报告编号:B6-2020-110202
报告来源:360CERT
报告作者:360CERT
更新日期:2020-11-02
0x01 事件导览
本周收录安全事件32项,话题集中在数据泄露、勒索软件方面,涉及的组织有:Amazon、NVIDIA、Fragomen、QNAP等。外网未加密数据库屡禁不止,各种漏洞扫描器肆虐互联网。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
| 恶意程序 | 等级 |
|---|---|
| Enel集团今年遭受了第二次勒索软件攻击 | ★★★★★ |
| KashmirBlack僵尸网络攻击了WordPress等CMS | ★★★★ |
| Sopra Steria证实被Ryuk勒索软件攻击 | ★★★★ |
| 台湾政府遭到Owlproxy恶意软件攻击 | ★★★★ |
| FBI,DHS,HHS警告:医疗系统可能会发生重大的勒索软件攻击 | ★★★★ |
| Earth Kitsune行动:新增两个后门 | ★★★★ |
| REvil勒索软件团伙声称一年内利润超过1亿美元 | ★★★★ |
| 佛蒙特州医院最近遭遇勒索软件攻击 | ★★★★ |
| Steelcase家具巨头遭Ryuk勒索软件攻击 | ★★★ |
| TrickBot Linux变种在野活跃,尽管最近被攻陷 | ★★★ |
| 美国网络司令部曝光俄罗斯新恶意软件 | ★★★ |
| 数据安全 | |
| 芬兰心理治疗中心Vastaamo遭遇了严重的安全漏洞 | ★★★★ |
| FBI:黑客通过SonarQube平台窃取政府源代码 | ★★★★ |
| Lazada证实了110万个账户在RedMart安全漏洞中受损 | ★★★★ |
| 数据泄露中间商正在出售17家公司的帐户数据库 | ★★★★ |
| COVID-19疫苗制造商遭遇数据泄露 | ★★★ |
| 律师事务所的谷歌员工个人信息数据遭泄露曝光 | ★★★ |
| 桑坦德银行表示无需担心PagoFX的黑客攻击行为 | ★★★ |
| 亚马逊通知客户:由于数据泄露,解雇掉了内部人员 | ★★★ |
| 网络攻击 | |
| 黑客在窃取Harvest Finance2400万美元后被确认身份 | ★★★★★ |
| 严重的Oracle WebLogic漏洞被在野利用 | ★★★★★ |
| 与俄罗斯有关的图拉APT黑客攻击了欧洲政府组织 | ★★★★ |
| 大学电子邮件劫持攻击推送钓鱼邮件与恶意软件 | ★★★★ |
| InnerSloth游戏玩家受到了严重的垃圾邮件攻击 | ★★★ |
| Nando的黑客大肆利用客户账户 | ★★★ |
| 特朗普的官方竞选网站遭到黑客的破坏 | ★★★ |
| Xfinity, McAfee品牌域名被攻击者滥用 | ★★★ |
| 其它事件 | |
| 100多个灌溉系统在没有保护的情况下暴露在网上 | ★★★★ |
| 超10万台计算机仍然易受SMBGhost攻击 | ★★★★ |
| 研究人员用密码MAGA2020登录特朗普的推特 | ★★★ |
| QNAP警告可能会导致设备被接管的QTS漏洞 | ★★★ |
| NVIDIA修补了高性能服务器中的高危漏洞 | ★★★ |
0x02 恶意程序
Enel集团今年遭受了第二次勒索软件攻击
日期: 2020年10月27日
等级: 高
来源: SECURITYAFFAIRS
标签: Enel Group, Netwalker, Ransomware, Energy Company, Italian
跨国能源公司埃奈尔集团(EnelGroup)的系统被网络勒索软件感染,这是该集团在2020年遭受的第二次勒索软件攻击。网络勒索软件运营商要求支付1400万美元的赎金来换取解密密钥,黑客声称已经从该公司窃取了数TB的数据,并威胁说如果不支付赎金,就会泄露这些数据。
埃奈尔集团(EnelGroup)是意大利的一家跨国能源公司,活跃于发电、配电以及天然气分销领域。
该公司在40个国家拥有6100多万客户,在《财富》全球500强中排名第87位,2019年的收入为900亿美元。
详情
Enel Group suffered the second ransomware attack this year
https://securityaffairs.co/wordpress/110067/malware/enel-group-netwalker-ransomware.html
KashmirBlack僵尸网络攻击了WordPress等CMS
日期: 2020年10月26日
等级: 高
作者: Catalin Cimpanu
标签: CMS, KashmirBlack, Botnet, Attack, Cryptocurrency
一个高度复杂的僵尸网络通过攻击基础内容管理系统(CMS)平台,已经感染了数十万个网站。Imperva的安全研究人员在2020年10月22日的一个两部分的系列文章中分析了僵尸网络,他们说僵尸网络的主要目的似乎是感染网站,然后使用他们的服务器进行加密货币挖掘,将一个网站的合法流量重定向到垃圾页面,并在较小的程度上显示网络损坏。Imperva说,僵尸网络开始的时候很小,但是经过几个月的持续增长,它已经发展成为一个复杂的庞然大物,能够每天攻击成千上万的网站。
详情
KashmirBlack botnet behind attacks on CMSs like WordPress, Joomla, Drupal, others
