报告编号：B6-2021-091301

报告来源：360CERT

报告作者：360CERT

更新日期：2021-09-13

0x01   事件导览

本周收录安全热点20项，话题集中在网络攻击、数据安全方面，涉及的组织有：Yandex、南非司法部、Microsoft、Jenkins等。黑客利用漏洞大肆进行网络攻击。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

在俄罗斯销售的廉价按键式手机中发现预装恶意软件

日期: 2021年09月06日
等级: 高
作者: Pierluigi Paganini
标签: Russia, push-button mobile phones, pre-installed, Malware
行业: 信息传输、软件和信息技术服务业

一位名叫valdikss的俄罗斯安全研究人员，在俄罗斯电子商店出售的四款低预算按钮式手机中发现了预装恶意软件。

专家注意到几款按钮式电话包含不需要的记录功能，例如自动发送短信或上网传输购买数据或电话信息（imei和sim卡imsi）。

详情

FBI IC3 警告性勒索攻击激增

日期: 2021年09月06日
等级: 高
作者: Pierluigi Paganini
标签: sextortion, ic3
行业: 信息传输、软件和信息技术服务业
涉及组织: fbi, ic3

联邦调查局互联网犯罪投诉中心(ic3)警告称，自2021年初以来，性勒索攻击激增，截至7月底，造成800万美元的损失。

详情

爱尔兰警方破坏了 HSE 攻击者的行动

日期: 2021年09月06日
等级: 高
作者: Mihir Bagwe
标签: Irish, HSE, Health Service Provider
行业: 卫生和社会工作

爱尔兰执法机构garda国家网络犯罪局进行了重大破坏行动，目标是HSE团伙针对卫生部门勒索团伙的IT基础设施，并查封了勒索软件中使用的多个域。

详情

BladeHawk 组织：针对库尔德族群的 Android 间谍活动

日期: 2021年09月07日
等级: 高
作者: Lukas Stefanko
标签: BladeHawk group, Android, espionage, Facebook
行业: 信息传输、软件和信息技术服务业
涉及组织: facebook, tiktok

eset研究人员调查了针对库尔德族群的有针对性的移动间谍活动。

该活动至少自2020年3月以来一直活跃，通过专用的Facebook个人资料分发两个安卓后门程序，即888rat和spynote，伪装成合法应用程序。

来自下载站点的数据表明，至少有1,481次下载来自仅在几个facebook帖子中宣传的url。

详情

正在进行的 Office 365 0day攻击有一个临时修复

日期: 2021年09月08日
等级: 高
来源: heimdalsecurity
标签: mshtml, microsoft office, 0day
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

mshtml是microsoftoffice文档使用的浏览器渲染引擎，其存在远程代码执行，该漏洞编号为cve-2021-40444，影响了2008年到2019年的所有Windows服务器。

攻击者可以制作恶意的Activex控件，供托管浏览器渲染引擎的MicrosoftOffice文档使用。

涉及漏洞

cve-2021-40444

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-40444

详情

专家担心新的Android银行木马SOVA的出现

日期: 2021年09月12日
等级: 高
作者: Waqas
标签: Android, Banking, Malware, Russia, security, TROJAN
行业: 金融业

2021年8月上旬，threatfabric的研究人员团队发现了一种新的安卓银行木马，其创建者命名为sova。

sovaandroid银行木马正在俄罗斯黑客和网络犯罪论坛上积极宣传。

sova是一个俄语术语，意思是猫头鹰，恶意软件开发人员选择这个名字是因为恶意软件具有类似猫头鹰的特征。它安静而高效，能够跟踪受害者。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

黑客泄露了 500,000 个 Fortinet VPN 帐户的密码

日期: 2021年09月08日
等级: 高
作者: Lawrence Abrams
标签: fortinet vpn, leak, VPN accounts
行业: 信息传输、软件和信息技术服务业
涉及组织: intel

