报告编号：B6-2020-101201

报告来源：360CERT

报告作者：360CERT

更新日期：2020-10-12

0x01 事件导览

本周收录安全事件 35 项，话题集中在 网络攻击 、 勒索软件 方面，涉及的组织有： Facebook 、 Apple 、 Chowbus 、 阿联酋国际航空公司 等。网络扫描器积极利用1day、Nday进行无差别攻击，更新不及时，内网两行泪。对此，360CERT建议使用 360安全卫士 进行病毒检测、使用 360安全分析响应平台 进行威胁流量检测，使用 360城市级网络安全监测服务QUAKE 进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02 恶意程序

勒索软件迫使保险公司关闭了200个管理员帐户

日期: 2020年10月06日
等级: 高
作者: Gareth Corfield
标签: The Register, Ardonagh Group, Ransomware, Accounts

知情人士向TheRegister透露，随着"cyberincident"在其IT领域的发展，ArdonaghGroup保险公司被迫暂停200个具有管理员特权的内部帐户。英国《金融时报》称，作为英国第二大私有保险经纪公司，ArdonaghGroup2020年以来一直在收购其它公司。 最近一次袭击发生的时机很不幸：据报道，Ardonagh最近公布了财务报告，显示损失9400万英镑。Ardonagh的发言人KellyAnnKnight没有否认公司遭受的"cyberincident"是勒索软件，但没有证实任何细节。

详情

Insurance firm Ardonagh Group disabled 200 admin accounts as ransomware infection took hold

加密挖掘蠕虫增加了Linux密码窃取功能

日期: 2020年10月05日
等级: 高
作者: Sergiu Gatlan
标签: Docker, Monero, Password Stealing, Mimipy, Mimikatz, TeamTNT

TeamTNT 最近更新了密码挖掘设备，使其更容易通过网络传播其他的密码挖掘设备。虽然该组织主要以主动锁定Docker实例为目标，使用受损系统进行未经授权的Monero（XMR）挖掘而闻名，但该组织现在改变了策略，将其加密劫持恶意软件升级为收集用户凭证。 Unit42 的研究人员发现， TeamTNT 正在努力增强其恶意软件的能力，这次是通过 mimipy (支持Windows/Linux/macOS)和 mimipenguin (支持Linux)增加内存密码抓取功能，这两款 Mimikatz 开源软件都是针对 NIX 桌面的。Unit42给这种蠕虫命名为Black-T，它会收集在被攻击系统内存中找到的任何明文密码，并将其发送给TeamTNT的命令和控制服务器。

详情

Crypto-mining worm adds Linux password stealing capability

第二次在野发现UEFI rootkit

日期: 2020年10月05日
等级: 高
作者: Sergiu Gatlan
标签: UEFI, MosacRegressor, rootkit, LoJax

安全研究人员在围绕2019年针对两个非政府组织（NGO）的攻击展开的调查中发现了第二个在野使用的 UEFIrootkit 。 UEFI（统一可扩展固件接口）固件允许高度持久的恶意软件，因为它安装在焊接到计算机主板的SPI闪存中，因此无法通过重新安装OS或更换硬盘来摆脱它。 UEFIbootkit 被发现它的卡巴斯基研究人员 MarkLechtik 和 IgorKuznetsov 称为 MosacRegressor ，是一个模块化、多阶段的恶意软件框架，被讲中文的黑客用于数据窃取和间谍活动。目前只知道另一个在野外使用的 UEFIbootkit 实例，即2018年由ESET发现的 rootkitLoJax 。 LoJax 是由讲俄语的 APT28 黑客组织在 legitLoJack 防盗软件中以补丁 UEFI 模块的形式注入的。攻击者通过注入多个可用于在目标设备上部署恶意软件的恶意模块来修改恶意UEFI固件映像。 MosaicRegressor 具有几个下载器，有时还有多个中间加载程序，其最终目标是在目标计算机上下载和执行恶意负载。