https://www.zdnet.com/article/kashmirblack-botnet-behind-attacks-on-cmss-like-wordpress-joomla-drupal-others/
Sopra Steria证实被Ryuk勒索软件攻击
日期: 2020年10月26日
等级: 高
作者: Lawrence Abrams
标签: French, Sopra Steria, Ryuk, TrickBot, BazarLoader, Ransomware
法国企业IT服务公司SopraSteria2020年10月26日证实,他们遭到了一次Ryuk勒索软件攻击。SopraSteria是一家欧洲信息技术公司,在全球25个国家拥有46000名员工。该公司提供广泛的IT服务,包括咨询、系统集成和软件开发。10月21日,SopraSteria称他们受到网络攻击,但没有提供更多细节。该公司此前感染了TrickBot和BazarLoader,因此遭到了Ryuk勒索软件攻击。这两种恶意软件感染都是由同一个黑客组织创建的,并提供远程访问Ryuk勒索软件背后的攻击者。这种访问允许攻击者进一步破坏网络,并最终在公司的设备中部署勒索软件。
详情
Sopra Steria confirms being hit by Ryuk ransomware attack
https://www.bleepingcomputer.com/news/security/sopra-steria-confirms-being-hit-by-ryuk-ransomware-attack/
台湾政府遭到Owlproxy恶意软件攻击
日期: 2020年10月28日
等级: 高
来源: CYBERNEWS
标签: CyCraft, Taiwan Government, Owlproxy, Malware, Skeleton Keys
2020年4月,CyCraft在多个台湾政府机构观察到高度恶意的网络活动。由于相似的技术、战术和程序,其中一些攻击被归因于同一个攻击者,其中最重要的是利用数字万能钥匙和Owlproxy恶意软件。使用这种方法,就像一个物理万能钥匙可以打开房子里的任何一扇门一样,数字万能钥匙使其用户可以不受限制地访问远程访问服务。Owlproxy是在2020年4月的几起事件中发现的主要恶意软件之一。为了在internet和intranet之间架起桥梁,攻击者使用这种带有后门功能的恶意软件来通过隧道进出网络。这个后门功能使攻击者可以启动任何命令直接进入目标系统。
详情
Taiwan government hit by Owlproxy Malware
https://cybernews.com/security/taiwan-government-targeted-by-multiple-cyberattacks-owlproxy-malware/
FBI,DHS,HHS警告:医疗系统可能会发生重大的勒索软件攻击
日期: 2020年10月28日
等级: 高
作者: The Hacker News
标签: FBI, TrickBot, Ransomware, Healthcare Systems, Data Theft
美国联邦调查局(FBI)、国土安全部和卫生与公众服务部(HHS)2020年10月28日发布联合警告,称针对医院和医疗服务提供商的勒索软件和其他网络攻击即将增加。美国网络安全和基础设施安全局(NSA)在其咨询报告中表示:“恶意网络行为者正在使用TrickBot恶意软件攻击(医疗保健和公共卫生)领域,通常会导致数据盗窃以及医疗保健服务中断。” 臭名昭著的僵尸网络通常通过恶意垃圾邮件电子邮件传播给毫无戒心的收件人,并且可以窃取财务和个人数据并将其他软件(例如勒索软件)丢弃到受感染的系统上。
详情
FBI, DHS Warn Of Possible Major Ransomware Attacks On Healthcare Systems
https://thehackernews.com/2020/10/ransomware-attack-hospital.html
Earth Kitsune行动:新增两个后门
日期: 2020年10月28日
等级: 高
来源: TRENDMICRO
标签: SLUB, agfSpy, dneSpy, Malware, C&C
EarthKitsune行动是一项旨在通过损害网站来窃取信息的“水坑行动”。除了大量使用恶意软件外,trendmicro团队还发现了两个新的间谍后门与这次行动有关:agfSpy和dneSpy,这是根据攻击者的三字母命名方案命名的。trendmicro团队之前对操作的研究发现,虽然SLUB主要用于窃取数据,但agfSpy和dneSpy用于同样的目的,而且还用于获取受影响系统的控制。这篇文章提供了更多关于这些恶意软件类型的细节,包括它们和它们的命令和控制(C&C)服务器之间的关系。
详情
Operation Earth Kitsune A Dance of Two New Backdoors
https://www.trendmicro.com/en_us/research/20/j/operation-earth-kitsune-a-dance-of-two-new-backdoors.html
REvil勒索软件团伙声称一年内利润超过1亿美元
日期: 2020年10月29日
等级: 高
作者: ,Ionut Ilascu
标签: REvil, Ransomware
