: Sergiu Gatlan
标签: Thanos, Ransomware, Windows, MBR, Overwriting

一个新的Thanos勒索软件,正在试图通过重写计算机的Windows主引导记录(MBR),来将赎金通知传递到受损的系统上,但最终失败了。PaloAltoNetworks第42部门的安全研究人员发现了新的WindowsMBR储物柜模块,同时分析了Thanos勒索软件附属公司在2020年7月初成功加密来自中东和北非的国家控制组织的设备的两次攻击。“覆盖MBR对勒索软件来说是一种比通常更具破坏性的方法,”Unit42威胁情报分析师罗伯特·法尔科内说。“即使支付了赎金,受害者也必须花费更多的精力来恢复他们的文件。

详情

Thanos Ransomware adds Windows MBR locker that fails every time

https://www.bleepingcomputer.com/news/security/thanos-ransomware-adds-windows-mbr-locker-that-fails-every-time/

Visa国际组织警告称,最新信用卡窃取程序名为Baka

日期: 2020年09月06日
等级: 高
作者: Pierluigi Paganini
标签: Javascript skimmer, Visa, Malware, Credit Card, Baka, XOR

Visa国际组织就一种新的信用卡窃取程序JavaScriptskimmer发出了警告,该软件被追踪为Baka,它拥有新的功能来逃避检测。Visa国际组织发出警告,名为Baka的新型电子撇取器在过滤了支付卡的详细信息后将自己从内存中删除。2020年2月,Visa支付欺诈中断(PFD)计划的专家们在分析另一项活动中使用的指挥与控制(C2)服务器时首次发现了该电子撇取器,该服务器托管了一个ImageID电子浏览工具。

详情

Visa warns of new sophisticated credit card skimmer dubbed Baka

https://securityaffairs.co/wordpress/107965/malware/card-e-skimmer-baka.html

谷歌从Play商店删除了恶意的Terracotta应用程序

日期: 2020年08月31日
等级: 中
作者: Pierluigi Paganini
标签: App, Terracotta, Malware, Browser, Android, Play store, Mobile

安全公司WhiteOps的研究人员在官方Play商店中发现了几款Android应用程序,这些应用程序安装了隐藏的浏览器,来加载包含广告的页面并进行广告欺诈。
该公司与Google共享了调查结果,Google迅速从GooglePlay商店中删除了未公开数量的Android应用。
根据Google的说法,这些应用程序是广告欺诈僵尸网络Terracotta的一部分。

详情

Google removed malicious Terracotta apps from the Play Store

https://securityaffairs.co/wordpress/107722/malware/malicious-terracotta-apps.html

Jocker间谍软件困扰着更多的Google Play应用

日期: 2020年09月02日
等级: 中
作者: Lindsey O'Donnell
标签: Joker, Malware, Google, Play Marketplace, Bread, Malicious Code

Google已从其GooglePlay市场中删除了六款应用程序,这些应用程序感染了Joker恶意软件(又称Bread)。Pradeo的研究人员的一篇文章中说,这些应用程序共提供了将近20万次安装,这些应用程序吹嘘从短信到表情符号壁纸的各种功能。截至2020年9月2日,谷歌通过Threatpost确认已将所有受感染的应用程序从GooglePlay中删除,但研究人员表示仍将其安装在用户设备上,并敦促用户立即删除这些应用程序。Pradeo公司的RoxaneSuau告诉网站Threatpost,大多数嵌入Jocker恶意软件的应用程序,在被发布到商店后,都会加载并执行外部代码。首先,这些应用程序充斥着开发者提交给谷歌Play的许可请求。它们由用户批准、发布和安装。一旦在用户设备上运行,它们就会自动下载恶意代码。然后,它们利用大量的权限来执行恶意代码。

详情

Joker Spyware Plagues More Google Play Apps

https://threatpost.com/joker-spyware-google-play-apps-2/158895/

攻击者通过HTTPS滥用googledns下载恶意软件

日期: 2020年09月02日
等级: 中
作者: Ax Sharma
标签: DNS, Attack, Malware, Google, HTTPS, PowerShell, Hunter Labs

2020年早些时候,BleepingComputer报告了黑客将恶意软件隐藏在伪造的Windows错误日志中的情况。在获得对Windows系统的访问权并实现持久性之后,该恶意软件将从假冒事件日志的“.chk”文件中读取。

