报告编号：B6-2020-113001

报告来源：360CERT

报告作者：360CERT

更新日期：2020-11-30

0x01 事件导览

本周收录安全事件 51 项，话题集中在 勒索软件 、 网络攻击 方面，涉及的组织有： GitHub 、 Advantech 、 Minecraft 、 Banijay 等。勒索泛滥，员工安全意识提升也是企业安全重要一环对此，360CERT建议使用 360安全卫士 进行病毒检测、使用 360安全分析响应平台 进行威胁流量检测，使用 360城市级网络安全监测服务QUAKE 进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02 恶意程序

假冒的Minecraft mods用广告淹没了超过100万台Android设备

日期: 2020年11月23日
等级: 高
作者: Ionut Ilascu
标签: Google, Minecraft, Fake Mods, Android, Kaspersky

攻击者绕过Google对Play官方商店的保护，并为流行游戏Minecraft发布了20多个假modpack。

这些应用程序只是空壳，旨在吸引想要修改其游戏玩法的儿童和青少年。他们不提供任何恶意软件，但是一旦安装，它们几乎无法正常使用手机。

安装后，假的modpacks开始显示全屏广告。该modpacks将每两分钟打开一个带有广告的浏览器窗口。

卡巴斯基的安全研究人员在7月检测到了此操作，发现最成功的假modpack拥有超过一百万的安装。

详情

Fake Minecraft mods swamp over 1M Android devices with ads

勒索软件攻击将使法国IT服务部门损失6000万美元

日期: 2020年11月26日
等级: 高
作者: Prajeet Nair
标签: Sopra Steria, Ryuk, Ransomware, Attack, IT, French

SopraSteria被Ryuk勒索软件之前未知的版本击中。

根据一份公司声明，法国IT服务公司SopraSteria于10月份受到Ryuk勒索软件的攻击，估计该攻击将使该公司损失4000至5000万欧元（4700万至5900万美元）。

10月21日，SopraSteria承认它已使用以前未知的Ryuk勒索软件检测到攻击。该公司当时指出，没有证据表明有任何客户或公司数据泄露，或者该公司管理的任何客户系统都没有损坏

详情

Ransomware Attack Will Costs French IT Services $60 Million

物联网芯片制造商Advantech受勒索软件攻击，要求1250万美元的赎金

日期: 2020年11月27日
等级: 高
作者: Sergiu Gatlan
标签: Conti, Advantech, Ransomware, Steal Data

Conti 勒索软件团伙袭击了工业自动化和工业物联网（IIoT）芯片制造商 Advantech 的系统，目前要求1400万美元赎金，以解密受影响的系统，并停止泄露被盗的公司数据。 Advantech 是全球领先的医疗保健设备和解决方案制造商，拥有超过8000人的嵌入式计算机和服务器。2018年，该公司以34%的WW市场份额成为世界工业计算领域的领导者，2019年公司的年销售收入超过17亿美元。

详情

IIoT chip maker Advantech hit by ransomware, $12.5 million ransom

FBI发布了有关Ragnar Locker勒索软件活动的警报

日期: 2020年11月23日
等级: 高
作者: Pierluigi Paganini
标签: Ragnar Locker, Ransomware, FBI

美国联邦调查局（FBI）发布了紧急警报（MU-000140-MW），以警告私营行业合作伙伴。自2020年4月确认袭击以来，RagnarLocker勒索软件活动有所增加。

MU-000140-MW紧急警报包括检测与该勒索软件团伙相关联的妥协指标。

FBI于2020年4月首次观察到RagnarLocker勒索软件，当时未知的参与者使用它对一家大公司的文件进行加密，获得大约1100万美元的赎金，并威胁要释放10TB的敏感公司数据。

从那时起，RagnarLocker就针对越来越多的受害者进行了部署，其中包括云服务提供商，通信，建筑，旅行和企业软件公司。

详情

FBI issued an alert on Ragnar Locker ransomware activity

沃尔玛独家销售的Jetstream路由器隐藏着能控制设备的后门

日期: 2020年11月23日
等级: 高
作者: Bernard Meyer
标签: Walmart, Jetstream, Router, Backdoors

在Cyber​​News高级信息安全研究员MantasSasnauskas与研究人员JamesClee和RoniCarta的合作下，在Jetstream路由器中发现了可疑后门，该路由器在沃尔玛专门出售，作为其wifi路由器系列。该后门使攻击者不仅可以远程控制路由器，而且可以远程控制与该网络连接的任何设备。

Cyber​​News与Walmart进行了联系，以征询他们的意见，并了解他们是否知道Jetstream后门，以及他们打算如何保护客户。在Cyber​​News发送了有关受影响的Jetstream设备的信息后，沃尔玛发言人告知Cyber​​News，沃尔玛正在研究该问题以了解更多信息。有问题的商品目前无货，沃尔玛没有计划进行补充。

详情

Walmart-exclusive router and others sold on Amazon & eBay contain hidden backdoors to control devices

TA416 APT使用新的PlugX恶意软件变种

日期: 2020年11月23日
等级: 高
作者: Lindsey O'Donnell
标签: TA416, Golang, PlugX, Malware, Spear-phishing Attacks

