报告编号:B6-2021-091301
报告来源:360CERT
报告作者:360CERT
更新日期:2021-09-13
0x01 事件导览
本周收录安全热点20
项,话题集中在网络攻击
、数据安全
方面,涉及的组织有:Yandex
、南非司法部
、Microsoft
、Jenkins
等。黑客利用漏洞大肆进行网络攻击。对此,360CERT建议使用360安全卫士
进行病毒检测、使用360安全分析响应平台
进行威胁流量检测,使用360城市级网络安全监测服务QUAKE
进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
0x02 事件目录
恶意程序 |
---|
在俄罗斯销售的廉价按键式手机中发现预装恶意软件 |
FBI IC3 警告性勒索攻击激增 |
爱尔兰警方破坏了 HSE 攻击者的行动 |
BladeHawk 组织:针对库尔德族群的 Android 间谍活动 |
正在进行的 Office 365 0day攻击有一个临时修复 |
专家担心新的Android银行木马SOVA的出现 |
数据安全 |
---|
黑客泄露了 500,000 个 Fortinet VPN 帐户的密码 |
麦当劳将数据库的密码泄露给游戏获胜者 |
印尼COVID-19追踪应用报告了两起数据泄露 |
对 Dotty 暴露的客户个人数据的网络攻击 |
南非司法部网络系统遭到黑客攻击陷入瘫痪 |
网络攻击 |
---|
Jenkins 项目的服务器被利用 Confluence 漏洞入侵 |
霍华德大学在勒索软件攻击后关闭网络 |
DDoS 攻击破坏新西兰银行和邮局 |
700万以色列人的个人信息可供出售 |
Yandex 遭受 Runet 历史上最大的 DDoS 攻击 |
Zoho警告零日身份验证绕过漏洞被积极利用 |
联合国称入侵者破坏了其系统 |
其它事件 |
---|
这个每周下载数百万次的 NPM 包修补了 RCE 缺陷 |
研究人员发布了针对 Ghostscript 零日漏洞的 PoC 漏洞利用 |
0x03 恶意程序
在俄罗斯销售的廉价按键式手机中发现预装恶意软件
日期: 2021年09月06日 等级: 高 作者: Pierluigi Paganini 标签: Russia, push-button mobile phones, pre-installed, Malware 行业: 信息传输、软件和信息技术服务业
一位名叫valdikss的俄罗斯安全研究人员,在俄罗斯电子商店出售的四款低预算按钮式手机中发现了预装恶意软件。
专家注意到几款按钮式电话包含不需要的记录功能,例如自动发送短信或上网传输购买数据或电话信息(imei和sim卡imsi)。
详情
Malware found pre-installed in cheap push-button mobile phones sold in RussiaFBI IC3 警告性勒索攻击激增
日期: 2021年09月06日 等级: 高 作者: Pierluigi Paganini 标签: sextortion, ic3 行业: 信息传输、软件和信息技术服务业 涉及组织: fbi, ic3
联邦调查局互联网犯罪投诉中心(ic3)警告称,自2021年初以来,性勒索攻击激增,截至7月底,造成800万美元的损失。
详情
FBI IC3 warns of a spike in sextortion attacks爱尔兰警方破坏了 HSE 攻击者的行动
日期: 2021年09月06日 等级: 高 作者: Mihir Bagwe 标签: Irish, HSE, Health Service Provider 行业: 卫生和社会工作
爱尔兰执法机构garda国家网络犯罪局进行了重大破坏行动,目标是HSE团伙针对卫生部门勒索团伙的IT基础设施,并查封了勒索软件中使用的多个域。
详情
Irish Police 'Significantly Disrupt' HSE Attackers’ OpsBladeHawk 组织:针对库尔德族群的 Android 间谍活动
日期: 2021年09月07日 等级: 高 作者: Lukas Stefanko 标签: BladeHawk group, Android, espionage, Facebook 行业: 信息传输、软件和信息技术服务业 涉及组织: facebook, tiktok
eset研究人员调查了针对库尔德族群的有针对性的移动间谍活动。
该活动至少自2020年3月以来一直活跃,通过专用的Facebook个人资料分发两个安卓后门程序,即888rat和spynote,伪装成合法应用程序。
来自下载站点的数据表明,至少有1,481次下载来自仅在几个facebook帖子中宣传的url。
详情
BladeHawk group: Android espionage against Kurdish ethnic group正在进行的 Office 365 0day攻击有一个临时修复