详情

Attackers abuse Google DNS over HTTPS to download malware

https://www.bleepingcomputer.com/news/security/attackers-abuse-google-dns-over-https-to-download-malware/

以金融科技公司为目标的Spy木马

日期: 2020年09月03日
等级: 中
作者: Tara Seals
标签: RAT, Evilnum, Javascript, Pyvil, Python, Trojan

专门针对金融科技公司的Evilnum集团推出了一款新工具:一种基于python的远程访问木马(RAT),名为PyVil。恶意软件的出现与APT感染链的变化和基础设施的扩展相吻合。据Cybereason的研究人员称,PyVilRAT使攻击者能够窃取数据,执行键盘记录和截屏,并可以推出辅助凭据收集工具,例如LaZagne(一种用于检索存储在本地计算机上的密码的开源应用程序)。

详情

Python-based Spy RAT Emerges to Target FinTech

https://threatpost.com/python-spy-rat-target-fintech/158934/

“Salfram”电子邮件活动向企业传播恶意软件

日期: 2020年09月04日
等级: 中
作者: Akshaya Asokan
标签: Malware, Malicious email, Banking, Salfram, Cisco Talos

根据CiscoTalos的一份研究报告,最近发现的恶意电子邮件活动正在向企业传播多种类型的恶意软件,包括旨在窃取银行凭证和其他财务信息的木马。该报告称,这项电子邮件活动始于1月份,目前仍很活跃,它还使用了几种技术来逃避检测,并将其效果最大化。

详情

‘Salfram’ Email Campaign Spreads Malware to Businesses

https://www.databreachtoday.com/salfram-email-campaign-spreads-malware-to-businesses-a-14948

相关安全建议

  1. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

  2. 及时对系统及各个服务组件进行版本升级和补丁更新

  3. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

  4. 注重内部员工安全培训

  5. 网段之间进行隔离,避免造成大规模感染

  6. 主机集成化管理,出现威胁及时断网

  7. 各主机安装EDR产品,及时检测威胁

  8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

0x03 数据安全

美国百万选民的详细资料被泄露

日期: 2020年09月01日
等级: 高
作者: Pierluigi Paganini
标签: Leaked, Russia, Data Breach, Kommersant, Dark Web, American Voters

据俄罗斯《商报》报道,俄罗斯暗网上出现了一个包含数百万美国选民个人信息的数据库。这一消息令人担忧,因为美国即将举行总统大选,而且担心外国干涉。据俄罗斯报纸报道,一名网名为“Gorka9”的用户在一个不具名的论坛上发布广告称,密歇根州760万选民的个人信息可以免费获取。Kommersant还发现了包含康涅狄格州、阿肯色州、佛罗里达州和北卡罗来纳州200万至600万选民详细信息的数据库。泄露的记录包括姓名、出生日期、性别、选民登记日期、地址、邮政编码、电子邮件、选民登记号码和投票站号码。

详情

Details of millions of U.S. Voters leaked to Russia’s Dark Web forum

https://securityaffairs.co/wordpress/107784/data-breach/us-voters-db-leak.html

在线营销公司曝光3800多万美国公民记录

日期: 2020年09月03日
等级: 高
作者: Pierluigi Paganini
标签: Data Breach, Bucket, Amazon, Leaked, Cloud, AWS

网络新闻研究小组发现了一个不安全的数据bucket,它属于在线营销公司ViewMedia。这个bucket包含近3900万份美国公民记录,包括他们的全名、电子邮件地址、街道地址、电话号码和邮政编码。数据库保留在一个可公开访问的AmazonWebServices(AWS)服务器上,允许任何人访问和下载数据。

详情

Online marketing company exposes 38+ million US citizen records

https://securityaffairs.co/wordpress/107879/data-breach/online-marketing-company-exposes-38-million-us-citizen-records.html

被盗的Fortnite帐户每年可为黑客赚取数百万美元

日期: 2020年08月31日
等级: 高
作者: Lindsey O'Donnell
标签: Account, Fortnite, Game, Password crack, Seller, Epic Games

