报告编号：B6-2021-121303

报告来源：360CERT

报告作者：360CERT

更新日期：2021-12-13

0x01   事件导览

本周收录安全热点34项，话题集中在恶意软件、网络攻击方面，涉及的组织有：Apache、BitMart、QNAP、沃尔沃等。多个严重漏洞曝光，其中Log4j 2 漏洞危害极大，利用简单，各厂商注意及时修复。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

Emotet正在分发Cobalt Strike

日期: 2021年12月08日
等级: 高
来源: heimdalsecurity
标签: 恶意程序：Emotet, 事件类型：恶意程序事件
行业: 信息传输、软件和信息技术服务业

Emotet是一种通过包含恶意word或excel文档的垃圾邮件附件传播的病毒感染。

这些文档利用宏来下载并在受害者的电脑上安装emotet木马，然后使用该木马窃取电子邮件并安装进一步的恶意软件。用于在受影响的设备上安装trickbot或qbot木马的Emotet。这些木马最终会在受影响的设备上安装钴攻击或从事其他恶意活动。

现在，这些早期恶意软件的有效载荷已经被绕过，攻击者可以快速访问网络，允许他们横向传播，窃取数据，并迅速发布勒索软件。

详情

假冒KPSPico Windows激活器工具KPSPico窃取加密钱包数据

日期: 2021年12月06日
等级: 高
作者: Waqas
标签: Cryptocurrency, KMSPico, Microsoft, security, Windows
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

这种恶意软件被称为crypbot，本质上是一种信息窃取者，可以获取加密货币钱包、浏览器、信用卡、浏览器cookie的凭证，并从受损设备上截取屏幕截图。

网络安全解决方案提供商红色金丝雀在其最近的博客文章中透露，一个恶意的kmspico安装程序携带恶意软件，可以从加密货币钱包窃取用户信息，除了其他信息。

Kmspico是一个非官方的msWindows和office工具，用于非法激活盗版软件的全部功能。

详情

俄罗斯支持的高级持久性威胁（APT）组织Nobelium使用的新Ceeloader恶意软件

日期: 2021年12月07日
等级: 高
来源: heimdalsecurity
标签: 事件类型：恶意程序事件, 攻击者：nobelium, 恶意程序：Ceeloader
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

Nobelium是一个俄罗斯支持的先进持续威胁(apt)组织，在破坏太阳风软件开发供应链以获取间谍目标后，在2020年底获得了关注，并继续部署创造性的方法来寻找新的受害者。

nobelium黑客组织通过攻击他们的云和管理服务提供商和使用一种新的自定义ceeloader恶意软件，继续在全球范围内攻破政府和企业网络。

来自mandiant的研究人员设法发现了黑客组织使用的战术、技术和程序(ttp)，以及一种名为ceeloader的新定制下载程序。

详情

新的Cerber勒索软件针对Confluence和GitLab服务器

日期: 2021年12月07日
等级: 高
作者: Lawrence Abrams
标签: 恶意程序：Cerber, 事件类型：恶意程序事件
行业: 信息传输、软件和信息技术服务业
涉及组织: gitlab

Cerber勒索软件回来了，作为一个新的勒索软件家族采用旧的名字，使用远程代码执行漏洞瞄准atlassianconfluence和gitlab服务器。

随着2016年勒索软件的发展，一个新的cerber勒索软件组织应运而生，并迅速成为当时最猖獗的团伙之一。

然而，它的活动逐渐减少，直到2019年底消失。

从11月开始，cerber勒索软件再次抬头，因为它开始用Windows和Linux加密器感染全世界的受害者。

涉及漏洞

cve-2021-26084

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-26084

cve-2021-22205

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-22205

详情

QNAP NAS设备现在成为另一个加密货币挖掘恶意软件的目标

日期: 2021年12月08日
等级: 高
来源: heimdalsecurity
标签: 事件类型：恶意程序事件
行业: 信息传输、软件和信息技术服务业
涉及组织: qnap

2021年12月7日，qnap在他们的网站上发布了安全警报，告知一种新的加密货币挖掘恶意软件已经开始针对其设备。

据报道，一个比特币挖矿恶意程序盯上了qnapnas。一旦一个nas被感染，CPU使用率变得异常高，一个名为[oomreaper]的进程可能会占用总CPU使用率的50%左右。

