报告编号:B6-2020-092801
报告来源:360CERT
报告作者:360CERT
更新日期:2020-09-28
0x01 事件导览
本周收录安全事件37项,话题集中在数据泄露、网络攻击方面,涉及的组织有:Microsoft、Luxottica、Google、Instagram等。网络攻击泛滥,已造成巨额损失;内部安全问题频发,内部员工泄漏数据屡禁不止。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
| 恶意程序 | 等级 |
|---|---|
| 全球最大眼镜公司Luxottica遭遇勒索袭击 | ★★★★★ |
| 俄罗斯的DoppelPaymer团伙制造了致命的医院袭击 | ★★★★ |
| 新勒索软件OldGremlin攻击顶级组织 | ★★★★ |
| Joker不断攻击Google Play | ★★★★ |
| CISA:LokiBot窃取木马卷土重来 | ★★★ |
| Alien银行特洛伊木马绕过2FA验证 | ★★★ |
| Mount Locker勒索软件加入了数百万美元的赎金游戏 | ★★★ |
| ThunderX勒索软件被一款免费的解密程序消灭 | ★★★ |
| 数据安全 | |
| 印度的COVID-19监视工具暴露了数以百万计的用户数据 | ★★★★★ |
| Windows XP的源代码已被泄漏 | ★★★★★ |
| 亚马逊员工受贿操纵市场,泄露数据 | ★★★★ |
| Strava应用程序可将你的信息暴露给附近陌生人 | ★★★★ |
| 微软必应服务器数据泄露 | ★★★★ |
| 勒索软件袭击未遂后盗取54万体育工作人员数据 | ★★★★ |
| 美国健身连锁店遭遇数据泄露影响60万顾客 | ★★★★ |
| 谷歌云存储数据因为错误配置而暴露 | ★★★ |
| 内部威胁的危险性:Shopify数据泄露 | ★★★ |
| 乌克兰汽车维修公司的美国网站遭遇数据泄露 | ★★★ |
| Twitter警告开发者API密钥和令牌可能已经泄露 | ★★★ |
| Error-bnb:Airbnb网站漏洞让陌生人阅读彼此的账户信息 | ★★★ |
| 网络攻击 | |
| 黑客从KuCoin加密货币交易所偷走了1.5亿美元 | ★★★★★ |
| 匈牙利遭遇强大的DDoS攻击 | ★★★★★ |
| 动视暴雪遭黑客攻击,50万《使命召唤》玩家受到影响 | ★★★★ |
| 黑客袭击沙特阿拉伯维珍移动公司 | ★★★ |
| 黑客通过远程管理应用程序出售对您网络的访问权 | ★★★ |
| 政府软件提供商Tyler Technologies公司遭勒索软件袭击 | ★★★ |
| 乌克兰国家警察网站在黑客入侵后被关闭 | ★★★ |
| 诈骗者利用'AnyDesk'和'SIM卡交换'窃取银行账户 | ★★★ |
| 联邦政府被攻击导致数据被盗 | ★★★ |
| Fortinet VPN使20万个企业面临黑客攻击 | ★★★ |
| GDPR被用作钓鱼诱饵 | ★★★ |
| 路易威登(LV)修复了数据泄露和账户接管漏洞 | ★★★ |
| ATO拒绝修复myGovID中的代码重放缺陷 | ★★ |
| 其它事件 | |
| TikTok档案推广诈骗应用程序,产生50万美元利润 | ★★★ |
| 谷歌推出新的自动威胁检测工具 | ★★★ |
| Instagram漏洞 | ★★★ |
| 波兰警方逮捕了该国主要黑客组织 | ★★★ |
0x02 恶意程序
全球最大眼镜公司Luxottica遭遇勒索袭击
日期: 2020年09月22日
等级: 高
作者: Lawrence Abrams
标签: Italy, Luxottica, eyewear, RansomWare, Citrix ADX, CVE-2019-19781
总部位于意大利的眼镜和护目镜巨头Luxottica遭到网络攻击,导致意大利和中国的业务关闭。Luxottica是全球最大的眼镜公司,拥有超过8万名员工,2019年实现收入94亿美元。攻击发生在9月20日晚上,影响了其全球范围的公司,即使过了三天,办公室仍然没有完全投入使用。网络安全情报公司称,Luxottica的CitrixADX控制器设备,易受Citrix设备中CVE-2019-19781严重漏洞的影响。
详情
Ray-Ban owner Luxottica confirms ransomware attack, work disrupted
https://www.bleepingcomputer.com/news/security/ray-ban-owner-luxottica-confirms-ransomware-attack-work-disrupted/
俄罗斯的DoppelPaymer团伙制造了致命的医院袭击
日期: 2020年09月22日
等级: 高
作者: Pierluigi Paganini
标签: German, Duesseldorf University Clinic, Doppelpaymer, Hospital, Russian hackers
360CERT在2020年9月21日的《安全事件周报》中报道了一起事件:德国一家医院遭勒索软件袭击后导致患者死亡。现在,德国当局对最近杜塞尔多夫医院遇袭事件的调查显示,俄罗斯黑客可能参与其中,袭击德国医院的恶意软件家族就是臭名昭著的Doppelpaymer勒索软件。调查人员认为,勒索软件操作人员的真正目标是杜塞尔多夫的海因里希·海涅大学,它隶属于这家医院。
详情
German investigators blame Russian DoppelPaymer gang for deadly hospital attack
https://securityaffairs.co/wordpress/108620/malware/doppelpaymer-german-hospital-attack.html