黑客通过在地下论坛上出售广受欢迎的Fortnite视频游戏的账户,每年获得超过100万美元的收益。随着Fortnite在过去几年里的巨大人气飙升(目前拥有超过3.5亿全球玩家),该游戏成为网络犯罪者的一个有利可图的目标。一份最新报告显示,仅到2020年,就有20亿个违规账户在地下论坛上出售。研究人员统计了几个高端和低端Fortnite账户卖家在三个月内的拍卖销售额后发现,在高端客户中,卖家平均每周的账户销售额为2.5万美元,约为每年120万美元。

详情

Stolen Fortnite Accounts Earn Hackers Millions Per Year

https://threatpost.com/stolen-fortnite-accounts-earn-hackers-millions/158796/

黑客入侵挪威议会电子邮件窃取数据

日期: 2020年09月01日
等级: 高
作者: Sergiu Gatlan
标签: Data Breach, Norway, Steal Data, Storting, Email, Accounts

挪威议会(Storting)董事总经理玛丽安·安德雷森(MarianneAndreassen)说,攻击者已经泄露了挪威议会(Storting)代表和雇员有限数量的电子邮件账户。根据2020年9月1日早些时候在议会网站上发布的一份声明,黑客在访问了电子邮件收件箱后,从每个被黑的电子邮件帐户中窃取了未指定数量的数据。目前,调查人员还没有发现攻击者从泄露的Storting电子邮件账户中窃取了哪些数据。

详情

Hackers breached Norwegian Parliament emails to steal data

https://www.bleepingcomputer.com/news/security/hackers-breached-norwegian-parliament-emails-to-steal-data/

SunCrypt勒索软件关闭北卡罗来纳州学区

日期: 2020年09月04日
等级: 高
作者: Lawrence Abrams
标签: Remote, Attack, SunCrypt, Data Breach, School, Ransomware

BleepingComputer发现,在SunCrypt勒索软件运营商的攻击中,北卡罗来纳州一学区未加密的文件被盗,导致数据泄露。北卡罗莱纳州海伍德县学区宣布,他们在2020年8月24日遭受了勒索软件的攻击,但没有说明是什么勒索软件。

详情

SunCrypt Ransomware shuts down North Carolina school district

https://www.bleepingcomputer.com/news/security/suncrypt-ransomware-shuts-down-north-carolina-school-district/

伊朗的APT集团Pioneer Kitten出售网络的访问权

日期: 2020年09月01日
等级: 中
作者: Pierluigi Paganini
标签: Vpn, Network, Pioneer Kitten, Fox Kitten, Parisite, Attack, Sell

与伊朗有联系的APT组织PioneerKitten,也被称为FoxKittenParisite,现在正试图通过向其他黑客出售其入侵的一些网络的使用权来赚钱。这个伊朗黑客组织在过去的几个月里一直在攻击企业的VPN,他们一直在入侵VPN服务器,在世界各地的公司中植入后门,目标是PulseSecure,Fortinet,PaloAltoNetworksCitrixVPN。根据Crowdstrike发布的一份报告,该组织现在正试图在网络犯罪论坛上向受侵害的公司出售某些产品的访问权限。

详情

Iran-linked APT group Pioneer Kitten sells access to hacked networks

https://securityaffairs.co/wordpress/107767/apt/pioneer-kitten-access-hacked-networks.html

数千个新州驾驶执照数据被泄露

日期: 2020年09月02日
等级: 中
作者: Asha Barbaschow
标签: Data Breach, Licence, AWS, Cloud, Photos

2020年9月早些时候,数千名新南威尔士州驾照持有者的信息被泄露,有报道称一个拥有超过10万张图片的云存储文件夹被错误地打开了。根据新南威尔士州交通局(TfNSW)的报道,新南威尔士州网络安全局(CyberSecurityNSW)2020年9月3日告诉TfNSW,由AmazonWebServices(AWS)托管的包含个人信息(包括驾照照片)的云存储文件夹未得到充分保护。

详情

Unknown commercial entity blamed for NSW driver’s licence data breach

https://www.zdnet.com/article/unknown-commercial-entity-blamed-for-nsw-drivers-licence-data-breach/

华纳音乐集团发现黑客入侵了其在线商店

日期: 2020年09月03日
等级: 中
作者: Sergiu Gatlan
标签: WMG, Potentially, Data Breach, Attack, Information, Magecart