详情

MosaicRegressor: Second-ever UEFI rootkit found in the wild

无文件恶意程序注入Windows错误报告服务

日期: 2020年10月07日
等级: 高
来源: DATABREACHTODAY
标签: Malwarebytes, Vietnam, APT32, Inject, Phishing

研究人员发现了一种新的攻击策略，即攻击者直接将无文件恶意软件注入Windows错误报告服务中，作为规避防御检测手段。这次攻击是以一个网络钓鱼邮件开始的，它使用的主题是“YourRighttoCompensation”，邮件中包含一个zip文件，里面有一个标签为“Compensationmanual.doc"的文件，文件说它是加密的，并要求受害者启用编辑功能。报告称，当这个过程完成后，受害者会被带到一个网站，在那里无文件恶意软件被加载到Windows错误报告系统中。

详情

Fileless Malware Injected in Windows Error Reporting Service

一种被称为SLOTHFULMEDIA的新的远程木马

日期: 2020年10月05日
等级: 中
来源: SECURITYAFFAIRS
标签: CISA, SLOTHFULMEDIA, Malware, Dropper, RAT

美国国防部网络国家任务部队(CNMF)和国土安全部网络安全和基础设施安全局(CISA)发布了一份恶意软件分析报告，提供了一种名为SLOTHFULMEDIA的新型恶意软件的技术细节。与其他MAR分析一样，该报告提供了有关这一威胁的技术细节，包括妥协指标、应对行动建议以及预防感染的建议。“该示例是一个dropper，在执行时会部署两个文件。第一个是名为“mediaplayer.exe”的远程访问工具（RAT），该工具专门用于受害计算机系统的命令和控制（C2）。分析确定了RAT具有终止进程，运行任意命令，进行屏幕截图，修改注册表以及修改受害者计算机上文件的能力。”报告中写到。

详情

SLOTHFULMEDIA RAT, a new weapon in the arsenal of a sophisticated threat actor

勒索软件威胁激增，Ryuk约每周攻击20家公司

日期: 2020年10月06日
等级: 中
作者: Ionut Ilascu
标签: Maze, Ryuk, REvil, Check Point, Ransomware, Malware

监控勒索软件威胁的恶意软件研究人员注意到，与2020年前六个月相比，过去几个月此类攻击急剧增加。根据 CheckPoint 和 IBMSecurityX-Force 事件响应小组最近公布的数据，排在榜首的勒索软件有 Maze 、 Ryuk 和 REvil (Sodinokibi)。两家公司都注意到，2020年6月至9月，全球范围内的勒索软件事件激增，其中一些威胁比其他威胁更为活跃。来自 CheckPoint 的数据显示，2020年第三季度， Maze 和 Ryuk 是最常见的勒索软件家族，后者平均每周攻击20家公司。 根据检查点2020年10月6日的报告， Ryuk 在7月份增加了活动，并主要关注医疗保健机构，这些机构已经承受了疫情带来的巨大压力，无法承受系统瘫痪的后果。

详情

Ransomware threat surge, Ryuk attacks about 20 orgs per week

勒索软件攻击健康科技公司，扰乱了COVID-19医学试验

日期: 2020年10月06日
等级: 中
来源: HACKREAD
标签: eResearchTechnology, COVID-19, Ransomware, Medical Trials

总部位于费城的医疗科技公司eResearchTechnology（ERT）遭遇勒索软件攻击，但没有患者受到影响。几周前有报道称，德国一家名为杜塞尔多夫大学医院（UniversityhospitalDüsseldorf，UKD）的勒索软件袭击导致一名患者死亡。如今，总部位于费城的医疗科技公司eResearchTechnology（ERT）透露，该公司遭到勒索软件攻击。该机构向医疗机构销售软件，用于开发测试和治疗，目前，该公司的软件正在用于创建并测试 COVID-19 疫苗。然而，勒索软件的攻击并没有破坏任何临床试验，而是干扰和减缓了一些试验。

