安全事件周报 (7.27-8.02)
2020-08-03 11:04

报告编号:B6-2020-080301

报告来源:360CERT

报告作者:360CERT

更新日期:2020-08-03

0x01 事件导览

本周收录安全事件23项,话题集中在网络攻击勒索方面,涉及的厂商有:MicrosoftNintendoGarminCloudflareWordpress等。网络攻击层出不穷,恶意程序也在不断演化,保护企业和个人的数据财产至关重要。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

恶意程序 等级
Emotet恶意软件现在可以窃取您的电子邮件附件来攻击联系人 ★★★★★
CISA表示,62,000台QNAP NAS设备已经感染了QSnatch恶意软件 ★★★★
卡巴斯基:VHD勒索软件背后是朝鲜黑客 ★★★
新的Linux恶意软件使用Dogecoin API来查找C&C服务器地址 ★★★
功能丰富的Ensiko恶意软件可以加密,目标是Windows, macOS, Linux ★★★
Linux警告:TrickBot恶意软件现在正在感染您的系统 ★★★
北极星行动–朝鲜黑客攻击了美国国防和航空航天公司 ★★★
Garmin称已为WastedLocker勒索软件购买了解密器 ★★★
数据安全
黑客免费泄漏了18家公司的3.86亿条用户记录 ★★★★★
50多个知名组织的源代码在网上泄露 ★★★★
Cloudflare遭受数据泄露,暴露乌克兰300万个IP地址 ★★★
勒索软件攻击后,商业巨头Dussmann Group的数据被泄露 ★★★
Healthcare breach: 电子邮件黑客曝光78000名心血管病患者数据 ★★★
黑客攻击
严重的Wordpress插件漏洞使黑客可以接管帐户 ★★★★★
“BootHole”攻击使用GRUB2和安全引导影响Windows和Linux系统 ★★★★
CISA:攻击者正在利用F5 BIG-IP漏洞 ★★★
KDE存档工具缺陷让黑客接管Linux帐户 ★★★
推特遭黑客攻击:员工被“手机鱼叉式网络钓鱼”欺骗 ★★★
Telstra DNS服务在遭受DDOS攻击后崩溃 ★★
其它事件
微软将在8月3日删除所有的SHA-1 Windows软件下载 ★★★
思科修复了数据中心网络管理器中的高危和严重漏洞 ★★★
FastPOS恶意软件开发者对联邦指控认罪 ★★
Twitter诈骗案幕后黑客已被逮捕 ★★

0x02 恶意程序

Emotet恶意软件现在可以窃取您的电子邮件附件来攻击联系人

日期: 2020年7月28日
等级: 高
作者: Sergiu Gatlan
标签: Malware, Emotet, Botnet, Email, Trojan

恶意软件Emotet现在也在使用被盗的附件来提高垃圾邮件的真实性,这些邮件被用来感染目标的系统。正如 Binary Defense 团队的威胁研究人员 James Quinn 告诉 BleepingComputer 平台一样,这是僵尸网络第一次使用被盗附件来增加电子邮件的可信度。根据Marcus'MalwareTech'Hutchins的说法,附件盗窃者模块代码已于6月13日左右添加 。

详情

Emotet malware now steals your email attachments to attack contacts

CISA表示,62,000台QNAP NAS设备已经感染了QSnatch恶意软件

日期: 2020727日
等级: 高
作者: Catalin Cimpanu
标签: Malware, QSnatch, QNAP NAS, Bots, CISA, NCSC

根据美国CISA和英国NCSC联合发出的安全警报,于2019年底首次发现的QSnatch恶意软件,现已从7,000个僵尸程序增长到62,000多个。 英国和美国的网络安全机构7月27日发布了有关QSnatch的联合安全警报,QSnatch是一种恶意软件,已经感染了台湾设备制造商QNAP的网络连接存储(NAS)设备。 在这些设备中,CISA和NSCS表示大约7600个被感染的设备位于美国,大约3900个在英国。

详情

CISA says 62,000 QNAP NAS devices have been infected with the QSnatch malware

卡巴斯基:VHD勒索软件背后是朝鲜黑客

日期: 2020年7月28日
等级: 中
作者: Catalin Cimpanu
标签: Malware, Kaspersky, North Korean, VHD, Lazarus Group, Ransom

杀毒软件制造商卡巴斯基在7月28日的一份报告中称,与朝鲜政权有关的黑客是VHD的新型勒索软件的幕后黑手。 该报告详细描述了卡巴斯基所知的两起事件,在这两起事件中,入侵者侵入了公司的网络,并部署了VHD勒索软件。 卡巴斯基的专家表示,在两次入侵中使用的工具和技术将攻击者与拉撒路集团(Lazarus Group)联系起来。 拉撒路集团是为平壤政权工作的黑客的总称。