这个进程模仿了一个正常的、合法的内核进程，但名称相同。

涉及漏洞

cve-2020-2506

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-2506

cve-2020-2507

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-2507

详情

谷歌破坏基于区块的Glupteba僵尸网络起诉俄罗斯黑客

日期: 2021年12月08日
等级: 高
作者: Ravie Lakshmanan
标签: 事件类型：恶意程序事件, 僵尸网络：glupteba
行业: 信息传输、软件和信息技术服务业
涉及组织: google, youtube

谷歌2021年12月7日表示，它已采取措施干扰一个复杂的“多组件”僵尸网络glupteba的运作。

它感染了全球大约100多万台Windows电脑，并将其命令和控制服务器地址存储在比特币的区块链上，作为一种应变机制。

作为行动的一部分，谷歌的威胁分析小组(tag)表示，在过去的一年里，它与网络犯罪调查组合作，终止了大约6300万个被观察到散布恶意软件的谷歌文档，以及1183个谷歌账户，908个云项目，和870谷歌广告帐户与它的分布有关。

详情

Moobot僵尸网络通过海康威视摄像头漏洞传播

日期: 2021年12月08日
等级: 高
作者: Bill Toulas
标签: moobot, Hikvision
行业: 信息传输、软件和信息技术服务业
涉及组织: gitlab

一种名为“moobot”的基于mirai的僵尸网络正在通过利用海康威视许多产品的web服务器上的一个关键命令注入漏洞而大举传播。

海康威视是一家中国国有的监控摄像机和设备制造商，美国政府因侵犯人权而批准了这些设备。

该漏洞被跟踪为cve-2021-36260，可以通过发送包含恶意命令的特制消息进行远程利用。

涉及漏洞

cve-2021-36260

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-36260

详情

恶意Notepad++安装程序推送恶意软件

日期: 2021年12月09日
等级: 高
作者: Bill Toulas
标签: strongpity, apt-c-41, promethium, notepad++
行业: 信息传输、软件和信息技术服务业

被称为“strongpity”的黑客组织正在传播带有恶意软件的notepad++安装程序。

这个黑客组织，也被称为apt-c-41和promethium，在2016年和2018年之间被看到在高度针对性的活动中分发木马的winrar安装程序，所以这种技术不是新的。

最近的诱惑涉及到notepad++，这是一种非常流行的Windows免费文本和源代码编辑器，广泛应用于各种组织。

详情

ALPHV BlackCat-今年最先进的勒索软件

日期: 2021年12月09日
等级: 高
作者: Lawrence Abrams
标签: blackcat, ransomware
行业: 信息传输、软件和信息技术服务业
涉及组织: gitlab, microsoft

新的alphv勒索软件操作，又名blackcat，11月推出，可能是2021年最复杂的勒索软件，具有高度可定制的功能集，允许攻击范围广泛的企业环境。

勒索软件的可执行文件是用rust编写的，这对恶意软件开发者来说并不常见，但由于其高性能和内存安全，它正在慢慢地普及。

Malwarehunterteam发现了新的勒索软件，并告诉bleepingcomputer，第一个为新行动提交的id勒索软件是在11月21日。

详情

12个恶意的NPM包劫持Discord的服务器

日期: 2021年12月10日
等级: 高
作者: BALAJI N
标签: NPM Packages, Discord, Hijacking
行业: 信息传输、软件和信息技术服务业
涉及组织: twitter, facebook, reddit, linkedin, whatsapp

节点包管理器(npm)安全团队已经提取了17个带有恶意代码的javascript库，这些库被发现劫持了Discord的服务器。

所有这些恶意代码都是专门设计来从受害者的计算机窃取Discord的访问令牌和环境变量。但是，专家们肯定，他们已经幸运地在造成大量破坏之前删除了恶意代码。在研究了这些代码之后，在17个javascript库中，有4个库包含了累积Discord访问令牌的功能。然而，这些令牌稍后将充当身份验证cookie，攻击者能够轻松劫持开发人员的Discord帐户。

