报告编号：B6-2020-092101

报告来源：360CERT

报告作者：360CERT

更新日期：2020-09-21

0x01 事件导览

本周收录安全事件 35 项，话题集中在 勒索 、 网络攻击 方面，涉及的组织有： Microsoft 、 IBM 、 Google 、 Apple 等。线上办公的增加，导致勒索事件频发，严重影响了政府公司的办公效率、数据安全，甚至是人身安全。对此，360CERT建议使用 360安全卫士 进行病毒检测、使用 360安全分析响应平台 进行威胁流量检测，使用 360城市级网络安全监测服务QUAKE 进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02 恶意程序

德国一家医院遭勒索软件袭击后导致患者死亡

日期: 2020年09月18日
等级: 高
作者: Pierluigi Paganini
标签: Duesseldorf, Hospital, Ransomware, Death, German

德国当局透露，杜塞尔多夫一家大医院、杜塞尔多夫大学诊所遭到勒索软件袭击，攻击发生后，杜塞尔多夫大学诊所的系统就不可用了。一名需要紧急手术的妇女不得不被送往另一个城市接受治疗，由于对妇女的治疗推迟了一个小时，导致病人死亡。得知此事后，勒索软件运营商随后决定撤回勒索企图，并提供一个数字密钥来解密数据。目前，该医院正在恢复IT系统并恢复运营。

详情

Major Duesseldorf hospital infected with ransomwareSecurity Affairs

新的MrbMiner恶意软件感染了数千个MSSQL数据库

日期: 2020年09月16日
等级: 高
作者: Pierluigi Paganini
标签: MSSQL, MrbMiner, Trojan, Weak password

一群黑客正在对 MSSQL 服务器发起暴力攻击，意图入侵它们，并安装名为 MrbMiner 的密码挖掘恶意软件。根据安全团队的消息，黑客团队在过去的几个月里一直很活跃，他们侵入微软的SQLServer( MSSQL )来安装一个密码挖掘器。该安全团队检测到一种新型的挖掘木马家族 MrbMiner 。黑客通过 SQLServer 服务器的弱密码进行攻击。爆破成功后，他们在目标系统上发布了用 c# 编写的木马 assm.exe ，然后下载并维护了 Moneromining 木马。挖掘的过程。仍在继续。

目前 MSSQL 在全球均有分布，具体分布如下图，数据来自于 360 QUAKE

详情

New MrbMiner malware infected thousands of MSSQL DBs

利用WordPress中XML-RPC漏洞的恶意软件

日期: 2020年09月16日
等级: 高
作者: Avinash Kumar , Aditya Sharma
标签: WordPress, XML-RPC, Attack, C&C, Malware, ZSCALER

这些攻击者使用的最常见的攻击媒介之一是发起 XML-RPC 攻击。默认情况下启用的 WordPress 上的 XML-RPC 实际上是一个 API ，它使第三方应用程序和服务能够与WordPress网站进行交互，而无需通过浏览器。攻击者使用此通道建立与WordPress网站的远程连接并进行修改，而无需直接登录到WordPress系统。但是，如果WordPress网站没有禁用XML-RPC，则黑客可以进行的登录尝试次数没有限制，这意味着网络罪犯获得访问权限只是时间问题。最近， ZscalerThreatLabZ 团队遇到了一种攻击 WordPress 站点的方案，其中一个恶意程序从 C&C 服务器获得一份 WordPress 站点列表，然后利用 XML-RPCpingback 方法攻击该列表，以确定列出的 WordPress 站点上的现有漏洞。

目前 Wordpress 在全球均有分布，具体分布如下图，数据来自于 360 QUAKE

详情

Malware exploiting XML-RPC vulnerability in WordPress

Rudeminer, Blacksquid 和 Lucifer 恶意软件

日期: 2020年09月16日
等级: 高
作者: David Driker, Amir Landau
标签: DDOS, Cloud, Malware, Windows

