报告编号:B6-2021-022201
报告来源:360CERT
报告作者:360CERT
更新日期:2021-02-22
0x01事件导览
本周收录安全热点11项,话题集中在网络攻击方面,涉及的组织有:Singtel、Microsoft、EXMO、Android等。Exchange部分源码遭窃,供应链攻击效率显著。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
| 恶意程序 |
|---|
| 保险商实验室(UL)认证巨头遭勒索 |
| 安卓应用程序的安全漏洞未修补,下载量达10亿次 |
| Masslogger特洛伊木马变种窃取Outlook、Chrome凭据 |
| 数据安全 |
| 新加坡电信公司遭遇信息泄露 |
| Clop勒索团伙在暗网上泄露Jones Day律师事务所数据 |
| 网络攻击 |
| DDoS攻击关闭EXMO加密货币交换服务器 |
| Malvertisers利用浏览器漏洞将用户重定向至诈骗页面 |
| 错误配置的婴儿监视器泄露在线视频流 |
| Microsoft内部SolarWoinds调查结果 |
| 黑客滥用Google Apps脚本窃取信用卡 |
| 网络钓鱼更改电子邮件超链接前缀以绕过防御 |
0x02恶意程序
保险商实验室(UL)认证巨头遭勒索
日期: 2021年02月19日
等级: 高
作者: Lawrence Abrams
标签: UL LLC, Ransomware
行业: 科学研究和技术服务业
涉及组织: UL LLC
保险商实验室(ULLLC)遭到勒索软件攻击,黑客对其服务器进行加密,并导致服务器宕机。UL是美国最大、历史最悠久的安全认证公司,在40多个国家拥有14000名员工和办事处。UL标志遍布在各电器、笔记本电脑、电视遥控器、灯泡,甚至你的苹果USB充电器的背面。据消息人士称,UL决定不支付赎金,而是从备份中恢复系统。
详情
Underwriters Laboratories (UL) certification giant hit by ransomware
https://www.bleepingcomputer.com/news/security/underwriters-laboratories-ul-certification-giant-hit-by-ransomware/
安卓应用程序的安全漏洞未修补,下载量达10亿次
日期: 2021年02月16日
等级: 高
作者: Catalin Cimpanu
标签: Android, SHAREit, RCE
行业: 信息传输、软件和信息技术服务业
涉及组织: google
一个下载超过10亿次的Android应用程序--SHAREit,包含未修补的漏洞。SHAREit是一款允许用户与朋友或个人设备之间共享文件的移动应用程序。攻击者通过中间人网络攻击,可以向SHAREit应用程序发送恶意命令,并劫持其合法功能来运行自定义代码、覆盖应用程序的本地文件,或者在用户不知情的情况下安装第三方应用程序。
详情
Security bugs left unpatched in Android app with one billion downloads
https://www.zdnet.com/article/security-bugs-left-unpatched-in-android-app-with-one-billion-downloads/
Masslogger特洛伊木马变种窃取Outlook、Chrome凭据
日期: 2021年02月18日
等级: 高
作者: Charlie Osborne
标签: Chrome, Outlook, Trojan, Phinshing
行业: 跨行业事件
涉及组织: google, microsoft
Masslogger特洛伊木马变种正在尝试窃取Outlook、Chrome凭据。该木马利用网络钓鱼邮件伪装成与业务相关的查询,并包含.RAR附件。如果受害者打开附件,将提取已编译的HTML文件.CHM文件,其中还包含带有嵌入式JavaScript代码的HTML文件。最终导致部署包含Masslogger加载器的PowerShell脚本。
IOC
Name
- hxxp://sinetcol[.]co/A7.jpg - January
- hxxp://sinetcol[.]co/D7.jpg - January
- hxxp://becasmedikal[.]com.tr/A5.jpg - January
- hxxp://risu[.]fi/D9.jpg - November
- hxxp://topometria[.]com.cy/A12.jpg - September
- hxxp://bouinteriorismo[.]com/R9.jpg - November
- hxxp://optovision[.]gr/4B.jpg - October
- hxxp://hotelaretes[.]gr/V8.jpg - October
- hxxp://jetfleet24[.]com/T5.jpg - October
- hxxps://www.med-star[.]gr/panel/?/login - C2 panel
- fxp://med-star[.]gr - exfiltration FTP
详情