详情

Ransomware attack on health tech firm disrupted COVID-19 medical trials

新的HEH僵尸网络可能会擦除磁盘

日期: 2020年10月07日
等级: 中
来源: SECURITYAFFAIRS
标签: Netlab, HEH, Botnet, Wipes Devices

来自中国科技巨头奇虎360网络安全部门 Netlab 的研究人员发现了一个新的僵尸网络，被追踪为HEH，其中包含清除被感染系统（如路由器、物联网设备和服务器）的所有数据的代码。它是用Go开源编程语言编写的，以SSH端口（23和2323）为目标，通过发起暴力攻击，将SSH端口（23和2323）暴露在网络上

详情

New HEH botnet wipes devices potentially bricking them

Software AG受勒索软件的攻击：攻击者泄露了工​​作人员的护照

日期: 2020年10月09日
等级: 中
作者: Gareth Corfield
标签: Software AG, German, Ransomware, Passports, Leaked

德国软件公司( SoftwareAG )似乎受到了勒索软件的攻击，这家德国IT巨头称该国股市受到了恶意软件攻击的影响。恶意软件攻击的消息迟迟未能渗透到盎格鲁文化圈( Anglosphere )，尽管德国通讯社新闻专线( newswire )昨日晚间发表了一份简短报告，并在一些不知名的投资网站上转载。该报告还说，SoftwareAG服务器和员工笔记本的数据被下载。 ElReg 看到的攻击者勒索网页的屏幕截图显示了员工护照、内部账单以及一个基于windows系统的内部目录。文件夹的名称表明，内容可能涉及在美国和加拿大的SoftwareAG客户。

详情

Software AG hit with ransomware: Crooks leak staffers' passports, want millions for stolen files

新的MalLocker.B勒索软件能显示赎金笔记

日期: 2020年10月09日
等级: 中
来源: SECURITYAFFAIRS
标签: Microsoft, Android, Home, MalLocker.B, Ransomware

微软发现了一种名为MalLocker.B的Amdroid勒索软件。当用户按下Home键时激活。微软(Microsoft)的研究人员发现，这种新的安卓勒索软件滥用了来电通知和锁定受害者手机屏幕的Home键背后的机制。 AndroidOS的MalLocker.B通过受污染的Android应用程序分发，可在在线论坛和第三方网站上下载。 新的变体还设法规避了许多可用的保护，针对安全解决方案的检测率较低。为了避免感染MalLocker.B和类似的恶意软件，建议用户避免从第三方商店或论坛安装Android应用程序。

详情

New MalLocker.B ransomware displays ransom note in innovative way

嘉年华证实数据泄露是8月勒索软件攻击的结果

日期: 2020年10月10日
等级: 中
来源: SECURITYAFFAIRS
标签: Carnival Corporation, Data Breach, Ransomware, Citrix

全球最大的邮轮运营商嘉年华公司（CarnivalCorporation）证实，8月份勒索软件攻击导致数据泄露。勒索软件运营商在攻击中窃取了客户、员工和船员的个人信息。嘉年华公司是一家英美邮轮运营商，目前是世界上最大的旅游休闲公司，拥有10个邮轮品牌的100多艘船只。

详情

Carnival confirms data breach as a result of the August ransomware attack

泰勒科技公司最终向勒索软件支付了赎金

日期: 2020年10月11日
等级: 中
来源: SECURITYAFFAIRS
标签: Tyler Technologies, Ransom, Decryption Key

泰勒科技公司最终决定支付赎金以获得解密密钥，恢复在最近一次勒索软件攻击中加密的文件。泰勒技术公司是美国公共部门最大的软件供应商。9月底，该公司披露了一起勒索软件攻击事件，其客户报告称在他们的网络上发现了可疑的登录和以前看不到的远程访问工具。勒索软件攻击事件发生在9月23日，威胁者攻破了该公司的网络并部署了该恶意软件。