全球第三大唱片公司华纳音乐集团(WMG)近日披露了一起数据泄露事件,影响了客户的个人和财务信息。此前,该集团在美国的几家电子商务商店在2020年4月遭到了类似Magecart的黑客攻击。WMG拥有超过200年的历史,拥有3,500多名员工,通过子公司、附属公司和非附属授权商的网络在70多个国家开展业务。该公司表示,该事件涉及多个通过外部服务提供商运营的电子商务网站,安全漏洞可能使黑客能够窃取进入这些网站的个人信息。

详情

Warner Music Group finds hackers compromised its online stores

https://www.bleepingcomputer.com/news/security/warner-music-group-finds-hackers-compromised-its-online-stores/

相关安全建议

  1. 及时备份数据并确保数据安全

  2. 合理设置服务器端各种文件的访问权限

  3. 敏感数据建议存放到http无权限访问的目录

  4. 及时检查并删除外泄敏感数据

  5. 统一web页面报错信息,避免暴露敏感信息

  6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施

  7. 严格控制数据访问权限

0x04 黑客攻击

Cisco警告称,运营商级路由器中存在被高频利用的漏洞

日期: 2020年08月31日
等级: 高
作者: Sergiu Gatlan
标签: Cisco, Router, Vulnerability, Routing, CVE-2020-3566, IOS XR, RCE, Dos

思科在上上周末警告说,威胁行动者正试图利用该公司的CiscoIOSXR软件中的高严重性内存耗尽拒绝服务(DoS)漏洞,CiscoIOSXR软件在运营商级路由器上运行。
思科的IOSXR网络操作系统已部署在多个路由器平台上,包括NCS540和560,NCS5500、8000和ASR9000系列路由器。
思科尚未发布软件更新来解决这一被积极利用的安全漏洞,但该公司在上周末发布的安全公告中提供了缓解措施。
影响所有CiscoIOSXR路由器(如果启用了多播路由)的CVE-2020-3566漏洞存在于IOSXR软件的距离向量多播路由协议(DVMRP)功能中,它允许远程和未经验证的攻击者耗尽目标设备的内存,该漏洞是由于Internet组管理协议(IGMP)数据包的队列管理不足所致。

目前Cisco IOS在全球均有分布,具体分布如下图,数据来自于360 QUAKE

安全事件周报 (08.31-09.06)

详情

Cisco warns of actively exploited bug in carrier-grade routers

https://www.bleepingcomputer.com/news/security/cisco-warns-of-actively-exploited-bug-in-carrier-grade-routers/

黑客利用3年前的RCE漏洞对QNAP NAS设备进行后门攻击

日期: 2020年08月31日
等级: 高
作者: Sergiu Gatlan
标签: QNAP, 360 Netlab, Attack, RCE, AuthLogout.cgi, NAS, Command Injection

黑客正在扫描运行多个QNAP固件版本的易受攻击的网络连接存储(NAS)设备,试图利用QNAP以前版本中的远程代码执行(RCE)漏洞进行攻击。根据奇虎360网络安全研究实验室(360Netlab)研究人员于2020年8月31日发表的一份报告,由于QNAPNAS设备固件中存在命令注入漏洞,未知黑客目前正在利用远程命令执行漏洞。该漏洞允许未经验证的远程攻击者使用authLogout.cgi可执行文件,因为它无法清理输入——不过滤特殊字符——并调用系统函数来运行命令字符串,允许命令注入,从而允许远程代码执行。

详情

Hackers are backdooring QNAP NAS devices with 3-year old RCE bug

https://www.bleepingcomputer.com/news/security/hackers-are-backdooring-qnap-nas-devices-with-3-year-old-rce-bug/

“UltraRank”团伙出售窃取的信用卡数据

日期: 2020年09月01日
等级: 高
来源: DATABREACHTODAY
标签: UltraRank, JavaScript, Magecart, ValidCC, Attack, Payment Card

据安全公司Group-IB报道,一个名为“UltraRank”的网络犯罪团伙在过去五年中,在全球数百个电子商务网站植入恶意JavaScript代码,窃取银行卡数据,还采取了出售数据的不寻常措施,与“Magecart”保护伞下的其他网络犯罪团伙窃取电子商务网站上的支付卡数据,然后将这些信息出售给第三方刷卡网站或用于购买商品,UltraRank创建了一家名为ValidCC的卡店,将被盗的信用卡数据卖给其他欺诈者。