REvil勒索软件开发商说,他们通过从世界各地的各行业勒索大型企业,在一年内赚了超过1亿美元。他们受利润驱动,希望从勒索软件服务中赚取20亿美元,在追求财富时采用最有利可图的趋势。
一位在网络犯罪论坛上使用化名“UNKN”和“Unknown”的REvil代表接受了科技博客RussianOSINT的采访,提供了该组织活动的一些细节,并暗示了他们未来的打算。
详情
REvil ransomware gang claims over $100 million profit in a year
https://www.bleepingcomputer.com/news/security/revil-ransomware-gang-claims-over-100-million-profit-in-a-year/
佛蒙特州医院最近遭遇勒索软件攻击
日期: 2020年10月30日
等级: 高
作者: PricillaWhite
标签: FBI, Ryuk, US, Attack, Vermont Hospitals, Ransomware
佛蒙特大学健康网络现在正持续不断地遭受网络攻击。这次网络攻击的目标是佛蒙特州和纽约州的六所医院,这两所医院的目标主要是造成计算机网络问题。医院提到他们的“MyChart”和其他预约都因此受到影响。
FBI拒绝评论这是否是勒索软件攻击。但是,独立安全专家怀疑这可能是Ryuk勒索软件的攻击结果,该勒索软件已经影响了至少五家美国医院,并可能进一步袭击数百家医院。
详情
Vermont Hospitals Now Latest Victim of Ransomware Attacks
https://gbhackers.com/vermont-health-network/
Steelcase家具巨头遭Ryuk勒索软件攻击
日期: 2020年10月27日
等级: 中
作者: Lawrence Abrams
标签: Steelcase, Ransomware, Ryuk, Cyberattack
办公家具巨头Steelcase遭遇勒索软件攻击,迫使他们关闭网络以遏制攻击的蔓延。Steelcase是全球最大的办公家具制造商,在2020年拥有13,000名员工和37亿美元的资产。
在提交给美国证券交易委员会(SEC)的一份8-K表格中,Steelcase公司透露,他们在2020年10月22日遭受了一次网络攻击。
目前,Steelcase公司尚不清楚此次攻击导致其系统的任何数据丢失或任何其他资产损失。
详情
Steelcase furniture giant hit by Ryuk ransomware attack
https://www.bleepingcomputer.com/news/security/steelcase-furniture-giant-hit-by-ryuk-ransomware-attack/
TrickBot Linux变种在野活跃,尽管最近被攻陷
日期: 2020年10月28日
等级: 中
作者: The Hacker News
标签: TrickBot, Netscout, Linux, Trojan, Ransomware
TrickBot已经关闭了其大部分的主要基础设施,但TrickBot恶意软件背后的运营商并未处于闲置状态。根据网络安全公司Netscout分享的新发现,TrickBot的作者已将其部分代码移至Linux,以扩大可能成为目标的受害者的范围。TrickBot是2016年首次检测到的金融木马,传统上是基于Windows的犯罪软件解决方案,它采用不同的模块在目标网络上执行各种恶意活动,包括凭证盗窃和永久勒索软件攻击。但是在过去的几周里,由美国网络司令部和微软共同努力,已经消除了94%的TrickBot使用中的命令和控制(C2)服务器以及犯罪分子试图将TrickBot引入网络的新基础架构替换以前禁用的服务器。
详情
TrickBot Linux Variants Active in the Wild Despite Recent Takedown
https://thehackernews.com/2020/10/trickbot-linux-variants-active-in-wild.html
美国网络司令部曝光俄罗斯新恶意软件
日期: 2020年11月01日
等级: 中
作者: Catalin Cimpanu
标签: US Cyber Command, Russian, ComRAT, Zebrocy, Turla
美国网络司令部曝光了俄罗斯黑客在最近的攻击中开发和部署的8个新的恶意软件样本。这8个样本中有6个是ComRAT恶意软件(Turlahackinggroup使用的),另外两个是Zebrocy恶意软件的样本(由APT28黑客组织使用)。
ComRAT和Zebrocy都是恶意软件家族,已经被俄罗斯黑客组织使用了多年,而ComRAT从旧的Agent.BTZ恶意软件演变而来,在攻击中已经部署了十多年。
Turla和APT28一直在更新这两种工具,以增加逃税技术,并保持他们的恶意软件不被发现。
详情
US Cyber Command exposes new Russian malware
https://www.zdnet.com/article/us-cyber-command-exposes-new-russian-malware/
相关安全建议
1. 及时对系统及各个服务组件进行版本升级和补丁更新
2. 各主机安装EDR产品,及时检测威胁
3. 网段之间进行隔离,避免造成大规模感染
4. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理
5. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
6. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
7. 及时对系统及各个服务组件进行版本升级和补丁更新
0x03 数据安全
芬兰心理治疗中心Vastaamo遭遇了严重的安全漏洞
日期: 2020年10月26日
等级: 高
来源: SECURITYAFFAIRS
标签: Finnish, Vastaamo, Psychotherapy, Ransom
芬兰内政部长2020年10月25日召开紧急会议,此前芬兰私人心理治疗中心Vastaamo遭遇安全漏洞,导致患者记录曝光。更糟糕的是,黑客现在要求赎金,威胁泄露被盗数据。Vastaamo是芬兰公共卫生系统的一个分包商。黑客从近两年前开始的两次攻击中窃取了患者的敏感数据。目前尚不清楚被盗信息是否包括诊断、治疗记录或其他潜在的损害性信息。国家调查局正在调查这起事件,并透露数据泄露可能影响了多达“数万”的Vastaamo客户。
详情
Finnish psychotherapy center Vastaamo suffered a shocking security breach
https://securityaffairs.co/wordpress/110002/cyber-crime/vastaamo-data-breach.html
FBI:黑客通过SonarQube平台窃取政府源代码
日期: 2020年10月27日
等级: 高
作者: Sergiu Gatlan
标签: FBI, SonarQube, U.S Government, Vulnerability
美国联邦调查局(FBI)发布了一个紧急警报,警告黑客通过网络暴露和不安全的SonarQube平台窃取美国政府机构和企业组织的数据。SonarQube是一个开源平台,用于自动化代码质量审计和静态分析,用于发现使用27种编程语言的项目中的bug和安全漏洞。自2020年4月以来,攻击者一直在利用有漏洞的SonarQube服务器来访问政府和公司实体拥有的数据源代码存储库,随后对其进行公开泄漏。FBI表示,自攻击开始以来,他们已经发现了几起攻击者滥用SonarQube配置漏洞的事件。
详情
FBI: Hackers stole government source code via SonarQube instances
https://www.bleepingcomputer.com/news/security/fbi-hackers-stole-government-source-code-via-sonarqube-instances/
Lazada证实了110万个账户在RedMart安全漏洞中受损
日期: 2020年10月30日
等级: 高
作者: Eileen Yu
标签: RedMart, Data Breach, Singapore, Grocery Platform, Lazada
新加坡在线杂货平台RedMart遭遇数据泄露,110万个账户的个人数据受到破坏。个人信用卡中所包含的个人信用卡信息,包括个人信用卡和个人信用卡密码。
RedMart的母公司Lazada在给客户的说明中说,该漏洞导致托管在第三方服务提供商上的“RedMart专用数据库”可以被未经授权访问。Lazada强调,该漏洞只影响RedMart的账户,而没有影响Lazada客户的数据。
详情
Lazada confirms 1.1M accounts compromised in RedMart security breach
https://www.zdnet.com/article/lazada-confirms-1-1m-accounts-compromised-in-redmart-security-breach/
数据泄露中间商正在出售17家公司的帐户数据库
日期: 2020年11月01日
等级: 高
作者: Pierluigi Paganini
标签: BleepingComputer, Selling Account, Data Breach, Hacker Forum, Data Broker
一名攻击者提供了一个出售账户的数据库,其中包含从17家公司窃取的总计3400万条用户记录。自10月28日以来,攻击者就在黑客论坛上发布被盗数据。
该攻击者表示,他只是一个中间商,并没有入侵这17家公司。
当时还不清楚攻击者是如何从据称被黑客攻击的公司收集这些记录的,很可能这些记录是在地下流传的,并被私下卖给了各种攻击者。
详情
A data breach broker is selling account databases of 17 companies
https://securityaffairs.co/wordpress/110259/data-breach/account-databases-stolen-17-companies.html
COVID-19疫苗制造商遭遇数据泄露
日期: 2020年10月26日
等级: 中
来源: SECURITYAFFAIRS
标签: Indian, Russia, Sputinik V, COVID-19, Dr. Reddy’s Laboratories
印度COVID-19疫苗生产商Dr.ReddysLaboratories遭遇网络攻击,迫使其关闭了在巴西、印度、俄罗斯、英国和美国的工厂。