详情

Kaspersky: North Korean hackers are behind the VHD ransomware

新的Linux恶意软件使用Dogecoin API来查找C&C服务器地址

日期: 2020年7月28日
等级: 中
作者: Catalin Cimpanu
标签: Malware, Linux, Dogecoin API, C&C, Ngrok, Trojan

虽然Linux恶意软件曾经处于恶意软件生态系统的边缘,但如今,新的Linux威胁每周都在被发现。 最新的发现来自Intezer实验室。 在本周与ZDNet分享的一份报告中,该公司分析了一种新的后门木马Doki,他们发现它是一种以前已知威胁的一部分,这种威胁以网络服务器为目标进行密码挖掘。 这个威胁行动者被称为Ngrok,因为它最初喜欢使用Ngrok服务来托管控制和命令(C&C)服务器,至少在2018年底它就开始活跃了。

详情

New Linux malware uses Dogecoin API to find C&C server addresses

功能丰富的Ensiko恶意软件可以加密,目标是Windows, macOS, Linux

日期: 2020728日
等级: 中
作者: Ionut Ilascu
标签: Malware, Ensiko, Encrypt, Defacement, PHP, Web Shell, BackDoor, Burte Force

威胁研究人员发现了一种新的,功能丰富的恶意软件,该恶意软件可以在运行PHP的任何系统上加密文件,从而使其对Windows,macOS和Linux Web服务器构成高风险。 该恶意软件的名称为Ensiko,是一个用PHP编写的Web Shell。 攻击者可以使用它来远程控制受感染的系统并运行一系列恶意活动。

详情

Feature-rich Ensiko malware can encrypt, targets Windows, macOS, Linux

Linux警告:TrickBot恶意软件现在正在感染您的系统

日期: 2020年7月30日
等级: 中
作者: Lawrence Abrams
标签: Malware, Backdoor, Windows, Linux, Trickbot, Trojan, Ryuk, Conti

TrickBot的Anchor恶意软件平台已被移植用来感染Linux设备,并使用隐藏的手段危害其他高影响力和高价值的目标。TrickBot是一个多功能的Windows恶意软件平台,它使用不同的模块执行各种恶意活动,包括信息窃取,密码窃取,Windows域渗透和恶意软件传递。 TrickBot由威胁参与者租用,他们利用威胁渗透网络并收获任何有价值的东西。 然后将其用于部署Ryuk和Conti等勒索软件,以加密网络设备,作为最终攻击。

详情

Linux warning: TrickBot malware is now infecting your systems

北极星行动–朝鲜黑客攻击了美国国防和航空航天公司

日期: 2020年7月30日
等级: 中
作者: Pierluigi Paganini
标签: Malware, Backdoor, Windows, Linux, Trickbot, Trojan, Ryuk, Conti

McAfee的安全专家发现,朝鲜黑客发动了一场新的网络间谍活动,目标是美国国防和航空航天部门。 威胁行动者使用虚假的工作邀请来欺骗正在寻找新工作机会的员工,并破坏其组织网络。 研究人员注意到,这次行动中使用的基础设施和 TTPs (技术、战术和程序)与之前的 Hidden Cobra 有重叠之处。

详情

Operation North Star – North-Korea hackers targeted US defense and aerospace companies

Garmin称已为WastedLocker勒索软件购买了解密器

日期: 2020年8月2日
等级: 中
作者: Pierluigi Paganini
标签: Garmin, Malware, WastedLocker, Ransom

7月23日,智能手表和可穿戴设备制造商Garmin 由于针对内部网络和某些生产系统的勒索软件攻击而关闭了部分服务。7月27日,该公司宣布勒索软件攻击后,其计算机网络又恢复了运行。这意味着该公司已向勒索软件运营商付款,以获取其文件的解密器。Garmin使用的脚本的时间戳记为07/25/2020,这种情况表明该公司在7月24日至7月25日期间支付了赎金。一些Garmin员工表示,赎金为1000万美元。

详情

Garmin allegedly paid for a decryptor for WastedLocker ransomware

相关安全建议

  1. 建议加大口令强度,对内部计算机、网络服务、个人账号都使用强口令
  2. 及时对系统及各个服务组件进行版本升级和补丁更新
  3. 注重内部员工安全培训
  4. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
  5. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
  6. 如果不慎勒索中招,务必及时隔离受害主机、封禁外链ip域名并及时联系应急人员处理

