报告编号:B6-2020-122101
报告来源:360CERT
报告作者:360CERT
更新日期:2020-12-21
0x01 事件导览
本周收录安全事件 40 项,话题集中在 网络攻击 、勒索软件方面,涉及的组织有:SolarWinds 、美国能源部、Microsoft 、美国核安全局 等。供应链攻击爆发,软件及设备提供商要大力提升自我的安全能力。对此,360CERT建议使用 360安全卫士 进行病毒检测、使用 360安全分析响应平台 进行威胁流量检测,使用 360城市级网络安全监测服务QUAKE 进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
| 恶意程序 | 等级 |
|---|---|
| Symrise在Clop勒索软件攻击后停止了生产 | ★★★★★ |
| 黑客组织滥用Google和Facebook服务部署恶意软件 | ★★★★ |
| 勒索软件攻击导致密苏里市账单延迟 | ★★★★ |
| 挪威邮轮公司Hurtigruten遭到勒索软件袭击 | ★★★★ |
| Gitpaste-12蠕虫扩大了攻击范围 | ★★★★ |
| Goontact:新的针对Android和iOS用户的恶意软件 | ★★★★ |
| Ryuk,Egregor勒索软件攻击利用SystemBC后门 | ★★★★ |
| 安装量超过三百万次的恶意扩展仍在应用商店中 | ★★★★ |
| DoppelPaymer勒索软件正骚扰拒绝付款的受害者 | ★★★★ |
| Agenttela恶意软件更新了数据收集功能 | ★★★★ |
| 伊朗国家黑客与Pay2Key勒索软件有关联 | ★★★★ |
| 勒索软件伪装成《赛博朋克2077》手机版 | ★★★★ |
| 新的Windows木马程序窃取浏览器凭据、Outlook文件 | ★★★ |
| Credential Stealer针对美国、加拿大银行客户 | ★★★ |
| 数据安全 | |
| 美国临时人力资源机构440GB的数据被泄露 | ★★★★★ |
| 世界各地医院的4500万次医疗扫描记录被泄漏 | ★★★★★ |
| 电力供应商People's Energy被黑,泄露25万客户信息 | ★★★★ |
| Azure Blob暴露CRM50万的客户机密文档 | ★★★★ |
| 网络攻击 | |
| FireEye确认SolarWinds供应链攻击 | ★★★★★ |
| SignSight行动:针对东南亚认证机构的供应链攻击 | ★★★★★ |
| 黑客使用移动模拟器窃取数百万美元 | ★★★★★ |
| 网络钓鱼活动使用Outlook迁移邮件 | ★★★★ |
| Subway三明治忠诚卡用户遭钓鱼诈骗 | ★★★★ |
| 用于加密货币供应链攻击的恶意RubyGems软件包 | ★★★★ |
| 美国核武器局在SolarWinds攻击中遭到黑客入侵 | ★★★★ |
| 诈骗利用移动设备模拟器从网上银行账户盗取数百万美元 | ★★★★ |
| 微软称其系统也遭到SolarWinds供应链攻击破坏 | ★★★ |
| 其它事件 | |
| 微软和科技公司合作攻击了SolarWinds黑客使用的关键域 | ★★★★★ |
| Medtronic MyCareLink的漏洞可让黑客接管植入心脏的设备 | ★★★★★ |
| 安装了500万次的WordPress插件存在严重漏洞 | ★★★★★ |
| PoS终端存在任意代码执行漏洞 | ★★★★ |
| Firefox修补了严重漏洞,该漏洞同样影响Chrome | ★★★★ |
| 惠普公司披露了服务器管理软件中的0day漏洞 | ★★★★ |
| Bouncy Castle修复了API身份验证绕过漏洞 | ★★★★ |
| SoReL-20M:一个包含2000万个恶意软件样本的数据集 | ★★★ |
| 严重的Golang XML解析器漏洞可以绕过SAML身份验证 | ★★★ |
| 苹果修复了iOS和iPadOS中的多个代码执行漏洞 | ★★★ |
| 研究人员把RAM变成WiFi卡,从未联网的系统中窃取数据 | ★★★ |
| Facebook因欺诈性VPN行为被ACCC告上法庭 | ★★★ |
| 美国航空监管机构发布了安全更新 | ★★★ |
0x02 恶意程序
Symrise在Clop勒索软件攻击后停止了生产
日期: 2020年12月20日
等级: 高
作者: Lawrence Abrams
标签: Symrise, Clop, Ransomware
2020年12月,Symrise遭受了一次Clop勒索软件攻击,据称攻击者窃取了500GB的未加密文件,并加密了近1000台设备。 Symrise 是全球30000多个产品中使用的香料和香料的主要开发商,包括雀巢、可口可乐和联合利华的产品。2019年,Symrise实现了34亿欧元的收入,员工超过10000人。
详情
Flavors designer Symrise halts production after Clop ransomware attack
https://www.bleepingcomputer.com/news/security/flavors-designer-symrise-halts-production-after-clop-ransomware-attack/
黑客组织滥用Google和Facebook服务部署恶意软件
日期: 2020年12月14日
等级: 高
作者: Ionut Ilascu
标签: Molerats, Phishing, Gaza Cybergang, SharpStage, DropBook
Molerats 网络黑客组织在最近的鱼叉式钓鱼活动中一直使用依赖 Dropbox , GoogleDrive 和 Facebook 的新的恶意软件,通过该恶意软件能执行命令、存储被盗的数据。该黑客组织从2012年就开始活跃。Molerats在最近的钓鱼攻击中使用了两个新的后门, SharpStage 和 DropBook ,以及 MoleNet 。
详情
Hacking group’s new malware abuses Google and Facebook services
https://www.bleepingcomputer.com/news/security/hacking-group-s-new-malware-abuses-google-and-facebook-services/