Lucifer是一个Windows加密矿工和DDOS混合恶意软件。三个月前，研究人员发表了一份报告，详细介绍了该组织独特的活动。最近， checkpoint 发现有证据表明，此次行动的幕后袭击者是从2018年开始行动的。它最初是一个以Windows系统为目标的具有自我传播能力的矿工，现在已经发展成为一个多平台、多架构的恶意软件，目标是Linux和物联网设备。

详情

Rudeminer, Blacksquid and Lucifer Walk Into A Bar

勒索软件切断加州小学生的在线学习

日期: 2020年09月18日
等级: 高
来源: THREATPOST
标签: California, NCSC, School, Ransomware, Online Learning

针对学校的勒索软件攻击仍在继续，据美国官员称，最近一次是针对加州一个学区的攻击，导致该学区关闭了6000名小学生的远程学习。纽霍尔学校负责人杰夫·佩尔泽尔告诉《洛杉矶时报》，这次针对瓦伦西亚纽霍尔校区的网络攻击影响了10所不同年级学校的所有远程学习。他说，这些网络攻击持续了两天，不久之后，这个地区已经成为恶意软件的受害者。

详情

California Elementary Kids Kicked Off Online Learning by Ransomware

Maze勒索软件现在通过虚拟机加密以逃避检测

日期: 2020年09月18日
等级: 高
作者: Lawrence Abrams
标签: Maze, Ragnar Locker, VirtualBox, Windows XP, Encrypt

Maze勒索软件运营商采用了以前使用的一种策略：从虚拟机中加密计算机。在为一位客户执行事件响应时，Sophos发现Maze曾两次尝试部署勒索软件，但被Sophos的InterceptX功能阻止。在第三次攻击中，Maze部署了一个MSI文件，该文件在服务器上安装了virtualboxvm软件以及一个定制的windows7虚拟机。一旦虚拟机启动，就像以前的RagnarLocker攻击一样，一个名为startup的批处理文件_蝙蝠将执行批处理文件，为机器准备Maze可执行文件。然后关闭机器，一旦重新启动，将启动vrun.exe加密主机的文件。由于虚拟机正在主机装载的驱动器上执行加密，安全软件无法检测到该行为并停止它。

详情

Maze ransomware now encrypts via virtual machines to evade detection

Rampant Kitten - 伊朗的间谍活动

日期: 2020年09月18日
等级: 高
作者: check_point
标签: Iranian, Trojan, Rampant Kitten, Espionage, 2FA

安全公司CheckPoint说，他们破获了一个伊朗黑客组织，该组织开发了专门的安卓恶意软件，能够拦截和窃取通过短信发送的双因素认证（2FA）代码。该恶意软件是一个黑客组织开发的黑客工具库的一部分，黑客组织称其为RampantKitten。CheckPoint说，该组织已经活跃了至少六年，一直在对伊朗少数民族、反政府组织和抵抗运动进行持续的监视行动。

详情

Rampant Kitten - An Iranian Espionage Campaign

LockBit勒索软件启动数据泄露网站双重勒索受害者

日期: 2020年09月16日
等级: 中
作者: Lawrence Abrams
标签: LockBit, Ransomware, Data Leak, Extort, Stealing

勒索软件集团 LockBit 推出了一个新的数据泄露网站，作为他们的双重勒索策略的一部分，以恐吓受害者支付赎金。 自2019年底以来，勒索软件团伙采取了双重勒索策略，即在加密网络上的电脑之前，先窃取未加密的文件。 然后，勒索软件团伙利用窃取的文件和数据泄露网站上公开这些文件的威胁，迫使受害者支付赎金。

详情

LockBit ransomware launches data leak site to double-extort victims

美国激光开发商IPG Photonics遭勒索软件袭击

日期: 2020年09月18日
等级: 中
作者: Lawrence Abrams
标签: IPG Photonics, Ransomware, Attack, Konica Minolta

