报告编号：B6-2021-101102

报告来源：360CERT

报告作者：360CERT

更新日期：2021-10-11

0x01   事件导览

本周收录安全热点18项，话题集中在恶意软件、数据泄露方面，涉及的组织有：E.M.I.T.、Syniverse、Fimmik、BrewDog等。勒索软件袭击多个商业巨头。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

针对燃料、能源和航空行业的新型APT黑客组织

日期: 2021年10月04日
等级: 高
作者: Ravie Lakshmanan
标签: chamelgang APT, stealing data
行业: 电力、热力、燃气及水生产和供应业
涉及组织: microsoft

一个未被记录的攻击者的目标是俄罗斯、美国、印度、尼泊尔、台湾和日本的燃料、能源和航空生产工业，目的是从被泄露的网络中窃取数据。

网络安全公司positivetechnologies将高级持续威胁(apt)组织称为“chamelgang”，指的是他们变戏法般的能力，包括将其恶意软件和网络基础设施伪装成微软、趋势科技、McAfee、ibm和谷歌的合法服务。

涉及漏洞

cve-2021-34473

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34473

cve-2021-34523

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34523

cve-2021-31207

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-31207

详情

香港Fimmik公司遭REvil勒索软件攻击

日期: 2021年10月06日
等级: 高
作者: Jonathan Greig
标签: revil, Fimmik, ransomware
行业: 租赁和商务服务业
涉及组织: shopify

香港营销公司Fimmik遭到勒索软件攻击。

Fimmik在香港和中国各地设有办事处，为麦当劳、可口可乐、壳牌、华硕等知名客户提供服务。

revil侵入了Fimmik的数据库，并声称拥有多个全球品牌的数据，目前Fimmik的网站已经关闭。

详情

伊朗黑客滥用Dropbox攻击航空和电信公司

日期: 2021年10月06日
等级: 高
作者: Ravie Lakshmanan
标签: Dropbox, dropbox, Iranian
行业: 跨行业事件
涉及组织: dropbox

一项针对航空航天和电信行业(主要在中东)的新网络间谍活动的细节已经浮出水面，其目标是窃取关键资产、组织基础设施和技术的敏感信息，同时隐藏自己，并成功避开安全防护。

如用于命令和控制(c2)通信的dropbox，试图通过混入来自受损系统的合法网络流量来进行隐藏。

详情

黑客在航空航天公司和电信公司使用秘密的ShellClient恶意软件

日期: 2021年10月06日
等级: 高
作者: Ionut Ilascu
标签: shellclient, malkamak
行业: 跨行业事件
涉及组织: microsoft, dropbox

威胁研究人员调查了用于攻击航空航天和电信行业公司的恶意软件，发现了一种新的恶意软件，至少自2018年以来一直被用于进行网络间谍活动。

该恶意软件被称为shellclient，是一个以前没有记录的远程访问木马建立的，重点是隐身和高度目标的网络间谍行动。

研究人员认为shellclient一个以前未公开的攻击者malkamak使用的，进行侦察行动，并从中东、美国、俄罗斯和欧洲的目标窃取敏感数据。

详情

FIN12通过快速、集中的勒索软件攻击医疗保健行业

日期: 2021年10月07日
等级: 高
作者: Ionut Ilascu
标签: FIN12, trickbot, healthcare
行业: 卫生和社会工作

在不到两天的时间内，fin12团伙就可以在目标网络上执行一个文件加密有效载荷——ryuk勒索软件。

Fin12是一个多产的攻击者，专注于赚钱，至少自2018年10月以来执行勒索软件攻击。Fin12的特点是：它跳过了大多数勒索软件团伙为了增加获得报酬的机会而采取的数据泄露步骤。

该组织是“trickbot”团伙的亲密伙伴，目标是来自全球各个活动部门和地区的高收入受害者(超过3亿美元)。

详情

研究人员警告FontOnLake Rootkit恶意软件瞄准Linux系统

日期: 2021年10月08日
等级: 高
作者: Ravie Lakshmanan
标签: fontonlake, linux, Rootkit
行业: 信息传输、软件和信息技术服务业