一名攻击者泄露了近50万个fortinetvpn登录名和密码的列表，据称这些名称和密码是去年夏天从可利用设备中获取的。

虽然攻击者声称利用的fortinet漏洞已被修补，但许多vpn凭据仍然有效。

此泄漏是一起严重事件，因为VPN凭据可能允许攻击者访问网络以执行数据泄露、安装恶意软件和执行勒索软件攻击。

详情

麦当劳将数据库的密码泄露给游戏获胜者

日期: 2021年09月07日
等级: 高
作者: Lawrence Abrams
标签: McDonald's, leaks, covid-19
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

麦当劳在英国的VIP游戏出现了一个漏洞，导致游戏数据库的登录名和密码被发送给了所有的赢家。

在因covid-19而跳过一年之后，麦当劳英国于8月25日推出了他们流行的垄断贵宾游戏，客户可以在其中输入购买食品时找到的代码，有机会赢取奖品。

不幸的是，由于一个漏洞导致生产和临时数据库服务器的用户名和密码都在发送给获奖者的奖品兑换电子邮件中

详情

印尼COVID-19追踪应用报告了两起数据泄露

日期: 2021年09月07日
等级: 高
作者: Soumik Ghosh
标签: COVID-19, Data Leaks, Indonesia
行业: 卫生和社会工作
涉及组织: twitter

据安全研究人员称，存储在两个政府开发的covid-19跟踪应用程序pedulilindungi和ehac中的至少130万印度尼西亚居民的个人数据已在网上泄露。

pedulilindungi泄露了应用程序中的数据搜索功能，允许任何人查找印度尼西亚居民的个人数据和covid-19疫苗接种信息，包括总统达马尔朱尼亚托的信息。

详情

对 Dotty 暴露的客户个人数据的网络攻击

日期: 2021年09月08日
等级: 高
来源: ehackingnews
标签: Cyber Attacks, Nevada, Personal Data, Social Security Number, United States
行业: 住宿和餐饮业

一家位于美国的快餐和游戏专营店Dotty遭到网络攻击，客户的个人数据被泄露。

Dotty的数据库中有大约300,000名玩家，并在内华达州经营着120个赌博场所。

详情

南非司法部网络系统遭到黑客攻击陷入瘫痪

日期: 2021年09月10日
等级: 高
来源: cnbeta
标签: South Africa
行业: 政府机关、社会保障和社会组织

南非司法部当地时间9月9日宣布，其网络系统遭到黑客攻击，导致所有信息系统都被加密，内部员工和公众已无法使用。

南非司法部称，没有迹象表明数据已泄露，其it团队正在努力修复系统。目前签发授权书、保释服务、电子邮件和部门网站浏览等功能受到影响。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

Jenkins 项目的服务器被利用 Confluence 漏洞入侵

日期: 2021年09月07日
等级: 高
作者: Pierluigi Paganini
标签: confluence, jenkins, cryptocurrency miner
行业: 信息传输、软件和信息技术服务业
涉及组织: jenkins

攻击者利用。confluencecve-2021-26084漏洞破坏了jenkins使用的已弃用的Confluence服务。

攻击者在其一台服务器上部署了一个加密货币挖矿软件。

涉及漏洞

cve-2021-26084

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-26084

详情

霍华德大学在勒索软件攻击后关闭网络

日期: 2021年09月08日
等级: 高
作者: Ionut Ilascu
标签: Howard University, ransomware attack
行业: 教育
涉及组织: fbi

华盛顿的私立霍华德大学透露，它遭受了勒索软件攻击，目前正在努力恢复受影响的系统。

此次攻击导致大量的系统下线，课程被取消，校园对重要员工开放。

该大学的企业技术服务(ets)关闭了网络，并开始调查这个问题。

详情

DDoS 攻击破坏新西兰银行和邮局

日期: 2021年09月08日
等级: 高
作者: Prajeet Nair
标签: New Zealand, Banks, Post Office, DDoS
行业: 跨行业事件
涉及组织: cloudflare