勒索软件攻击导致密苏里市账单延迟
日期: 2020年12月15日
等级: 高
作者: Lawrence Abrams
标签: The City of Independence, Ransomware, Attack
密苏里州独立市2020年12月7日遭遇勒索软件攻击,迫使他们在攻击中关闭自己的IT系统。
研究人员表示,他们正在执行完整的系统扫描,并从可用备份中还原被加密的计算机。
还原的过程正在进一步恢复城市的服务,包括发送公用事业账单和在线支付等服务。
详情
Ransomware attack causing billing delays for Missouri city
https://www.bleepingcomputer.com/news/security/ransomware-attack-causing-billing-delays-for-missouri-city/
挪威邮轮公司Hurtigruten遭到勒索软件袭击
日期: 2020年12月15日
等级: 高
作者: Pierluigi Paganini
标签: Hurtigruten, Norwegian, Cruise Company, Ransomware, Cyberattack
挪威邮轮公司Hurtigruten的首席数字官在一份声明中说:“Hurtigruten的整个全球数字基础设施都受到了勒索软件的攻击,这是一次严重的攻击。”
该公司在2020年12月12日晚发现了这次攻击,该公司的系统被一个勒索软件感染。
该公司的网站被攻击后显示一条消息,“抱歉,该网站目前无法正常工作”。
详情
Norwegian cruise company Hurtigruten was hit by a ransomware
https://securityaffairs.co/wordpress/112320/malware/cruise-company-hurtigruten-ransomware.html
Gitpaste-12蠕虫扩大了攻击范围
日期: 2020年12月15日
等级: 高
作者: Lindsey O'Donnell
标签: GitHub, Monero, Gitpaste-12, Worm, Pastebin
Gitpaste-12 僵尸网络蠕虫主要针对Web应用程序,IP摄像机和路由器。 Gitpaste-12 是在2020年10月下旬针对基于 Linux 的服务器和物联网( IoT )设备的攻击中首次发现的,该僵尸网络利用 GitHub 和 Pastebin 存储恶意组件代码,拥有至少12个不同的攻击模块,并包括一个针对 Monero 加密货币的模块。
详情
Gitpaste-12 Worm Widens Set of Exploits in New Attacks
https://threatpost.com/gitpaste-12-worm-widens-exploits/162290/
Goontact:新的针对Android和iOS用户的恶意软件
日期: 2020年12月16日
等级: 高
作者: Catalin Cimpanu
标签: Android, iOS, Lookout, Goontact, Malware
安全研究人员发现了一种新的具有间谍和监视功能的恶意软件,目前存在于 Android 和 iOS 系统中。这个名为 Goontact 的恶意软件能够从受害者那里收集数据,例如电话联系人、短信、照片和位置信息等。移动安全公司 Lookout 检测到 Goontact 恶意软件目前通过第三方站点进行分发,这些第三方站点推广免费即时消息传递应用程序。
详情
New Goontact spyware discovered targeting Android and iOS users
https://www.zdnet.com/article/new-goontact-spyware-discovered-targeting-android-and-ios-users/
Ryuk,Egregor勒索软件攻击利用SystemBC后门
日期: 2020年12月16日
等级: 高
作者: Lindsey O'Donnell
标签: SystemBC, Tor, Ransomware, C2
商品恶意软件后门 SystemBC 现已发展到可以自动化利用,并使用匿名化的Tor平台,一旦勒索软件被执行,勒索软件参与者就会使用后门在受害者系统上建立一个持久的连接。这使得网络犯罪攻击者更容易部署后门,并且能够隐藏命令和控制(C2)服务器通信的地址。SystemBC是一种代理和远程管理工具,于2019年首次被发现。
详情
Ryuk, Egregor Ransomware Attacks Leverage SystemBC Backdoor
https://threatpost.com/ryuk-egregor-ransomware-systembc-backdoor/162333/
安装量超过三百万次的恶意扩展仍在应用商店中
日期: 2020年12月16日
等级: 高
作者: Sergiu Gatlan
标签: Edge, Microsoft, Malicious Extensions, Phishing Sites, Redirect
Chrome和Edge浏览器的恶意扩展程序安装量超过300万,其中大多数仍可在 ChromeWebStore 和 MicrosoftEdge 附加组件门户上安装,它们能够窃取用户的信息并将其重定向到钓鱼网站。Avast威胁情报研究人员发现恶意软件扩展被设计成看起来像 Instagram 、 Facebook 、 Vimeo 和其他知名在线平台的附加组件。虽然 Avast 在2020年11月就发现了这些扩展,但他们估计这些扩展可能已经存在多年,因为一些 Chrome 应用商店的评论者称,从2018年12月开始,链接就被劫持。
详情
Malicious Chrome, Edge extensions with 3M installs still in stores
https://www.bleepingcomputer.com/news/security/malicious-chrome-edge-extensions-with-3m-installs-still-in-stores/