详情

新的基于Mirai的活动目标是未修补的TP链路路由器

日期: 2021年12月10日
等级: 高
作者: Prajeet Nair
标签: Manga, Dark, ddos, mirai
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

Manga活动的更新变体，也称为Dark，以Mirai的发布源代码分发样本。

这种基于mirai的分布式拒绝服务(ddos)僵尸网络运动是防御实验室一直在积极监控的，其目标漏洞列表的不断更新。

Tp-link已经为这个受影响的硬件版本发布了更新的固件，并鼓励用户立即更新他们的设备。

详情

澳大利亚ACSC警告Conti赎金软件对抗本地组织的攻击

日期: 2021年12月10日
等级: 高
作者: Pierluigi Paganini
标签: Conti ransomware, Australian
行业: 信息传输、软件和信息技术服务业

澳大利亚网络安全中心(acsc)警告说，自去年11月以来，康提勒索软件攻击了来自不同部门的多个澳大利亚组织。

acsc了解到澳大利亚多个组织在2021年11月和12月受到康提勒索软件的影响。这一活动在多个部门都有发生。受害者已经收到了索要赎金的要求。除了对数据进行加密以及随后对组织正常运作能力的影响之外，在勒索软件行动者发布的事件中，受害者的数据被窃取，包括个人身份信息(pii)。

详情

报告剖析Conti勒索软件对爱尔兰HSE的攻击

日期: 2021年12月10日
等级: 高
作者: Marianne Kolbasuk McGee
标签: Conti Ransomware, Ireland's HSE
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

随着医疗保健部门实体在世界范围内继续与勒索软件事件作斗争，一份新的报告分析了conti勒索软件攻击爱尔兰的卫生服务执行提供了深入的因素，发挥了攻击的影响，并提供了一个清单的建议，hse，以及其他组织，可以为此类事件做好更好的准备。

详情

发现新的Yanluowang勒索软件有代码签名，终止与数据库相关的进程

日期: 2021年12月10日
等级: 高
作者: Don Ovid Ladores
标签: Yanluowang Ransomware
行业: 信息传输、软件和信息技术服务业
涉及组织: google, apple, microsoft, automatic

trendmicro分析了盐螺网勒索软件的新样本，这是一个最近发现的勒索软件家族。

这些示例的一个有趣的方面是，这些文件是使用有效的数字签名进行代码签名的，而这些数字签名要么是被窃取的，要么是被欺骗性地签名的。它们还会终止与数据库和备份管理相关的各种进程，包括Veeam和SQL。

在几周前被发现后，Yanluowang勒索软件一直与活动有关，据说其运营商至少从2021年8月开始就对美国公司发起了有针对性的攻击。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

南澳大利亚政府雇员的数据被泄露

日期: 2021年12月10日
等级: 高
来源: zdnet
标签: Frontier, South Australian, ransomware attack
行业: 政府机关、社会保障和社会组织

南澳大利亚财长罗布·卢卡斯(robLucas)2021年12月10日表示，州政府雇员的数据已被窃取，这是针对工资供应商前沿软件的勒索软件攻击的一部分。

卢卡斯说，该公司已通知政府，部分数据已在网上公布，至少3.8万名员工和多达8万名政府员工的数据可能被访问。

这些数据包含姓名、出生日期、税务文件号码、家庭住址、银行账户详细信息、就业开始日期、工资期、薪酬和其他与工资相关的信息。

详情

Apache Kafka Cloud Clusters公开大型公司的敏感数据

日期: 2021年12月06日
等级: 高
来源: threatpost
标签: 涉及组织：kafdrop, 事件类型：数据泄露事件
行业: 信息传输、软件和信息技术服务业
涉及组织: docker

研究人员说，由于kafdrop实例配置不当，一些大型公司的大量敏感信息已经从云端泄露了。

Kafdrop是apachekafka的管理接口，它是一个开源的、云原生平台，用于收集、分析、存储和管理数据流。

详情

Cox透露黑客冒充技术支持人员后数据泄露

日期: 2021年12月09日
等级: 高
作者: Lawrence Abrams
标签: Cox, data breach
行业: 信息传输、软件和信息技术服务业

cox通信，又名cox电缆，是一个数字电缆供应商和电信公司，提供互联网，电视，和电话服务在美国。cox通信公司透露，一名黑客冒充客服人员获取客户的个人信息，导致数据泄露。