网络安全研究人员已经详细介绍了一项新的行动，该行动可能以东南亚的实体为目标，研究一种以前未被识别的Linux恶意软件，该恶意软件的设计目的是使其运营商能够远程访问，此外还可以积累凭证和充当代理服务器。

该恶意软件家族被网络安全公司eset称为“fontonlake”，据说以设计良好的模块为特色，不断升级新功能，表明处于活跃的开发阶段。

上传到virustotal的样本表明，最早利用这一威胁的入侵可能早在2020年5月就发生了。

详情

黑客使用升级的Linux恶意软件瞄准华为云

日期: 2021年10月08日
等级: 高
作者: Alfredo Oliveira,David Fiser
标签: Linux, Huawei Cloud
行业: 信息传输、软件和信息技术服务业
涉及组织: tencent, huawei

研究人员最近发现了另一种Linux威胁变种，它针对相对较新的云服务提供商(csps)，使用加密货币挖掘恶意软件和加密劫持攻击。

黑客部署代码，删除主要在华为云中的应用程序和服务。

具体来说，恶意代码禁用hostguard服务，该服务是华为云Linux代理进程，负责检测安全问题、保护系统和监控代理。

涉及漏洞

cve-2020-14882

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-14882

详情

考克斯媒体集团证实勒索软件攻击导致广播中断

日期: 2021年10月08日
等级: 高
作者: Sergiu Gatlan
标签: cox media group, broadcasts, ransomware attack
行业: 文化、体育和娱乐业
涉及组织: Cox Media Group

美国媒体集团考克斯媒体集团(coxmediagroup,cmg)证实，该公司在2021年6月遭到勒索软件攻击，导致电视直播和广播流中断。

该公司2021年10月8日通过美国邮件向800多名受影响的个人发送了数据泄露通知信，承认受到了攻击，据信个人信息在攻击中被泄露。

详情

勒索软件袭击工程巨头威尔集团

日期: 2021年10月09日
等级: 高
作者: Prajeet Nair
标签: Weir Group, Ransomware
行业: 制造业
涉及组织: Weir Group

威尔集团在一份声明中表示，在2021年9月下半月，它成为勒索软件攻击的受害者，导致收入延迟和间接费用回收不足，损失了约5000万英镑（6800万美元）及其全年利润预测袭击造成的损失2500万英镑（3400万美元）。

该公司表示，这次攻击导致了几次持续但暂时的中断，预计运营中断和相关低效率的后果将持续到第四季度。

该公司指出，它没有发现任何个人或其他敏感数据被泄露或加密的证据，并继续与监管机构和相关情报部门保持联系。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

英国报纸《电讯报》遭遇数据泄露

日期: 2021年10月06日
等级: 高
作者: Pierluigi Paganini
标签: UK newspaper, The Telegraph
行业: 租赁和商务服务业
涉及组织: apple, elasticsearch

研究人员Bobdiachenko发现了一个不受保护的10tb数据库，该数据库属于英国报纸《电讯报》。

该数据库于2021年9月14日被发现，其中包括内部日志和用户信息。

公开的订阅者数据包括全名、电子邮件地址、设备信息、url请求、IP地址、认证令牌和唯一的阅读器标识符。

该数据库还包括一些苹果新闻订户或注册用户的密码。

详情

Twitch源代码和支付报告泄露

日期: 2021年10月06日
等级: 高
作者: Sergiu Gatlan
标签: Twitch, git, torrent, leaked
行业: 信息传输、软件和信息技术服务业
涉及组织: amazon, twitter

据称，Twitch的源代码、streamer和用户的敏感信息被4chan图像板上的一个匿名用户泄露到网上。

该泄密者分享了一个torrent链接，指向一个125gb的档案，其中包含从大约6000个内部twitchgit仓库窃取的数据。

详情

BrewDog的超过20万名股东和客户数据遭遇泄漏

日期: 2021年10月08日
等级: 高
作者: Bill Toulas
标签: BrewDog, exposed data
行业: 批发和零售业
涉及组织: microsoft, gdpr, BrewDog

Brewdog是一家苏格兰啤酒厂和酒吧连锁店，其20万股东和客户的数据遭遇泄漏。

这场数据泄漏持续了18个多月，泄露的源头是该公司的移动应用程序，该应用程序为股权朋克社区提供信息，酒吧折扣等。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

LockBit 2.0勒索软件袭击以色列国防公司E.M.I.T.