TA416高级持续威胁（APT）在其一个月的不活动之后，该组织被发现使用了从未见过的 PlugX 恶意软件加载程序 Golang 变体来发动鱼叉式网络钓鱼攻击。 TA416，也称为“MustangPanda”和“RedDelta”，最近在针对与梵蒂冈和中国共产党建交的实体以及缅甸实体的运动中被发现（所有这些都是先前报道的运动）。 在对这些攻击的进一步分析中，研究人员发现该组织已更新了其工具集-特别是对其PlugX恶意软件变种进行了改进。PlugX远程访问工具（RAT）以前曾用于针对政府机构的攻击，并允许远程用户未经许可或授权即可盗窃数据或控制受影响的系统。

详情

TA416 APT Rebounds With New PlugX Malware Variant

新的WAPDropper恶意软件滥用Android设备进行WAP欺诈

日期: 2020年11月24日
等级: 高
作者: Catalin Cimpanu
标签: Android, WAPDropper, Southeast Asia, Check Point, Android

安全研究人员发现一种新的Android恶意软件目前正在野外传播，主要针对东南亚地区的用户。

这款名为WAPDropper的恶意软件被安全公司CheckPoint发现，目前正在通过托管在第三方应用商店的恶意应用程序传播。

CheckPoint表示，一旦恶意软件感染了用户，它就会开始让用户注册付费电话号码，为各种服务收取高额费用。

最终的结果是，所有感染病毒的用户每个月都会收到大量的电话账单，直到他们取消了付费号码的订阅，或者向他们的移动提供商报告这个问题。

详情

New WAPDropper malware abuses Android devices for WAP fraud

Blackrota Golang 后门包严重混淆视听

日期: 2020年11月24日
等级: 高
作者: Lindsey O'Donnell
标签: Golang, Blackrota, Backdoor, Heavy Obfuscation Punch

研究人员发现了一种新的用Go编程语言（Golang）编写的后门程序。 名为 Blackrota 的后门最初是在研究人员拥有的蜜罐中发现的，该后门试图利用DockerRemoteAPI中的未授权访问漏洞。 这个后门之所以与众不同，是因为它使用了广泛的反检测技术，这使得该恶意软件极难分析，研究人员说，基于Golang的恶意软件并不常见。

详情

Blackrota Golang Backdoor Packs Heavy Obfuscation Punch

勒索软件团伙正瞄准税务软件，以加大对受害者的压力

日期: 2020年11月24日
等级: 高
作者: Bradley Barth
标签: Mount Locker, TurboTax, Sophos, PowerShell, Ransomware

勒索软件的参与者正在瞄准税收软件文件，以期挖掘高度敏感的数据并增强对受害者的影响力，其中包括小型企业，这些企业的纳税合规性可能会受到严重破坏。

据报道，2020年11月20日左右，安全研究人员VitaliKremez向BleepingComputer透露，最近发现的勒索软件程序MountLocker一直以具有TurboTax软件相关扩展名的文件为目标。

就在2020年10月，Sophos分别报告说，LockBit勒索软件参与者一直在使用PowerShell工具在受到破坏的网络上寻找税收软件，以便找到勒索的潜在目标。

详情

Ransomware gangs hunt for tax software to ratchet up pressure on victims

勒索软件：Egregor新变种可能是对您的企业的下一个重大恶意软件威胁

日期: 2020年11月25日
等级: 高
作者: Danny Palmer
标签: Egregor, Digital Shadows, Ransomware, Variant, Bitcoin

随着网络犯罪分子将勒索软件作为一种攻击网络的首选手段（以利用受害者的比特币），各种新形式的勒索软件层出不穷。

Egregor勒索软件最早出现在9月份，但在几起备受关注的事件（包括针对书商Barnes&Noble，以及视频游戏公司Ubisoft和Crytek）的攻击之后，它已经声名狼藉。

根据DigitalShadows的网络安全研究人员的说法，Egregor勒索软件已经在全球19个不同行业中夺走了至少71名受害者，而且其背后的团队很可能只是在精心策划了其活动之后才刚刚开始。

详情

Ransomware: This new variant could be the next big malware threat to your business

Bandook后门木马

日期: 2020年11月26日
等级: 高
来源: CHECKPOINT
标签: Trojan, Bandook, Backdoor, Kazakh, Lebanese

CheckPointResearch最近观察到一股针对全球各种目标的新浪潮，利用了一种名为 Bandook 的13年前的后门木马。 Bandook在2015年和2017年的活动中几乎消失，分别被称为“Manul行动”和“DarkCaracal”。电子前沿基金会(EFF)和瞭望台发现，这些行动被认为是由哈萨克和黎巴嫩政府实施的。 在过去的一年里，该恶意软件的几十个数字签名变体开始重新出现，重新点燃了人们对这个古老的恶意软件家族的兴趣。

详情

Bandook: Signed & Delivered

佳能公开证实八月勒索软件攻击和数据泄露

日期: 2020年11月27日
等级: 高
作者: Pierluigi Paganini
标签: Canon, Cloud, Ransomware, Data Breach