DoppelPaymer勒索软件正骚扰拒绝付款的受害者
日期: 2020年12月16日
等级: 高
作者: Catalin Cimpanu
标签: DoppelPaymer, FBI, Ransomware, Ransom
美国联邦调查局说,它们已经监测到 DoppelPaymer 勒索软件团伙采取了匿名电话的方式,通过恐吓强迫受害者支付赎金,勒索团伙对受害者公司的其员工甚至亲属的威胁不断升级。美国联邦调查局称, Doppelpaymer 是最早的勒索软件变体之一。美国联邦调查局建议受害者保护他们的网络,以防止被入侵,在被攻击后,建议受害者通知当局,并尽量避免支付赎金,因为这会激励攻击者进行新的入侵,使他们轻松获利。
详情
FBI says DoppelPaymer ransomware gang is harassing victims who refuse to pay
https://www.zdnet.com/article/fbi-says-doppelpaymer-ransomware-gang-is-harassing-victims-who-refuse-to-pay/
Agenttela恶意软件更新了数据收集功能
日期: 2020年12月16日
等级: 高
作者: Prajeet Nair
标签: AgentTesla, Cofense, Information Stealing, Credentials
据安全公司 Cofense 发布的一份报告称, AgentTesla 信息窃取软件的升级版本拥有额外的数据收集功能,包括锁定更多浏览器和电子邮件客户端的能力。 AgentTesla 最初是在2014年被安全研究人员发现的。研究人员在8月份发现,该恶意软件现在可以从vpn、网络浏览器、FTP文件和电子邮件客户端窃取凭证。
详情
AgentTesla Malware Has Updated Data Harvesting Capabilities
https://www.databreachtoday.com/agenttesla-malware-has-updated-data-harvesting-capabilities-a-15617
伊朗国家黑客与Pay2Key勒索软件有关联
日期: 2020年12月17日
等级: 高
作者: Sergiu Gatlan
标签: Fox Kitten, Pay2Key, Israel, Ransomware
伊朗国家黑客 FoxKitten 与 Pay2Key 勒索软件联系在一起,该组织最近开始针对以色列和巴西的组织。威胁情报公司 ClearSky 表示,他们表示大概率的情况下, Pay2Key 是由伊朗 APT 团体 FoxKitten 运营的,该组织于2020年11月至12月开始了新一波的攻击,涉及数十家以色列公司。
详情
Iranian nation-state hackers linked to Pay2Key ransomware
https://www.bleepingcomputer.com/news/security/iranian-nation-state-hackers-linked-to-pay2key-ransomware/
勒索软件伪装成《赛博朋克2077》手机版
日期: 2020年12月17日
等级: 高
作者: Lawrence Abrams
标签: Windows, Android, Cyberpunk 2077, CoderWare, Ransomware
攻击者正在为《赛博朋克2077》游戏分发伪造的 Windows 和 Android 安装程序,该《赛博朋克2077》会安装一个自称为 CoderWare 的勒索软件。为了诱骗用户安装恶意软件,攻击者通常将恶意软件作为游戏安装程序、作弊工具和版权软件的破解程序进行分发。
详情
Ransomware masquerades as mobile version of Cyberpunk 2077
https://www.bleepingcomputer.com/news/security/ransomware-masquerades-as-mobile-version-of-cyberpunk-2077/
新的Windows木马程序窃取浏览器凭据、Outlook文件
日期: 2020年12月14日
等级: 中
作者: Lindsey O'Donnell
标签: Microsoft, Windows, PyMicropsia, Trojan, Information Stealing
研究人员发现了一种新的名为 PyMicropsia 的信息窃取木马,该木马是由威胁组织 AridViper 开发的, AridViper 以针对中东的组织为目标而闻名,它的目标是 MicrosoftWindows 系统,该木马具有大量的数据过滤功能,能够收集浏览器的凭据,窃取Outlook文件。
详情
New Windows Trojan Steals Browser Credentials, Outlook Files
https://threatpost.com/windows-trojan-steals-browser-credentials-outlook-files/162223/
Credential Stealer针对美国、加拿大银行客户
日期: 2020年12月17日
等级: 中
来源: TRENDMICRO
标签: AHK, VBA, Credential Stealer, Excel
2020年12月中旬,研究人员发现了一个散布证书窃取程序的活动,这从2020年初就开始了。恶意软件感染以恶意Excel文件开始,此文件包含AHK脚本编译器可执行文件、恶意AHK脚本文件和VisualBasicforApplications(VBA)宏。研究人员跟踪了恶意软件的命令和控制(C&C)服务器,并确定这些服务器来自美国、荷兰和瑞典。同时,恶意软件一直针对美国和加拿大的金融机构进行攻击。
详情
Credential Stealer Targets US, Canadian Bank Customers
https://www.trendmicro.com/en_us/research/20/l/stealth-credential-stealer-targets-us-canadian-bank-customers.html