0x03 数据安全

黑客免费泄漏了18家公司的3.86亿条用户记录

日期: 2020年7月28日
等级: 高
作者: Lawrence Abrams
标签: Data Breach, ShinyHunters, Credentials, Data Leak, Hacker Forum

一个威胁者正在一个黑客论坛泄露大量数据,泄露了超过3.86亿的用户记录,他们声称在数据泄露期间从18家公司窃取了数据。 自7月21日起,一个名为ShinyHunters的数据泄露商,开始在一个以出售和分享被盗数据而闻名的黑客论坛上免费泄露数据库。 在过去的一年中,ShinyHunters参与了一系列数据泄露事件,或对此负责,这些数据包括Wattpad、Dave、Chatbooks、Promo.com、Mathway、HomeChef,以及对微软私有GitHub存储库的泄露。

详情

Hacker leaks 386 million user records from 18 companies for free

50多个知名组织的源代码在网上泄露

日期: 2020年7月27日
等级: 高
作者: Ionut Ilascu
标签: Adobe, LEAKS, Microsoft, Nintendo, security, Source Code

源代码泄漏是配置错误造成的。 存储库基础设施的错误配置导致数十家主流、知名组织的源代码泄露,这些组织来自技术、食品、零售、金融、制造和电子商务等不同领域。 逆向工程师兼开发人员Tillie Kottmann,从不同来源收集了这些被称为Exconfidential的泄露文件,并将其存储在GitLab的一个存储库中,同时寻找配置错误的DevOps工具来访问源代码。

详情

Source code of over 50 high profile organizations leaked online

Cloudflare遭受数据泄露,暴露乌克兰300万个IP地址

日期: 2020年7月27日
等级: 中
作者: Sudais Asif
标签: Data Breach, CloudFlare, Cyber Attack, DDOS, Attack, LEAKS, Security, TLD, Ukraine

乌克兰国家安全和国防委员会称,数据泄露导致数百万家顶级网站遭受网络攻击。 几周前,我们看到Cloudflare的服务中断,迫使全球几家顶级网站下线。 当时,该公司声称他们没有受到任何形式的攻击,而是有一个糟糕的软件部署问题。 然而,就在第二天,乌克兰国家网络安全协调中心称Cloudflare发生数据泄露,导致近300万个网站的真实IP地址在暗网中暴露。

详情

Cloudflare suffered data leak; exposing 3 million IP addresses: Ukraine

勒索软件攻击后,商业巨头Dussmann Group的数据被泄露

日期: 2020年7月28日
等级: 中
作者: Lawrence Abrams
标签: Data Breach, Dussmann Group, Ransom, Nefilim, DKA

Nefilim勒索软件已经开始发布从Dussmann集团子公司窃取的未加密文件,这些文件是在最近的一次攻击中窃取的。 Dussmann集团是德国最大的综合服务提供商,旗下子公司专注于设施管理、企业托儿、护理和老年人护理,以及商业系统解决方案,包括暖通空调、电气工作和电梯。 该公司已向 BleepingComputer 确认,其子公司之一 DresdnerKühlanlagenbauGmbH(DKA)最近遭受了勒索软件攻击,导致数据被盗。

详情

Business giant Dussmann Group's data leaked after ransomware attack

Healthcare breach: 电子邮件黑客曝光78000名心血管病患者数据

日期: 2020年7月27日
等级: 中
作者: John Leyden
标签: Data Breach, Healthcare, Email Security, US, Phishing

美国医疗保健服务公司National Cardiovascular Partners (NCP)开始通知数千名患者数据被泄露。 4月底,黑客侵入了NCP一名工作人员的电子邮件账户,随后,Excel电子表格中数千名患者的数据可能遭到泄露。 入侵发生在4月27日,但直到将近一个月后的5月17日才被发现。NCP的回应是保护了被泄露的电子邮件账户,然后在事件发生后召集外部网络安全专家进行处理。

详情

Healthcare breach: Email hack exposes 78,000 cardiovascular patients’ data

相关安全建议

  1. 对于托管的云服务器(VPS)或者云数据库,务必做好防火墙策略以及身份认证等相关设置
  2. 使用VPN时,应当谨慎选择VPN供应商,避免个人敏感信息泄漏
  3. 及时备份数据并确保数据安全
  4. 合理设置服务器端各种文件的访问权限
  5. 敏感数据建议存放到http无权限访问的目录
  6. 统一web页面报错信息,避免暴露敏感信息
  7. 明确每个服务功能的角色访问权限
  8. 严格控制数据访问权限
  9. 及时检查并删除外泄敏感数据