佳能公司最终证实，它是8月初勒索软件攻击的受害者，攻击者也从其服务器中窃取了数据。

该漏洞最初是由Bleepingcomputer报告的，该事件跟踪了佳能image.canon云照片和视频存储服务的可疑中断。

据媒体报道，此事件导致使用免费10GB存储功能的用户数据丢失。

详情

Canon publicly confirms August ransomware attack and data breach

Banijay被DoppelPaymer勒索软件攻击

日期: 2020年11月27日
等级: 高
作者: Sergiu Gatlan
标签: Banijay, DoppelPaymer, Ransomware

法国跨国生产和分销公司BanijayGroupSAS遭到DoppelPaymer勒索软件攻击，敏感信息在事件中被勒索软件运营商窃取。目前，该集团在22个地区拥有120多家制作公司，并运营一些最大的全球娱乐品牌。Banijay的品牌包括主厨、幸存者、老大哥、卡戴珊家族、憨豆先生、黑镜等等。

详情

MasterChef, Big Brother producer hit by DoppelPaymer ransomware

Sopra Steria估计勒索软件攻击的财务影响可能达到5000万欧元

日期: 2020年11月29日
等级: 高
作者: Pierluigi Paganini
标签: Sopra Steria, Ryuk, Ransomware

法国IT外包商 SopraSteria 遭到勒索软件攻击。虽然该公司没有透露感染其系统的恶意软件家族，但当地媒体猜测，这起勒索软件与 Ryuk 有关。这家欧洲IT公司在全球25个国家拥有46000名员工。它提供广泛的It服务，包括软件开发和咨询。现在该公司估计，最近的勒索软件攻击将对财务造成4000万欧元（4800万美元）到5000万欧元（6000万美元）不等的财务影响。

详情

Sopra Steria estimates financial Impact of ransomware attack could reach €50 Million

大规模威胁运动攻击开源回收开源仓库

日期: 2020年11月23日
等级: 中
作者: Pierluigi Paganini
标签: Sonatype, CursedGrabber, npm, xpc.js, Machine Learning

Sonatype在npm注册表中发现了更多的恶意软件，根据Sonatype的分析和多个网络威胁情报报告，已经发现一个新的、大规模的恶意软件运动利用开源生态系统。

2020年11月20日，NexusIntelligence研究服务发现了名为“xpc.js”的恶意软件，该服务包括下一代机器学习算法，可自动检测与开源生态系统相关的潜在恶意活动。

详情

Massive threat campaign strikes open-source reposSecurity Affairs

TrickBot恶意软件使用模糊的Windows批处理脚本来逃避检测

日期: 2020年11月24日
等级: 中
作者: Ax Sharma
标签: TrickBot, Windows, Evade Detection, Batch Script

TrickBot 的第100版发布，该恶意软件配备了新的和先进的回避功能。其中一种功能是使用混淆的批处理脚本启动器来启动恶意可执行文件。 批处理脚本不需要解析器，而是MicrosoftWindows的内置命令提示符，这使得这种逃避技术变得自成体系且简约。 TrickBot是一种恶意软件，通常通过恶意网络钓鱼电子邮件或其他恶意软件来安装。安装后，TrickBot将在受害者的计算机上隐秘地运行，同时下载其他模块以执行不同的任务。

详情

TrickBot malware uses obfuscated Windows batch script to evade detection

Stantinko的Linux恶意软件现在伪装成Apache Web服务器

日期: 2020年11月24日
等级: 中
作者: Catalin Cimpanu
标签: Stantinko, Linux, Malware, Botnets, Apache Web

Stantinko是目前仍在运行的最古老的恶意软件僵尸网络之一，已推出对其Linux恶意软件类别的更新，将其木马升级为合法的ApacheWeb服务器进程（httpd），这样使得对受感染主机的检测更加困难。 安全公司IntezerLabs发现了这些升级，这证实了Stantinko僵尸网络现在仍在运行（尽管在代码更改方面有一段时间处于不活跃状态）。 Stantinko僵尸网络于2012年首次被发现。该恶意软件背后的组织开始通过将 Stantinko 木马作为应用程序捆绑的一部分、或通过盗版应用程序进行分发。

详情

Stantinko's Linux malware now poses as an Apache web server

SSH后门僵尸网络与“研究”感染技术

日期: 2020年11月26日
等级: 中
作者: Pierluigi Paganini
标签: SSH Backdoor , Botnet, Research, Discord CDN

安全专家TolijanTrajanovski分析了SSH后门僵尸网络，该僵尸网络实现了一种有趣的“研究”感染技术。 在最近的一条推文中，恶意软件研究员 @0xrb 共享了一个列表，其中包含最近捕获的IoT僵尸网络示例的URL。在链接中，有一个不常见的示例， DiscordCDN 后面的 URL （如IoT恶意软件研究人员@_lubiedo所指出的那样）可能难以阻止。

详情

SSH-backdoor Botnet With ‘Research’ Infection Technique

勒索软件攻击美国最大的生育网络，病人数据被盗

日期: 2020年11月26日
等级: 中
作者: Sergiu Gatlan
标签: US Fertility, Ransomware, Encrypted, Attack

美国最大的生育中心网络USFertility表示，两个月前，也就是2020年9月，该公司的一些系统在勒索软件攻击中被加密。

USFertility的网络由10个州的55个地点组成，2018年通过其诊所和80多名医生完成了近25000个试管婴儿周期。

2020年9月14日，USF经历了一次IT安全事件：由于恶意软件的感染，他们网络上的某些计算机系统无法访问。

在对11月13日结束的攻击过程中访问的所有文件进行审查后，USF确定未知勒索软件组过滤的文件包含每个受影响个人的各种类型的信息，包括姓名、地址、出生日期、MPI编号和社会保险号码。