详情

‘UltraRank’ Gang Sells Card Data It Steals

https://www.databreachtoday.com/ultrarank-gang-sells-card-data-steals-a-14928

联邦调查局:数千个组织成为RDoS勒索活动的目标

日期: 2020年09月03日
等级: 高
作者: Sergiu Gatlan
标签: DDOS, FBI, Bitcon, Ransom, RDOS

美国联邦调查局警告美国公司,世界各地各行各业的数千个组织受到DDoS攻击威胁,除非他们支付比特币赎金,否则将在六天内遭到DDoS攻击。这场大规模的勒索DDoS(RDDoS或RDoS)行动始于20220年8月12日,其背后的威胁者在向目标公司发送的勒索信中,假扮成知名黑客组织,如FancyBearCozyBearLazarusGroupArmadaCollective。在BleepingComputer看到并分发给美国公司的MU-000132-DDFlashAlert中,美国家庭情报服务还补充说,犯罪团伙目前正在瞄准零售,金融,旅游和电子商务行业的组织。

详情

FBI: Thousands of orgs targeted by RDoS extortion campaign

https://www.bleepingcomputer.com/news/security/fbi-thousands-of-orgs-targeted-by-rdos-extortion-campaign/

美国工资协会披露信用卡被盗事件

日期: 2020年08月31日
等级: 中
作者: Sergiu Gatlan
标签: APA, Attack, CMS, Vulnerability, Magecart, Skimming Attack

美国工资协会(APA)披露了一个影响会员和客户的数据漏洞,此前攻击者成功地在该组织的网站登录和在线商店结账页面上安装了一个网页浏览器。APA是一个非营利性的专业协会,有超过20000名会员和121个APA下属的地方分会,每年有超过36000名专业人士参加培训研讨会和会议。该组织还颁发行业认可的证书,并为专业人士提供资源文本库。大约在2020年7月23日,APA发现其网站和在线商店被未知的威胁参与者攻破,他们部署了一个略读器,旨在收集敏感信息并将其过滤到攻击者控制的服务器上。攻击者利用组织内容管理系统(CMS)中的一个安全漏洞,根据APA政府和公共关系、认证和IT高级主管RobertWagner发送给受影响个人的数据泄露通知,入侵APA的网站和在线商店。

详情

American Payroll Association discloses credit card theft incident

https://www.bleepingcomputer.com/news/security/american-payroll-association-discloses-credit-card-theft-incident/

BEC诈骗集团平均一次窃取8万美元

日期: 2020年09月01日
等级: 中
作者: Catalin Cimpanu
标签: BEC, Attack, Email Phishing, APWG, Malware

BEC欺诈集团正变得越来越肆无忌惮。2020年8月31日发布的一份行业报告显示,BEC集团试图从目标公司窃取的平均金额现在是每次攻击8万美元左右。根据反钓鱼工作组(APWG)的报告,这个数字比BEC组织在2020年第一季度试图从受害者那里获得的平均54000美元要高。反钓鱼工作组是一个行业联盟,由来自网络安全行业、政府、执法部门和非政府组织的2200多个组织组成。自2004年以来,APWG是同类最大的行业集团之一,一直在发布有关网络钓鱼活动状态的季度报告。

详情

Average BEC attempts are now $80k, but one group is aiming for $1.27m per attack

https://www.zdnet.com/article/average-bec-attempts-are-now-80k-but-one-group-is-aiming-for-1-27m-per-attack/

通过私人电报渠道走私的信用卡数据

日期: 2020年09月01日
等级: 中
作者: Ionut Ilascu
标签: Telegram, Card, JavaScript, Attack, Private, Steal

安全研究人员注意到,一些攻击在线商店的网络罪犯正在使用专用的Telegram渠道,从在受害站点上进行购买的客户那里窃取信用卡信息。这个发现是第一个公开的文件,这个技巧使数据提取更有效,整个刷卡操作更容易管理。新方法是由AffableKraut使用Sansec的数据发现的。研究人员分析了恶意JavaScript,其中包括常见的反分析保护。

