报告编号：B6-2021-101801

报告来源：360CERT

报告作者：360CERT

更新日期：2021-10-18

0x01   事件导览

本周收录安全热点28项，话题集中在恶意软件、网络攻击方面，涉及的组织有：Olympus、Microsoft、Thingiverse、Quest等。多个严重漏洞曝光，各厂商注意及时修复。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

太平洋城市银行遭到AvosLocker勒索软件攻击

日期: 2021年10月11日
等级: 高
作者: Bill Toulas
标签: Pacific City Bank, ransomware attack
行业: 金融业
涉及组织: Pacific City Bank

美国最大的韩裔社区银行服务提供商之一的太平洋城市银行(pcb)披露了2021年9月发生的一起勒索软件事件。

据悉，PCB公司的内部调查已于2021年9月7日结束，并披露了勒索软件使用者从系统中获取的以下信息：贷款申请表、纳税申报文件、客户公司的W-2信息、客户公司的工资记录、全名、地址、社会保障号、工资及税务资料。

详情

FIN12勒索软件攻击目标为医疗保健

日期: 2021年10月11日
等级: 高
作者: Marianne Kolbasuk McGee
标签: fin12, Ryuk, Trickbot, Healthcare
行业: 卫生和社会工作
涉及组织: fbi

安全公司Mandiant的一份报告警告称，和俄罗斯有关的组织FIN12部署了Ryuk变异勒索软件，利用了Trickbot的初始访问中间人，通常会跳过双重勒索企图，以更快、更高的赎金支付，该组织主要针对的是医疗行业。

FIN12组织策划了大量勒索软件攻击，至少可以追溯到2018年10月。

详情

Quest旗下生育诊所在8月勒索软件攻击后宣布数据泄露

日期: 2021年10月12日
等级: 高
作者: Jonathan Greig
标签: ransomware attack, fertility clinic, Quest
行业: 卫生和社会工作

Quest诊断公司已向美国证券交易委员会(SEC)通报，8月份该公司旗下的生殖诊所reprosource遭遇了一场勒索软件攻击。

勒索软件的攻击导致数据泄露，暴露了约35万名患者的大量健康和财务信息。

在该事件中，未经授权的一方可能访问或获得了一些患者的受保护的健康信息和个人身份信息。

详情

易受攻击的视频DVR设备现在成为了FreakOut僵尸网络的目标

日期: 2021年10月13日
等级: 高
来源: heimdalsecurity
标签: FreakOut, Botnet, Vulnerable, DVR
行业: 制造业
涉及组织: automatic

Freakout僵尸网络(又名necro,n3cr0m0rph)的创建者更新了该恶意软件，并添加了可视工具dvr的poc漏洞，dvr是一种用于监控视频系统的电子视频记录器，能够支持多达16个摄像头，并向两个监视器传输实时视频。

Freakout恶意软件是一个模糊的python脚本，旨在使用多态引擎和用户模式的rootkit来躲避检测，隐藏在受损系统上的恶意文件。

Juniper威胁实验室的专家检查了该恶意软件的最新样本，并警告称visual-tools.com上的可视化工具DVRvx164.2.28.0正在被利用

涉及漏洞

cve-2020-15568

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-15568

cve-2021-2900

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-2900

cve-2020-25494

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-25494

cve-2020-28188

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-28188

cve-2019-12725

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2019-12725

详情

MyKings僵尸网络仍然活跃并赚了大量的钱

日期: 2021年10月13日
等级: 高
作者: Bill Toulas
标签: MyKings, botnet, crypto
行业: 金融业
涉及组织: microsoft

mykings僵尸网络(又名smominru或darkcloud)在仍在积极传播，在加密货币领域赚了大量的钱。

作为近年来被分析最多的僵尸网络之一，mykings因其庞大的基础设施和多功能功能而特别引起研究人员的兴趣，包括bootkit、矿工、dropppers、剪贴板窃取等等。

研究mykings的最新研究团队是avast威胁实验室，自2020年初以来收集了6700个独特的样本进行分析。

详情

用于目标企业攻击的新型阎罗王勒索软件

日期: 2021年10月14日
等级: 高
作者: Sergiu Gatlan
标签: Yanluowang, enterprise attacks
行业: 信息传输、软件和信息技术服务业

broadcom的赛门铁克威胁猎人团队发现，一种新的、仍在开发中的勒索软件正在被用于针对企业实体的高度定向攻击。

这款恶意软件被称为“Yanluowang”勒索软件(以中国的“阎洛王”神命名，“地狱十王”之一)。

详情

AtomSilo勒索软件进入双重勒索联盟

日期: 2021年10月15日
等级: 高
作者: Rajdeepsinh Dodia
标签: atomsilo, Ransomware, Double Extortion
行业: 信息传输、软件和信息技术服务业

atomsilo勒索软件出现于2021年9月左右，其策略包括窃取和发布第一个受害者的数据。

这是通过利用atlassian'sconfluence协作软件的一个漏洞开始的初始访问。

勒索软件运营商通过DLL端加载技术，使用合法软件安装了后门。后门允许通过wmi(Windows管理界面)远程执行Windowsshell命令的代码，操作人员在删除atom之前使用已泄露的管理帐户来进行攻击。