详情

Ransomware hits largest US fertility network, patient data stolen

Dark Caracal APT组织仍然活跃

日期: 2020年11月29日
等级: 中
作者: Pierluigi Paganini
标签: Trojan, Dark Caracal, Bandook, APT

研究人员发现了一系列针对多个行业的新攻击，这些攻击来自 DarkCaracal ， DarkCaracal 是一个与黎巴嫩总司令部有关联的APT组织，在最近的攻击中，它使用了一个名为Bandook的13年前的后门木马的新版本，该木马执行主要分为三个阶段。第一阶段利用一个微软Word文档（例如“认证文档.docx）在ZIP文件中传递。打开存档文件后，会下载恶意宏，然后继续删除并执行原始Word文档中加密的第二阶段PowerShell脚本。在攻击的最后阶段，PowerShell脚本从合法的云存储服务（如Dropbox或Bitbucket）下载编码的可执行部分，然后组装Bandook加载器，将RAT注入新的internetexplorer进程中。

详情

Operators behind Dark Caracal are still alive and operational

相关安全建议

1. 注重内部员工安全培训

2. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

3. 移动端不安装未知应用程序、不下载未知文件

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 及时对系统及各个服务组件进行版本升级和补丁更新

6. 不盲目信任云端文件及链接

7. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

8. 网段之间进行隔离，避免造成大规模感染

9. 各主机安装EDR产品，及时检测威胁

0x03 数据安全

黑客泄露事件管理应用程序Peatix的用户数据

日期: 2020年11月24日
等级: 高
作者: Catalin Cimpanu
标签: Peatix, Alexa, Instagram stories, Telegram, Leaked

2002年11月，一名黑客泄露了在活动组织平台Peatix上注册的420多万用户的数据。Peatix目前是Alexa网站中最受欢迎的3500个网站之一。

该网站的用户数据可通过Instagramstories，Telegram频道以及几个不同的黑客论坛上发布的广告获得。

根据ZDNet看到的Peatix数据样本，泄露的信息包括全名、用户名、电子邮件以及加密的密码。

详情

Hacker leaks the user data of event management app Peatix

近5万个易受攻击的Fortinet VPN密码被泄露

日期: 2020年11月25日
等级: 高
作者: Ax Sharma
标签: Fortinet, VPN, CVE-2018-13379, Leaked, Credentials

一名黑客泄露了近5万个易受攻击的Fortinetvpn的密码。

据BleepingComputer报道，2020年11月21日，一名黑客发布了一份清单，列出了存在CVE-2018-13379漏洞的设备，用以从这些设备窃取VPN证书。

利用严重的FortiOS漏洞CVE-2018-13379，攻击者可以从FortinetVPN中访问敏感的“sslvpn_websession”文件。

这些文件包含与会话有关的信息，但最重要的是，这些文件可能会显示FortinetVPN用户的纯文本用户名和密码。

详情

Passwords exposed for almost 50,000 vulnerable Fortinet VPNs

1600万巴西COVID-19患者的详细信息在网上曝光

日期: 2020年11月27日
等级: 高
作者: Pierluigi Paganini
标签: Brazilian, COVID-19, Albert Einstein Hospita, GitHub

由于巴西医院工作人员的失误，超过1600万巴西COVID-19患者的个人和健康详细信息在网上意外暴露。

圣保罗阿尔伯特爱因斯坦医院的一名员工在GitHub上上传了一份包含用户名、密码和敏感政府系统访问密钥的电子表格。

该电子表格包含用于多个系统的登录凭据，包括用于管理COVID-19患者数据的E-SUS-VE和Sivep-Gripe应用程序。

详情

Details of 16 million Brazilian COVID-19 patients exposed online

网络设备供应商Belden披露数据泄露

日期: 2020年11月27日
等级: 高
作者: Catalin Cimpanu
标签: Belden, Networking Equipment, Data Breach, American

美国网络设备供应商Belden表示，它在2020年11月24日早些时候发布的新闻稿中遭到黑客入侵。

Belden表示，黑客侵入了有限数量的文件服务器后，就发生了安全漏洞。

在公司的IT人员检测到涉及受感染服务器的异常活动之后，才检测到入侵。随后的调查显示，入侵者复制了一些现任和前雇员的数据，以及有关某些商业伙伴的有限公司信息。

Belden目前正在通知其认为数据在事件中被泄露的客户和员工。

详情

Networking equipment vendor Belden discloses data breach

百度的Android应用程序被发现收集和泄露敏感用户数据

日期: 2020年11月24日
等级: 中
作者: The Hacker News
标签: Android, Baidu, Baidu Maps, Baidu Search Box, Google, the Play Store, Palo Alto, Leaked