据《经济时报》报道,该公司遭受了数据泄露。为了应对安全漏洞,COVID-19疫苗制造商隔离了所有数据中心服务。
首席信息官穆克什·拉提在一份媒体声明中表示:在检测到网络攻击之后,他们已经隔离了所有的数据中心服务,以采取必要的预防措施。他们预计所有服务将在24小时内恢复,并且预计此次事件不会对运营造成重大影响。
详情
COVID-19 vaccine manufacturer suffers a data breach
https://securityaffairs.co/wordpress/109994/hacking/covid-19-vaccine-manufacturer-hacked.html
律师事务所的谷歌员工个人信息数据遭泄露曝光
日期: 2020年10月26日
等级: 中
作者: Lawrence Abrams
标签: Fragomen, Google, Data Breach, Law Firm
移民律师事务所Fragomen,DelRey,Bernsen&Loewy,LLP披露了一项数据泄露事件,泄露了当前和以前Google员工的个人信息。Fragomen是美国最大的涵盖移民法的律师事务所之一,在全球47个地区拥有582位律师。该律师事务所最近得知他们的网络被入侵,黑客访问了一个包含谷歌个人信息的文件。该文件包含了一些零散的谷歌员工(和前谷歌员工)的个人信息。
详情
Google employees personal info exposed in law firm data breach
https://www.bleepingcomputer.com/news/security/google-employees-personal-info-exposed-in-law-firm-data-breach/
桑坦德银行表示无需担心PagoFX的黑客攻击行为
日期: 2020年10月27日
等级: 中
作者: Iain Thomson
标签: Santander, PagoFX, Underground Hacking Forum, Data Leak, Salesforce
简言之,桑坦德银行(西班牙金融巨头)淡化了其国际转账初创公司PagoFX受到损害的说法。2020年10月25日,一位匿名消息人士联系了TheRegister平台,该消息人士称属于PagoFX的“数据库架构,基础架构文档,数字风险评估,客户安全检查和Salesforce培训材料”已被盗并在地下黑客论坛销售。据称,这些文件(总共近2GB)是从PagoFX使用的第三方软件开发人员那里窃取的。桑坦德银行的一位发言人告诉TheRegister,8月份发现了一次泄露,不过他不愿透露任何细节,只是说其核心系统未受影响,“没有敏感的个人信息或支付数据”被窃取。从此次泄露的文件列表来看,大部分是示例源代码、用于内部程序和网络安全政策的Word文档等等。
详情
Santander downplays 'hack' of PagoFX cash transfer biz, says nothing to worry about
https://www.theregister.com/2020/10/27/in_brief_security/
亚马逊通知客户:由于数据泄露,解雇掉了内部人员
日期: 2020年10月27日
等级: 中
作者: Ax Sharma
标签: Amazon, Data Leak, Twitter
亚马逊(Amazon)最近解雇了一些员工,因为他们违反公司政策,将客户数据(包括电子邮件地址)泄露给了一家非关联的第三方。
事件发生后,该公司向受影响的客户发送了一封电子邮件通知。尽管邮件通知将事件归咎于“亚马逊员工”,但一份公司声明暗示,可能有多名内部人士应对此负责。
详情
Amazon sacks insiders over data leak, alerts customers
https://www.bleepingcomputer.com/news/security/amazon-sacks-insiders-over-data-leak-alerts-customers/
相关安全建议
1. 对于托管的云服务器(VPS)或者云数据库,务必做好防火墙策略以及身份认证等相关设置
2. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施
3. 严格控制数据访问权限
4. 管控内部员工数据使用规范,谨防数据泄露并及时做相关处理
5. 注重内部员工安全培训
6. 建议加大口令强度,对内部计算机、网络服务、个人账号都使用强口令
7. 登陆入口增加验证码功能。
8. 发生数据泄漏事件后,及时进行密码更改等相关安全措施
0x04 网络攻击
黑客在窃取Harvest Finance2400万美元后被确认身份
日期: 2020年10月27日
等级: 高
来源: SECURITYAFFAIRS
标签: Harvest Finance, Cryptocurrency, Web Portal , Attack
黑客已经从分布式金融服务HarvestFinance窃取了价值约2400万美元的加密货币资产,该网站是一个门户网站,让用户发现农业机会,使他们的产量(APY)回报最大化。攻击者最初在HarvestFinance公司的服务中投资了大量加密货币资产,然后利用加密技术窃取平台的资金,并将其转移到HarvestFinance公司控制的钱包中。专家们注意到,攻击发生后不久,黑客返还了大约250万美元给HarvestFinance,但他们并没有说出原因。