IPGPhotonics是一家美国领先的光纤激光切割、焊接、医疗和激光武器开发商，该公司遭到勒索软件攻击，导致其运营中断。IPGPhotonics总部位于牛津，位于马萨诸塞州，在全球拥有超过4000名员工，2019年收入达13亿美元。该公司的激光被用作美国海军“庞塞号”上安装的激光武器系统（LaWS）的一部分。2020年9月14日，一位知情人士联系了 BleepingComputer ，他告诉 BleepingComputer ，勒索软件的攻击扰乱了它的运作。由于这次网络的攻击，IPG的网络连接受到影响。随着这些系统的关闭， BleepingComputer 也被告知制造零件和运输已经不可用。

详情

Leading U.S. laser developer IPG Photonics hit with ransomware

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等
2. 网段之间进行隔离，避免造成大规模感染
3. 条件允许的情况下，设置主机访问白名单
4. 减少外网资源和不相关的业务，降低被攻击的风险
5. 如果不慎勒索中招，务必及时隔离受害主机、封禁外链ip域名并及时联系应急人员处理
6. 注重内部员工安全培训
7. 及时对系统及各个服务组件进行版本升级和补丁更新

0x03 数据安全

多个热门购物网站数据泄露

日期: 2020年09月16日
等级: 高
来源: HACKREAD
标签: German, Windeln.de, Elasticsearch, Shopping, Data Breach

几天前有报道称，一个配置错误的Elasticsearch数据库暴露了来自70个约会和电子商务网站的882gb数据。现在，在最新的数据库混乱中，超过50万人的个人数据在网上被曝光。安全检测部门的IT安全研究人员团队发现了一个属于德国在线购物网站-- Windeln.de 的数据库。在这个案例中，该商店的生产服务器数据库暴露了6.4万亿字节的数据，其中包含60亿条记录，泄露了超过70万名客户的个人信息。

目前 Elasticsearch 在全球均有分布，具体分布如下图，数据来自于 360 QUAKE

详情

Popular shopping site leaks miners' data in 6TB of database mess up

2400万南非人的个人资料被捆绑到文件共享网站上

日期: 2020年09月14日
等级: 高
作者: Gareth Corfield
标签: Experian, Information, Data Breach, South Africa, Clearweb

据报道，Experian错误地将2400万南非人的个人数据卖给了一个声称“假装”代表“合法客户”的人，这些数据不仅在暗网中传播，还在 clearweb 文件共享网站上传播。这个国家大约有5600万人口。据南非《泰晤士报》报道，手机号码、政府发放的个人身份证号码、家庭住址、银行和工作资料以及电子邮件地址都包含在 WeSendIt 的文件中。

详情

Personal data from Experian on 40% of South Africa's population has been bundled onto a file-sharing website

美国退伍军人事务部数据泄露

日期: 2020年09月15日
等级: 高
作者: Lawrence Abrams
标签: U.S. Department of Veterans Affairs, Data Breach, Google Drive, Steal, Attack

美国退伍军人事务部(VA)遭遇数据泄露事件，导致超过46,000名退伍军人的个人信息曝光。退伍军人事务部的成立是为了确保美国退伍军人得到他们应得的医疗服务、福利和护理。谷歌硬盘出现故障，用户在2020年9月14日发布的一份数据泄露通知中称，黑客侵入了他们的系统，盗取了为退伍军人提供治疗的医疗服务提供商的专用款项。

详情

U.S. Dept of Veterans Affairs data breach affects 46,000 veterans

新泽西大学医院遭SunCrypt勒索软件袭击，数据泄露

日期: 2020年09月16日
等级: 高
作者: Ax Sharma
标签: University Hospital New Jersey, SunCrypt, Ransomware, Trojan, Data Leaked

新泽西大学医院（UHNJ）遭遇了一场大规模的48000份文件数据泄露事件，勒索软件泄露了他们被盗的数据。大学医院成立于1994年，是新泽西州的一家公立教学医院，为居民提供医疗服务。SunCrypt勒索软件泄露了据称在9月份的勒索软件攻击中从UHNJ窃取的数据。SunCrypt是勒索软件运营商，于2019年10月开始活动，但不是很活跃。在过去的几个月里，自从发布了一个专门的泄漏站点后，他们变得更加活跃。