2020年10月，中国科技巨头百度（Baidu）的两款热门安卓（Android）应用程序在收集用户敏感信息时被发现，已被谷歌Play商店删除。

被调查的两款应用程序百度地图和百度搜索框被发现在用户不知情的情况下收集设备标识符，如国际移动用户标识（IMSI）号码或MAC地址，从而使它们有可能在网上被追踪。

这项发现是由网络安全公司PaloAltoNetworks发现的，该公司将其发现通知了百度和Google，之后，搜索公司于10月28日以“未指定的侵权行为”为由撤消了这些应用。

详情

Baidu's Android Apps Caught Collecting and Leaking Sensitive User Data

Home Depot同意就2014年数据泄露达成1750万美元的和解

日期: 2020年11月25日
等级: 中
作者: Charlie Osborne
标签: Home Depot, Data Breach, Settlement, MageCart

家得宝(HomeDepot)同意支付1750万美元和解金，以了结2014年该公司遭受的数据泄露事件。

特拉华州总检察长凯西·詹宁斯（KathyJennings）2020年11月24日宣布了和解协议，根据该协议，共有46个州以及哥伦比亚特区与美国零售商达成了和解。

2014年，HomeDepot确认其付款系统发生了网络攻击，影响了美国和加拿大的客户。

详情

Home Depot agrees to $17.5 million settlement over 2014 data breach

Sophos在安全漏洞发生后提醒客户信息泄露

日期: 2020年11月26日
等级: 中
作者: Sergiu Gatlan
标签: Sophos, British, Personal Information

英国网络安全和硬件公司Sophos向一小群客户发送电子邮件，提醒他们，他们的个人信息在2020年11月24日发现安全漏洞后被曝光。

未经授权的攻击者可以访问暴露的客户数据，这是由于公司使用了错误配置的“工具”来存储与公司支持团队联系的用户的信息。

Sophos没有提供任何信息，没有说明是谁发现并泄露了这个不安全的存储工具，也没有透露有多少客户的个人信息因为这个安全漏洞而被泄露。

详情

Sophos alerts customers of info exposure after security breach

黑客出售数百份高管账号，每个100至1500美元

日期: 2020年11月28日
等级: 中
作者: Pierluigi Paganini
标签: Exploit.in, Executives Info

黑客正以每帐户100至1500美元的价格提供访问数百名C级主管的电子邮件帐户的权限。在Exploit.in上可以访问数百位C级主管的电子邮件帐户，每个帐户的费用为100到1500美元。Exploit.in是一个流行的俄语的地下论坛，与其相似的论坛还有fuckav.ru，Blackhacker，Omerta和L33t。

详情

Hundreds of C-level executives credentials available for $100 to $1500 per account

相关安全建议

1. 条件允许的情况下，设置主机访问白名单

2. 管控内部员工数据使用规范，谨防数据泄露并及时做相关处理

3. 对于托管的云服务器(VPS)或者云数据库，务必做好防火墙策略以及身份认证等相关设置

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 及时备份数据并确保数据安全

7. 严格控制数据访问权限

0x04 网络攻击

巴西政府从有史以来最严重的网络攻击中恢复过来

日期: 2020年11月23日
等级: 高
作者: Angelica Mari
标签: Brazilian, STJ, Ransomware, Cyberattack, Recovers

在遭受了针对巴西公共部门机构有史以来最严重的网络攻击后，面临中断两周多的高级选举法院(STJ，葡萄牙语首字母缩写)终于设法让其系统恢复运行。

在11月3日发生勒索软件攻击后，STJ的系统有26个小时完全不可用，因此联邦警察可以收集证据。

调查过程还包括联邦数据处理服务公司Serpro和美国陆军网络防御单位，目前仍在进行中。在11月20日系统全面重建之前，最高法院在处理紧急案件时只能发挥有限的功能。

STJ的总统部长恩里克•马丁斯(HenriqueMartins)表示，就规模和复杂性而言，这是巴西政府机构遭遇的“有史以来最严重的”网络攻击。

详情

Brazilian government recovers from "worst-ever" cyberattack

黑客通过GoDaddy攻击加密货币平台

日期: 2020年11月23日
等级: 高
作者: Prajeet Nair
标签: GoDaddy, Social Engineering, Cryptocurrency Platforms

根据受害公司发布的通知，2020年11月20日，攻击者通过访问 GoDaddy 管理的域来针对两个加密货币平台。 该域名注册公司以前曾遇到过未经授权的访问的问题。 根据安全博主 BrianKrebs 的说法，攻击者利用社会工程技术欺骗 GoDaddy 的员工暂时将对域名的控制权转移给攻击者，从而进入了这些平台。

详情

Fraudsters Target Cryptocurrency Platforms Through GoDaddy

使用最新密钥的Tesla Model X在几分钟内就被破解了

日期: 2020年11月23日
等级: 高
作者: Catalin Cimpanu
标签: Tesla Model X, Belgian, Lennert Wouters

一位比利时安全研究人员发现了一种方法，可以覆盖和劫持TeslaModelX密钥卡的固件，从而使他能够窃取未运行最新软件更新的任何汽车。

该攻击仅需花费几分钟即可执行，只需要廉价的装备，由比利时鲁汶天主教大学（KULeuven）的计算机安全和工业密码学（COSIC）研究组的博士生LennertWouters进行。