新勒索软件OldGremlin攻击顶级组织
日期: 2020年09月23日
等级: 高
作者: Ionut Ilascu
标签: OldGremlin, Backdoor, C2, Russia, RansomWare
OldGremlin勒索软件一直以大型企业网络为目标,在攻击的最初和最后阶段使用自制后门和文件加密恶意软件。这一组织的袭击只在俄罗斯被发现,OldGremlin使用自定义后门(TinyPosh和TinyNode)和勒索软件(TinyCrypt,又名Dec1pt),以及用于侦察和横向移动的第三方软件(CobaltStrike、命令行截图、NirSoft的MailPassView用于电子邮件密码恢复)。该团伙对受害者并不挑剔,只要受害者是俄罗斯的知名企业(医疗实验室、银行、制造商、软件开发商)就行。
详情
New ransomware actor OldGremlin uses custom malware to hit top orgs
https://www.bleepingcomputer.com/news/security/new-ransomware-actor-oldgremlin-uses-custom-malware-to-hit-top-orgs/
Joker不断攻击Google Play
日期: 2020年09月25日
等级: 高
来源: ZSCALER
标签: Joker, Android, Google, WAP, Malware
Joker是最著名的恶意软件家族之一,它不断地攻击Android设备。尽管人们意识到了这种特殊的恶意软件,但它通过改变代码、执行方法或有效载荷检索技术,不断地进入谷歌的官方应用程序市场。这个间谍软件的目的是窃取短信、联系人名单和设备信息,同时悄悄地为受害者注册高级无线应用协议(WAP)服务。
详情
Joker Playing Hide-and-Seek with Google Play
https://www.zscaler.com/blogs/security-research/joker-playing-hide-and-seek-google-play
CISA:LokiBot窃取木马卷土重来
日期: 2020年09月23日
等级: 中
来源: THREATPOST
标签: CISA, LokiBot, Stealer, Trojan
美国网络安全和基础设施安全局(CISA)警告说,LokiBot盗取信息的木马病毒正在整个企业领域激增。据该机构称,这一回升始于7月份,此后活动一直持续。LokiBot的目标是Windows和Android终端,主要通过电子邮件(但也通过恶意网站、文本和短信)传播。它通常会追踪凭证(用户名、密码、加密货币钱包等)以及个人信息。CISA解释说,该恶意软件通过键盘记录器来监控浏览器和桌面活动,窃取数据。
详情
CISA: LokiBot Stealer Storms Into a Resurgence
https://threatpost.com/cisa-lokibot-stealer-resurgence/159495/
Alien银行特洛伊木马绕过2FA验证
日期: 2020年09月24日
等级: 中
来源: THREATPOST
标签: Alien, Android, RAT, Trojan, 2FA
一个新发现的名为Alien的银行特洛伊木马正在入侵全球Android设备,它利用先进的能力绕过双因素认证(2FA)安全措施窃取受害者的凭证。一旦感染了一个设备,RAT就试图窃取至少226个移动应用程序的密码——包括美国银行手机银行和CapitalOnemobile等银行应用程序,以及Snapchat、Telegram和MicrosoftOutlook等一系列协作和社交应用程序。
详情
Alien Android Banking Trojan Sidesteps 2FA
https://threatpost.com/alien-android-2fa/159517/
Mount Locker勒索软件加入了数百万美元的赎金游戏
日期: 2020年09月24日
等级: 中
作者: Lawrence Abrams
标签: Mount Locker, Ransomware, Ransom, Data Leak
一个名为MountLocker的新勒索软件正在肆虐,在加密之前窃取受害者的文件,然后索要数百万美元的赎金。从2020年7月底开始,MountLocker开始攻破公司网络并部署勒索软件。一些受害者被索要数百万美元赎金。在加密文件之前,MountLocker还会窃取未加密的文件,并威胁受害者,如果不支付赎金,数据将被公布。例如,MountLocker告诉一个受害者,他们盗取了400GB的数据,如果不给钱,他们会联系受害者的竞争对手、媒体、电视频道和报纸。最终,受害者没有付款,他们的数据被发布到勒索软件数据泄露网站。这个数据泄露网站目前列出了四名受害者,只有一人的档案被泄露。
详情
Mount Locker ransomware joins the multi-million dollar ransom game
https://www.bleepingcomputer.com/news/security/mount-locker-ransomware-joins-the-multi-million-dollar-ransom-game/
ThunderX勒索软件被一款免费的解密程序消灭
日期: 2020年09月26日
等级: 中
作者: Lawrence Abrams
标签: ThunderX, Tesorion, Free Decryptor, Ransomware
ThunderX是一款相对较新的勒索软件,在2020年8月底开始活跃起来。最近,Tesorion发现了勒索软件加密的一个缺陷,之后,Tesorion发布了一款ThunderX勒索软件的解密程序,它可以让受害者免费恢复文件。下载Tesorion的ThunderX勒索软件解密程序并执行它。完成解密后,您将看到一个摘要,其中显示解密的文件数和有问题的文件数。