详情

美国将价值52亿美元的比特币交易与勒索软件挂钩

日期: 2021年10月15日
等级: 高
作者: Sergiu Gatlan
标签: Bitcoin, ransomware
行业: 金融业

美国财政部金融犯罪执法网络(fincen)确认了价值约52亿美元的比特币交易，这些交易可能与十大最常见的勒索软件变体有关。

Fincen分析了2011年1月1日至2021年6月30日期间提交的2184份SARS(可疑活动报告)，确定了177个用于勒索软件相关支付的可兑换虚拟货币钱包地址，并反映出15.6亿美元的可疑活动。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

巴西市场集成商Hariexpress披露了17.5亿条记录

日期: 2021年10月13日
等级: 高
作者: Waqas
标签: Brazil, breach, ElasticSearch, Hariexpress, LEAKS, Privacy, security
行业: 信息传输、软件和信息技术服务业
涉及组织: elasticsearch

巴西电子商务市场整合平台hariexpress(hariexpress.com.br)被发现泄露了属于其客户和供应商的大量敏感数据。

在没有任何安全认证的情况下，该公司总共泄露了价值超过610gb的数据，包含17.5亿(1751023279)条记录。

暴露的数据包括:照片、全名、用户名、电子邮件地址、电话号码、账单细节、账单地址等。

详情

Thingiverse数据泄漏影响228000订户

日期: 2021年10月14日
等级: 高
作者: Mihir Bagwe
标签: Thingiverse, Data Leak
行业: 信息传输、软件和信息技术服务业
涉及组织: amazon, twitter

据报道，Thingiverse，一个致力于分享用户创建的数字设计文件的网站，泄露了一个36gb的备份文件，其中包含228,000个独特的电子邮件地址和其他个人身份信息。

这个数据集在一个流行的黑客论坛上被泄露。

详情

密苏里州起诉泄露数据的黑客

日期: 2021年10月15日
等级: 高
来源: threatpost
标签: Data Leak, louis post-dispatch
行业: 教育

《圣路易斯邮报》最近发现了一个巨大的安全漏洞:密苏里州教育机构的网站在其HTML源代码中清晰地显示了10万多个学校教师、管理人员和辅导员的社会安全号码。

这意味着，只要有浏览器，并且查看该网站的公共代码，就可以公开访问该网站的所有信息。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

微软：伊朗黑客攻击美国国防科技公司

日期: 2021年10月11日
等级: 高
作者: Sergiu Gatlan
标签: defense technology, Iran, israeli, us, password spraying attacks
行业: 政府机关、社会保障和社会组织
涉及组织: microsoft

伊朗黑客正在针对美国和以色列国防技术公司的office365进行大规模的密码撞库攻击。

在密码撞库攻击中，攻击者通过在多个账户上同时使用相同的密码，试图暴力破解账户，这使得他们可以隐藏使用不同IP地址的失败尝试。

详情

微软在8月份抵御了创纪录的 2.4 Tbps 的 DDoS攻击

日期: 2021年10月12日
等级: 高
作者: Pierluigi Paganini
标签: azure cloud service , microsoft, DDoS
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

微软宣布其azure云服务在8月底减轻了每秒2.4兆兆字节(tbps)的ddos攻击，这是迄今为止有记录以来最大的DDoS攻击。

这次攻击的目标是azure在欧洲的一个客户，但微软没有透露受害者的姓名。

这是在2020年8月专家观测到的1TBPS攻击之前，针对azure客户的最大ddos攻击。据微软专家称，这次攻击是通过一个由大约7万台设备组成的僵尸网络发起的。大多数被泄露的设备位于亚太地区，如马来西亚、越南、台湾、日本和中国，以及美国。

详情

印度制造的手机间谍软件以多哥人权活动家为目标

日期: 2021年10月11日
等级: 高
作者: Ravie Lakshmanan
标签: Indian-Made, Togo, donot team, Spyware
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft, whatsapp

多哥一位著名的人权捍卫者被一个以在南亚袭击受害者而闻名的恐怖分子以间谍软件作为攻击目标，这标志着该黑客组织首次进入非洲的数字监控领域。

国际特赦组织将这次秘密攻击行动与一个被追踪为“donotteam”(又名apt-c-35)的集体联系起来，该集体与印度和巴基斯坦的网络攻击有关，同时还发现了明显的证据，表明该组织的基础设施与一家名为innefu实验室的印度公司有关。