Masslogger Trojan reinvented in quest to steal Outlook, Chrome credentials
https://blog.talosintelligence.com/2021/02/masslogger-cred-exfil.html
相关安全建议
1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
2. 条件允许的情况下,设置主机访问白名单
3. 及时对系统及各个服务组件进行版本升级和补丁更新
4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
5. 如果不慎勒索中招,务必及时隔离受害主机、封禁外链ip域名并及时联系应急人员处理
6. 及时备份数据并确保数据安全
7. 各主机安装EDR产品,及时检测威胁
0x03数据安全
新加坡电信公司遭遇信息泄露
日期: 2021年02月17日
等级: 高
作者: Eileen Yu
标签: Singtel, FTA
行业: 信息传输、软件和信息技术服务业
涉及组织: Singtel
新加坡电信公司Singtel证实,12.9万名客户的个人数据被泄露,其中包括他们的身份证号码以及其他一些数据,包括姓名、出生日期、手机号码和实际地址。28名前Singtel员工的银行账户信息和一家使用Singtel移动电话的企业客户的45名员工的信用卡信息也被泄露。此外,包括供应商、合作伙伴和企业客户在内的23家企业的“部分信息”也遭到泄露。
详情
Singtel breach compromises data of customers, former employees
https://www.zdnet.com/article/singtel-breach-compromises-data-of-customers-former-employees/
Clop勒索团伙在暗网上泄露Jones Day律师事务所数据
日期: 2021年02月17日
等级: 高
作者: Deeba Ahmed
标签: Jones Day, Clop, Leak Data, Dark Web
行业: 租赁和商务服务业
涉及组织: Jones Day
Clop勒索软件团伙在暗网上泄露了从美国律师事务所JonesDay窃取的数据。JonesDay是一家备受瞩目的美国律师事务所,代表美国前总统唐纳德·特朗普(DonaldTrump)对法律进行了全面的调查。就总收入而言,它是美国第十大公司。它的一些客户包括摩根大通公司,宝洁公司,AlphabetInc.的Google,沃尔玛公司和麦当劳。黑客在网站上发布消息称,他们从JonesDay盗走了大约100GB的文件,数据包括电子邮件和法律文件。
详情
Clop ransomware gang leaks Jones Day law firm data on dark web
https://www.hackread.com/clop-ransomware-gang-jones-day-dark-web-data-leak/
相关安全建议
1. 及时检查并删除外泄敏感数据
2. 发生数据泄漏事件后,及时进行密码更改等相关安全措施
3. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施
4. 管控内部员工数据使用规范,谨防数据泄露并及时做相关处理
0x04网络攻击
DDoS攻击关闭EXMO加密货币交换服务器
日期: 2021年02月15日
等级: 高
作者: Sergiu Gatlan
标签: British, EXMO, DDoS
行业: 金融业
涉及组织: EXMO
英国加密货币交易所EXMO的服务器在遭到分布式拒绝服务(DDoS)攻击后暂时宕机。攻击发生后,EXMO暂停了所有提款,并说明在此期间所有用户损失将由EXMO赔偿并完全退款。2021年2月17日,EXMO服务器恢复运行,并称:“我们恢复了工作。这是一次巨大的攻击(每秒30GB),影响了公司的整个基础架构,包括网站,API,WebsocketAPI和交换图表。因此,在这种情况下,任何交换中断几个小时都是很自然的。此次攻击已被击退,我们还采取了其他措施来防止这种情况再次发生。”
详情
DDoS attack takes down EXMO cryptocurrency exchange servers
https://www.bleepingcomputer.com/news/security/ddos-attack-takes-down-exmo-cryptocurrency-exchange-servers/
Malvertisers利用浏览器漏洞将用户重定向至诈骗页面
日期: 2021年02月16日
等级: 高
作者: Ionut Ilascu
标签: ScamClub, WebKit, CVE-2021-1801
行业: 跨行业事件
ScamClub恶意组织利用WebKitWeb浏览器引擎中的漏洞,来将用户重定向至诈骗页面。所用漏洞为CVE-2021-1801。在过去三个月中,每天投放的恶意广告展示次数激增至1600万。
涉及漏洞
- CVE-2021-1801
IOC
Name
- xmou.s3.us-east-2.amazonaws.com/mou.js
- impve.s3.amazonaws.com/create.js