详情

沃尔沃汽车公司遭遇数据泄露

日期: 2021年12月10日
等级: 高
作者: Pierluigi Paganini
标签: Volvo, data breach
行业: 制造业

瑞典汽车制造商沃尔沃汽车透露，威胁分子已经从其系统中窃取了研发数据。

2010年，沃尔沃汽车成为中国制造商吉利控股集团(geelyholdinggroup)的子公司，吉利证实，它已意识到其一个文件存储库被第三方非法访问。

迄今为止的调查证实，有限数量的公司研发财产在入侵过程中被盗，

详情

澳大利亚政府工作人员数据被第三方泄露

日期: 2021年12月10日
等级: 高
作者: Mihir Bagwe
标签: Australian, Government, Data Leaked
行业: 政府机关、社会保障和社会组织

南澳大利亚州财政部长罗布•卢卡斯(robLucas)上12月3日发表声明称，对边境软件的勒索软件攻击在暗网上泄露了数千名南澳大利亚州政府雇员的“重要个人信息”。

该公司的人力资源和工资系统chris21遭到了攻击。最新消息称，该州政府的数据在事件发生期间从其网络中被盗，并发布在暗网上。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

攻击者从BitMart平台窃取了价值超过1.5亿美元的加密货币代币

日期: 2021年12月06日
等级: 高
作者: Pierluigi Paganini
标签: 事件类型：网络攻击事件
行业: 金融业

加密货币交易平台bitmart披露了一个安全漏洞，攻击者窃取了超过1.5亿美元的各种加密货币。

Bitmart首席执行官sheldonxia在一系列推特中透露，攻击者偷走了被盗的两个热钱包的私钥。该平台已暂时暂停提款，直至另行通知，sheldonxia还表示，计划于12月7日恢复运营。

详情

严重的Apache Log4j漏洞威胁企业应用

日期: 2021年12月10日
等级: 高
作者: Dan Gunderman
标签: apache log4j, minecraft, Vulnerability
行业: 信息传输、软件和信息技术服务业
涉及组织: twitter, cloudflare, wordpress

根据安全研究人员的说法，在Java日志库apachelog4j中检测到的0day漏洞会导致服务器完全接管，并使无数应用程序易受攻击，他们说这个容易被利用的漏洞最早是在流行游戏minecraft中检测到的。

根据certNewZealand的一份建议，未经认证的远程代码执行漏洞(被分类为严重的并被跟踪为cve-2021-44228)正在野外被积极利用，概念验证代码已经发布。

涉及漏洞

cve-2021-44228

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-44228

详情

160万个WordPress网站遭到大规模攻击

日期: 2021年12月11日
等级: 高
作者: Prajeet Nair
标签: WordPress, Attack
行业: 信息传输、软件和信息技术服务业
涉及组织: twitter, wordpress, youtube, automatic

安全公司Wordfencesecurity的研究人员发现，超过160万个WordPress网站正在遭受一波大规模的攻击。他们报告称，在36小时内，超过1370万起攻击主要是利用四种不同的WordPress插件和几个Epsilon框架主题。

攻击活动起源于16000多个不同的IP地址，使攻击者能够通过任意选项更新有效地接管易受攻击的站点。

详情

SolarWinds黑客一直在悄悄地将目标对准政府、云服务提供商

日期: 2021年12月06日
等级: 高
作者: Derek B. Johnson
标签: 事件类型：网络攻击事件, 攻击者：Nobelium
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

mandiant的研究人员表示，“solarwinds”行动背后的俄罗斯黑客组织自2020年以来一直在使用多种工具和技术来危害政府、企业和云服务提供商。

威胁情报公司的研究人员表示，他们正在跟踪追溯到Nobelium的多个黑客活动的集群，这些黑客去年利用SolarWindsIT管理软件的更新，感染了100多个其客户，包括至少九个联邦机构。