详情
ThunderX ransomware silenced with release of a free decryptor
https://www.bleepingcomputer.com/news/security/thunderx-ransomware-silenced-with-release-of-a-free-decryptor/
相关安全建议
1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
2. 减少外网资源和不相关的业务,降低被攻击的风险
3. 严格做好主机的权限控制
4. 各主机安装EDR产品,及时检测威胁
5. 网段之间进行隔离,避免造成大规模感染
6. 主机集成化管理,出现威胁及时断网
7. 如果不慎勒索中招,务必及时隔离受害主机、封禁外链ip域名并及时联系应急人员处理
0x03 数据安全
印度的COVID-19监视工具暴露了数以百万计的用户数据
日期: 2020年09月23日
等级: 高
来源: HACKREAD
标签: Uttar, Indian, COVID-19, VPNmentor, Data Breach, Surveillance Platform Uttar Pradesh
一份来自VPNmentor的研究报告显示,一个名为“北方邦监视平台”的COVID-19监视工具在8月1日遭到破坏,导致大量数据泄露。Vpnentor的研究人员指出,北方邦的地方政府开发了这个工具,是一个大型测绘项目的一部分。它的主要目的是跟踪和追踪印度各地的冠状病毒患者,由于“缺乏数据安全协议,无意中使平台的访问完全开放”,导致印度数百万人的数据暴露。
详情
India's COVID-19 surveillance tool exposed millions of user data
https://www.hackread.com/india-covid-19-surveillance-tool-exposed-user-data/
Windows XP的源代码已被泄漏
日期: 2020年09月25日
等级: 高
作者: Lawrence Abrams
标签: Windows Server 2003, Windows XP, Source Code, Leaked
据称,WindowsXPSP1和其他版本操作系统的源代码2020年9月25日在网上被泄露。一位声称花了两个月时间来编译一个泄露的Windows源代码的人2020年9月25日发布了一个43gb的torrent,在这个torrent中包含了所谓的WindowsXP和WindowsServer2003的源代码,以及一系列更旧版本的操作系统。
详情
The Windows XP source code was allegedly leaked online
https://www.bleepingcomputer.com/news/microsoft/the-windows-xp-source-code-was-allegedly-leaked-online/
亚马逊员工受贿操纵市场,泄露数据
日期: 2020年09月21日
等级: 高
来源: THEREGISTER
标签: US, Amazon, Marketplace, Data Leaked, Bribes, 3Ps
美国检察官声称,6人贿赂了腐败的亚马逊内部人士,操纵亚马逊的市场,并泄露了数TB的数据,包括一些搜索算法。在2020年9月17日晚些时候提交的起诉书中,司法部断言,六名被告向“亚马逊雇员和合同工”支付了超过100,000美元。被盗的文件包括,亚马逊市场搜索引擎的算法公式,亚马逊的产品评论排名,以及更多关于亚马逊运营和市场零售商排名的内部信息。
详情
Amazon staffers took bribes, manipulated marketplace, leaked data including search algorithms - DoJ claims
https://www.theregister.com/2020/09/21/amazon_fraud_bribery_charges/
Strava应用程序可将你的信息暴露给附近陌生人
日期: 2020年09月21日
等级: 高
作者: Ax Sharma
标签: Strava, Data Breach, Setting, App
流行的跑步和自行车应用程序Strava可以将你的信息暴露给附近的陌生人,这引发了用户对隐私的担忧。在了解了这个信息共享功能后,一些人担心这个功能会被滥用,以达到跟踪和“掠夺”的目的。此前,斯特拉瓦(Strava)曾发布过根据慢跑者的数据从13万亿个GPS坐标生成的热图,这些热图无意间暴露了包括美国在内的全球军事基地的位置。
详情
Strava app shows your info to nearby users unless this setting is disabled
https://www.bleepingcomputer.com/news/security/strava-app-shows-your-info-to-nearby-users-unless-this-setting-is-disabled/
微软必应服务器数据泄露
日期: 2020年09月21日
等级: 高
来源: THREATPOST
标签: Microsoft, Bing, Leaked, Data Breach, Search Engine, Clear Text