详情

University Hospital New Jersey hit by SunCrypt ransomware, data leaked

Staples公司披露数据泄露事件

日期: 2020年09月14日
等级: 中
作者: Ionut Ilascu
标签: Staples, Data Breach, Unauthorization, Information

大型办公零售公司 Stables 通知其部分客户，他们的订单相关数据在未经授权的情况下被访问。目前尚不清楚具体细节。该公司没有公开披露这一事件，只是通过电子邮件单独提醒了受影响的客户。重要的是要注意， Staples 的主要业务是通过零售渠道以及企业对企业的约定，来销售办公用品和相关产品。

详情

Staples discloses data breach exposing customer info

新加坡3000多个人资料在网上泄露

日期: 2020年09月14日
等级: 中
作者: David Sun
标签: Bitcoin, Leaked, Singapore, Group-IB, Personal Details

新加坡3499人的个人记录在网上被泄露，他们正成为比特币诈骗的目标。这些记录包括姓名、电话号码和电子邮件地址，是新加坡网络安全公司 groupib 最近发现的。目前还不清楚泄密的来源和细节是如何被盗的。这些泄露的细节被恶意攻击者利用，他们伪装成来自知名媒体的短信，并带有诱人的标题和链接。

详情

Personal details of more than 3,000 people in Singapore leaked online

相关安全建议

1. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施
2. 对于托管的云服务器(VPS)或者云数据库，务必做好防火墙策略以及身份认证等相关设置
3. 条件允许的情况下，设置主机访问白名单
4. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题
5. 及时备份数据并确保数据安全
6. 明确每个服务功能的角色访问权限
7. 建议加大口令强度，对内部计算机、网络服务、个人账号都使用强口令

0x04 网络攻击

又一家加密货币交易所遭到黑客攻击，被盗数百万美元

日期: 2020年09月14日
等级: 高
作者: Iain Thomson
标签: Eterbase, Stolen, Cryptocurrency, Hacked, Attack, Dosh

加密货币交换机构 Eterbase 9月8日左右承认，黑客侵入了其电脑，偷走了其他人的货币，据称价值540万美元。结果，数字 dosh 交易系统被叫停了，尽管交易系统会在某个时候重新开放（交易系统声称有足够的资金来克服此次黑客攻击）。工作人员和执法部门正在进行调查本次事件。

详情

Another month, another cryptocurrency exchange hacked and 'millions of dollars' stolen by miscreants

Zerologon攻击能让黑客完全攻破一个Windows域

日期: 2020年09月14日
等级: 高
作者: Pierluigi Paganini
标签: Netlogon, Vulnerability, Windows, Domain, CVE-2020-1472, Zerologon, Attack

Zerologon 攻击允许威胁者通过利用2020年8月补丁日发布的漏洞 CVE-2020-1472 来接管企业网络。企业 Windows 服务器的管理员必须尽快安装2020年8月的补丁，以保护他们的系统免受利用 CVE-2020-1472 的 Zerologon 攻击。CVE-2020-1472缺陷是驻留在Netlogon中的特权提升。Netlogon服务是Windows客户端身份验证体系结构中使用的一种身份验证机制，用于验证登录请求，并对域控制器进行注册、身份验证和定位。

详情

Zerologon attack lets hackers to completely compromise a Windows domain

美国CISA报告分享了伊朗黑客使用的WebShell细节

日期: 2020年09月16日
等级: 高
来源: US-Cert
标签: CISA, MAR, Iranian, WebShell, Attack, Iranian

美国网络安全和基础设施安全局(CISA)发布了一份恶意软件分析报告(MAR)，其中包括伊朗黑客使用webshell的技术细节。 webshell是一段代码，通常是用典型的web开发编程语言(例如ASP、PHP、JSP)编写的，攻击者将其植入web服务器以获得远程访问和代码执行。 根据CISA的报告，来自一个不知名的APT组织的伊朗黑客正在使用几个已知的webshell，攻击美国各地的IT、政府、医疗、金融和保险机构。威胁者使用的恶意软件包括 ChunkyTuna 、 Tiny 和 ChinaChopperwebshell 。