日期: 2021年10月04日
等级: 高
作者: Pierluigi Paganini
标签: Lockbit 2.0, Israeli, ransomware
行业: 制造业

Lockbit2.0勒索软件运营商袭击了以色列航空航天和国防公司E.M.I.T.航空咨询有限公司，从该公司窃取了数据，并威胁称，如果该公司不支付赎金，就将这些数据泄露到该公司的暗网泄露网站上。

详情

APT ChamelGang瞄准俄罗斯的能源和航空公司

日期: 2021年10月04日
等级: 高
作者: Pierluigi Paganini
标签: apt Chamelgang, proxyshell, Russia
行业: 跨行业事件
涉及组织: microsoft

Chamelgang是一个新的apt集团，由安全公司positivetechnologies的研究人员在3月份首次发现，它的目标是俄罗斯能源和航空行业的公司。

2021年3月，该网络间谍组织被观察到利用proxyshell攻击10个国家的目标，并在其行动中使用了各种恶意软件。

该组织利用微软exchangeproxy问题等已知的漏洞，将目标锁定在俄罗斯的组织。该组织还使用了一套新的恶意软件，从目标网络中窃取敏感信息。

详情

电信服务提供商巨头Syniverse自2016年以来被未经授权访问

日期: 2021年10月05日
等级: 高
作者: Pierluigi Paganini
标签: Syniverse, unauthorized access, Telco service
行业: 信息传输、软件和信息技术服务业
涉及组织: Syniverse

Syniverse是一家全球性公司，为许多电信公司以及各种其他跨国企业提供技术和商业服务。

自2016年以来，该公司被攻击者访问了其数据库，他们可以通过攻击该公司来获取客户信息。

Syniverse为数百家移动运营商提供短信路由服务，包括at&t、t-mobile、verizon、telefonica、中国移动和沃达丰。

详情

Syniverse的违约揭示了另一个供应链攻击

日期: 2021年10月07日
等级: 高
作者: Mathew J. Schwartz
标签: syniverse, Supply Chain Attack
行业: 信息传输、软件和信息技术服务业
涉及组织: whatsapp, syniverse

由于总部位于佛罗里达州坦帕市的syniverse公司为全球前100家移动运营商中的95家提供电话和短信发送服务，每年处理的短信数量超过1万亿条。

电话记录，也就是爱德华·斯诺登在2013年警告美国国家安全局作为庞大监控设备的一部分进行录音的那种元数据，可能已经被曝光。

短信中的内容，可以用来重新访问facebook，谷歌，微软，雅虎和许多其他服务的账户，可能也已经暴露。

详情

14000名Gmail用户成为俄罗斯黑客的目标，谷歌发出警告

日期: 2021年10月07日
等级: 高
作者: Ionut Ilascu
标签: Google, Russian, apt28
行业: 信息传输、软件和信息技术服务业
涉及组织: google

谷歌已经警告了大约14000名用户，他们已经成为apt28发起的网络钓鱼活动的目标，该威胁组织与俄罗斯有关联。

该活动于9月下旬被发现，谷歌每月向目标用户发送的政府支持的攻击通知数量比以往更多。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   其它事件

Apache修补在野利用的0day漏洞

日期: 2021年10月05日
等级: 高
作者: Pierluigi Paganini
标签: Apache, HTTP, path traversal, file disclosure
行业: 信息传输、软件和信息技术服务业

Apache已经推出了安全补丁来解决两个漏洞，包括在其HTTP服务器上的路径遍历和文件泄露问题。

这两个漏洞编号为cve-2021-41773和cve-2021-41524。

涉及漏洞

cve-2021-41773

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-41773

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x08   时间线

2021-10-11 360CERT发布安全事件周报