详情

Credit card data smuggled via private Telegram channel

https://www.bleepingcomputer.com/news/security/credit-card-data-smuggled-via-private-telegram-channel/

黑客正利用Wordpress文件管理器插件中的高危RCE漏洞

日期: 2020年09月02日
等级: 中
作者: Pierluigi Paganini
标签: Attack, File manager plugin, Vulnerability, Wordpress, RCE, Plugins, PHP

黑客正在积极地利用文件管理器WordPress插件中的一个高危的远程代码执行漏洞,未经身份验证的攻击者可以利用这个漏洞在运行有漏洞的插件版本的WordPress站点上上传脚本并执行任意代码。文件管理插件允许用户直接从WordPress轻松管理文件,目前安装在超过700,000个WordPress站点上。这个漏洞是由来自Arsys的GonzaloCruz首先发现的,研究人员还证实了威胁者已经利用这个漏洞上传了恶意的PHP文件到易受攻击的网站上。

目前Wordpress在全球均有分布,具体分布如下图,数据来自于360 QUAKE

安全事件周报 (08.31-09.06)

详情

Hackers are actively exploiting critical RCE in WordPress sites using File Manager plugin

https://securityaffairs.co/wordpress/107826/hacking/file-manager-wordpress-plugin-flaw.html

印度总理莫迪的推特账号遭到黑客攻击

日期: 2020年09月03日
等级: 中
作者: Pierluigi Paganini
标签: Twitter, Modi, Account, Covid-19, Indian, Hacked

印度总理莫迪(@narendramodi_in)个人网站的Twitter账户遭到黑客攻击。黑客们已经发了一系列推特,要求追随者们向总理国家救济基金会捐赠加密货币。一条推特写道:是的,这个账户被约翰·维克入侵了。另一条推文写道:我呼吁大家向印度总理抗击2019冠状病毒的国家救助基金慷慨捐赠,现在印度开始使用加密货币。Twitter迅速检测出了恶意活动,并保护了被入侵的账户,将黑客锁定,欺诈信息也被删除。

详情

The Twitter account of Indian Prime Minister Modi was hacked

https://securityaffairs.co/wordpress/107881/hacking/modi-twitter-account-hacked.html

攻击者通过合法网站上的覆盖屏幕窃取Outlook凭据

日期: 2020年09月04日
等级: 中
作者: Lindsey O'Donnell
标签: Email, Outlook, Credentials, Phishing, Attack

攻击者正在寻找企业版微软Outlook证书,利用电子邮件隔离策略,在合法的公司网页上使用覆盖屏幕的策略来吸引受害者,展开新的网络钓鱼活动。Cofense研究人员告诉Threatpost,该活动是在成功锁定一家未命名公司之后发现的。这些电子邮件模仿了员工公司的技术支持团队(发件人标题中带有“支持”,主题行中带有“需要采取措施”),并声称该公司的电子邮件安全服务已隔离了三条钓鱼邮件。

详情

Attackers Steal Outlook Credentials Via Overlay Screens on Legitimate Sites

https://threatpost.com/attackers-steal-outlook-credentials-overlay-screens/158969/

恶意软件团伙使用.NET库生成绕过安全检查的Excel文档

日期: 2020年09月05日
等级: 中
作者: Catalin Cimpanu
标签: Attack, Malware Gang, Excel, Evading, Epic Manchego, NVISO Labs, .Net

一个新发现的恶意软件团伙正在使用一个巧妙的技巧来创建恶意Excel文件,这些文件的检测率较低,并且逃避安全系统的可能性更高。NVISO实验室的安全研究人员发现,这个被他们命名为EpicManchego的恶意软件团伙自6月以来一直很活跃,通过带有恶意Excel文档的钓鱼邮件攻击世界各地的公司。根据NVISO的说法,这些文档不是用标准的MicrosoftOffice软件编译的,而是用一个名为EPPlus.Net库编译的。

详情

Malware gang uses .NET library to generate Excel docs that bypass security checks

https://www.zdnet.com/article/malware-gang-uses-net-library-to-generate-excel-docs-that-bypass-security-checks/