相关安全建议
1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
2. 减少外网资源和不相关的业务,降低被攻击的风险
3. 及时对系统及各个服务组件进行版本升级和补丁更新
4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
5. 注重内部员工安全培训
6. 主机集成化管理,出现威胁及时断网
7. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理
8. 各主机安装EDR产品,及时检测威胁
9. 移动端不安装未知应用程序、不下载未知文件
0x03 数据安全
美国临时人力资源机构440GB的数据被泄露
日期: 2020年12月14日
等级: 高
作者: Edvardas Mikalauskas
标签: Automation Personnel Services, Data Leaked, Ransom, Hacker Forum
美国人力资源机构(AutomationPersonnelServices)的440GB档案在一个黑客论坛上被泄露。
AutomationPersonnelServices公司表示,目前正在进行调查,受影响数据的范围和性质尚未得到确认。
被泄漏的文件包含公司的机密数据、用户信息、合作伙伴和员工有关的敏感文件,例如薪资数据以及各种法律文件。
该归档文件于11月24日被泄露,被泄漏的原因是AutomationPersonnelServices拒绝支付赎金。
详情
440GB of data from US-based temporary staffing agency leaked on hacker forum
https://cybernews.com/security/440gb-of-data-from-us-based-temporary-staffing-agency-leaked-on-hacker-forum/
世界各地医院的4500万次医疗扫描记录被泄漏
日期: 2020年12月15日
等级: 高
作者: Gareth Corfield
标签: CybelAngel, Data Leaked, Medical Scans, X-rays
整个2020年,有2000台医疗服务器处于未授权的状态,服务器包含4500万张X射线图像和其他医学扫描图像,没有任何安全保护措施,可以被任意访问。
其中,泄漏的数据包括患者的姓名,出生日期,地址,身高,体重,诊断的个人健康信息等。
研究人员称,不仅敏感的个人信息被泄漏,而且恶意攻击者还访问了这些服务器并且在服务器上安装了恶意软件。
详情
45 million medical scans from hospitals all over the world left exposed online for anyone to view – some servers were laced with malware • The Register
https://www.theregister.com/2020/12/15/dicom_45_million_medical_scans_unsecured/
电力供应商People's Energy被黑,泄露25万客户信息
日期: 2020年12月17日
等级: 高
作者: Paul Kunert
标签: People’s Energy, Steal Data
可再生电力和天然气供应商人民能源公司(People’sEnergy)告诉其25万多名客户,其IT系统漏洞被攻击者利用,客户信息已被泄漏。这些数据包括会员姓名、家庭住址、电子邮件地址、电话号码、出生日期、人们的能源账户号码、电价详情和电表识别号。
详情
Ethical power supplier People's Energy hacked, 250,000 customers' personal info accessed
https://www.theregister.com/2020/12/17/peoples_energy_hacked/
Azure Blob暴露CRM50万的客户机密文档
日期: 2020年12月18日
等级: 高
作者: Gareth Corfield
标签: Azure Blob, Unsecured Database
一家商业应用开发商的 MicrosoftAzureBlob 未做安全认证,导致超过50万的客户机密和敏感文件暴露于公共互联网中。泄漏的信息包括职业健康评估,伦敦劳埃德(LloydsofLondon)承保的美国公司的保险索赔文件,以及大律师对申请晋升的初级同事的私人意见,以及联邦快递的运输安全文件,食品公司Huel,投资管理公司的内部投诉以及无数其他文件。
详情
Unsecured Azure blob exposed 500,000+ highly confidential docs from UK firm's CRM customers
https://www.theregister.com/2020/12/18/probase_unsecured_azure_blob/
相关安全建议
1. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施
2. 对于托管的云服务器(VPS)或者云数据库,务必做好防火墙策略以及身份认证等相关设置
3. 管控内部员工数据使用规范,谨防数据泄露并及时做相关处理
4. 及时备份数据并确保数据安全
5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施
0x04 网络攻击
FireEye确认SolarWinds供应链攻击
日期: 2020年12月14日
等级: 高
作者: Catalin Cimpanu
标签: SolarWinds, Orion, US, FireEye, Malware
美国安全公司FireEye2020年12月14日表示,黑客已经破坏了软件提供商SolarWinds ,然后在其 Orion 软件部署了带有恶意软件的更新程序,以感染多家美国公司和政府网络。 FireEye 的报告是在 美国财政部 和 美国商务部国家电信与信息管理局 (NTIA)遭到入侵之后发布的。此次 SolarWindows 供应链攻击也是黑客入侵 FireEye`网络的手段。