详情
Hacker was identified after the theft of $24 million from Harvest Finance
https://securityaffairs.co/wordpress/110043/cyber-crime/harvest-finance-cyber-heist.html
严重的Oracle WebLogic漏洞被在野利用
日期: 2020年10月29日
等级: 高
作者: Ionut Ilascu
标签: Oracle Weblogic, HTTP, Vulnerability, CVE-2020-14882, No Authentication
攻击者已经开始寻找运行OracleWebLogic实例的服务器,这些服务器容易受到一个严重漏洞的攻击,这个漏洞允许不需要认证就能控制系统。攻击中利用的漏洞是CVE-2020-14882,其严重性评级为9.8(满分10分),允许通过一个简单的HTTPGET请求危及系统。Oracle在2020年10月发布的高危补丁更新(CPU)中修复了该漏洞,并将其归功于Chaitin安全研究实验室的安全研究员Voidfyoo的发现和报告。
目前Weblogic在全球均有分布,具体分布如下图,数据来自于360 QUAKE
详情
Critical Oracle WebLogic vulnerability exploited in the wild
https://www.bleepingcomputer.com/news/security/critical-oracle-weblogic-vulnerability-exploited-in-the-wild/
与俄罗斯有关的图拉APT黑客攻击了欧洲政府组织
日期: 2020年10月29日
等级: 高
作者: Pierluigi Paganini
标签: European, Accenture, APT Turla , Russia, Attack
埃森哲网络威胁情报公司(ACTI)发布的一份报告称,与俄罗斯有关的网络间谍组织图拉(Turla)侵入了一个秘密欧洲政府组织的系统。
TurlaAPT组织(又名Snake,Uroburos,Waterbug,VenomousBear和KRYPTON)自2007年以来一直活跃,其目标客户是中东,亚洲,欧洲,北美和南美以及前苏联集团的外交和政府组织以及私营企业。
详情
Russia-linked Turla APT hacked European government organization
https://securityaffairs.co/wordpress/110127/apt/turla-target-eu-gov-org.html
大学电子邮件劫持攻击推送钓鱼邮件与恶意软件
日期: 2020年10月29日
等级: 高
来源: THREATPOST
标签: University, Email Hijacking, Phishing, Malware
网络犯罪分子劫持了包括普渡大学、英国牛津大学和斯坦福大学在内的十多所大学的合法电子邮件账户,并利用这些账户绕过检测,诱骗受害者交出他们的电子邮件证书或安装恶意软件。
INKY的首席执行官和联合创始人DaveBagget告诉网站Threatpost,目前还没有迹象表明这些账户是如何被入侵的,但他推测,受害者落入了一种获取证书的圈套。Bagget还说,这个月研究人员继续看到来自真实大学账户的钓鱼邮件,所以一些账户似乎仍然受到威胁。
详情
University Email Hijacking Attacks Push Phishing, Malware
https://threatpost.com/university-email-hijacking-phishing-malwarephishing-malware/160735/
InnerSloth游戏玩家受到了严重的垃圾邮件攻击
日期: 2020年10月26日
等级: 中
来源: WELIVESECURITY
标签: InnerSloth, Eris Loris, YouTube, Spam Attack
InnerSloth是一款人气颇高的推理推理类社交游戏的开发商,但它不得不在玩家在线比赛期间抵御一场影响其玩家的网络攻击。这一事件始于2020年10月22日,以垃圾邮件的形式轰炸玩家的游戏内聊天。游戏参与者在聊天时被灌输大量的垃圾信息,包含一个ErisLoris句柄,促使玩家订阅其YouTube频道。一些消息甚至威胁玩家,警告玩家除非订阅他们的设备,否则它们将被黑客入侵。
详情
‘Among Us’ players hit by major spam attack
https://www.welivesecurity.com/2020/10/26/among-us-players-hit-major-spam-attack/
Nando的黑客大肆利用客户账户
日期: 2020年10月26日
等级: 中
来源: THREATPOST
标签: Nando, Chicken Dinner, Credential Stuffing Attack, Brute Force
一家颇受欢迎的鸡肉晚餐连锁店的食客们发现,在网络攻击者能够获取他们的餐厅点餐凭证后,他们的银行账户中被抽走了数百美元。但问题是,支付卡信息并没有存储在Nando的账户中,黑客入侵究竟是如何发生的。