相关安全建议

  1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

  2. 域名解析使用CDN

  3. 条件允许的情况下,设置主机访问白名单

  4. 减少外网资源和不相关的业务,降低被攻击的风险

  5. 及时对系统及各个服务组件进行版本升级和补丁更新

  6. 受到网络攻击之后,积极进行攻击痕迹、遗留文件信息等证据收集

0x05 其它事件

Magento插件Magmi易被劫持管理会话

日期: 2020年09月02日
等级: 高
作者: Ionut Ilascu
标签: Vulnerability, CSRF, Database, Magento, Plugin, Code Execution

Magento在线商店的Magmi插件中仍然存在跨站点请求伪造(CSRF)漏洞,尽管开发人员收到了研究人员的报告,发现了该漏洞。黑客可以诱使经过身份验证的管理员点击恶意链接,从而利用该漏洞在运行Magmi(MagentoMassImporter)的服务器上执行任意代码。该插件作为一个Magento数据库客户端工作,可以添加大量的产品(根据其wiki页面,数以百万计)到目录或更新它。

目前Magento在全球均有分布,具体分布如下图,数据来自于360 QUAKE

安全事件周报 (08.31-09.06)

详情

Magento plugin Magmi vulnerable to hijacking admin sessions

https://www.bleepingcomputer.com/news/security/magento-plugin-magmi-vulnerable-to-hijacking-admin-sessions/

Slack高危漏洞允许攻击者访问私有对话

日期: 2020年08月31日
等级: 中
作者: Tara Seals
标签: Slack, HTML Injection, XSS, RCE

流行的Slack协作应用程序中的一个高危漏洞能够造成远程代码执行(RCE),攻击者一次成功的攻击,可以获得对Slack桌面应用程序的完全远程控制,从而访问私有通道、对话、密码、令牌和密钥以及各种功能。根据一份安全报告,它们还可能深入到内部网络中,这取决于Slack的配置。该漏洞(在CvSS漏洞严重性等级中为9至10级)于2020年8月28日披露,涉及跨站点脚本(XSS)和HTML注入。

详情

Critical Slack Bug Allows Access to Private Channels, Conversations

https://threatpost.com/critical-slack-bug-access-private-channels-conversations/158795/

一个安全漏洞可绕过Visa非接触式付款的PIN验证

日期: 2020年08月31日
等级: 中
作者: Amer Owaida
标签: Card, Visa, Pin, ETH Zurich, Vulnerability, EMV

瑞士苏黎世联邦理工学院(ETHZurich)的一组研究人员发现,VisaEMV非接触式协议存在一个安全漏洞,可以让攻击者执行PIN绕过攻击并实施信用卡欺诈。具体来说,使用非接触式卡购买商品或服务的金额通常是有限制的。一旦超过这个限制,卡片终端将请求输入密码的持卡人进行验证。但是,这项名为“EMV标准:破解,修复,验证”的新研究表明,即使在不使用PIN的情况下,只要犯罪分子掌握了信用卡信息,就可以利用该漏洞进行欺诈性购买,而无需输入PIN

详情

Security flaw allows bypassing PIN verification on Visa contactless payments

https://www.welivesecurity.com/2020/08/31/security-flaw-allows-bypassing-pin-verification-visa-contactless-cards/

微软Defender可以用来下载恶意软件

日期: 2020年09月02日
等级: 中
作者: Lawrence Abrams
标签: Windows, Microsoft, Download, Attack, Malware, Defender, MpCmdRun

具有讽刺意味的是,Windows10最近更新的微软防御杀毒解决方案允许它下载恶意软件和其他文件到Windows电脑。可以出于恶意目的滥用的合法操作系统文件被称为“非本地二进制文件”或“LOLBIN”。在最近的MicrosoftDefender更新中,命令行MpCmdRun.exe工具已更新为可以从远程位置下载恶意文件。有了这个新功能,MicrosoftDefender现在成为了可能被本地攻击者滥用的Windows程序的一部分。

详情

Microsoft Defender can ironically be used to download malware

https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-can-ironically-be-used-to-download-malware/

一安全主管偷走并转售41个政府的网络交换机

日期: 2020年09月02日
等级: 中
作者: Shaun Nichols
标签: Networking, Switches, Reselling, Prison, Stealing