详情
FireEye confirms SolarWinds supply chain attack
https://www.zdnet.com/article/fireeye-confirms-solarwinds-supply-chain-attack/
SignSight行动:针对东南亚认证机构的供应链攻击
日期: 2020年12月17日
等级: 高
作者: IgnacioSanmillan
标签: SignSight, Southeast Asia, Supply‑chain Attack, Backdoor
在 AbleDesktop 软件的供应链攻击发生几周之后,越南政府认证局(VGCA)的网站上就发生了另一起类似的攻击,攻击者修改了两个可以从该网站下载的软件安装程序,并添加了后门程序。 ESET 的研究人员于2020年12月上旬发现了这种新的供应链攻击,并通知了受感染的组织和 VNCERT 。VGCA表示,他们已经意识到了这次攻击,并通知了下载该木马软件的用户。
详情
Operation SignSight: Supply‑chain attack against a certification authority in Southeast Asia
https://www.welivesecurity.com/2020/12/17/operation-signsight-supply-chain-attack-southeast-asia/
黑客使用移动模拟器窃取数百万美元
日期: 2020年12月17日
等级: 高
作者: Akshaya Asokan
标签: IBM, Mobile Emulators, Spoof Banking, Hacking Group
IBMTrusteer 报告说,一个黑客组织正在使用移动模拟器来欺骗银行客户的移动设备,并从美国和欧洲的银行中窃取了数百万美元。 IBMSecurity 的执行安全顾问 LimorKessem 说,尽管已经通知了受到黑客攻击的银行,但第二波攻击可能已经开始。开发人员通常使用移动模拟器来测试各种设备类型上的应用程序和功能。在IBM调查的案例中,攻击者使用了20个移动模拟器,欺骗了超过1.6万部设备。
详情
Hackers Use Mobile Emulators to Steal Millions
https://www.databreachtoday.com/hackers-use-mobile-emulators-to-steal-millions-a-15623
网络钓鱼活动使用Outlook迁移邮件
日期: 2020年12月14日
等级: 高
作者: Akshaya Asokan
标签: Microsoft, Outlook, Abnormal Security, Phishing
AbnormalSecurity 的研究人员表示,一场旨在获取 Office365 证书的钓鱼活动使用微软 Outlook 迁移信息。报告称,这些被设计成看起来像是来自受害者组织IT部门的钓鱼邮件称,收件人必须更新到最新版本的 MicrosoftOutlook 。当受害者点击网络钓鱼邮件中的链接时,他们将被重定向到一个恶意域,该域显示一个旧版本的 Outlook 登录页面,该页面能窃取用户名和密码等凭据。
详情
Phishing Campaign Uses Outlook Migration Message
https://www.databreachtoday.com/phishing-campaign-uses-outlook-migration-message-a-15587
Subway三明治忠诚卡用户遭钓鱼诈骗
日期: 2020年12月15日
等级: 高
作者: Becky Bracken
标签: Subway, Sophos, Loyalty Card, Phishing, U.K., Ireland
Subway三明治的忠诚卡会员是最近网络犯罪的受害者之一。 Sophos 的研究人员发现,网络钓鱼攻击的目标是英国和爱尔兰的 Subway 忠诚卡会员,目的是诱骗他们下载恶意软件。此次钓鱼攻击的手段是让受害者改变他们 Excel 安全设置,允许恶意行为者运行宏并向受害者的设备发送恶意软件。该代码从隐藏的文件表创建 URL ,然后 URL 抓取恶意软件。
详情
Subway Sandwich Loyalty-Card Users Suffer Ham-Handed Phishing Scam
https://threatpost.com/subway-loyalty-card-phishing-scam/162308/
用于加密货币供应链攻击的恶意RubyGems软件包
日期: 2020年12月16日
等级: 高
作者: Lawrence Abrams
标签: RubyGems, Supply Chain Attack, Packages, Ruby, GEM
新的恶意软件包RubyGems正在利用供应链攻击,并从毫无防备的用户那里窃取加密货币。RubyGems是Ruby编程语言的软件包管理器,允许开发人员下载其他人开发的代码并将其集成到他们的程序中。由于任何人都可以将 Gem 上传到 RubyGems 存储库,因此攻击者可以将恶意软件包上传到存储库。
详情
Malicious RubyGems packages used in cryptocurrency supply chain attack
https://www.bleepingcomputer.com/news/security/malicious-rubygems-packages-used-in-cryptocurrency-supply-chain-attack/
美国核武器局在SolarWinds攻击中遭到黑客入侵
日期: 2020年12月17日
等级: 高
作者: Tara Seals
标签: NNSA, FERC, SolarWinds
美国能源部及其负责维持美国核储备的国家核安全局(NNSA)遭受到SolarWinds供应链攻击。美国能源部官方消息人士称,他们的部门受到了攻击者的渗透,包括对国家核安全局(NNSA)、联邦能源管理委员会(FERC)、华盛顿和新墨西哥州的桑迪亚和洛斯阿拉莫斯国家实验室,以及能源部里士兰办事处。