这是多年来Wouters的第三次Tesla攻击。

详情

Tesla Model X hacked and stolen in minutes using new key fob hack

针对30万以上Spotify用户的凭据填充攻击

日期: 2020年11月24日
等级: 高
作者: Pierluigi Paganini
标签: Spotify, Credential Stuffing Attack, Database, vpnMentor, Botnets, Elasticsearch

来自vpnMentor的安全专家发现了一个可能影响到一些Spotify账户的凭证填充攻击。

这场运动背后的攻击者使用了一个包含超过3.8亿记录的数据库，其中包括登录凭据和Spotify账户的其他数据，这些数据可能来自不同的来源。

专家估计，受影响的用户数量在30万到35万之间。

详情

Credential stuffing attack targeted 300K+ Spotify users

国际刑警组织逮捕了3名尼日利亚BEC诈骗犯，其攻击目标超50万

日期: 2020年11月25日
等级: 高
作者: The Hacker News
标签: Interpol, Nigerian, Malware, Phishing

国际刑警组织2020年11月24日报道，三名涉嫌参与网络犯罪组织的尼日利亚公民在拉各斯被捕，他们涉嫌参与一个有组织的网络犯罪组织，该组织散布恶意软件，实施网络钓鱼活动，以及大规模商业电子邮件入侵(BEC)骗局。

此次被称为“猎鹰行动”的调查，是由国际警察组织、新加坡网络安全公司Group-IB以及尼日利亚警察部队联合开展的。

尼日利亚警察部队是该国主要的执法机构。到目前为止，已经确定了约50,000名犯罪计划的目标受害者。

详情

Interpol Arrests 3 Nigerian BEC Scammers For Targeting Over 500,000 Entities

恶意软件在被黑客攻击的WordPress网站上创建诈骗在线商店

日期: 2020年11月23日
等级: 中
作者: Catalin Cimpanu
标签: WordPress, Brute Force, Hijacking, C&C

一个新的网络犯罪团伙已经接管了存在漏洞的WordPress网站，安装隐藏的电子商务商店，目的是劫持原网站的搜索引擎排名和声誉，并推广网络诈骗。

该攻击是2020年11月初发现的，目标是由Akamai安全团队建立和管理的WordPress蜜罐。

攻击者利用暴力破解来访问网站的管理员帐户，然后重写了WordPress网站的主索引文件并附加了恶意代码。

详情

Malware creates scam online stores on top of hacked WordPress sites

FBI：我们网站的虚假版本可用于网络攻击，因此请当心

日期: 2020年11月24日
等级: 中
作者: Liam Tung
标签: FBI, Cyberattacks, Fake

联邦调查局（FBI）警告公众，避免使用外观类似于其主要官方网站www.fbi.gov的互联网域名。

该警告涉及数十个网站，这些网站可用于定位寻求联邦调查局活动或新闻公告信息的人。

联邦调查局在2020年11月23日发布的公共服务公告(PSA)中表示:“联邦调查局发现，不明身份的网络行为者注册了大量域名，欺骗了联邦调查局的合法网站，这表明未来可能会有此类活动。”

详情

FBI: Fake versions of our site could be used for cyberattacks, so watch out

网络巨头Belden公司数据在网络攻击中被盗

日期: 2020年11月25日
等级: 中
作者: Lawrence Abrams
标签: Belden, Cyberattack, Steal

网络设备制造商Belden遭受网络攻击，攻击者可以利用该攻击窃取包含有关员工和业务合作伙伴信息的文件。

Belden是一家总部位于美国的网络连接设备制造商，产品包括路由器、防火墙、交换机、电缆和连接器。Belden在2019年创造了25亿美元的收入，雇佣了大约9000名员工。

Belden称他们最近遭受了一次网络攻击，黑客窃取了公司数据。

详情

Belden networking giant's company data stolen in cyberattack

丹麦新闻社Ritzau遭勒索软件袭击，但没有支付赎金

日期: 2020年11月26日
等级: 中
作者: Pierluigi Paganini
标签: Ritzau, Danish, Ransomware, Ransom

丹麦最大的新闻社Ritzau受到勒索软件攻击的打击，使其服务被迫下线。网络攻击造成了 Ritzau 100台服务器中的四分之一收到损坏。 该机构确认已拒绝了赎金要求，但未透露金额。 RitzausBureauA/S（简称Ritzau）是由ErikRitzau于1866年成立的丹麦新闻社。它与其他三个斯堪的纳维亚新闻社合作，提供北欧新闻。

详情

Danish news agency Ritzau hit by ransomware, but did not pay the ransom

黑客用伪造的“重返工作岗位”邮件引诱员工网络钓鱼

日期: 2020年11月27日
等级: 中
作者: Sergiu Gatlan
标签: COVID-19, Phishing, Steal Email, G Suite

黑客试图通过伪装成公司内部“重返工作岗位”备忘录的仿冒电子邮件，盗取员工的电子邮件凭证。根据电子邮件安全公司的研究人员提供的统计数据，这些网络钓鱼邮件绕过了 GSuite 的电子邮件防御系统，成功地登陆了数千个目标个人的邮箱。考虑到在新冠疫情期间，大多数公司都会定期给员工发电子邮件，告知他们远程工作政策的变化，因此一些目标很有可能落入骗子的圈套。