详情

US CISA report shares details on web shells used by Iranian hackers

Magento商店遭遇2015年以来最大规模的自动化黑客攻击

日期: 2020年09月14日
等级: 中
作者: Lawrence Abrams
标签: Magento, Attack, Vulnerability, JavaScript, MageCart

在针对 Magento 网站的规模最大的自动化黑客行动中，攻击者9月12日左右侵入了近2000家在线商店，窃取信用卡。 AdobeMagento 是一个流行的电子商务平台，它允许网站快速创建一个在线商店来销售其产品并接受信用卡。正因为如此，Magento经常成为黑客的攻击目标，他们会安装 JavaScript 脚本来窃取客户的信用卡。这类攻击被称为 MageCart ，已经成为 Magento 面临的一个大问题， VISA 因此发布了一份建议，敦促商家将电子商务网站迁移到更安全的 magecento2.x 上

详情

Magento stores hit by largest automated hacking attack since 2015

9/11周年纪念日的虚拟会议上出现不雅照片

日期: 2020年09月14日
等级: 中
作者: Kieren McCarthy
标签: Zoom, Court Hearing , Take Over, Porn, Swastikas, Sharing Screen, America

一场关于美国选举安全问题的法庭听证会在其自身的安全努力中失败了，当时法庭上充斥着色情、纳粹十字记号和世贸中心袭击的图片。2020年9月11日在亚特兰大联邦地区法院举行的公开听证会上，大约有100人参加了Zoom电话会议，后来被一个名叫奥萨马的参与者接管，他分享了自己的屏幕，展示了带有攻击性的图片和音乐。这些图片尤其令人反感，因为听证会本身是在2001年9月11日恐怖袭击的周年纪念日举行的。法庭结束了Zoom会议，并在一小时后重新启动，采取了额外的安全措施，包括一个虚拟等候室。

详情

Court hearing on election security is zoombombed on 9/11 anniversary with porn, swastikas, pics of WTC attacks

俄罗斯黑客以5000美元的价格出售零日漏洞

日期: 2020年09月15日
等级: 中
作者: Katyanna Quach
标签: Magento, Bank Card, Injection, Hijacked, Sansec

数千家使用 Magento1 建立的电子商务商店已被恶意代码毒害，当顾客输入详细信息在网上订购商品时，这些代码窃取了他们的银行卡信息。 据安全行业估计，攻击者迄今已窃取了“数万名客户”的个人数据。这些入侵可以追溯到一个名为“z3r0day”的俄语黑客在一个阴暗的在线论坛上出售的 Magneto1 零日漏洞。 只要支付5000美元，z3r0day就会向你展示一段视频，介绍如何利用网络软件的一个安全漏洞，将数字 skimming 代码注入电子商务网站的文件中，这样当客户进入被劫持网站的支付页面时，代码就会运行。不需要身份验证。黑客承诺不会向超过10个人出售该漏洞，以保证其机密性和价值.

详情

Russian hacker selling how-to vid on exploiting unsupported Magento installations to skim credit card details for $5,000

针对教育和学术领域的DDoS攻击激增

日期: 2020年09月15日
等级: 中
作者: Ionut Ilascu
标签: Attack, Schools, Educational, DDoS, U.S

随着世界各地的教育机构转向在线学习，网络威胁的破坏比以往任何时候都更加严重。恶意软件、漏洞利用、分布式拒绝服务(DDoS)、钓鱼攻击都在攻击这个领域，在过去两个月中频率不断上升。网络安全公司CheckPoint的数据显示，攻击者在针对美国、欧洲和亚洲的教育和研究部门时采用了不同的方法和战术。最终目标似乎也因地区而异。CheckPoint指出，大多数攻击都是针对美国的机构，在7月和8月，学术部门平均每周增加30％。与五月和六月相比，这意味着从468跃升至608。