详情
Nuclear Weapons Agency Hacked in Widening Cyberattack – Report
https://threatpost.com/nuclear-weapons-agency-hacked-cyberattack/162387/
诈骗利用移动设备模拟器从网上银行账户盗取数百万美元
日期: 2020年12月20日
等级: 高
作者: Pierluigi Paganini
标签: Fraud Operation, Online Bank, Mobile Device Emulators
IBMTrusteer的研究人员发现了一个大规模的欺诈行为,罪犯利用移动设备仿真器网络,在几天内从网上银行账户盗取数百万美元。这些网络犯罪分子使用了大约20个移动设备模拟器来模拟16000多个客户的手机,这些客户的移动银行账户已经被泄露。据专家称,这是有史以来规模最大的银行欺诈行动之一。
详情
A massive fraud operation used mobile device emulators to steal millions from online bank accounts
https://securityaffairs.co/wordpress/112487/cyber-crime/massive-fraud-operation.html
微软称其系统也遭到SolarWinds供应链攻击破坏
日期: 2020年12月17日
等级: 中
作者: The Hacker News
标签: SolarWinds, Microsoft, Supply Chain
微软证实其受到了SolarWinds供应链攻击的影响,目前来看,此事件的范围,复杂程度和影响可能比以前想象的要广泛得多。路透社还援引知情人士的话称,微软沦陷的产品随后被利用来打击其他受害者。不过,微软否认了该攻击已渗透到其生产系统中,其客户不会受到影响
详情
Microsoft Says Its Systems Were Also Breached in Massive SolarWinds Hack
https://thehackernews.com/2020/12/microsoft-says-its-systems-were-also.html
相关安全建议
1. 软硬件提供商要提升自我防护能力,保障供应链的安全
2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
3. 主机集成化管理,出现威胁及时断网
4. 如果允许,暂时关闭攻击影响的相关业务,积极对相关系统进行安全维护和更新,将损失降到最小
5. 移动端不安装未知应用程序、不下载未知文件
0x05 其它事件
微软和科技公司合作攻击了SolarWinds黑客使用的关键域
日期: 2020年12月15日
等级: 高
作者: Catalin Cimpanu
标签: Microsoft, SolarWinds, ZDNet
2020年12月15日,微软和科技公司联盟,攻破了SolarWinds黑客事件中起着核心作用的域。该域名是 avsvmcloud.com 。它作为命令和控制(C&C)服务器,通过公司 Orion 应用程序的木马更新向大约18,000个 SolarWinds 客户发送了恶意软件。 SolarWindsOrion 在2020年3月至2020年6月之间发布了从2019.4到2020.2.1的更新版本,其中包含一种名为 SUNBURST (也称为 Solorigate )的恶意软件。
详情
Microsoft and industry partners seize key domain used in SolarWinds hack
https://www.zdnet.com/article/microsoft-and-industry-partners-seize-key-domain-used-in-solarwinds-hack/
Medtronic MyCareLink的漏洞可让黑客接管植入心脏的设备
日期: 2020年12月15日
等级: 高
作者: Pierluigi Paganini
标签: Medtronic, Cardiac Devices, Vulnerability
美敦力公司(Medtronic)的 MyCareLinkSmart25000PatientReaderReader 产品存在漏洞,攻击者可以利用该漏洞控制配对心脏的设备。MyCareLinkSmart25000PatientReader是Medtronic设计的平台,可从患者植入的心脏设备中收集数据并将其传输到MedtronicCareLink网络。研究人员发现了三个漏洞,可以利用这些漏洞来修改或伪造从植入的心脏设备接收到的数据。这些漏洞还可能使远程攻击者能够控制配对的心脏设备,并在MCL智能患者读取器上执行任意代码。
详情
Flaws in Medtronic MyCareLink can allow attackers to take over implanted cardiac devices
https://securityaffairs.co/wordpress/112328/hacking/medtronic-mycarelink-flaws.html
安装了500万次的WordPress插件存在严重漏洞
日期: 2020年12月17日
等级: 高
作者: Ax Sharma
标签: WordPress, Plugin, Contact Form 7, Patch, File Upload Vulnerability
WordPress 插件背后的团队披露了一个严重的文件上传漏洞,并发布了一个补丁。易受攻击的插件 ContactForm7 被安装了超过500万次,因此对于 WordPress 网站所有者来说,此次紧急更新是必要的。 ContactForm7 插件披露了一个不受限制的文件上传漏洞,攻击者可以利用该漏洞在上传文件时绕过 ContactForm7 的文件名保护措施。
目前 Wordpress 在全球均有分布,具体分布如下图,数据来自于 360 QUAKE
详情
WordPress plugin with 5 million installs has a critical vulnerability