2020年9月1日,一名前IT安全总监被判两年监禁,他承认盗窃并倒卖了几十台从某县政府购买的网络交换机。48岁的特里·佩特里尔(TerryPetrill)早些时候承认了一项盗窃联邦资金的罪名,并承认窃取了41台思科3850网络交换机,并将其出售给第三方。他还将接受3年的法庭监督,并须向前雇主偿还345,266美元。

详情

There’s gall - and then there’s the security director who stole and resold 41 government-owned networking switches

https://www.theregister.com/2020/09/02/prison_cisco_reselling/

暗网市场AlphaBay的主持人被判11年监禁

日期: 2020年09月03日
等级: 中
作者: Pierluigi Paganini
标签: AlphaBay, Drug, Criminal, Darknet, Illegal, Prison, Market

来自科罗拉多州的布莱恩·康纳·赫雷尔(BryanConnorHerrell)(25岁)被判为11年监禁,因为他是受欢迎的暗网市场AlphaBay的主持人之一。AlphaBay市场被认为是最大的黑暗网络毒品市场,有超过25万份非法毒品和有毒化学品的清单,以及超过10万份关于被盗和欺诈的身份证件和访问设备、假冒商品、恶意软件和其他计算机黑客工具、枪支和欺诈服务的清单。自2014年成立以来,市场成交金额保守估计为10亿美元。交易是用比特币和其他加密货币支付的。

详情

AlphaBay moderator was sentenced to 11 years of prison timeSecurity Affairs

https://securityaffairs.co/wordpress/107842/cyber-crime/alphabay-moderator-sentenced-prison.html

WhatsApp通过专门的安全网站披露了6个漏洞

日期: 2020年09月04日
等级: 中
作者: Elizabeth Montalbano
标签: Whatsapp, Vulnerability, Platform, Facebook, Remote, Bug-Bounty

facebook旗下的WhatsApp修复了其聊天平台上的6个此前未披露的漏洞,并在一个新的专门安全咨询网站上宣布了这一举措,该网站旨在告知其逾200万用户有关漏洞的信息,并让他们及时了解应用程序的安全性。该咨询页面将提供WhatsApp安全更新和相关常见漏洞和暴露(CVEs)的全面列表,并提供旨在帮助研究人员了解漏洞影响的描述。

详情

WhatsApp Discloses 6 Bugs via Dedicated Security Site

https://threatpost.com/whatsapp-discloses-6-bugs-dedicated-security-site/158962/

新加坡对宽带运营商服务中断罚款44.7万美元

日期: 2020年09月06日
等级: 中
作者: Eileen Yu
标签: Imda, Network, Starhub, M1, Singapore, Telcos, Outages

新加坡电信StarHubM1因2020年4月和5月发生的宽带服务中断被罚款共计61万新加坡元(447090美元)。后来发现其中两次停机是由于人为的疏忽,包括一个系统配置。IMDA表示,由于违反了该国2016年《电信服务弹性行为准则》,StarHub被罚款21万新加坡元(153916美元)。M1的服务中断发生在5月12日和5月13日的两天内,分别影响了18000和20000个宽带用户,并被罚款40万新加坡元(293173美元)。

详情

Singapore slaps $447,000 fine on broadband operators for service outages

https://www.zdnet.com/article/singapore-slaps-447000-fine-on-broadband-operators-for-service-outages/

相关安全建议

  1. 注重内部员工安全培训

  2. 及时检查并删除外泄敏感数据

  3. 明确每个服务功能的角色访问权限

0x06 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对事件相关组件进行监测,请用户联系相关产品区域负责人或(quake#360.cn)获取对应产品。

安全事件周报 (08.31-09.06)

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

安全事件周报 (08.31-09.06)

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

安全事件周报 (08.31-09.06)

0x07 时间线

2020-09-07  360CERT发布安全事件周报

安全事件周报 (08.31-09.06)推荐阅读:

1、360-CERT每日安全简报(2020-09-05)

2、安全运营周刊第七期

3、360-CERT每日安全简报(2020-09-04)

长按下方二维码关注360CERT!谢谢你的关注!
 安全事件周报 (08.31-09.06)
注:360CERT官方网站提供 《安全事件周报 (08.31-09.06)》 完整详情,点击阅读原文

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年9月7日14:22:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   安全事件周报 (08.31-09.06)http://cn-sec.com/archives/121606.html

发表评论

匿名网友 填写信息