0x04 黑客攻击

严重的Wordpress插件漏洞使黑客可以接管帐户

日期: 2020年7月28日
等级: 高
作者: Sergiu Gatlan
标签: Attack, Wordpress, wpDiscuz, Remote Command Execution, Account

黑客可以利用安装在70,000多个WordPress网站上的wpDiscuz插件中的严重漏洞,在托管漏洞站点的服务器上上传任意文件后,远程执行任意代码。 wpDiscuz是一个WordPress插件,是Disqus和Jetpack评论的替代品,它提供了一个Ajax实时评论系统,可以将评论存储在本地数据库中。 该插件支持多种注释布局,内联注释和反馈,以及后评级系统和多级(嵌套)注释线程。

目前Wordpress在全球均有分布,具体分布如下图,数据来自于360 QUAKE

详情

Critical Wordpress plugin bug lets hackers take over hosting account

“BootHole”攻击使用GRUB2和安全引导攻击Windows和Linux系统

日期: 2020年7月29日
等级: 高
作者: Catalin Cimpanu
标签: Attack, GRUB2, BootHole, Malicious code

关于安全引导进程的一个核心组件的新漏洞的细节7月29日已经发布。 这个代号为BootHole的漏洞允许攻击者篡改启动实际操作系统(OS)之前的启动加载过程。 这个过程依赖于一个名为引导加载器的组件,这些组件负责加载实际操作系统运行所依赖的所有计算机硬件组件的固件。 BootHole是GRUB2中的一个漏洞,GRUB2是当今最流行的引导加载程序组件之一。目前,GRUB2被用作所有主要Linux发行版的主引导加载程序,但它也可以引导,有时也用于基于Windows、macOS和bsd的系统。

详情

'BootHole' attack impacts Windows and Linux systems using GRUB2 and Secure Boot

CISA:攻击者正在利用F5 BIG-IP漏洞

日期: 2020年7月27日
等级: 中
作者: Prajeet Nair
标签: Attack, F5 BIG-IP, Remote Command Execution, CVE-2020-5902

美国网络安全和基础设施安全局警告说,威胁行动者正在积极利用F5的BIG-IP网络产品中的远程执行代码漏洞,攻击者可以利用该漏洞泄露数据、访问网络、执行命令、创建或删除文件以及禁用服务。 此前,安全研究人员、F5和美国网络司令部敦促用户修补 F5 BIG-IP 网络产品中的漏洞,该漏洞编号为CVE-2020-5902。 安全公司Expanse警告说,大约有8,000个安装程序仍未针对此漏洞进行修补。

目前F5 BIG-IP在全球均有分布,具体分布如下图,数据来自于360 QUAKE

详情

CISA: Attackers Are Exploiting F5 BIG-IP Vulnerability

KDE存档工具缺陷让黑客接管Linux帐户

日期: 2020年7月30日
等级: 中
作者: Lawrence Abrams
标签: Attack, KDE, Remote Code Execution, Path Travrrsal, Linux

默认的KDE提取实用程序(称为ARK)中存在一个漏洞,攻击者只需诱使他们下载并提取档案,即可使攻击者覆盖受害者计算机上的文件或执行代码。 KDE是Linux发行版(例如OpenSUSE,Kali,KUbuntu等)中提供的桌面环境,可为操作系统提供图形用户界面。 “Hackers for Change”团队的安全研究员Dominik Penner发现,默认的ARK存档工具中存在一个路径遍历漏洞,该工具允许恶意行为者通过分发恶意存档执行远程代码。

详情

KDE archive tool flaw let hackers take over Linux accounts

推特遭黑客攻击:员工被“手机鱼叉式网络钓鱼”欺骗

日期: 2020年7月31日
等级: 中
作者: Amer Owaida
标签: Attack, Twitter, Social Engineering, Spear Phishing, Bitcoin

最近,一群黑客劫持了130名知名人士的账户,并利用这些账户进行比特币诈骗,推特目前仍处于恢复阶段,目前我们已经了解到了这起事件的一些情况。 根据该公司的调查,攻击者利用社会工程,通过电话鱼叉式网络钓鱼攻击少数员工。 在典型的鱼叉式网络钓鱼攻击中,犯罪分子伪装成受信任的实体,并向精心研究的目标发送定制的电子邮件或即时消息,以窃取其敏感信息(例如登录凭据或财务信息)或传播恶意软件。

详情

Twitter breach: Staff tricked by ‘phone spear phishing’