https://www.bleepingcomputer.com/news/security/wordpress-plugin-with-5-million-installs-has-a-critical-vulnerability/
PoS终端存在任意代码执行漏洞
日期: 2020年12月15日
等级: 高
作者: GURUBARAN S
标签: PoS, Verifone, Ingenico, Vulnerability, Code Execute
研究人员发现了两个最大的销售点(PoS)供应商 Verifone 和 Ingenico 的严重漏洞。受影响的设备是 VerifoneVX520 , VerifoneMX 系列和 IngenicoTelium2 系列。在使用默认密码的设备上,攻击者能够通过二进制漏洞(例如,堆栈溢出和缓冲区溢出)执行任意代码。攻击者能够利用PoS终端漏洞发送任意数据包、克隆卡、克隆终端并安装持久性的恶意软件。
详情
Flaws with PoS Terminals Let Attackers Execute Arbitrary Code
https://gbhackers.com/flaws-with-pos-terminals/
Firefox修补了严重漏洞,该漏洞同样影响Chrome
日期: 2020年12月15日
等级: 高
作者: Tom Spring
标签: Firefox, Mozilla, Patches, Vulnerability
Mozilla基金会(MozillaFoundation)2020年12月15日发布的 Firefox 网络浏览器更新修复了一个严重漏洞和几个高危漏洞。除了CVE-2020-16042漏洞,其余6个高危漏洞被修复。Firefox中的严重漏洞在Chrome浏览器安全更新中也得到了强调,该漏洞被评为严重漏洞。Firefox和Chrome仍未完全公布CVE-2020-16042的细节,仅将其列为内存漏洞。
详情
Firefox Patches Critical Mystery Bug, Also Impacting Google Chrome
https://threatpost.com/firefox-patches-critical-mystery-bug-also-impacting-google-chrome/162294/
惠普公司披露了服务器管理软件中的0day漏洞
日期: 2020年12月16日
等级: 高
作者: Sergiu Gatlan
标签: Hewlett Packard Enterprise, Windows, Linux, Vulnerability, RCE
惠普公司(HewlettPackardEnterprise,HPE)披露了其Windows和Linux的专有HPESystemsInsightManager(SIM)软件最新版本中的0day漏洞。
尽管此远程代码执行(RCE)漏洞尚未提供安全更新,但HPE已提供Windows的缓解方案,并正在努力修复该漏洞。
详情
HPE discloses critical zero-day in server management software
https://www.bleepingcomputer.com/news/security/hpe-discloses-critical-zero-day-in-server-management-software/
Bouncy Castle修复了API身份验证绕过漏洞
日期: 2020年12月17日
等级: 高
作者: Ax Sharma
标签: Bouncy Castle, Authentication Bypass, Vulnerability, Cryptography API
BouncyCastle 是一个流行的开源密码库,该密码库中存在严重的认证绕过漏洞。CVE-2020-28052漏洞被成功利用后,攻击者可获得对用户帐户或管理员帐户的访问权限。 BouncyCastle 是 Java 和 C# / .Net 使用的一组加密 Api 。仅 BouncyCastle 的 .NET 版本就被下载了 1600万 次,这说明了 BouncyCastle 的漏洞严重性。
详情
Bouncy Castle fixes cryptography API authentication bypass flaw
https://www.bleepingcomputer.com/news/security/bouncy-castle-fixes-cryptography-api-authentication-bypass-flaw/
SoReL-20M:一个包含2000万个恶意软件样本的数据集
日期: 2020年12月14日
等级: 中
作者: The Hacker News
标签: Sophos, ReversingLabs, Dataset, Malware Samples
“SoReL-20M”是一个数据集,包含用于2000万个 Windows.PE 文件的元数据,标签和功能。网络安全公司 Sophos 和 ReversingLabs 在2020年12月14日联合发布了“SoReL-20M”。这是有史以来第一个生产规模的恶意软件研究数据集,该数据集将提供给公众,旨在建立有效的防御措施并推动整个行业在安全检测和响应方面的改进。
详情
SoReL-20M: A Huge Dataset of 20 Million Malware Samples Released Online
https://thehackernews.com/2020/12/sorel-20m-huge-dataset-of-20-million.html
严重的Golang XML解析器漏洞可以绕过SAML身份验证
日期: 2020年12月14日
等级: 中
作者: Ax Sharma
标签: Mattermost, Golang, Vulnerability, SAML, XML
2020年12月14日, Mattermost 与 Golang 协作,揭示了 Go 语言的 XML 解析器中的3个严重漏洞。如果攻击者成功利用这些漏洞,会影响多个基于Go的SAML实现,能够绕过SAML的身份验证。由于这些漏洞,基于Go的 SAML 实现在许多情况下容易被攻击者篡改,比如通过向正确签名的 SAML 消息注入恶意标记,可以伪造正确签名。