一个不安全的数据库为微软必应搜索引擎移动应用程序的用户暴露了敏感数据,包括他们的位置坐标、明文搜索词等等。Wizcase的研究人员认为,虽然没有人名等个人信息被曝光,但有足够的数据可以将这些搜索查询和位置与用户身份联系起来,这就给了坏人敲诈攻击、网络钓鱼诈骗等的成熟信息。这些数据与微软Bing的移动应用程序版本有关,Bing位于微软拥有的一个6.5TB的服务器中。研究人员说:“无论是搜索成人内容、欺骗重要人物、极端政治观点还是人们在必应上搜索的数百件令人尴尬的事情,一旦黑客有了搜索查询,就有可能通过服务器上提供的所有细节查到此人的身份,让他们成为敲诈的目标。”
详情
Unsecured Microsoft Bing Server Leaked Search Queries, Location Data
https://threatpost.com/microsoft-bing-search-queries/159407/
勒索软件袭击未遂后盗取54万体育工作人员数据
日期: 2020年09月21日
等级: 高
作者: Catalin Cimpanu
标签: ArbiterSports, Social Security, RansomWare, NCAA, Sports
ArbiterSports,全美大学生体育协会(NCAA)和许多其他联盟的官方提供商,主要为体育联盟提供管理裁判员和比赛官员的软件,9月21日披露了一起安全事件,影响了大约54万名注册会员,包括裁判员、联盟官员和学校代表。ArbiterSports说,他们在2020年7月抵挡了一起勒索软件攻击。尽管发现并阻止黑客对其文件进行加密,但入侵者还是设法窃取了其备份的一份副本。这个备份包含了来自ArbiterGame、ArbiterOne和ArbiterWorks的数据,这三个web应用程序被学校和体育联盟,用来分配和管理裁判和比赛官员的时间表和训练计划。
详情
Details of 540,000 sports referees taken in failed ransomware attack
https://www.zdnet.com/article/details-of-540000-sports-referees-taken-in-failed-ransomware-attack/
美国健身连锁店遭遇数据泄露影响60万顾客
日期: 2020年09月23日
等级: 高
作者: Lawrence Abrams
标签: New York, Town Sports, Data Breach, Information, Database
纽约健身连锁城镇体育(TownSports)遭遇数据泄露,包含60多万人个人信息的数据库在互联网上曝光。TownSportsInternational是美国知名健身中心和健身房的所有者,在Comparitech的一份新报告中,一个属于TownSportsInternational的数据库被安全研究人员BobDiachenko发现并进行了分析。该数据库包含了近60万名会员或员工的用户记录,并包含个人信息,包括姓名、地址、电话号码、电子邮件地址、信用卡最后四位数字、信用卡到期日期和会员的帐单历史记录。
详情
U.S. fitness chains suffer data breach affecting 600K customers
https://www.bleepingcomputer.com/news/security/us-fitness-chains-suffer-data-breach-affecting-600k-customers/
谷歌云存储数据因为错误配置而暴露
日期: 2020年09月22日
等级: 中
来源: THREATPOST
标签: Cloud, Google, Data Breach, Personal Profiles
所有谷歌云存储中有6%配置错误,对公共互联网开放,任何人都可以访问其内容。在Comparitech对2,064个谷歌云存储的调查中,发现其中131个谷歌云容易受到用户的非法访问,这些用户可以列举,下载,上传文件。该公司发现的暴露数据中,有6,000份扫描文件,包括护照,出生证和印度儿童的个人资料。
详情
Google Cloud Buckets Exposed in Rampant Misconfiguration
https://threatpost.com/google-cloud-buckets-exposed-misconfiguration/159429/
内部威胁的危险性:Shopify数据泄露
日期: 2020年09月23日
等级: 中
作者: Ax Sharma
标签: FBI, Shopify, ONLINE STORE, INSIDER THREAT, DATA LOSS
Shopify最近的一次数据泄露事件影响了近200件商品的销售,这被归咎于内部人士。这起事件不是由于技术漏洞造成的,而是由于两名团队员工参与了一项获取客户交易记录和敏感数据的流氓计划。Shopify在一份声明中说:“我们立即终止了这些人对我们Shopify网络的访问,并将事件提交给了执法部门。我们目前正在与联邦调查局和其他国际机构合作,调查这些犯罪行为。”
详情
Shopify data breach illustrates the danger of insider threats
https://www.bleepingcomputer.com/news/security/shopify-data-breach-illustrates-the-danger-of-insider-threats/
乌克兰汽车维修公司的美国网站遭遇数据泄露
日期: 2020年09月24日
等级: 中
来源: CYBERNEWS
标签: Ukrainian, XADO, American, US, Russian, Data Breach
乌克兰汽车维修公司XADO的美国网站遭遇数据泄露,共有12724个美国电话号码、电子邮件和密码被泄露。密码是用MD5进行哈希处理的,MD5被认为是一个弱散列,而且是不加salt的。该数据库于2020年9月15日在俄罗斯黑客论坛上免费提供。CYBERNEWS在9月16日通知了XadoChemicals泄漏事件,但还没有得到他们的回复。
