《网络安全九月月报》
2021-10-14 10:26

报告编号:B6-2021-101401

报告来源:360CERT

报告作者:360CERT

更新日期:2021-10-14

0x01   月报下载

月报下载链接:http://pub-shbt.s3.360.cn/cert-public-file/【360CERT】网络安全九月月报.pdf

0x02   前言

当前,随着数字化浪潮的不断加快,网络空间博弈上升到全新高度。潜在的漏洞风险持续存在,全球各类高级威胁层出不穷。洞悉国内外网络安全形势,了解网络安全重要漏洞是建设好自身安全能力的重要基石。在此背景下,360CERT推出《网络安全月报》,总结本月国内外安全漏洞、网络安全重大事件、恶意软件攻击态势、移动安全情况等。每个章节中都具备总结性文字、重点罗列、图表分析等展现形式,方便读者了解本月网络安全态势。

0x03   目录预览

0x04   网络安全月度综述

安全漏洞

2021年9月,360CERT共收录13个漏洞,其中严重1个,高危9个,中危3个。主要漏洞类型包含身份验证绕过、栈溢出、服务器端请求伪造等。涉及的厂商主要是Apache 、Cisco、QNAP、Windows、 VMware等。

安全事件

本月收录安全事件211项,话题集中在数据泄露、恶意程序、网络攻击方面,涉及的组织有:Microsoft、Google、Intel、Cisco、Apple、FBI、instagram、等。涉及的行业主要包含IT服务业、金融业、制造业、政府机关及社会组织、医疗行业、交通运输业等。

恶意程序

勒索病毒传播至今,360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒索病毒的快速蔓延,企业数据泄露风险不断上升,数百万甚至上亿赎金的勒索案件不断出现。勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。360安全大脑针对勒索病毒进行了全方位的监控与防御,为需要帮助的用户提供360反勒索服务。

2021年9月,全球新增的活跃勒索病毒家族有:AtomSilo、BlackByte、Groove、Sodinokibi(REvil)等勒索软件。其中AtomSilo的数据泄露网站与BlackMatter高度相似,两者可能存在密切关系;Groove勒索软件由Babuk核心成员之一开发,并创建了一个名为RAMP的暗网论坛;消失近两月的Sodinokibi(REvil)在本月正式回归。

0x05   本月重要漏洞

- VMware vCenter Server多个高危漏洞

- 2021-09 补丁日: 微软多个漏洞安全更新

- 2021-09 补丁日: Chrome多个漏洞安全更新

- 微软官方发布MSHTML组件在野0day漏洞

- Confluence OGNL 注入漏洞

0x06   本月重要事件

- 美国农民合作社遭受blackmatter勒索攻击,被勒索590万美元

- 印度尼西亚政府的新冠病毒检测程序泄漏130万用户信息

- 微软Exchange Autodiscover漏洞泄漏10万个Windows凭据

- 38亿俱乐部和Facebook用户记录被在线出售

- 黑客集团利用ProxyLogon漏洞攻击全球酒店

- 一个0day漏洞使100万台物联网设备暴露于风险之中

- 蓝牙 BrakTooth 漏洞可能影响数十亿台设备

- SideWinder针对巴基斯坦的海军

- APT组织使用加强型TTP瞄准印度国防官员

- 三边行动:针对南亚、中东多国长达数年的网络间谍活动

0x07   本月勒索病毒关键词

- file

- devos

- eking

- hauhitec

- efdc

- Lockbit

- hoop

- Makop

- koom

- GlobeImposter-Alpha666qqz

- nwiot

0x08   月报部分节选段落

- 9月初,mshtml远程代码执行漏洞CVE-2021-40444被披露,仅仅几天后,该漏洞的概念验证以及漏洞利用代码生成程序就在社交网络上广泛传播。

- 本月收录安全事件211项,话题集中在数据泄露、恶意程序、网络攻击方面,涉及的组织有:Microsoft、Google、Cisco、华为、FBI、WordPress、Apple、Twitter等。涉及的行业主要包含IT服务业、金融业、制造业、政府机关及社会组织、医疗行业、交通运输业等。

- APT-C-56(透明部落),是一个具有南亚背景的APT组织,长期针对周边国家和地区(特别是印度)的政治、军事目标进行定向攻击活动,开发有自己的专属木马CrimsonRAT,还曾被发现广泛传播USB蠕虫。透明部落在2019年下半年一直非常关注阿富汗地区, 在2020年开始再次转为关注印度用户。到了2021年,先是利用疫情相关信息对印度医疗、电力行业进行信息窃取,随后伪装印度国防部会议记录的诱饵文档尝试进行信息窃取。

- 本月BeijingCrypt勒索感染量有大幅度的上升,从8月份的4.06%上升至本月的17.32%。在本月底,该家族出现新的变种,将被加密文件后缀修改为“.520”。

0x09   部分图表信息展示

0x0a   部分内页展示