详情

Tyler Technologies finally paid the ransom to receive the decryption key

不要低估FONIX勒索软件服务

日期: 2020年10月11日
等级: 中
来源: SECURITYAFFAIRS
标签: FONIX, Ransomware, RaaS, Windows

FONIX是一个相对较新的勒索软件服务(RaaS)，由Sentinel实验室的研究人员分析，它的运营商以前专门从事二进制密码，封装器的开发。FONIX于2020年7月首次出现在威胁领域，幸运的是，与此威胁相关的感染数量仍然很小。 专家指出，勒索软件的作者不需要支付费用就可以成为该服务的附属公司，运营商只保留其附属网络中任何赎金的一部分。 专家认为，然而，如果安全公司和当局低估了FONIXRaaS，它会很快变得猖獗。

详情

Underestimating the FONIX - Ransomware as a Service could be an error

CISA警告美国政府机构遭受Emotet攻击

日期: 2020年10月07日
等级: 低
来源: SECURITYAFFAIRS
标签: CISA, US, Emotet, Phishing

网络安全与基础设施安全局（CISA） 发布警报，警告称，自8月以来，针对美国多个州和地方政府的Emotet攻击激增。在此期间，CISA的入侵检测系统已经检测到大约16000个与Emotet活动相关的警报。据专家称，Emotet攻击的目标是美国政府实体。

详情

CISA alert warns of Emotet attacks on US govt entities

相关安全建议

1. 各主机安装EDR产品，及时检测威胁
2. 及时对系统及各个服务组件进行版本升级和补丁更新
3. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本
4. 及时备份数据并确保数据安全
5. 明确每个服务功能的角色访问权限
6. 条件允许的情况下，设置主机访问白名单
7. 网段之间进行隔离，避免造成大规模感染

0x03 数据安全

澳大利亚社交新闻平台泄露8万条用户记录

日期: 2020年10月05日
等级: 高
来源: SECURITYAFFAIRS
标签: Cybernews, Australian, Snewpit, Bucket, Amazon Web Services

网络新闻调查小组发现了一个暴露的数据 bucket ，属于澳大利亚新闻分享平台 Snewpit 。这个不安全的 bucket 包含近 80000 条用户记录，包括用户名、全名、电子邮件地址和个人资料图片。包含这些记录的文件存储在一个可公开访问的 AmazonWebServices(AWS) 服务器上，这意味着任何直接访问这些文件的人都可以访问并下载这些未公开的数据。9月24日， Snewpitbucket 中的敏感文件已被公司保护，不再可访问。

详情

Australian social news platform leaks 80,000 user records

阿联酋国际航空公司的数据泄露至暗网

日期: 2020年10月08日
等级: 中
来源: SECURITYAFFAIRS
标签: Airlink International UAE, Dark Web, Leaked Data, Kelvinsectteam

网络安全研究人员发现，一名黑客在暗网的两个平台上免费共享 阿联酋国际航空公司 的泄露数据。暗网上数据的可用性可能给组织带来严重的风险，攻击者可以利用这些数据进行多次恶意攻击。 AirlinkInternationalU.A.E. 是满足任何旅行和物流要求的领先公司。它有200多名员工，收入约2.5亿美元。数据泄漏是由一个错误配置的服务器造成的，该服务器包含60个目录，每个目录大约有5000个文件。

详情

Data from Airlink International UAE leaked on multiple dark web forums

相关安全建议

1. 严格控制数据访问权限
2. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施
3. 及时检查并删除外泄敏感数据
4. 对于托管的云服务器(VPS)或者云数据库，务必做好防火墙策略以及身份认证等相关设置

0x04 网络攻击

美国公司1500万美元网络抢劫案剖析

日期: 2020年10月06日
等级: 高
作者: Ionut Ilascu
标签: US, Email, Fraudsters

经验丰富的网络攻击者通过邮件诈骗从一家美国公司偷走了1500万美元，这起诈骗案件耗时2个月。这名网络罪犯在获取了一笔商业交易的电子邮件对话后，精准地执行了他们的计划。他们在交易中插足，转移了钱，并得以将偷窃行为隐瞒了足够长的时间，从而拿到了钱。尽管研究人员调查了一个受害者的事件，但他们发现的线索表明，建筑、零售、金融和法律行业的数十家企业都在他们的目标名单上。在确定目标后，他们花了大约两周的时间试图访问电子邮件账户。