详情
Car maintenance company leaks 12.7k US phone numbers, emails and MD5 unsalted passwords
https://cybernews.com/security/xado-leaks-us-phone-numbers-emails-md5-unsalted-passwords/
Twitter警告开发者API密钥和令牌可能已经泄露
日期: 2020年09月25日
等级: 中
作者: Lawrence Abrams
标签: Twitter, Data Breach, Developers, API Keys, Access Tokens
Twitter正在给开发者发电子邮件,声明他们的API密钥、访问令牌和访问令牌机密可能已经在浏览器的缓存中暴露出来。Twitter解释说,开发人员的浏览器可能在访问上的某些页面时缓存了developer.twitter.com的敏感数据。Twitter已经解决了这个问题,它不允许在你的浏览器中缓存这些数据,但警告说,过去使用过你的计算机的其他用户可能已经能够访问你的安全令牌和API密钥。
详情
Twitter is warning devs that API keys and tokens may have leaked
https://www.bleepingcomputer.com/news/security/twitter-is-warning-devs-that-api-keys-and-tokens-may-have-leaked/
Error-bnb:Airbnb网站漏洞让陌生人阅读彼此的账户信息
日期: 2020年09月26日
等级: 中
来源: THEREGISTER
标签: Airbnb, Bug, Ultra Vires, Internet Cache, Website Error
Airbnb表示,该公司已经修复了其网站中一个错误,该漏洞导致一些用户在查看自己的账户收件箱时,显示属于他人的信息。这个漏洞发生在2020年9月24日9时30分至12时30分之间,影响了那些登录其桌面或移动网站(而不是智能手机应用程序)的用户。在这段时间里,用户说当他们试图查看他们的收件箱时,上面会随机显示其他用户收件箱的内容。其中包括私人信息和预订确认,包括住宿详情和住址。
详情
Error-bnb: Techies scramble to fix Airbnb website bug that let strangers read each others' account messages
https://www.theregister.com/2020/09/26/airbnb_message_bug/
相关安全建议
1. 严格控制数据访问权限
2. 及时备份数据并确保数据安全
3. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施
4. 对于托管的云服务器(VPS)或者云数据库,务必做好防火墙策略以及身份认证等相关设置
5. 注重内部员工安全培训
6. 统一web页面报错信息,避免暴露敏感信息
7. 及时检查并删除外泄敏感数据
0x04 网络攻击
黑客从KuCoin加密货币交易所偷走了1.5亿美元
日期: 2020年09月26日
等级: 高
作者: Pierluigi Paganini
标签: KuCoin, Hot Wallets, Cold Wallets, ERC-20, Stole Money
位于新加坡的加密货币交易所KuCoin披露了一起重大安全事件,黑客攻破了它们的热钱包,盗走了所有资金,约1.5亿美元。热钱包用作当前正在交换的资产的临时存储系统,冷库是指任何未连接到互联网的加密货币钱包。在公司调查这起安全事件期间,存款和取款被暂时暂停。KuCoin表示:“自2020年9月26日03:05:37(UTC+8)以来,我们检测到一些大额提款。根据最新的内部安全审计报告,KuCoin热钱包中的部分比特币、ERC-20和其他代币被转出了交易所,而交易所所持有的总资产中只有很少一部分。
详情
Hackers stole more than $150 million from KuCoin cryptocurrency exchange
https://securityaffairs.co/wordpress/108771/cyber-crime/kucoin-cryptocurrency-exchange-hack.html
匈牙利遭遇强大的DDoS攻击
日期: 2020年09月26日
等级: 高
作者: Pierluigi Paganini
标签: Hungarian, DDoS, Finacial, Telecommunications
匈牙利金融机构和电信基础设施遭到来自俄罗斯、中国和越南服务器的强大DDoS攻击。这次强大的DDoS攻击袭击了匈牙利的一些银行和电信服务,使它们短暂中断。据电信公司MagyarTelekom称,攻击发生在9月24日,是从俄罗斯、中国和越南的服务器发起的。MagyarTelekom透露,这次攻击非常强大,这是匈牙利有史以来最大的网络攻击之一。
详情
A powerful DDoS attack hit Hungarian banks and telecoms services
https://securityaffairs.co/wordpress/108788/hacking/ddos-attack-hungarian-orgs.html
动视暴雪遭黑客攻击,50万《使命召唤》玩家受到影响
日期: 2020年09月21日
等级: 高
作者: Pierluigi Paganini
标签: Activision, Dexerto, Attack, Data Breach, Account