详情

Surge in DDoS attacks targeting education and academic sector

美国指控两名俄罗斯人通过加密货币钓鱼网站窃取1680万美元

日期: 2020年09月16日
等级: 中
作者: Catalin Cimpanu
标签: Russian, Phishing, Poloniex, Binance, Gemini

2020年9月16日，美国司法部指控两名俄罗斯公民策划了针对三家加密货币交易所用户的多年钓鱼行动。这两名嫌疑人被指控为Poloniex、Binance和Gemini加密货币交易所创建网站克隆，在这些虚假网站上引诱用户，并收集他们的账户凭证。这些钓鱼操作大约在2017年6月开始。美国官员说，这对俄罗斯组合——分别是沃罗涅日（Voronezh）和莫斯科居民德米特里·卡拉萨维迪（DmitriKarasavidi）组成，他们利用被盗的凭证进入受害者账户，窃取他们的比特币（BTC）和以太币（ETH）加密资产。

详情

US charges two Russians for stealing $16.8m via cryptocurrency phishing sites

垃圾邮件发送者开始使用新技术绕过垃圾邮件过滤器

日期: 2020年09月17日
等级: 中
作者: Ionut Ilascu
标签: Bypass, Spammers, Pill Scam, Redirects

一个药丸骗局的幕后操作者正在尝试一种新技术，在垃圾邮件中押注非传统的URL表示方式，以使它们不被电子邮件保护系统和URL拦截列表发现。在安全研究人员观察到的一场大规模运动中，运营商付出了一些努力，以确保推广可疑药品的信息更广泛地传播。垃圾邮件发送者将令人信服的信息与用十六进制数字系统编码的IP地址结合在一起，经过几次重定向后，就会出现假冒的制药网站。此次事件没有涉及恶意软件。行动的目的是说服接收者购买假药，糖丸，蛇油产品以及质量不合格的物品。

详情

Drug spammers start using new technique to bypass spam filters

Tutanota加密电子邮件服务遭受DDoS网络攻击

日期: 2020年09月19日
等级: 中
作者: Ax Sharma
标签: Tutanota, DDOS, Attack, Email service, Downtime

Tutanota加密电子邮件服务2020年9月14日左右遭受了一系列DDoS攻击，首先是针对Tutanota网站及其DNS提供者。这已导致数百万Tutanota用户停机数小时。由于不同的DNS服务器继续为该域缓存错误的条目，这一事实进一步加剧了服务的宕机。Tutanota是德国端到端加密电子邮件服务提供商，拥有超过200万用户。这家公司经常与ProtonMail等受欢迎的加密电子邮件提供商并驾齐驱。

详情

Tutanota encrypted email service suffers DDoS cyberattacks

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题
2. 域名解析使用CDN
3. 及时对系统及各个服务组件进行版本升级和补丁更新
4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本
5. 受到网络攻击之后，积极进行攻击痕迹、遗留文件信息等证据收集
6. 减少外网资源和不相关的业务，降低被攻击的风险

0x05 其它事件

Apple漏洞允许在iPhone、iPad、iPod上执行代码

日期: 2020年09月18日
等级: 高
来源: THREATPOST
标签: Apple, iPhone, iPod, Code Execution, Privilege Escalation, Vulnerability

苹果更新了iOS和iPadOS操作系统，解决了iPhone、iPad和iPod设备中的一系列漏洞。其中最重要的漏洞之一是特权升级漏洞，影响苹果iOS和iPadOS（最高13.7）。该漏洞被追踪为CVE-2020-9992，如果目标被诱骗打开一个精心编制的文件，则可能会利用该漏洞进行攻击。Siri漏洞允许一个可以实际访问iPhone的人从锁屏上查看通知内容。另一个漏洞与恶意构建的名为UniversalSceneDescription（USD）的3DPixar文件有关，该文件允许对手在特定型号的iOS设备上执行任意代码。

详情

Apple Bug Allows Code Execution on iPhone, iPad, iPod

病人监控软件的安全漏洞

日期: 2020年09月14日
等级: 中
作者: Marianne Kolbasuk McGee
标签: Philips, Vulnerability, Software, Unauthorized