详情

The anatomy of a $15 million cyber heist on a US company

黑客从瑞士大学窃取了6位数的金额

日期: 2020年10月05日
等级: 高
来源: SECURITYAFFAIRS
标签: Swiss, the University of Basel, Salary, Phishing, Attack

黑客已经窃取了包括巴塞尔大学在内的几家瑞士大学的员工薪水。瑞士大学校长会议秘书长玛蒂娜·维斯解释说，根据可靠信息，瑞士有几所大学受到了影响。黑客对瑞士大学实施鱼叉式网络钓鱼攻击，试图诱骗员工提供他们的访问数据。 据《SonntagsZeitung》报道，巴塞尔检察官办公室证实，黑客侵入了大学的系统，然后威胁者通过更改受益人账户劫持了该员工的工资转账。黑客窃取了6位数的金额，并立即将资金转移到国外。《SonntagsZeitung》还补充说，黑客试图入侵苏黎世大学，但该大学的员工认识到网络钓鱼的企图，将其击退。

详情

Hackers stole a six-figure amount from Swiss universities

新一波的网络钓鱼电子邮件以选举为诱饵

日期: 2020年10月05日
等级: 高
来源: DATABREACHTODAY
标签: Proofpoint, Phishing, Election, Emotet, Botnet

安全研究人员警告说，新一轮的网络钓鱼电子邮件将产生一批与选举有关的诱饵，这些诱饵旨在让用户点击，从而方便散布 Emotet 僵尸网络或获取用户凭证。安全公司 Proofpoint 已经发现了数千封恶意邮件，这些邮件旨在传播来自民主党全国委员会的欺骗信息。同时， KnowBe4 还发现了另一个欺骗美国选举援助委员会的网络钓鱼活动，该活动旨在获取凭据。 Proofpoint 称，最近的 Emotet 活动始于10月1日，这是 Emotet 背后的团伙 TA542 首次从政治角度进行网络钓鱼。

详情

Fresh Wave of Phishing Emails Use Election as a Lure

国际海事组织（IMO）遭受网络攻击

日期: 2020年10月06日
等级: 高
来源: SECURITYAFFAIRS
标签: The United Nations International Maritime Organization, IMO, Cyber Attack, IT System

联合国国际海事组织（IMO）披露了一次网络攻击。据该机构称，9月30日，第一次网络攻击后，组织的IT系统遭到破坏，海事组织的一些网络服务无法使用。受影响的系统包括：海事组织公共网站和其他基于网络的服务。不过包括电子邮件系统等其他内部和外部协作平台工作正常。网站 www.imo.org 已于10月2日恢复访问。

详情

A sophisticated cyberattack hit the International Maritime Organization (IMO)

外卖服务Chowbus遭黑客攻击，超过40万名客户受到影响

日期: 2020年10月08日
等级: 高
来源: SECURITYAFFAIRS
标签: Chowbus, Food Delivery, Stole Data, Database, Cyber Attack

广受欢迎的亚洲外卖平台 Chowbus 遭到黑客攻击，黑客声称窃取了公司包含客户数据的整个数据库，攻击者将这些数据导出到一系列Excel（CSV）文件中，并向客户发送了这些档案的链接。暴露的数据包括顾客姓名、电子邮件地址、电话号码、地址（城市、州、邮政编码）、外卖费用和Chowbus合作伙伴餐厅的地址。

详情

Food Delivery Service Chowbus hacked, more than 400K customer impacted

黑客团伙现利用严重的Windows漏洞进行攻击

日期: 2020年10月09日
等级: 高
作者: Ionut Ilascu
标签: Microsoft, ZeroLogon, MuddyWater, TA505, CVE-2020-1472

微软警告称，网络犯罪分子已经开始在他们的攻击中加入针对 ZeroLogon 漏洞的开发代码。该警告是在微软注意到网络间谍组织 MuddyWater (SeedWorm)在9月下半月持续不断的攻击之后发布的。这一次，威胁者是TA505，一个对其攻击的受害者不分皂白的对手，其历史始于2014年发布的Dridex银行木马。多年来，TA505一直在进行攻击，传播各种恶意软件，从后门到勒索软件。最近，这个组织的入侵之后，又部署了Clop勒索软件，比如去年马斯特里赫特大学（MaastrichtUniversity）的袭击，导致支付了30比特币（约22万美元）的赎金。