新西兰的计算机应急响应小组(CERT)表示，它知道持续的分布式拒绝服务攻击已经中断了该国多家金融组织的服务，并且正在监控情况并与受影响的各方合作。

路透社(Reuters)2021年9月8日报道称，几家金融机构和新西兰国家邮政局的网站被短暂关闭，官员们表示，他们正在抗击网络攻击。

详情

700万以色列人的个人信息可供出售

日期: 2021年09月08日
等级: 高
作者: Pierluigi Paganini
标签: city4u, Personal information, Israelis
行业: 信息传输、软件和信息技术服务业
涉及组织: city4u

一个使用绰号“sangkancil”的攻击者声称从city4u网站窃取了700万以色列人的个人信息。

黑客提供数据出售，但没有透露完整档案的价格。

sangkancil公布了被盗文件的图像，包括以色列身份证、驾驶执照和税单。

详情

Yandex 遭受 Runet 历史上最大的 DDoS 攻击

日期: 2021年09月09日
等级: 高
作者: Ionut Ilascu
标签: ddos, mēris, yandex, botnet
行业: 信息传输、软件和信息技术服务业
涉及组织: cloudflare, yandex

一个在夏季持续增长的新型分布式拒绝服务(ddos)僵尸网络，在过去一个月中一直在袭击俄罗斯互联网巨头yandex，攻击以前所未有的每秒2180万次请求的速度达到顶峰。僵尸网络的名称是mēris，它从数以万计的受感染设备中获取力量，研究人员认为这些设备主要是功能强大的网络设备。

涉及漏洞

cve-2018-14847

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2018-14847

详情

Zoho警告零日身份验证绕过漏洞被积极利用

日期: 2021年09月09日
等级: 高
作者: Pierluigi Paganini
标签: Zoho, authentication bypass, rce, wild
行业: 信息传输、软件和信息技术服务业
涉及组织: cisa

Zoho发布了一个安全补丁，以解决其管理引擎adselfserviceplus中一个身份验证绕过漏洞，编号为cve-2021-40539。

该公司还警告称，这一漏洞已经被野外攻击所利用。

该漏洞存在于adselfserviceplus的其余apiurl中，可能导致远程代码执行。

涉及漏洞

cve-2021-40539

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-40539

详情

联合国称入侵者破坏了其系统

日期: 2021年09月10日
等级: 高
作者: Jeremy Kirk
标签: United Nations, Breached
行业: 国际组织

联合国表示，2021年早些时候入侵者访问了其网络，导致后续入侵。

一位网络犯罪分析师报告说，他在看到通过地下网络犯罪出售的其中一个企业资源规划软件系统的访问凭证后，向北约发出了警报。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   其它事件

这个每周下载数百万次的 NPM 包修补了 RCE 缺陷

日期: 2021年09月07日
等级: 高
来源: ehackingnews
标签: JavaScript, Pac Files, RCE Flaw, Remote Code Execution, Vulnerabilities and Exploits
行业: 信息传输、软件和信息技术服务业
涉及组织: amazon, node.js

流行的npm包pac-resolver中修复了一个严重的远程代码执行(rce)漏洞。

开发人员timperry发现了该漏洞，只要尝试提交http请求，本地网络上的攻击者就可以利用该漏洞在node.js进程中启动恶意代码。

该软件包每周接收300万次下载，并在github上拥有285,000个公共依赖存储库。

涉及漏洞

cve-2021-23406

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-23406

详情

研究人员发布了针对 Ghostscript 零日漏洞的 PoC 漏洞利用

日期: 2021年09月07日
等级: 高
作者: Pierluigi Paganini
标签: Ghostscript, zero-day, PoC
行业: 信息传输、软件和信息技术服务业
涉及组织: google, adobe, github

安全研究员nguyentheduc在github上发布了针对ghostscript零日漏洞的概念验证利用代码。该漏洞是一个远程代码执行(rce)问题，允许攻击者完全破坏服务器。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x08   时间线

2021-09-13 360CERT发布安全事件周报