据电子竞技网站Dexerto报道,由于9月20日电子竞技公司Activision(动视暴雪)遭受数据泄露,可能有超过500,000个Activision帐户遭到入侵。根据Dexerto的说法,Activision帐户的登录信息已公开泄露,威胁行为者还更改了帐户的详细信息,以防止合法所有者轻松进行恢复。大多数Activision帐户也被受欢迎的《使命召唤》游戏的玩家使用,包括Warzone,ModernWarfare和Mobile。
详情
Alleged Activision hack, 500,000 Call Of Duty players impacted
https://securityaffairs.co/wordpress/108588/data-breach/activision-hack.html
黑客袭击沙特阿拉伯维珍移动公司
日期: 2020年09月21日
等级: 中
来源: DATABREACHTODAY
标签: Saudi Arabia, Virgin Mobile, Attack, Dark Web Forums, Stolen Data, PowerShell
黑客入侵了维珍移动在沙特阿拉伯的办公网络,获得了其电子邮件系统和一个活动目录域控制器的访问权限,并在私人的黑暗网络论坛上出售被盗数据。维珍移动KSA是维珍集团旗下品牌在当地拥有的特许经营权。泄露的数据包括维珍移动KSA员工最近相互发送的电子邮件、新客户激活报告、经销商登录活动和客户经理绩效电子表格等。它还包括1000多个帐户的列表,其中包括用户名、员工姓名、电子邮件地址以及员工最后一次更改密码的日志等详细信息。
详情
Exclusive: Hackers Hit Virgin Mobile in Saudi Arabia
https://www.databreachtoday.com/exclusive-hackers-hit-virgin-mobile-in-saudi-arabia-a-15018
黑客通过远程管理应用程序出售对您网络的访问权
日期: 2020年09月23日
等级: 中
作者: Ionut Ilascu
标签: Zoho, RMM, Ransomware, Attack
远程监控和管理(RMM)软件开始受到黑客的关注,因为这些类型的工具提供了对网络上多台机器的访问。至少有一个网络访问代理已在向世界各地的组织网络发布广告,这些组织使用Zoho的ManageEngineDesktopCentral来管理其Windows,Linux和Mac系统。一些被攻破的公司是勒索软件运营商的诱人目标,他们可能已经抓住了这个机会。
详情
Hackers sell access to your network via remote management apps
https://www.bleepingcomputer.com/news/security/hackers-sell-access-to-your-network-via-remote-management-apps/
政府软件提供商Tyler Technologies公司遭勒索软件袭击
日期: 2020年09月23日
等级: 中
作者: Lawrence Abrams
标签: Tyler Technologies, Ransomware, Attack, Government, Software Provider
政府技术服务提供商泰勒科技公司(TylerTechnologies)遭遇勒索软件攻击,导致其运营中断。泰勒技术公司是美国最大的软件开发和技术服务公司之一,致力于公共部门。泰勒技术公司预计2020年收入12亿美元,拥有5500名员工,为美国许多州的地方政府提供技术服务。
详情
Government software provider Tyler Technologies hit by ransomware
https://www.bleepingcomputer.com/news/security/government-software-provider-tyler-technologies-hit-by-ransomware/
乌克兰国家警察网站在黑客入侵后被关闭
日期: 2020年09月23日
等级: 中
来源: HACKREAD
标签: the Ukraine National Police, Cyberattack, Ukraine, Shut Down
2020年9月23日早上早些时候,当局确认黑客入侵后,乌克兰国家警察官方网站暂时关闭。
在Facebook上,国家警察局承认了这一事件,并透露这名未知的黑客在不同地区警察局运营的一些网站上发布了不准确的信息。
然而,这并不是乌克兰一家知名平台第一次遭受严重的网络攻击。几年前,乌克兰能源部网站遭到比特币勒索软件攻击,而其邮政服务、能源部门、核电站和机场也受到恶意软件攻击。
详情
Ukraine National Police website down after hacker intrusion
https://www.hackread.com/ukraine-national-police-website-shuts-down-hacker-intrusion/
诈骗者利用'AnyDesk'和'SIM卡交换'窃取银行账户
日期: 2020年09月24日
等级: 中
作者: Ionut Ilascu
标签: AnyDesk, Scammers, SIM-swapping, Bank, 2FA
诈骗者将社会工程,SIM卡交换和远程桌面软件的恶意混合在一起,以清空至少三个受害者的银行帐户。受害者总共损失了35万美元。他们很可能是被同一个人所骗,因为这三起案件的作案方式和一些细节都是一样的。这起诈骗案发生在2020年夏天的布达佩斯(Budapest),并以一套位置优越的公寓以低于市场价值的价格出售开始。在报价的诱惑下,受害者表现出了兴趣,并对广告做出了回应,得知价格较低是因为住在国外的业主急需用钱。在两起案件中,诈骗者说服受害者安装AnyDesk远程桌面应用程序来传输图片和视频。