详情

330家SPAR商店在网络攻击后关闭或改用现金支付

日期: 2021年12月06日
等级: 高
作者: Pierluigi Paganini
标签: 事件类型：网络攻击事件, 受害者：SPAR
行业: 批发和零售业

国际连锁超市SPAR遭受网络攻击，影响了英格兰东北部330家商店的运营。

袭击发生后，许多商店被迫关闭或改用只用现金支付。

截至2019年，SPAR在48个国家拥有13320家门店，但网络攻击只袭击了兰开夏郡的门店。袭击发生在2021年12月5日，2021年12月6日一些商店仍然关闭。

详情

研究人员透露了巴基斯坦威胁行动组织SideCopy的更多细节

日期: 2021年12月06日
等级: 高
来源: heimdalsecurity
标签: 攻击者：SideCopy, 事件类型：网络攻击事件
行业: 信息传输、软件和信息技术服务业
涉及组织: google, microsoft

一个来自巴基斯坦的黑客组织SideCopy成功地实施了facebook,twitter和谷歌敏感凭证盗窃。

它的目标似乎是阿富汗的政府部门和印度政府共用的一台电脑。

它可以通过通过社会工程技术窃取的证书，秘密地进入政府门户网站。

详情

美国大学遭到Office 365网络钓鱼攻击

日期: 2021年12月07日
等级: 高
作者: Bill Toulas
标签: 事件类型：网络攻击事件, 攻击手法：钓鱼攻击
行业: 信息传输、软件和信息技术服务业
涉及组织: amazon, microsoft, wordpress

美国大学正成为多起网络钓鱼攻击的目标，这些网络钓鱼攻击旨在模仿大学登录门户网站，窃取有价值的“office365”证书。

在最新的活动中使用的诱饵包括COVID-19delta和omicron变体，以及关于这些据称如何影响教育项目的各种主题。

这些活动被认为是由多个攻击者从2021年10月开始进行的，并分享了在网络钓鱼攻击中使用的战术、技术和程序(ttps)的细节。

详情

酒店声称Conti ransomware攻击了系统

日期: 2021年12月08日
等级: 高
作者: Deeba Ahmed
标签: Conti, hacking, Hotel, Ransomware, security
行业: 住宿和餐饮业
涉及组织: twitter

一家受欢迎的斯堪的纳维亚酒店已经确认成为contiransomware团伙有针对性的网络攻击的受害者。

关于袭击，据报道袭击发生在12月2日。根据北欧选择公司的新闻稿，该事件影响了其it系统。

Nordicchoice酒店虽然没有提及房间钥匙的问题，但酒店管理部门表示，其系统遭到了“conti勒索软件”的攻击。

详情

CS Energy遭到勒索软件攻击

日期: 2021年12月08日
等级: 高
作者: Pierluigi Paganini
标签: CS Energy, Ransomware attack
行业: 电力、热力、燃气及水生产和供应业

11月27日，一场网络攻击袭击了澳大利亚cs能源公司，专家认为这次攻击是由中国黑客精心策划的。

一个勒索软件网络攻击攻击了一个由cs能源公司运营的主要能源网络，这次攻击可能会造成戏剧性的后果，使数百万家庭失去能源。

这次攻击被及时发现，并被及时化解，之前它有可能关闭两家主要的火力发电厂。

详情

XE集团暴露了长达八年的黑客攻击和信用卡盗窃

日期: 2021年12月08日
等级: 高
作者: Bill Toulas
标签: xe group, credit card theft
行业: 信息传输、软件和信息技术服务业
涉及组织: wordpress, github

一个相对不知名的越南黑客组织自称“xe集团”(xegroup)，与长达8年的盈利性黑客行为和信用卡盗用行为有关。

这些攻击者被认为是每天数千张信用卡被盗的罪魁祸首，这些信用卡主要来自餐馆、非营利组织、艺术和旅游平台。

攻击者使用公开可用的漏洞来危害外部服务，使用telerikUI漏洞，安装证书和支付信息窃取恶意软件。

详情

超过300000台MikroTik设备易受远程黑客攻击

日期: 2021年12月09日
等级: 高
作者: Ravie Lakshmanan
标签: MikroTik, Remote Hacking Bugs
行业: 信息传输、软件和信息技术服务业