详情

Ransomware gang now using critical Windows flaw in attacks

国土安全部：不明黑客袭击了美国人口普查局网络

日期: 2020年10月09日
等级: 高
作者: Sergiu Gatlan
标签: US Census, DHS, Attack

美国国土安全部在2020年10月早些时候发布的第一份国土威胁评估报告中称，2019年美国人口普查网络遭到了不明威胁分子的袭击。 美国人口普查局是美国联邦政府最大的统计机构，负责收集有关美国经济和人口的统计数据。 然后，联邦政府利用这些数据，每年将超过6750亿美元的联邦基金分配给部落、地方和州政府。国土安全部说，针对美国用于支持2020年美国总统大选以及2020年美国人口普查的基础设施，国家和非国家的袭击者都可能试图破坏。

详情

DHS: Unknown hackers targeted the US Census Bureau network

基于Mirai的IoT木马传播了两个0day漏洞

日期: 2020年10月05日
等级: 中
来源: GBHACKERS
标签: Netlab, Tenda, RAT, Ttint, DDoS

Netlab 发现一个新的 IoT 僵尸网络，其利用 Tenda 路由器的两个0day漏洞，安装远程访问特洛伊木马（ RAT ）。被称为 Ttint 的僵尸网络自2019年11月以来一直活跃，除了 DDoS 功能外，它还包括12个远程访问功能。攻击者利用 Tenda 路由器的0day漏洞（CVE-2018-14558&CVE-2020-10987）分发Ttint样本。基于 Mirai 代码的 Tint 远程访问特洛伊木马，包括10条 MiraiDDoS 攻击指令和12条控制指令，如路由器设备的 Socket5 代理、篡改路由器 DNS 、设置 iptables 、执行自定义系统命令。

详情

A New Mirai based IoT RAT Spreading Through 2 0-day Vulnerabilities

Fullz House入侵Boom!的网站

日期: 2020年10月06日
等级: 中
来源: SECURITYAFFAIRS
标签: Fullz House, Mobile, Boom!, E-skimer

信用卡掠夺组织 FullzHouse 破坏了美国移动虚拟网络运营商（MVNO） Boom! 的网站。Boom!移动公司为其客户提供后付费和预付费的无线服务计划，使他们能够使用美国最大的蜂窝网络（包括AT＆T，T-Mobile和Verizon）的线路。FullzHouse的黑客在Boom!网站中注入了一个e-skimer，不幸的是，恶意软件尚未被删除。

详情

Fullz House hacked the website of Boom! Mobile provider to steal credit cards

Wisepay的“停机”源于食堂支付业务对入侵者攻击的阻止

日期: 2020年10月07日
等级: 中
作者: Gareth Corfield
标签: UK, Wisepay, Cashless Payments, Outage, Pre-emptive

英国无现金校园支付公司Wisepay发现有人恶意欺骗其信用卡支付页面，故将相关网站关闭。这家总部位于汉普郡的公司自称“允许家长和监护人向他们（孩子）的学校或大学进行在线无现金支付”，不久前该公司表示，其网站“已停止维护”。Wisepay发言人解释，“停机”是一个先发制人的举动，目的是阻止身份不明的攻击者继续进行“网址操纵”。

详情

Wisepay 'outage' is actually the school meal payments biz trying to stop an intruder from stealing customer card details

Comcast遥控器可被入侵用于监听对话

日期: 2020年10月07日
等级: 中
作者: Ionut Ilascu
标签: Comcast, XR11, Microsoft, Remotes, IOT, WarezThe Remote