详情
Critical Golang XML parser bugs can cause SAML authentication bypass
https://www.bleepingcomputer.com/news/security/critical-golang-xml-parser-bugs-can-cause-saml-authentication-bypass/
苹果修复了iOS和iPadOS中的多个代码执行漏洞
日期: 2020年12月15日
等级: 中
作者: Pierluigi Paganini
标签: Apple, iOS, iPadOS, Code Execution, Security Updates, Vulnerability
苹果发布了安全更新,以修复其iOS和iPadOS操作系统中的多个严重的代码执行漏洞。苹果在安全更新中发布了iOS14.3和iPadOS14.3版本,以解决11个安全漏洞,包括代码执行漏洞等。攻击者能够利用这些严重的漏洞,通过恶意字体文件在 iPhone 和 iPad 上执行恶意代码。这些漏洞的编号包含 CVE-2020-27943 和 CVE-2020-27944 等。
详情
Apple addressed multiple code execution flaws in iOS and iPadOS
https://securityaffairs.co/wordpress/112304/security/ios-ipados-flaws.html
研究人员把RAM变成WiFi卡,从未联网的系统中窃取数据
日期: 2020年12月15日
等级: 中
作者: Catalin Cimpanu
标签: RAM, WiFi, Air-gapped Systems, AIR-FI
以色列一所大学的学者2020年12月15日发表了一项新的研究,详细介绍了一项技术,该技术可以将RAM卡转换成临时的WIFI发射器,并在没有WiFi的,未联网的计算机内传输敏感数据。该技术名为AIR-FI,是以色列内盖夫本古里安大学研发部负责人 MordechaiGuri 发现的。在过去的五年里,Guri领导了数十个研究项目,通过非常规的方法从未联网的系统中窃取数据。
详情
Academics turn RAM into WiFi cards to steal data from air-gapped systems
https://www.zdnet.com/article/academics-turn-ram-into-wifi-cards-to-steal-data-from-air-gapped-systems/
Facebook因欺诈性VPN行为被ACCC告上法庭
日期: 2020年12月16日
等级: 中
作者: Chris Duckett
标签: ACCC, Facebook, Onavo Protect VPN, Court
澳大利亚竞争与消费者委员会(ACCC)已在澳大利亚联邦法院对 Facebook 及其两家子公司提起诉讼,指控这些公司在推广 OnavoProtectVPN 应用程序时具有虚假,误导或欺骗性行为。ACCC声称,在2016年2月1日至2017年10月之间, Facebook 及其子公司 FacebookIsraelLtd 和`Onavo,出于商业利益而收集并使用了大量用户数据。
详情
Facebook dragged to court by ACCC over deceptive VPN conduct allegations
https://www.zdnet.com/article/facebook-dragged-to-court-by-accc-over-deceptive-vpn-conduct-allegations/
美国航空监管机构发布了安全更新
日期: 2020年12月16日
等级: 中
作者: Gareth Corfield
标签: Boeing, FAA, Software Updates
波音747客机、波音787客机和波音777客机的软件更新修复了一些漏洞,这些漏洞影响了飞行的安全性,并导致美国联邦航空局(FAA)向飞行员发布警告。
波音777和波音787自动油门系统的安全更新改变了系统的运行方式。
详情
US aviation regulator issues safety bulletins over flaws in software updates for Boeing 747, 777, 787 airliners • The Register
https://www.theregister.com/2020/12/16/boeing_software_updates_faa_warning/
相关安全建议
1. 及时对系统及各个服务组件进行版本升级和补丁更新
2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
3. 受到网络攻击之后,积极进行攻击痕迹、遗留文件信息等证据收集
0x06 产品侧解决方案
360城市级网络安全监测服务
360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
0x07 特制报告下载链接
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。
安全事件周报 (12.14-12.20)
http://pub-shbt.s3.360.cn/cert-public-file/【360CERT】安全事件周报_12月14日-12月20日.pdf
若有订阅意向与定制需求请扫描下方二维码进行信息填写,或发送邮件至g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。
推荐阅读:
3、CVE-2020-29436:Nexus Repository Manager 3 XML外部实体注入漏洞通告
长按下方二维码关注360CERT!谢谢你的关注!
注:360CERT官方网站提供 《安全事件周报 (12.14-12.20)》 完整详情,点击阅读原文
本文始发于微信公众号(三六零CERT):安全事件周报 (12.14-12.20)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论