- dgoi.s3.us-east-2.amazonaws.com/goi.js
- yflx.s3.us-east-2.amazonaws.com/flx.js
- miil.s3.us-east-2.amazonaws.com/iia.js
- djian.s3.amazonaws.com/jia.js
- aimppv.s3.amazonaws.com/jiy.js
- aylei.s3.amazonaws.com/lei.js
- ajluo.s3.amazonaws.com/luo.js
- apzaf.s3.amazonaws.com/zaf.js
- appang.s3.us-east-2.amazonaws.com/pan.js
- dkjieg.s3.amazonaws.com/jieg.js
- adlya.s3.amazonaws.com/lya.js
- yddof.s3.amazonaws.com/dof.js
- meixop.s3.us-east-2.amazonaws.com/xop.js
- aqkol.s3.amazonaws.com/kol.js
- impvv.s3.us-east-2.amazonaws.com/dsd.js
- mqyuj.s3.amazonaws.com/yuj.js
- wpbgm.s3.amazonaws.com/bgm.js
- pzhufm.s3.amazonaws.com/zhuf.js
- cxpm.s3.amazonaws.com/cx.js
- khpm.s3.amazonaws.com/kh.js
- vcjm.s3.amazonaws.com/vc.js
- lxpm.s3.amazonaws.com/lx.js
- owpd.s3.amazonaws.com/ow.js
- kdjm.s3.amazonaws.com/kd.js
- rmbp.s3.amazonaws.com/bp.js
- zhpmm.s3.amazonaws.com/zh.js
- lrydy.s3-ap-southeast-1.amazonaws.com/lr.js
- kiyy.s3-ap-southeast-1.amazonaws.com/ki.js
- oummm.s3.amazonaws.com/ou.js
- gsyyd.s3.amazonaws.com/gs.js
- qqpm.s3.amazonaws.com/qq.js
- nxya.s3-ap-southeast-1.amazonaws.com/nx.js
- zpdk.s3.amazonaws.com/zp.js
- mrptm.s3.amazonaws.com/mr.js
- ktzmy.s3-ap-southeast-1.amazonaws.com/kt.js
- nzdpy.s3-ap-southeast-1.amazonaws.com/nz.js
- vpydy.s3-ap-southeast-1.amazonaws.com/vp.j
Domain
- goodluckpig.space
- goodluckman.space
- goodluckguy.space
- goodluckdog.space
- luckytub.xyz
- luckyguys.xyz
- luckyguys.top
- hknewgood.xyz
- hknewgood.top
- usgoodwinday.top
- usgoodwinday.xyz
- 2020workaffnew.top
- vip.peopleluck.xyz
- vip.fortunatefellow.xyz
- vip.fortunateman.xyz
- vip.fortunatetime.xyz
- vip.fortunatepeople.xyz
- vip.luckydevil.xyz
- vip.superlucky.xyz
- vip.luckydraw.space
- vip.hipstarclub.com
- workcacenter.space
- trkcenter.xyz
- trkingcenter.xyz
- gotrkspace.xyz
- trkmyclk.space
- dbmtrk.xyz
- trkmyclk.xyz
详情
Malvertisers exploited browser zero-day to redirect users to scams
https://blog.confiant.com/malvertiser-scamclub-bypasses-iframe-sandboxing-with-postmessage-shenanigans-cve-2021-1801-1c998378bfba
错误配置的婴儿监视器泄露在线视频流
日期: 2021年02月17日
等级: 高
作者: Habiba Rashid
标签: RTSP, CCTV, Monitor, Video Stream
行业: 制造业
SafetyDetections网络安全团队调查显示,婴儿监视器存在一个漏洞,这是由于其配置错误,可能会导致攻击者未经授权访问摄像头的视频流。同时,不仅是婴儿监视器,其它使用RTSP的摄像机(如CCTV摄像机)已受此影响。这使攻击者能够接触到他们孩子、卧室的实时影像。
详情
Misconfigured baby monitors exposing video stream online