详情

乌克兰警方逮捕控制10万台机器人的DDoS运营商

日期: 2021年10月11日
等级: 高
作者: Bill Toulas
标签: DDoS, Ukrainian, bots
行业: 信息传输、软件和信息技术服务业

乌克兰警方逮捕了一名黑客，此人控制了一个10万台僵尸网络设备，用来代表付费客户进行ddos攻击。

攻击者在prykarpattia的家中被捕，据称他在那里使用僵尸网络为客户执行DDoS攻击或支持其他恶意活动。

这种活动包括在网站上强制登录凭证，执行垃圾邮件操作，以及在远程设备上进行渗透测试，以识别和利用漏洞。

详情

SnapMC黑客只进行数据窃取和勒索，不进行加密

日期: 2021年10月12日
等级: 高
作者: Bill Toulas
标签: snapmc, acunetix
行业: 信息传输、软件和信息技术服务业
涉及组织: ncc

网络犯罪领域被追踪到snapmc的攻击者，它只进行数据窃取和勒索，但不执行文件加密部分。

这种方法的强大之处就在于，许多公司可以从备份中恢复损坏的文件，但却无法恢复文件窃取事件及其后果。

snapmc团伙利用acunetix漏洞扫描器在目标公司的VPN和web服务器应用程序中找到一系列漏洞，然后成功利用这些漏洞入侵公司网络。

详情

奥林巴斯美国系统遭到网络攻击

日期: 2021年10月12日
等级: 高
作者: Sergiu Gatlan
标签: olympus, cyberattack, medical technology
行业: 卫生和社会工作
涉及组织: fbi, olympus

olympus（奥林巴斯），一家领先的医疗技术公司，在其网络遭到网络攻击后，被迫关闭了在美洲(美国、加拿大和拉丁美洲)的it系统。

奥林巴斯在袭击发生两天后发表的一份声明中表示:“在发现可疑活动后，立即动员了包括法医专家在内的专业反应小组，并且暂停了受影响的系统，并通知了相关的外部合作伙伴。

调查结果表明，该事件仅限于美洲，对其他地区没有已知影响。

详情

Verizon数字运营商的Visible客户账户遭到黑客攻击

日期: 2021年10月13日
等级: 高
作者: Bill Toulas
标签: Verizon, Visible
行业: 信息传输、软件和信息技术服务业
涉及组织: twitter, reddit, Verizon

Verizon旗下的美国数字无线运营商Visible承认，一些客户的账户遭到了黑客攻击。受影响的用户声称无法进入账户并重置密码。

虽然该公司的声明提供了有关该事件的有限细节，但建议客户使用与其他在线服务使用的证书来保护账户，暗示可能会发生证书填充攻击。

详情

苹果约会应用程序骗局导致用户数百万美元损失

日期: 2021年10月13日
等级: 高
作者: Jonathan Greig
标签: Apple developer program, Dating
行业: 信息传输、软件和信息技术服务业
涉及组织: apple, facebook

Sophos发布了一份新的报告，称一个约会应用程序骗局导致Tinder、Bumble、Grindr、Facebookdating和类似应用程序上的用户盗窃了数百万美元。

在获得这些约会应用的信任后，骗子说服受害者下载虚假的加密应用，在冻结账户之前骗他们投资。

这些骗子以某种方式能够轻松地利用苹果的开发商企业程序——以及苹果企业/企业签名——分发这些伪装成binance和其他合法品牌的欺诈性加密应用程序。

Sophos表示，其威胁追踪者发现骗子滥用苹果公司的企业签名来远程管理受害者的设备。

详情

以色列一家医院首次遭到重大勒索袭击

日期: 2021年10月14日
等级: 高
作者: Pierluigi Paganini
标签: ransomware attack, Israeli, hospital
行业: 卫生和社会工作
涉及组织: israel

以色列hadera的希勒尔雅菲医疗中心(Hillelyaffe)发生了勒索软件攻击事件，以色列国家网络理事会将其定义为“重大攻击”，医院系统受到影响。当地媒体报道称，医院一直在使用替代系统为患者提供治疗。

详情

DocuSign网络钓鱼活动的目标是低级别员工

日期: 2021年10月14日
等级: 高
作者: Bill Toulas
标签: DocuSign, phishing
行业: 信息传输、软件和信息技术服务业
涉及组织: c-suite