日期: 2021年09月08日 等级: 高 来源: heimdalsecurity 标签: mshtml, microsoft office, 0day 行业: 信息传输、软件和信息技术服务业 涉及组织: microsoft
mshtml是microsoftoffice文档使用的浏览器渲染引擎,其存在远程代码执行,该漏洞编号为cve-2021-40444,影响了2008年到2019年的所有Windows服务器。
攻击者可以制作恶意的Activex控件,供托管浏览器渲染引擎的MicrosoftOffice文档使用。
涉及漏洞
cve-2021-40444
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-40444
详情
The Ongoing Office 365 Zero-Day Attacks Have a Temporary Fix专家担心新的Android银行木马SOVA的出现
日期: 2021年09月12日 等级: 高 作者: Waqas 标签: Android, Banking, Malware, Russia, security, TROJAN 行业: 金融业
2021年8月上旬,threatfabric的研究人员团队发现了一种新的安卓银行木马,其创建者命名为sova。
sovaandroid银行木马正在俄罗斯黑客和网络犯罪论坛上积极宣传。
sova是一个俄语术语,意思是猫头鹰,恶意软件开发人员选择这个名字是因为恶意软件具有类似猫头鹰的特征。它安静而高效,能够跟踪受害者。
详情
Experts concerned over emergence of new Android banking trojan S.O.V.A.相关安全建议
1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
3. 及时对系统及各个服务组件进行版本升级和补丁更新
4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
5. 各主机安装EDR产品,及时检测威胁
6. 注重内部员工安全培训
7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序
8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理
0x04 数据安全
黑客泄露了 500,000 个 Fortinet VPN 帐户的密码
日期: 2021年09月08日 等级: 高 作者: Lawrence Abrams 标签: fortinet vpn, leak, VPN accounts 行业: 信息传输、软件和信息技术服务业 涉及组织: intel
一名攻击者泄露了近50万个fortinetvpn登录名和密码的列表,据称这些名称和密码是去年夏天从可利用设备中获取的。
虽然攻击者声称利用的fortinet漏洞已被修补,但许多vpn凭据仍然有效。
此泄漏是一起严重事件,因为VPN凭据可能允许攻击者访问网络以执行数据泄露、安装恶意软件和执行勒索软件攻击。
详情
Hackers leak passwords for 500,000 Fortinet VPN accounts麦当劳将数据库的密码泄露给游戏获胜者
日期: 2021年09月07日 等级: 高 作者: Lawrence Abrams 标签: McDonald's, leaks, covid-19 行业: 信息传输、软件和信息技术服务业 涉及组织: microsoft
麦当劳在英国的VIP游戏出现了一个漏洞,导致游戏数据库的登录名和密码被发送给了所有的赢家。
在因covid-19而跳过一年之后,麦当劳英国于8月25日推出了他们流行的垄断贵宾游戏,客户可以在其中输入购买食品时找到的代码,有机会赢取奖品。
不幸的是,由于一个漏洞导致生产和临时数据库服务器的用户名和密码都在发送给获奖者的奖品兑换电子邮件中
详情
McDonald's leaks password for Monopoly VIP database to winners印尼COVID-19追踪应用报告了两起数据泄露
日期: 2021年09月07日 等级: 高 作者: Soumik Ghosh 标签: COVID-19, Data Leaks, Indonesia 行业: 卫生和社会工作 涉及组织: twitter
据安全研究人员称,存储在两个政府开发的covid-19跟踪应用程序pedulilindungi和ehac中的至少130万印度尼西亚居民的个人数据已在网上泄露。
pedulilindungi泄露了应用程序中的数据搜索功能,允许任何人查找印度尼西亚居民的个人数据和covid-19疫苗接种信息,包括总统达马尔朱尼亚托的信息。
详情
2 Data Leaks Reported in Indonesia's COVID-19 Tracking Apps对 Dotty 暴露的客户个人数据的网络攻击