https://www.hackread.com/misconfigured-baby-monitors-exposing-video-stream-online/
Microsoft内部SolarWoinds调查结果
日期: 2021年02月18日
等级: 高
作者: MSRC
标签: Microsoft, SolarWinds, Azure, Intune, Exchange
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft
2020年12月,微软遭受了SolarWinds供应链攻击。2021年2月18日,微软发布此攻击事件内部调查报告。黑客获得了有限数量的源代码,主要包括
-部分Azure组件源代码(服务,安全性,身份的子集)
-部分Intune组件源代码
-部分Exchange组件源代码
微软确定,泄露的代码不包括任何凭据。同时,微软表示会积极采用“零信任”的理念来创建优化安全模型。
详情
Microsoft Internal Solorigate Investigation – Final Update
https://msrc-blog.microsoft.com/2021/02/18/microsoft-internal-solorigate-investigation-final-update/
黑客滥用Google Apps脚本窃取信用卡
日期: 2021年02月18日
等级: 高
作者: Sergiu Gatlan
标签: Google, CSP, Credit Cards
行业: 金融业
涉及组织: google
攻击者滥用Google的AppsScript业务应用开发平台,来窃取电子商务网站客户在线购物时提交的信用卡信息。在线商店会认为Google的Apps脚本域是受信任的,并有可能将所有Google子域加入其站点的CSP配置(阻止Web应用程序中不受信任的代码执行的安全标准)白名单。由此,使用script.google.com域的恶意软件扫描引擎成功隐藏其恶意活动,并绕过内容安全策略(CSP)控件。
详情
Hackers abuse Google Apps Script to steal credit cards, bypass CSP
https://www.bleepingcomputer.com/news/security/hackers-abuse-google-apps-script-to-steal-credit-cards-bypass-csp/
网络钓鱼更改电子邮件超链接前缀以绕过防御
日期: 2021年02月19日
等级: 高
作者: Bradley Barth
标签: Phishing, Bypass Defenses, URL Beginning
行业: 跨行业事件
安全研究人员称,他们已经检测到网络钓鱼利用更改电子邮件超链接前缀的方法来绕过防御。换句话说,URL不是以“http://”开头,而是以“http://”开头。但URL的其余部分保持不变。这些网址与简单的电子邮件扫描程序的已存储ioc不符,使得它们可以在未被发现的情况下绕过防御。
详情
Phishing campaign alters prefix in emailed hyperlinks to bypass defenses
https://www.scmagazine.com/home/security-news/phishing/phishing-campaign-alters-prefix-in-hyperlinks-to-bypass-email-defenses/
相关安全建议
1. 及时对系统及各个服务组件进行版本升级和补丁更新
2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
3. 积极开展外网渗透测试工作,提前发现系统问题
4. 软硬件提供商要提升自我防护能力,保障供应链的安全
5. 不盲目信任云端文件及链接
6. 不盲目安装官方代码仓库的第三方Package
7. 不盲目安装未知的浏览器扩展
0x05产品侧解决方案
360城市级网络安全监测服务
360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
0x06时间线
2021-02-22 360CERT发布安全事件周报
0x07特制报告下载链接
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。
安全事件周报 (2.15-2.21)
http://pub-shbt.s3.360.cn/cert-public-file/【360CERT】安全事件周报_2月15日-2月21日.pdf
若有订阅意向与定制需求请扫描下方二维码进行信息填写,或发送邮件至g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。
推荐阅读:
长按下方二维码关注360CERT!谢谢你的关注!
注:360CERT官方网站提供 《安全事件周报 (2.15-2.21)》 完整详情,点击阅读原文
本文始发于微信公众号(三六零CERT):安全事件周报 (2.15-2.21)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论