联邦当局和医疗设备制造商飞利浦已经发布了有关公司某些患者监护软件中安全漏洞的安全警报。 在2020年9月10日发布的警报中，飞利浦和国土安全部网络安全与基础设施安全局指出，在某些版本的飞利浦 IntelliVue 患者监护仪系统，患者信息中心 iX 或 PIC 中发现了几个中危安全漏洞。 成功利用这些漏洞可能会导致未经授权的访问，访问信息和患者数据的监视和收集中断。但是，要成功利用这些漏洞，攻击者将需要获得对监视站和患者监护仪的物理访问或对医疗设备网络的访问。

详情

Patient Monitoring Software Vulnerabilities Identified

云服务器上的绝大多数网络攻击都是为了挖掘加密货币

日期: 2020年09月14日
等级: 中
作者: Catalin Cimpanu
标签: Cloud, Malware, Cryptocurrency, DDoS, Images

一项对云蜜罐服务器一年的网络攻击记录的分析显示，绝大多数黑客的目标是云基础设施，目的是部署加密挖掘恶意软件，而不是侵入敏感的企业信息，建立DDoS基础设施，或其他形式的网络犯罪。根据Aqua安全公司的《2020年云原生威胁报告》，该公司在2019年6月至2020年7月期间跟踪并分析了16371次攻击，对云系统的攻击在年初爆发，该公司记录到的攻击比前一年增长250%。在这些攻击中，黑客试图获得对蜜罐服务器的控制，然后下载并部署恶意容器镜像。

详情

Vast majority of cyber-attacks on cloud servers aim to mine cryptocurrency

可以滥用Windows 10 "Finger"命令来下载或窃取文件

日期: 2020年09月15日
等级: 中
作者: Ionut Ilascu
标签: Windows, Finger, Security, LoLBins, Remote, Command

最近有报道称，Windows中可以下载或运行恶意代码的本机可执行文件不断增加。这些被称为“离地的二进制文件”(LoLBins)，可以帮助攻击者绕过安全控制来获取恶意软件而不触发系统上的安全警报。 最新添加的是finger.exe，这是Windows附带的命令，用于在运行Finger服务或守护程序的远程计算机上检索有关用户的信息。通过名称/手指网络通信协议进行通信。 安全研究员JohnPage发现，微软WindowsTCPIPFinger命令还可以作为文件下载器和临时的命令和控制(C3)服务器，用于发送命令和泄露数据。

详情

Windows 10 ‘Finger’ command can be abused to download or steal files

MFA绕过漏洞打开了微软365进行攻击

日期: 2020年09月15日
等级: 中
作者: Elizabeth Montalbano
标签: Microsoft, Cloud, Proofpoint, WS-Trust, Microsoft 365, Authentication

据 Proofpoint 的研究人员称，微软基于云计算的办公生产力平台微软365使用的多因素认证系统的漏洞，为黑客打开了绕过安全系统访问云应用的大门。 在支持 WS-Trust 并与 Microsoft365 (以前称为Office365)一起使用的云环境中， WS-Trust 规范的实现中存在缺陷。 WS-Trust 是一种 OASIS 标准，为 WS-Security 提供扩展，用于更新和验证安全令牌、代理安全消息交换体系结构中的信任关系。研究人员说，问题在于WS-Trust本质上是一种不安全的协议，微软身份提供商(IDPs)实现的规范有各种缺陷。

详情

MFA Bypass Bugs Opened Microsoft 365 to Attack

英国NCSC发布漏洞公开工具包

日期: 2020年09月15日
等级: 中
作者: Pierluigi Paganini
标签: Vulnerability, NCSC, Guideline, Toolkit, Bug reporting

英国国家网络安全中心( NCSC )发布了一份名为漏洞披露工具包的指南，指导如何实施漏洞披露过程。漏洞披露过程可以帮助组织快速处理专家和bug搜寻者报告的漏洞，以降低被入侵的风险。接收漏洞报告可降低缺陷被对手发现和在野外攻击中被利用的风险，并提高组织产品或服务的安全性。