Nando的Peri-Peri鸡肉餐厅连锁店在英国和欧洲城市中存在很多店铺,在美国也有数十个地点。它证实了2020年10月23日的凭证填充攻击。
凭证填充是由黑客完成的,他们利用那些经常在多个在线帐户中重复使用相同密码的用户。
这些网络攻击者利用先前数据泄露中窃取的密码和用户名,对账户进行大规模暴力攻击,一旦发现匹配,他们就可以接管受害者的账户。
详情
Nando's Hackers Feast on Customer Accounts
https://threatpost.com/nandos-hackers-customer-accounts/160527/
特朗普的官方竞选网站遭到黑客的破坏
日期: 2020年10月28日
等级: 中
作者: Chris Williams
标签: Donald Trump, Campaign Website, Vandalized, Uncle Sam, Attack
唐纳德·特朗普(DonaldTrump)的总统竞选网站2020年10月28日晚遭到了短暂的黑客攻击和损毁。这个名为donaldjtrump.com的网站被篡改,取而代之的是一条模仿山姆大叔特工们通常宣布的、针对犯罪分子的域名查封。上面和美国政府的封条一起声称,“这个网站被查封了”,因为”世界已经受够了唐纳德·J·特朗普总统每天散播的假新闻“。
详情
Trump's official campaign website vandalized by hackers who 'had enough of the President's fake news'
https://www.theregister.com/2020/10/28/trump_website_hacked/
Xfinity, McAfee品牌域名被攻击者滥用
日期: 2020年10月29日
等级: 中
作者: Tara Seals
标签: Emotet, Comcast, Domain Parking, Emotet, McAfee
停驻域名可作为别名并重定向到其他网站,可以将访问者重定向到恶意或不需要的登录页面——最近的Emotet勒索软件运营商的运动,滥用Comcast和McAfee品牌的单独行动以及一次以选举为主题的攻击就证明了这一点。帕洛阿尔托网络公司(PaloAltoNetworks)的研究人员在2020年10月28日的一份分析报告中指出,domain-parking通常发生在为广告服务的领域。如果有人搜索BreadDepot(虚构的例子),这个人可能会在BreadDepot.net而不是官方的BreadDepot.com上搜索,因为它会出现在搜索结果中。如果BreadDepot.net是一个寄望于人们犯这个错误而创建的域名,它可以将访问者重定向到一个满是广告的页面,以提高印象。
详情
Xfinity, McAfee Brands Abused by Parked Domains in Active Campaigns
https://threatpost.com/xfinity-mcafee-brands-abused-parked-domains/160698/
相关安全建议
1. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序
2. 积极开展外网渗透测试工作,提前发现系统问题
3. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
4. 建议加大口令强度,对内部计算机、网络服务、个人账号都使用强口令
5. 减少外网资源和不相关的业务,降低被攻击的风险
6. 条件允许的情况下,设置主机访问白名单
0x05 其它事件
100多个灌溉系统在没有保护的情况下暴露在网上
日期: 2020年10月27日
等级: 高
来源: SECURITYAFFAIRS
标签: Israeli, Security Joes, Motorola, ICC PRO, Irrigation Systems, Shodan
以色列安全公司SecurityJoes的安全专家发现,运行ICCPRO的100多个灌溉系统在没有保护的情况下暴露在网上。ICCPRO是由摩托罗拉公司设计的顶级智能灌溉系统。ICCPRO系统是使用默认出厂设置进行部署的,这些默认设置没有给默认用户帐户设置密码。更糟糕的是,专家指出,使用Shodan等物联网搜索引擎来搜索互联网上公开的这些设备非常简单。一旦攻击者获得了访问设备的权限,它可以从控制面板执行多种操作,包括控制发送到水泵的水的数量和压力,删除用户,或更改设置等。
详情
Over 100 irrigation systems left exposed online without protection
https://securityaffairs.co/wordpress/110032/iot/irrigation-systems-exposed-online.html
超10万台计算机仍然易受SMBGhost攻击
日期: 2020年11月01日
等级: 高
作者: Pierluigi Paganini
标签: Microsoft, SMBGhost, CVE-2020-0796
在微软发布了严重SMBGhost漏洞的补丁8个月后,超过10万个在线暴露的系统仍然容易受到此攻击。2020年3月,微软已经解决了服务器消息块(SMB)协议中的严重SMBGhost漏洞(CVE-2020-0796)。
远程代码执行漏洞存在于MicrosoftServerMessageBlock3.1.1(SMBv3)协议处理某些请求的方式中。成功利用该漏洞的攻击者可以在目标服务器或客户机上执行代码。