详情
Scammers drain bank accounts using AnyDesk and SIM-swapping
https://www.bleepingcomputer.com/news/security/scammers-drain-bank-accounts-using-anydesk-and-sim-swapping/
联邦政府被攻击导致数据被盗
日期: 2020年09月24日
等级: 中
来源: THREATPOST
标签: CISA, Microsoft Office, Feds, Cyberattack, Data Stolen
一个联邦机构遭受了一次与间谍活动有关的网络攻击,导致一个后门和多级恶意软件被投放到其网络上。美国网络安全与基础设施安全局(CISA)2020年9月24日发布警报,没有点名,但提供了攻击的技术细节。它说,黑客通过使用员工合法的microsoftoffice365登录凭据,远程登录到一台机构的计算机上,从而获得了最初的访问权限。
详情
Feds Hit with Successful Cyberattack, Data Stolen
https://threatpost.com/feds-cyberattack-data-stolen/159541/
Fortinet VPN使20万个企业面临黑客攻击
日期: 2020年09月25日
等级: 中
作者: Pierluigi Paganini
标签: SAM Seamless Network, Fortigate VPN, MitM, Attack, SSL, Coronavirus
为了应对冠状病毒在全球的传播,许多组织部署了VPN解决方案,包括FortigateVPN,以允许雇主在家中工作。
根据网络安全平台提供商SAMSeamlessnetwork的数据,超过20万家企业已经部署了设置为默认设置的FortigateVPN解决方案。
这种选择允许攻击者提供有效的SSL证书,并对员工连接进行中间人(MitM)攻击。
详情
Fortinet VPN with default certificate exposes 200,000 businesses to hack
https://securityaffairs.co/wordpress/108737/hacking/fortigate-vpn-attacks.html
GDPR被用作钓鱼诱饵
日期: 2020年09月25日
等级: 中
来源: DATABREACHTODAY
标签: Area 1 Security, GDPR, Phinshing, Mail Forgery
最近发现的一个网络钓鱼活动利用欧盟的GDPR(通用数据保护条例)作为诱饵窃取登录凭证。报告称,这些信息被发送到“面向公众”的电子邮件地址,或直接发送给公司高管,尤其是那些有权访问客户数据并负责GDPR合规性的高管。研究人员说,为了保持匿名,欺诈者使用了一个属于ReadyIDC的虚拟私有服务器IP地址,这使得很难确定黑客的物理位置。然而,欺诈者留下了一个明显的线索,即电子邮件地址不合法。
详情
GDPR Compliance Used as Phishing Lure
https://www.databreachtoday.com/gdpr-compliance-used-as-phishing-lure-a-15062
路易威登(LV)修复了数据泄露和账户接管漏洞
日期: 2020年09月25日
等级: 中
作者: Ax Sharma
标签: Louis Vuitton, Vulnerability, Account Enumeration, Password Resets, User ID
路易威登(LouisVuitton)悄悄修补了其网站上的一个安全漏洞,该漏洞允许用户帐户枚举,甚至允许通过重置密码接管帐户。安全研究人员发现了这个漏洞,并与路易威登联系。如今,路易威登(louisvuitton)已经修补了这个漏洞,该网站不再泄露任意电子邮件地址,也不再允许在导航到相关账户创建URL时进行账户接管。路易威登成立于1854年,是法国著名的奢侈时尚品牌和商品公司,拥有超过121000名员工,年收入150亿美元。易被利用的漏洞存在于网站的MyLV帐户部分。
详情
Louis Vuitton fixes data leak and account takeover vulnerability
https://www.bleepingcomputer.com/news/security/louis-vuitton-fixes-data-leak-and-account-takeover-vulnerability/
ATO拒绝修复myGovID中的代码重放缺陷
日期: 2020年09月21日
等级: 低
作者: Chris Duckett
标签: Australian, ATO, Replay, myGovID, Attack, Email
安全研究人员本·弗伦格利和凡妮莎·提格表示,澳大利亚税务局(ATO)使用的代理的默认登录选项很容易受到代码重放攻击。在一篇博客文章中,两人描述了攻击者可以使用恶意登录表单来捕获用户的详细信息,然后攻击者可以使用这些信息登录myGovID用户的其他账户。这次攻击的核心是,当myGovID用户试图登录一个网站时,他们会被要求在myGovID智能手机应用程序中输入一个四位数的代码来验证登录而不使用密码,唯一能识别身份的信息是一个电子邮件地址。如果攻击者能够捕获一个电子邮件地址,则攻击者可以使用该地址登录到另一个myGovID服务,并将生成的代码重放给用户以进入myGovID应用程序。
详情
ATO declines to fix code replay flaw within myGovID