安全研究人员分析了 Comcast 的XR11Xfinity语音遥控器，发现了一种无需物理访问或用户交互就能将其变成监听设备的方法。与普通的红外线遥控器不同，微软Edge公司的XR11采用了一种新的“网络捕捉”情景，它依靠射频与有线机顶盒进行通信，并配有内置麦克风，可以进行语音命令，在美国各地，有超过1800万个家庭中部署了该设备。

详情

Comcast cable remotes hacked to snoop on conversations

WordPress漏洞为Zerologon攻击提供通道

日期: 2020年10月07日
等级: 中
来源: SECURITYAFFAIRS
标签: WordPress, Zerologon, File-Manager Plugin, CVE-2020-25213, CVE-2020-1472

不久前，Zerologon（CVE-2020-1472）成为全球的热门话题，想要利用这个漏洞的前提条件是能够连上目标域控。为了利用这个漏洞，黑客开始将其于wordpress File-Manager 插件中的漏洞–CVE-2020-25213结合使用，该漏洞允许在服务器端执行任意代码（RCE漏洞）。攻击者通过 CVE-2020-25213 获得服务器权限之后，将建立代理隧道，并尝试执行Zerologon攻击。

目前 WordPress 在全球均有分布，具体分布如下图，数据来自于 360 QUAKE

详情

Using a WordPress flaw to leverage Zerologon vulnerability and attack companies’ Domain Controllers

黑客组织出售间谍和虚假新闻服务

日期: 2020年10月08日
等级: 中
来源: DATABREACHTODAY
标签: Bahamut, BlackBerry, Espionage, Fake News Websites, Phishing

安全研究人员称，一个名为 Bahamut 的黑客组织将其间谍和辟谣服务出租给出价最高的人，目标是中东和南亚的非营利组织和外交官。研究人员发现了 Bahamut 创建的几个假新闻网站，目的是推送造谣内容。他们还发现了一个网络钓鱼设施以及安装在googleplay和苹果应用商店中的恶意应用程序，这些应用程序用于针对特定的受害者和组织，由于该组织的目标不同意，黑客很可能将这项服务卖给出价最高的人。

详情

Hack-For-Hire Group Wages Espionage, Fake News Campaigns

亚马逊黄金日，网络钓鱼和欺诈攻击激增

日期: 2020年10月08日
等级: 中
来源: THREATPOST
标签: Amazon, Prime Day, Phishing, Malicious Websites

网络犯罪分子正在利用亚马逊针对订阅者的年度折扣购物活动“黄金日”。研究人员警告说，最近欺诈利用亚马逊品牌的网络钓鱼和恶意网站激增。根据一份2020年10月8日发布的报告报道，自8月份以来，每月使用亚马逊品牌创建的钓鱼和欺诈网站数量激增，这是自3月份疫情以来最显著的一次。研究人员分析了数以亿计的网页，以追踪使用亚马逊品牌和标识的新钓鱼和欺诈网站的数量。研究显示，威胁行为者利用亚马逊的特点和消费者行为，试图引诱网上购物者进入欺诈网站，窃取他们的凭证、财务信息和其他敏感数据。

详情

Amazon Prime Day Spurs Spike in Phishing, Fraud Attacks

Fitbit gallery可用于分发恶意应用程序

日期: 2020年10月09日
等级: 中
作者: Ionut Ilascu
标签: Fitbit Gallery, Malicious Apps, Upload, Fitness

一位安全研究人员发现，针对Fitbit设备的恶意应用程序可以上传到合法的Fitbit域，用户可以通过私有链接安装它们。通过一些社会工程，黑客可以利用这一点，诱骗用户添加应用程序，以获取（从Fitbit设备传感器或手机收集的）丰富的个人信息。Fitbit开发健身活动跟踪可穿戴设备（智能手表、腕带），为用户提供诸如步行或爬台阶数、心率、睡眠质量以及活动历史记录等指标。Fitbit及其开发者社区的各种移动应用程序（健康、游戏、音乐、实用程序）都在Fitbit官方图库中发布。