详情
103,000 machines are still vulnerable to SMBGhost attacks
https://securityaffairs.co/wordpress/110247/hacking/smbghost-vulnerable-machines-dangers.html
研究人员用密码MAGA2020登录特朗普的推特
日期: 2020年10月28日
等级: 中
来源: HACKREAD
标签: Dutch, Victor Gevers, Trump, Twitter, Password
荷兰网络安全研究员维克多·盖弗斯透露,他在猜到美国特朗普的总统账号密码MAGA2020后,成功登录了该账号。MAGA代表“让美国再次伟大”,而这恰好是特朗普总统在他成功的2016年总统大选中使用的竞选口号。研究人员还透露,特朗普没有对该帐户启用两步验证,这意味着任何可以猜出该密码的人都可以登录该帐户,进行更改并鸣叫他们想要的任何内容。这个拥有8700万粉丝的推特账户是特朗普总统的个人账户,自2017年1月当选总统以来一直非常活跃。
详情
Researcher logs into Trump's Twitter with password MAGA2020
https://www.hackread.com/researcher-logs-trump-twitter-password-maga2020/
QNAP警告可能会导致设备被接管的QTS漏洞
日期: 2020年10月28日
等级: 中
作者: Ionut Ilascu
标签: QNAP, QTS, Vulnerability, Command Injection
QNAP2020年10月28日公布了两个影响QTS的漏洞,QTS是支持其网络存储设备的操作系统,可能允许运行任意命令。这些漏洞可以被远程利用,并且已经在2020年9月8日之前发布的版本中被报告。QNAP表示,这两个漏洞的编号为CVE-2020-2490和CVE-2020-2492,为命令注入漏洞。
目前QTS在全球均有分布,具体分布如下图,数据来自于360 QUAKE
详情
QNAP warns of new QTS bugs that allow take over of devices
https://www.bleepingcomputer.com/news/security/qnap-warns-of-new-qts-bugs-that-allow-take-over-of-devices/
NVIDIA修补了高性能服务器中的高危漏洞
日期: 2020年10月29日
等级: 中
作者: Tom Spring
标签: NVIDIA, Vulnerability, AI, Patches
NVIDIA针对其高性能DGX服务器产品线中的高危漏洞发布了补丁,该漏洞可能会为远程攻击者打开大门,使他们可以控制和访问通常由政府和财富100强公司运营的系统上的敏感数据。
NVIDIA共发布了9个补丁,每个补丁都修复了DGX高性能计算(HPC)系统使用的固件中的漏洞,这些漏洞用于处理器密集型人工智能(AI)任务,机器学习和数据建模。所有这些漏洞都与在DGXAMI基板管理控制器(BMC)上运行的自己的固件有关,该固件是远程监控服务服务器背后的大脑。
详情
NVIDIA Patches Critical Bug in High-Performance Servers
https://threatpost.com/nvidia-critical-bug-hpc/160762/
相关安全建议
1. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
2. 及时对系统及各个服务组件进行版本升级和补丁更新
3. 建议加大口令强度,对内部计算机、网络服务、个人账号都使用强口令
0x06 产品侧解决方案
360城市级网络安全监测服务
360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
0x07 时间线
2020-11-02 360CERT发布安全事件周报
0x08 特制报告下载链接
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。
《安全事件周报 (10.26-11.01)》
http://pub-shbt.s3.360.cn/cert-public-file/%E3%80%90360CERT%E3%80%91%E5%AE%89%E5%85%A8%E4%BA%8B%E4%BB%B6%E5%91%A8%E6%8A%A510.12-10.18.pdf
若有订阅意向与定制需求,请扫描下方二维码进行信息填写。
推荐阅读:
1、[更新1.0:补丁绕过]CVE-2020-14882: Weblogic Console HTTP 远程代码执行漏洞通告
2、CVE-2020-14882/14883: Weblogic ConSole HTTP 协议代码执行漏洞通告
长按下方二维码关注360CERT!谢谢你的关注!
注:360CERT官方网站提供 《安全事件周报 (10.26-11.01)》 完整详情,点击阅读原文
本文始发于微信公众号(三六零CERT):安全事件周报 (10.26-11.01)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论