https://www.zdnet.com/article/ato-declines-to-fix-code-replay-flaw-within-mygovid/
相关安全建议
1. 域名解析使用CDN
2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
3. 积极开展外网渗透测试工作,提前发现系统问题
4. 严格做好http报文过滤
5. 及时对系统及各个服务组件进行版本升级和补丁更新
6. 条件允许的情况下,设置主机访问白名单
0x05 其它事件
TikTok档案推广诈骗应用程序,产生50万美元利润
日期: 2020年09月22日
等级: 中
作者: Ionut Ilascu
标签: TikTok, Scammy Apps
据保守估计,至少有三个TikTok个人资料(粉丝总数超过35万)一直在推广多个欺诈性移动应用程序,这些应用程序创造了50万美元的利润。在这些虚假的Android和iOS应用程序被安装超过240万次的过程中,对TikTok的市场推广可能起到了重要作用。
详情
Popular TikTok profiles promote scammy apps generating $500,000
https://www.bleepingcomputer.com/news/security/popular-tiktok-profiles-promote-scammy-apps-generating-500-000/
谷歌推出新的自动威胁检测工具
日期: 2020年09月23日
等级: 中
来源: SCMAGAZINE
标签: Google, Chronicle Detect, Threat Detection Tool
谷歌及其子公司Chronicle正在为其谷歌云平台推出新的自动威胁检测功能,以帮助公司扩大对遗留系统的安全监控。这款名为ChronicleDetect的产品已经开发了一段时间,谷歌在2020年早些时候在RSA上公布了一些关于某些组件的细节,比如创建时间线的数据融合模型,针对常见事件的规则引擎,以及合并了YARA恶意软件威胁行为语言等。
详情
Google rolls out new automated threat detection tool
https://www.scmagazine.com/home/security-news/google-rolls-out-new-automated-threat-detection-tool/
Instagram漏洞
日期: 2020年09月24日
等级: 中
作者: Ionut Ilascu
标签: Facebook, Instagram, app, Account, Take Over
有关Facebook安卓版和iOS版Instagram应用程序中存在严重漏洞的技术细节显示,攻击者可以利用该漏洞拒绝用户访问该应用程序,完全控制其帐户,或使用其移动设备对其进行间谍活动。要触发该漏洞,攻击者只需通过公共消息平台或电子邮件向目标发送精心编制的图像。漏洞在于Instagram解析图片的方式,因此只要应用程序能够访问图片并将其显示为帖子的选项,该漏洞就会引发允许进行危险行为的行为。
详情
Instagram bug allowed crashing the app via image sent to device
https://www.bleepingcomputer.com/news/security/instagram-bug-allowed-crashing-the-app-via-image-sent-to-device/
波兰警方逮捕了该国主要黑客组织
日期: 2020年09月25日
等级: 中
作者: Pierluigi Paganini
标签: Polish, Dismantled, Criminal, Ransomware, Banking Fraud
波兰警方捣毁了一个参与多项网络犯罪活动的大型黑客组织,包括勒索软件攻击、恶意软件分发、SIM卡交换、银行欺诈、运营流氓网店,甚至在付费客户的要求下制造炸弹威胁。该团伙由4名嫌疑人组成,据称是该国最活跃的团伙之一。
详情
Polish police shut down major group of hackers in the country
https://securityaffairs.co/wordpress/108720/cyber-crime/polish-police-group-hackers-dismantled.html
相关安全建议
1. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
2. 受到网络攻击之后,积极进行攻击痕迹、遗留文件信息等证据收集
3. 注重内部员工安全培训
0x06 产品侧解决方案
360城市级网络安全监测服务
360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对事件相关组件进行监测,请用户联系相关产品区域负责人或(quake#360.cn)获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
0x07 时间线
2020-09-28 360CERT发布安全事件周报
注:360CERT目前已支持提供《安全事件周报》特制报告,若有相关意向可联系 [email protected] 进行获取。
推荐阅读:
2、CVE-2020-14386: Linux内核权限提升漏洞通告
3、CVE-2020-13933: Apache Shiro 权限绕过漏洞分析
长按下方二维码关注360CERT!谢谢你的关注!
注:360CERT官方网站提供 《安全事件周报 (09.21-09.27)》 完整详情,点击阅读原文
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论