日期: 2021年09月08日 等级: 高 来源: ehackingnews 标签: Cyber Attacks, Nevada, Personal Data, Social Security Number, United States 行业: 住宿和餐饮业
一家位于美国的快餐和游戏专营店Dotty遭到网络攻击,客户的个人数据被泄露。
Dotty的数据库中有大约300,000名玩家,并在内华达州经营着120个赌博场所。
详情
Cyber-Attack on Dotty’s Exposed Personal Data of Customers南非司法部网络系统遭到黑客攻击陷入瘫痪
日期: 2021年09月10日 等级: 高 来源: cnbeta 标签: South Africa 行业: 政府机关、社会保障和社会组织
南非司法部当地时间9月9日宣布,其网络系统遭到黑客攻击,导致所有信息系统都被加密,内部员工和公众已无法使用。
南非司法部称,没有迹象表明数据已泄露,其it团队正在努力修复系统。目前签发授权书、保释服务、电子邮件和部门网站浏览等功能受到影响。
详情
南非司法部网络系统遭到黑客攻击陷入瘫痪相关安全建议
1. 及时备份数据并确保数据安全
2. 合理设置服务器端各种文件的访问权限
3. 严格控制数据访问权限
4. 及时检查并删除外泄敏感数据
5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施
6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施
0x05 网络攻击
Jenkins 项目的服务器被利用 Confluence 漏洞入侵
日期: 2021年09月07日 等级: 高 作者: Pierluigi Paganini 标签: confluence, jenkins, cryptocurrency miner 行业: 信息传输、软件和信息技术服务业 涉及组织: jenkins
攻击者利用。confluencecve-2021-26084漏洞破坏了jenkins使用的已弃用的Confluence服务。
攻击者在其一台服务器上部署了一个加密货币挖矿软件。
涉及漏洞
cve-2021-26084
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-26084
详情
A server of the Jenkins project hacked by exploiting a Confluence flaw霍华德大学在勒索软件攻击后关闭网络
日期: 2021年09月08日 等级: 高 作者: Ionut Ilascu 标签: Howard University, ransomware attack 行业: 教育 涉及组织: fbi
华盛顿的私立霍华德大学透露,它遭受了勒索软件攻击,目前正在努力恢复受影响的系统。
此次攻击导致大量的系统下线,课程被取消,校园对重要员工开放。
该大学的企业技术服务(ets)关闭了网络,并开始调查这个问题。
详情
Howard University shuts down network after ransomware attackDDoS 攻击破坏新西兰银行和邮局
日期: 2021年09月08日 等级: 高 作者: Prajeet Nair 标签: New Zealand, Banks, Post Office, DDoS 行业: 跨行业事件 涉及组织: cloudflare
新西兰的计算机应急响应小组(CERT)表示,它知道持续的分布式拒绝服务攻击已经中断了该国多家金融组织的服务,并且正在监控情况并与受影响的各方合作。
路透社(Reuters)2021年9月8日报道称,几家金融机构和新西兰国家邮政局的网站被短暂关闭,官员们表示,他们正在抗击网络攻击。
详情
DDoS Attack Disrupts New Zealand Banks, Post Office700万以色列人的个人信息可供出售
日期: 2021年09月08日 等级: 高 作者: Pierluigi Paganini 标签: city4u, Personal information, Israelis 行业: 信息传输、软件和信息技术服务业 涉及组织: city4u
一个使用绰号“sangkancil”的攻击者声称从city4u网站窃取了700万以色列人的个人信息。
黑客提供数据出售,但没有透露完整档案的价格。
sangkancil公布了被盗文件的图像,包括以色列身份证、驾驶执照和税单。
详情
Personal information of 7 million Israelis available for saleYandex 遭受 Runet 历史上最大的 DDoS 攻击
日期: 2021年09月09日 等级: 高 作者: Ionut Ilascu 标签: ddos, mēris, yandex, botnet 行业: 信息传输、软件和信息技术服务业 涉及组织: cloudflare, yandex