DocuSign网络钓鱼活动的目标是低级别员工，将目标锁定非执行董事员工，但他们仍然可以进入组织内有价值的领域。

据avanan研究人员报告，近几个月来，他们分析的所有钓鱼邮件中，有一半冒充非执行董事，其中77%的目标是同一级别的员工。

然而在以前，网络钓鱼的黑客会冒充首席执行官和首席财务官，在有针对性的网络钓鱼攻击中欺骗公司员工。

详情

MirrorBlast活动的目标是使用宏的金融部门

日期: 2021年10月16日
等级: 高
作者: Prajeet Nair
标签: MirrorBlast, TA505
行业: 金融业
涉及组织: google

Morphisec实验室(MorphisecLabs)的研究人员公布了一项新的MirrorBlast活动的新细节，他们称该活动是由总部位于俄罗斯的威胁组织TA505发起的，目标是金融服务机构。

据MorphisecLabs称，该活动通过一封钓鱼邮件发送MirrorBlast，邮件中含有恶意链接，可下载带有嵌入宏的武装Excel文档，而且VirusTotal对该文档的检测率很低，这对依赖检测和沙箱的组织来说很危险。

详情

厄瓜多尔的比钦查银行在遭受网络攻击后尚未恢复

日期: 2021年10月17日
等级: 高
作者: Pierluigi Paganini
标签: Ecuador, cyberattack
行业: 金融业

此次网络攻击发生在2021年10月10日，为了应对这一事件，该行被迫关闭了很大一部分计算机网络。

该银行的网上银行、移动应用程序、自动取款机(ATM)网络等许多服务都被中断，许多客户就前往在网络攻击发生后仍在营业的pichincha银行网点。

bancopichincha拥有约150万客户，投资组合规模达15亿美元。

详情

宏碁证实印度违反售后服务体系

日期: 2021年10月14日
等级: 中
作者: Sergiu Gatlan
标签: Acer, attack, taiwanese
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

台湾电脑巨头宏碁证实，其在印度的售后服务系统最近遭到破坏，该公司称之为“孤立攻击”。

虽然宏碁没有提供关于这次事件背后攻击者身份的细节，但一个黑客已经在一个流行的黑客论坛上承认这次攻击，说他们从宏碁的服务器上窃取了超过60gb的文件和数据库。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   其它事件

GitKraken漏洞导致生成弱SSH密钥

日期: 2021年10月12日
等级: 高
作者: Pierluigi Paganini
标签: git GUI, weak SSH, gitkraken
行业: 信息传输、软件和信息技术服务业

gitGUI客户端gitkraken背后的开发团队修复了一个导致生成弱SSH密钥的漏洞。

开发人员在版本8.0.1中解决了这个漏洞。

这个漏洞存在于gitGUI客户端用来生成SSH密钥的开源库中。

gitkraken的7.6.x,7.7.x, 8.0.0可能受到影响。

详情

PyPI删除了存在代码执行的mitmproxy2库

日期: 2021年10月12日
等级: 高
作者: Ax Sharma
标签: python package, mitmproxy2
行业: 信息传输、软件和信息技术服务业
涉及组织: twitter

pypi库删除了一个名为“mitmproxy2”的python包，该包与官方的“mitmproxy”库是相同的副本，但存在人为引入的代码执行漏洞。

官方的“mitmproxy”python库是一个免费的、开源的交互式HTTPS代理，每周下载量超过4万次。

mitmproxy2本质上是和普通的mitmproxy一样，但是包含了一个人为的rce漏洞。

详情

OpenSea中的严重漏洞可能让黑客从钱包中窃取加密货币

日期: 2021年10月13日
等级: 高
作者: Ravie Lakshmanan
标签: opensea, non-fungible token marketplace, vulnerability, cryptocurrency
行业: 金融业
涉及组织: check point

opensea是世界上最大的非替代性代币(NFT)市场，目前已修复的一个严重漏洞可能被黑客滥用，通过发送一个特别制作的代币，从受害者那里盗取加密货币资金，从而开启了一个新的攻击载体。

漏洞在2021年9月26日负责人的披露后不到一个小时内得到了修复。

详情

美团App被曝存在安全漏洞：只要手机号和生日就能换绑新手机

日期: 2021年10月11日
等级: 中
来源: cnbeta
标签: 美团
行业: 信息传输、软件和信息技术服务业

10月10日，王思聪微博发文称，自己的大众点评被别人改绑手机号。王思聪同时@大众点评，并质问道：“这就是上万亿市值公司的安全系统吗？”10月11日，博主@轩宁轩sir爆料称美团存在安全漏洞，只要获得账号本人的手机号和生日，就可以修改绑定手机号，然后就能看到各种美团订餐订单、买药订单、开房订单、家庭住址等私密信息。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x08   时间线

2021-10-18 360CERT发布安全事件周报