详情

Phishing lures employees with fake 'back to work' internal memos

CISA警告易受攻击的Fortinet VPN上存在密码泄漏

日期: 2020年11月28日
等级: 中
作者: Akshaya Asokan
标签: Fortinet VPN, CVE-2018-13379, Pulse Secure VPN

虽然已经快2021年，黑客仍然利用 CVE-2018-13379 攻击未修补的PulseSecure和FortinetSSLVPN。安全人员在推特上发布了被曝光的Fortinet密码。在这条推文中，研究人员指出，泄露的密码属于与FortinetSSLVPN相关的49577个IP。CISA警告说，黑客正在将漏洞（包括FortineVPN漏洞）与ZerologonWindows服务器漏洞联系起来，以攻击各地的网络。

详情

CISA Warns Of Password Leak On Vulnerable Fortinet VPNs

相关安全建议

1. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

2. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

3. 积极开展外网渗透测试工作，提前发现系统问题

4. 减少外网资源和不相关的业务，降低被攻击的风险

5. 做好产品自动告警措施

6. 及时对系统及各个服务组件进行版本升级和补丁更新

7. 如果允许，暂时关闭攻击影响的相关业务，积极对相关系统进行安全维护和更新，将损失降到最小

0x05 其它事件

英国NCSC警告敦促组织修复MobileIron CVE-2020-15505 RCE

日期: 2020年11月25日
等级: 高
作者: Pierluigi Paganini
标签: CVE-2020-15505, MobileIron,  RCE, Vulnerability, Orange Tsai

英国国家网络安全中心（NCSC）发出警报，敦促组织解决MobileIron移动设备管理（MDM）系统中的CVE-2020-15505远程代码执行（RCE）漏洞，该漏洞危害严重。 MDM平台允许管理员从中央服务器远程管理组织中的移动设备群。 CVE-2020-15505 漏洞是 MobileIron 移动设备管理（ MDM ）软件中的远程代码执行问题，该漏洞使远程攻击者可以执行任意代码，并接管远程公司服务器。 安全研究员OrangeTsai在3月发现了该漏洞，MobileIron在6月解决了该漏洞。

详情

UK NCSC’s alert urges orgs to fix MobileIron CVE-2020-15505 RCE

VMware修复了能让黑客瞄准企业网络的SD-WAN漏洞

日期: 2020年11月23日
等级: 高
作者: Pierluigi Paganini
标签: VMware, Vulnerability, SQL injection, Pass-the-Hash, SD-WAN

VMware2020年11月19日在其 SD-WANOrchestrator 产品中解决了六个漏洞（CVE-2020-3984，CVE-2020-3985，CVE-2020-4000，CVE-2020-4001，CVE-2020-4002，CVE-2020-4003），其中一些漏洞可以被攻击者用来劫持流量或关闭企业网络。 RealmodeLabs的ArielTempelhof报告了漏洞，这些漏洞可由未经身份验证的远程攻击者链接起来，以实现远程代码执行。

详情

VMware fixed SD-WAN flaws that could allow hackers to target enterprise networks

30%的顶级在线购物域名容易受到SSL攻击

日期: 2020年11月24日
等级: 高
作者: Edvardas Mikalauskas
标签: SSL Attack, Cybernews, Vulnerability, BEAST

cybernews分析了2,600多个在线购物域的SSL错误配置。

每个网站都应确保其服务器与用户之间的通信是加密的。这对于在线购物和电子商务平台特别重要，该平台处理敏感的客户信息，例如身份验证凭据，信用卡号，银行数据和其他付款明细。

cybernews发现，即使绝大多数在线商店通常遵循从良好的SSL配置做法，但cybernews分析的Web服务器中几乎有三分之一易受已知SSL漏洞的影响，而BEAST漏洞是在线商店中最为普遍的。

详情

30% of top online shopping domains are vulnerable to BEAST SSL attack

Facebook在韩国因擅自分享用户数据而被罚款

日期: 2020年11月26日
等级: 高
作者: Cho Mu-Hyun
标签: Facebook, Share User Data, Fined, South Korea

Facebook在韩国被处以67亿韩元（约合600万美元）的罚款，原因是未经他们同意共享用户数据。

个人信息保护委员会（PIPC）表示，这家美国公司在2012年5月至2018年6月期间，未经其他公司同意，将其在韩国的1800万用户中至少330万的数据共享给其他公司。

该委员会表示，它还将对Facebook提起刑事诉讼，指控其违反了当地的个人信息法。

详情

Facebook fined in South Korea for sharing user data without consent

工业自动化系统中的一个严重漏洞

日期: 2020年11月29日
等级: 高
作者: Pierluigi Paganini
标签: Automation, RTA, EtherNet/IP, Industrial Control Systems

专家们在实时自动化（RTA）499ESEtherNet/IP栈中发现了一个严重漏洞，该漏洞可能导致黑客攻击工业控制系统。根据 CVE-2020-25159 的描述，该漏洞CVSS评分为9.8（满分10分），并影响2012年11月21日发布的2.28版本之前的所有EtherNet/IP适配器源代码堆栈。受影响的产品易受基于堆栈的缓冲区溢出的攻击，这可能使攻击者发送精心构造的数据包，从而导致拒绝服务条件或代码执行。