一个在夏季持续增长的新型分布式拒绝服务(ddos)僵尸网络,在过去一个月中一直在袭击俄罗斯互联网巨头yandex,攻击以前所未有的每秒2180万次请求的速度达到顶峰。僵尸网络的名称是mēris,它从数以万计的受感染设备中获取力量,研究人员认为这些设备主要是功能强大的网络设备。
涉及漏洞
cve-2018-14847
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2018-14847
详情
New Mēris botnet breaks DDoS record with 21.8 million RPS attackZoho警告零日身份验证绕过漏洞被积极利用
日期: 2021年09月09日 等级: 高 作者: Pierluigi Paganini 标签: Zoho, authentication bypass, rce, wild 行业: 信息传输、软件和信息技术服务业 涉及组织: cisa
Zoho发布了一个安全补丁,以解决其管理引擎adselfserviceplus中一个身份验证绕过漏洞,编号为cve-2021-40539。
该公司还警告称,这一漏洞已经被野外攻击所利用。
该漏洞存在于adselfserviceplus的其余apiurl中,可能导致远程代码执行。
涉及漏洞
cve-2021-40539
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-40539
详情
Zoho warns of zero-day authentication bypass flaw actively exploited联合国称入侵者破坏了其系统
日期: 2021年09月10日 等级: 高 作者: Jeremy Kirk 标签: United Nations, Breached 行业: 国际组织
联合国表示,2021年早些时候入侵者访问了其网络,导致后续入侵。
一位网络犯罪分析师报告说,他在看到通过地下网络犯罪出售的其中一个企业资源规划软件系统的访问凭证后,向北约发出了警报。
详情
United Nations Says Intruders Breached Its Systems相关安全建议
1. 积极开展外网渗透测试工作,提前发现系统问题
2. 减少外网资源和不相关的业务,降低被攻击的风险
3. 做好产品自动告警措施
4. 及时对系统及各个服务组件进行版本升级和补丁更新
5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
6. 注重内部员工安全培训
0x06 其它事件
这个每周下载数百万次的 NPM 包修补了 RCE 缺陷
日期: 2021年09月07日 等级: 高 来源: ehackingnews 标签: JavaScript, Pac Files, RCE Flaw, Remote Code Execution, Vulnerabilities and Exploits 行业: 信息传输、软件和信息技术服务业 涉及组织: amazon, node.js
流行的npm包pac-resolver中修复了一个严重的远程代码执行(rce)漏洞。
开发人员timperry发现了该漏洞,只要尝试提交http请求,本地网络上的攻击者就可以利用该漏洞在node.js进程中启动恶意代码。
该软件包每周接收300万次下载,并在github上拥有285,000个公共依赖存储库。
涉及漏洞
cve-2021-23406
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-23406
详情
This NPM Package with Millions of Weekly Downloads Patched a RCE Flaw研究人员发布了针对 Ghostscript 零日漏洞的 PoC 漏洞利用
日期: 2021年09月07日 等级: 高 作者: Pierluigi Paganini 标签: Ghostscript, zero-day, PoC 行业: 信息传输、软件和信息技术服务业 涉及组织: google, adobe, github
安全研究员nguyentheduc在github上发布了针对ghostscript零日漏洞的概念验证利用代码。该漏洞是一个远程代码执行(rce)问题,允许攻击者完全破坏服务器。
详情
Researcher published PoC exploit for Ghostscript zero-day相关安全建议
1. 及时对系统及各个服务组件进行版本升级和补丁更新
2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
0x07 产品侧解决方案
若想了解更多信息或有相关业务需求,可移步至http://360.net
360城市级网络安全监测服务
360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
0x08 时间线
2021-09-13 360CERT发布安全事件周报