详情

UK NCSC releases the Vulnerability Disclosure Toolkit

IBM Spectrum Protect Plus Security对RCE开放

日期: 2020年09月15日
等级: 中
作者: Lindsey O'Donnell
标签: IBM, Vulnerabilities, RCE, CVSS, Spectrum, Big Blue, Spectrum Protect Plus

IBM已经发布了针对“SpectrumProtectPlus”漏洞的补丁。“SpectrumProtectPlus”是BigBlue在其Spectrum数据存储软件品牌旗下的安全工具。远程攻击者可以利用这些漏洞在易受攻击的系统上执行代码。根据IBMSpectrumProtectPlus的管理控制台中存在的最严重的缺陷（CVE-2020-4703），它可能允许经过身份验证的攻击者上传任意文件，然后可以将其用于在易受攻击的服务器上执行任意代码。Tenable的研究人员在2020年9月14日的咨询中发现了这些缺陷。该漏洞在CVSS上评分为8。

详情

IBM Spectrum Protect Plus Security Open to RCE

地下论坛泄露Cerberus银行木马源代码

日期: 2020年09月16日
等级: 中
作者: Pierluigi Paganini
标签: Trojan, Cerberus, Source Code, Leaked, Underground forums, Banking

在一次拍卖失败后， Cerberus 银行木马的作者在地下黑客论坛上发布了恶意软件的源代码。7月，臭名昭著的 CerberusAndroid 银行木马的作者以5万美元起的价格拍卖了他们的项目，但买家本可以以10万美元完成交易。整个项目包括组件的源代码(恶意的APK、管理面板和C2代码)、安装指南、用于安装的脚本集、具有活动许可证的客户列表，以及客户和潜在买家的联系方式。

详情

Source code of Cerberus banking Trojan leaked on underground forums

Drupal解决了XSS和信息披露缺陷

日期: 2020年09月18日
等级: 中
作者: Pierluigi Paganini
标签: XSS, CMS, Drupal, Information Disclosure

Drupal维护人员解决了流行内容管理系统（CMS）中的几个信息泄漏和跨站点脚本（XSS）漏洞。最严重的漏洞为CVE-2020-13668，是影响Drupal8和9的关键性XSS问题。另外有几个中危漏洞，第一个是信息披露缺陷，为CVE-2020-13670XSS缺陷，影响CMS的版本8和9。第二个中危的XSS漏洞是一个访问旁路缺陷，跟踪CVE-2020-13667，影响Drupal8和9。最后一个漏洞是一个跨站点脚本缺陷，被跟踪为CVE-2020-13669，它影响Drupal7和8。

目前 Drupal 在全球均有分布，具体分布如下图，数据来自于 360 QUAKE

详情

Drupal addressed XSS and information disclosure flaws

Firefox 漏洞可以让你通过WiFi劫持附近的移动浏览器

日期: 2020年09月18日
等级: 中
作者: Catalin Cimpanu
标签: Mozilla, Firefox, Android, WiFi, SSDP

Mozilla 已经修复了一个漏洞，该漏洞可能会在同一个WiFi网络上劫持所有 Android 浏览器的火狐浏览器，迫使用户访问恶意网站，比如钓鱼网页。 这个漏洞是由在 GitLab 工作的澳大利亚安全研究员 ChrisMoberly 发现的。 实际的漏洞存在于 FirefoxSSDP 组件中。SSDP代表简单服务发现协议，是一种机制，通过它 Firefox 可以在同一网络上找到其他设备，以便共享或接收内容(例如，与Roku设备共享视串流)。

详情

Firefox bug lets you hijack nearby mobile browsers via WiFi

相关安全建议

1. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本
2. 及时对系统及各个服务组件进行版本升级和补丁更新
3. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序
4. 严格做好http报文过滤

0x06 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段，对事件相关组件进行监测，请用户联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x07 时间线

2020-09-21 360CERT发布安全事件周报