详情

A critical flaw in industrial automation systems opens to remote hack

GitHub修复了Google发现的严重安全漏洞

日期: 2020年11月23日
等级: 中
作者: Liam Tung
标签: GitHub, Google Project Zero, Vulnerability, Injection Attack

GitHub终于修复了三个多月前由GoogleProjectZero报告给它的严重的安全漏洞。

该漏洞影响了GitHub的Actions功能，是开发人员工作流自动化工具，GoogleProjectZero研究人员FelixWilhelm称其极易受到注入攻击。

尽管Google将其描述为严重性漏洞，但GitHub认为这是中危安全漏洞。

详情

GitHub fixes 'high severity' security flaw spotted by Google

TikTok补丁修复了XSS漏洞和点击劫持漏洞

日期: 2020年11月23日
等级: 中
作者: Charlie Osborne
标签: TikTok, XSS, Account Takeover, Vulnerability

TikTok 修复了一个 XSS 安全漏洞和一个导致帐户接管影响该公司Web域的漏洞。 研究人员Muhammed“milly”Taskiran通过漏洞赏金平台HackerOne报告说，第一个漏洞与 tiktok.com 域上的URL参数有关，该URL参数没有得到适当的处理。 在对平台进行Fuzz测试时， bugbounty 研究员发现这个问题可能被用来实现反射跨站点脚本(XSS)，潜在地导致在用户浏览器会话中执行恶意代码。

详情

TikTok patches reflected XSS bug, one-click account takeover exploit

苹果全球安全负责人因受贿指控被起诉

日期: 2020年11月24日
等级: 中
作者: Campbell Kwan
标签: Apple, Santa Clara County, Thomas Moyer, Indicted, Bribery

加州一家大陪审团对苹果公司全球安全负责人托马斯·莫耶（ThomasMoyer）提出起诉，指控他贿赂两名圣克拉拉县警察，以获得4张隐藏的枪支许可证。 这些指控是在地方检察官办公室进行了为期两年的调查之后产生的，该调查发现两名警察 RickSung 和 JamesJensen 据称暂缓发放了这些执照，并拒绝将其释放给 Moyer ，直到他提供有价值的东西为止。

详情

Apple's global security head indicted for bribery charges

黑客因运行服务绕过防病毒软件而被捕

日期: 2020年11月24日
等级: 中
作者: GURUBARAN S
标签: CyberSeal, DataProtector, Bypass Antivirus Software, Romanian, Malware Crypting Services

罗马尼亚警方2020年11月24日逮捕了两名个人，原因是他们涉嫌经营两项恶意软件加密服务， Cyber​​Seal 和 DataProtector ，以逃脱防病毒软件的检测。 1560名犯罪分子购买了这些服务，用于加密几种不同类型的恶意软件，包括远程访问木马、信息窃取和勒索软件。 两人还使用了Cyber​​scan服务，该服务允许其客户端使用防病毒工具测试其恶意软件。

详情

Hackers Arrested for Running Services To Bypass Antivirus Software

cPanel的2FA绕过可能会让数千万的网站受到黑客攻击

日期: 2020年11月24日
等级: 中
作者: Pierluigi Paganini
标签: cPanel, Digital Defense, Vulnerability, Bypass, 2FA

来自DigitalDefense的研究人员发现了cPanel中的一个漏洞，攻击者可能会利用该漏洞绕过cPanel帐户的双因素身份验证。

cPanel是一种流行的软件套件，可简化网络托管服务器的管理。

攻击者可以利用这个漏洞绕过cPanel账户的双因素认证(2FA)，并接管相关网站。

详情

2FA bypass in cPanel potentially exposes tens of millions of websites to hack

Xbox漏洞可能会让黑客将玩家标签与玩家的电子邮件链接起来

日期: 2020年11月25日
等级: 中
作者: Catalin Cimpanu
标签: Microsoft, Xbox, Vulnerability, Bug Bounty

微软在Xbox网站上修复了一个漏洞，该漏洞可能使攻击者将Xbox游戏玩家标签（用户名）链接到用户的真实电子邮件地址。

该漏洞是通过Microsoft公司最近启动的XboxBug赏金计划报告被发布的。

JosephHarris是2020年向微软报告该问题的几位安全研究人员之一，2020年11月24日早些时候他与ZDNet分享了他的发现。

这位安全研究人员说，漏洞是在enforcement.xbox.com上发现的。

详情

Xbox bug could have allowed hackers to link gamer tags with players' emails

windows7和windows server 2008的0day漏洞仍未修复

日期: 2020年11月26日
等级: 中
作者: Pierluigi Paganini
标签: Windows 7, Windows Server 2008, Zero Day, PowerUp

法国安全研究员ClémentLabro发现了一个0day漏洞，该安全研究员正在研究更新的Windows安全工具。

研究人员正在开发自己的Windows特权升级枚举脚本，称为PrivescCheck，它是著名PowerUp的一种更新和扩展版本。

专家确认，该漏洞影响Windows7和WindowsServer2008R2操作系统。

详情

A zero-day in Windows 7 and Windows Server 2008 has yet to be fixed

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x06 产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x07 特制报告下载链接

一直以来，360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务，现360CERT正式推出安全通告特制版报告，以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

安全事件周报 (11.23-11.29)

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ，并附上您的 公司名、姓名、手机号、地区、邮箱地址。