Telstra DNS服务在遭受DDOS攻击后崩溃

日期: 2020年8月2日
等级: 低
作者: Chris Duckett
标签: Attack, DDOS, Telstra, DNS Server

因为Telstra正面临拒绝服务攻击, 使用该电信公司默认DNS设置的客户似乎在周日早上无法访问互联网。袭击从上午10:30在澳大利亚东海岸开始。Telstra表示:“一些用于路由我们的域名服务器(DNS)的流量在网上遇到了一个网络攻击,您的信息不会受到威胁。我们正在尽一切努力使您重新上网”,下午12:05,Telstra表示已经控制了这次袭击。下午2时27分,Telstra表示问题已解决。

详情

Telstra DNS falls over after denial of service attack

相关安全建议

  1. 对于托管的云服务器(VPS)或者云数据库,务必做好防火墙策略以及身份认证等相关设置
  2. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
  3. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
  4. 积极开展外网渗透测试工作,提前发现系统问题
  5. 减少外网资源和不相关的业务,降低被攻击的风险
  6. 域名解析使用CDN
  7. 条件允许的情况下,设置主机访问白名单
  8. 及时对系统及各个服务组件进行版本升级和补丁更新

0x05 其它事件

微软将在8月3日删除所有的SHA-1 Windows软件下载

日期: 2020年7月29日
等级: 中
作者: Catalin Cimpanu
标签: SHA-1, Windows, Microsoft, Attack

微软本周宣布,计划从微软下载中心删除所有使用安全 SHA-1 加密签名的windows相关文件下载。 微软表示,这些文件将于8月3日被删除。 操作系统制造商表示,此举是基于SHA-1算法的安全性。 SHA-1是一种遗留的加密散列,安全社区中的许多人认为它不再安全。在数字证书中使用SHA-1哈希算法可能允许攻击者进行内容欺骗、执行钓鱼攻击或执行中间人攻击。

详情

Microsoft to remove all SHA-1 Windows downloads next week

思科修复了数据中心网络管理器中的高危和严重漏洞

日期: 2020年7月31日
等级: 中
作者: Pierluigi Paganini
标签: Cisco, Authentication Bypass, Rest Api, CVE-2020-3382

思科本周解决了一些高危/严重的漏洞,影响了其数据中心网络管理器(DCNM)网络管理平台。 最严重的安全问题之一是一个严重的认证绕过漏洞,比如CVE-2020-3382。该漏洞允许远程的、未经身份验证的攻击者绕过身份验证,并使用管理特权在易受攻击的设备上执行操作。 这个漏洞的存在是因为不同的安装共享一个静态加密密钥。 攻击者可以利用此漏洞,使用静态密钥来生成有效的会话令牌。 成功的利用可以允许攻击者使用管理权限通过REST API执行任意操作。

详情

Cisco fixes critical and high-severity flaws in Data Center Network Manager

FastPOS恶意软件开发者对联邦指控认罪

日期: 2020年8月1日
等级: 低
作者: Akshaya Asokan
标签: FastPOS, Malware, Infraud, U.S., Valerian Chiochiu

美国司法部说,一名曾是臭名昭著的Infraud组织成员、FastPOS的恶意软件的开发者承认了联邦政府的串谋指控。 据美国司法部称,7月24日,30岁的Valerian Chiochiu承认了根据《反诈骗影响及腐败组织法》(简称RICO)对他的一项阴谋指控。Chiochiu是摩尔多瓦人,目前居住在美国他将在12月11日被判刑,届时他可能面临最高10年的监禁。

详情

FastPOS Malware Creator Pleads Guilty to Federal Charges

Twitter诈骗案幕后黑客已被逮捕

日期: 2020年7月31日
等级: 低
作者: Catalin Cimpanu
标签: Twitter, Graham Ivan Clark, Fraud

在周五的新闻发布会上,美国当局宣布他们逮捕了本月Twitter诈骗背后的主要嫌疑犯,并指控了另外两名同谋。 案件主要黑客为格雷厄姆·伊万·克拉克,他是来自佛罗里达州希尔斯伯勒县坦帕市的一名17岁青少年。 根据佛罗里达新闻媒体WFLA-TV的报道,在联邦调查局,美国国税局,美国司法部和美国特勤局之间开展全国性合作之后,克拉克于7月31日早上在坦帕被捕。

详情

Florida teen arrested for orchestrating Twitter hack

相关安全建议

  1. 收到网络攻击之后,积极进行攻击痕迹、遗留文件信息等证据收集
  2. 注重内部员工安全培训
  3. 及时对系统及各个服务组件进行版本升级和补丁更新

0x06 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对事件相关组件进行监测,请用户联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

时间线

2020-08-03 360CERT发布安全事件周报