至少30万个与mikrotik设备相关的IP地址已被发现易受多种远程可利用的安全漏洞的攻击，这些漏洞已被路由器和无线isp设备的流行供应商修补。

网络安全公司eclypsium在与黑客新闻分享的一份报告中说，受影响最严重的设备位于中国、巴西、俄罗斯、意大利和印度尼西亚，美国排名第八。

研究人员指出:“这些设备不仅功能强大，而且通常非常脆弱。”“这使得mikrotik设备成为威胁行动者的最爱，他们征用这些设备进行各种攻击，包括ddos攻击、命令与控制(又名c2)、流量隧道等。

涉及漏洞

cve-2019-3977

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2019-3977

cve-2019-3978

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2019-3978

cve-2018-14847

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2018-14847

cve-2018-7445

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2018-7445

详情

富士通将日本政府数据泄露锁定在被盗的ProjectWEB帐户上

日期: 2021年12月09日
等级: 高
作者: Sergiu Gatlan
标签: projectweb, Japanese
行业: 信息传输、软件和信息技术服务业
涉及组织: wordpress

富士通表示，5月数据泄露背后的攻击者利用该公司projectweb信息共享工具的一个漏洞，窃取了合法用户的账户，并获取了属于多个日本政府机构的专有数据。

日本国家网络安全中心(nisc)和国土、基础设施、交通和旅游省当时透露，攻击者在项目网络被攻破期间获得了至少76000个电子邮件账户。

事件发生后，内阁秘书处的国家网络安全中心(nisc)削弱了政府机构和关键基础设施组织使用富士通的projectweb工具检查未授权访问或信息泄漏的迹象。

详情

SideCopy APT在最近的攻击中使用了新的战术

日期: 2021年12月10日
等级: 高
作者: Soumik Ghosh
标签: SideCopy APT
行业: 信息传输、软件和信息技术服务业
涉及组织: cisco, twitter, google, microsoft, facebook, instagram

根据威胁情报公司Malwarebytes的研究人员的一份报告，SideCopyAPT组织对印度和阿富汗的军事和政府机构的攻击使用了新的诱饵和有效载荷传递机制。

Malwarebytes的研究人员告诉信息安全媒体集团，这个与巴基斯坦有关的威胁组织的主要目标是窃取敏感的军事和政府信息。该组织自2019年以来一直很活跃。

详情

新的'Karakurt'网络犯罪团伙专注于数据盗窃和敲诈勒索

日期: 2021年12月11日
等级: 高
作者: Pierluigi Paganini
标签: Karakurt, data theft, extortion
行业: 信息传输、软件和信息技术服务业
涉及组织: twitter

埃森哲的研究人员详细描述了一个被称为Karakurt的复杂的财务动机攻击者的活动。

该团体于2021年6月首次被发现，但从2021年第三季度开始更加活跃。

2021年6月，该团伙注册了其泄密网站Karakurt的域名。集团和Karakurt。2021年8月，该组织注册了一个名为karakurtair的推特账户。

研究人员指出，该组织主要从事数据盗窃和勒索，但没有使用勒索软件。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   其它事件

GOautodial漏洞使呼叫中心网络安全处于危险状态

日期: 2021年12月08日
等级: 高
作者: Emma Woollacott
标签: Vulnerabilities, Research, Hacking News, Open Source Software, PHP, API, IoT, Organizations, Enterprise, Passwords, Authentication, Hardwar
行业: 信息传输、软件和信息技术服务业

GOautodial是一个在全球拥有5万名用户的开源呼叫中心软件套件，它修复了两个可能导致信息泄露和远程代码执行(RCE)的漏洞。

Synopsys网络安全研究中心(CyRC)的ScottTolley发现了第一个被追踪的漏洞CVE-2021-43175，该漏洞被评为中等严重级别。

API路由器接受用户名、密码和动作，这些动作会路由到实现各种API函数的其他PHP文件。

涉及漏洞

CVE-2021-43175

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-43175

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x08   时间线

2021-12-13 360CERT发布安全事件周报