详情

Fitbit gallery can be used to distribute malicious apps

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题
2. 域名解析使用CDN
3. 统一web页面报错信息，避免暴露敏感信息
4. 减少外网资源和不相关的业务，降低被攻击的风险
5. 注重内部员工安全培训
6. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序
7. 严格做好http报文过滤
8. 做好产品自动告警措施
9. 若系统设有初始口令，建议使用强口令，并且在登陆后要求修改。

0x05 其它事件

流行的反病毒软件漏洞让攻击者可以升级特权

日期: 2020年10月06日
等级: 中
来源: GBHACKERS
标签: Windows, Vulnerabilities, Antivirus, DACLs, ProgramData

来自CyberARK的安全研究人员发现了反恶意软件的安全漏洞，该软件允许攻击者升级受感染机器的权限。与其他应用程序相比，反恶意软件的漏洞带来了更高的风险，因为它具有高权限，使得攻击者能够以更高的权限运行恶意软件。根据研究人员的说法，这个 bug 的主要原因是 C:\ProgramData 目录的默认 DACLs 。在应用程序用于存储数据的Windows上。此进程未绑定到特定用户，任何用户都对 ProgramData 拥有读或写权限，而不是当前登录用户可以访问的 %LocalAppData% 。因此，如果一个非特权进程在 ProgramData 中创建了一个以后由特权进程使用的目录，那么可能会遇到安全问题。

详情

Flaws in Popular Antivirus Softwares Let Attackers to Escalate Privileges

Bugcrowd在2020年末选出最值得关注的Bugs

日期: 2020年10月08日
等级: 中
来源: SCMAGAZINE
标签: Bugcrowd, Bugs, OWASP

Bugcrowd在10月7日发布了一篇博客，其中研究人员预测了2020年最后一个季度将会出现的更多的bug。它们从OWASP基金会的前10个列表中的主要bug类别开始，即跨站点脚本、SQL注入、各种身份验证流的不安全实现、敏感数据暴露、窃取敏感令牌的开放重定向以及访问控制问题。

详情

Bugcrowd picks top bugs to watch for in late 2020

在苹果各种服务中发现55个安全漏洞

日期: 2020年10月09日
等级: 中
来源: WELIVESECURITY
标签: Apple, Vulnerabilities, XSS, RCE, Ethical Hackers

一个由5名白帽黑客组成的团队在苹果的一系列服务中发现了总共55个漏洞，其中近12个漏洞被评为严重漏洞。这些被揭露的安全漏洞是在三个月内被发现并迅速修复的，根据苹果的窃听奖励计划，这些“白帽”黑客总共获得了28.85万美元的奖励。不少于11个漏洞被认为是严重的，29个被认为是高危的，13个被归类为中危，剩下的2个被列为低危。为了评估漏洞的严重性，团队使用了通用漏洞评分系统（CVSS）和他们对这些漏洞将产生多大的业务相关影响的知识。在这些漏洞中，有两个漏洞尤为突出：一个是远程代码执行（RCE）漏洞，它可能会让苹果杰出教育者计划（AppleDistinguishedEducators）程序遭到全面破坏；另一个是一个可让威胁参与者窃取iCloud数据的可修复存储跨站点脚本（XSS）漏洞。

详情

55 security flaws found in various Apple services

Facebook首次推出漏洞赏金

日期: 2020年10月09日
等级: 中
来源: THREATPOST
标签: Facebook, Bug Bounty, Hacker Plus

Facebook 推出了一项忠诚度计划，旨在进一步激励研究人员发现其平台的漏洞。该忠诚计划称为“HackerPlus”，还提供赏金奖励，让研究人员可以对更多产品和功能进行压力测试，并邀请他们参加Facebook年度活动。Facebook的安全工程经理 DanGurfinkel 在2020年10月9日的帖子中说：“HackerPlus旨在帮助参与 facebook 的漏洞赏金计划的研究人员建立社区，此外还鼓励质量报告。”

详情

Facebook Debuts Bug Bounty ‘Loyalty Program’

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新
2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x06 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段，对事件相关组件进行监测，请用户联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x07 时间线

2020-10-12 360CERT发布安全事件周报

0x08 特制报告下载链接

安全事件周报 (10.05-10.11)