报告编号：B6-2022-021401

报告来源：360CERT

报告作者：360CERT

更新日期：2022-02-14

0x01   事件导览

本周收录安全热点29项，话题集中在恶意软件、网络攻击方面，涉及的组织有：avast、Kronos、沃达丰、news corp等。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

Pirate Bay克隆软件对数百万用户使用恶意软件和恶意广告

日期: 2022年02月09日
等级: 高
作者: Pierluigi Paganini
标签: CyberNews, VirusTotal
行业: 信息传输、软件和信息技术服务业
涉及组织: google, cloudflare

CyberNews的研究人员发现了海盗湾的五个克隆，每月向超过700万用户提供恶意广告。

根据clean.io的报告，恶意广告在2021年第三季度大幅飙升了231%，特别是在恶意着陆页方面。

令人担忧的是，恶意广告商在网站和移动应用程序上投放的广告一次错位点击，就会使您成为恶意软件的受害者。有时，您甚至不必点击：仅仅查看恶意广告就可能导致您失去对设备和数据的控制。

详情

新的CapraRAT安卓恶意软件针对印度政府和军事人员

日期: 2022年02月07日
等级: 高
作者: Ravie Lakshmanan
标签: RAT, crimsonrat
行业: 政府机关、社会保障和社会组织
涉及组织: youtube

一个有政治动机的高级持续威胁(apt)组织扩大了其恶意软件库，在针对印度军事和外交实体的间谍攻击中包括一种新的远程访问木马(RAT)。

该植入物被trendmicro称为crimsonrat，是一个机器人RAT，表现出与另一种Windows恶意软件“高度交叉”的迹象，与earthkarkaddan有关，这是一种威胁行为，也被追踪到绰号为apt36,operationc-major，mythicleopard，projectm，transparenttribe。

详情

Roaming Mantis 安卓恶意软件瞄准欧洲

日期: 2022年02月07日
等级: 高
作者: Bill Toulas
标签: Roaming Mantis, Android, malware, Europe
行业: 信息传输、软件和信息技术服务业
涉及组织: google, apple

随着研究人员发现德国和法国针对安卓和iPhone用户的恶意应用程序和网络钓鱼页面活动，“RoamingMantis”活动登陆欧洲。

RoamingMantis是一个凭证盗窃和恶意软件分发活动，使用短信钓鱼(smishing)分发恶意的android应用程序作为独立的apk文件在谷歌play商店外。

在过去的四年里，这一活动一直在不断发展，并于2018年首次被发现，通过DNS黑客攻击日本的安卓智能手机用户。后来，它通过网络钓鱼页面来窃取ios用户的身份，并将目标国家扩大到包括台湾和韩国。

详情

威胁行动方通过假应用攻击印度军队人员

日期: 2022年02月07日
等级: 高
作者: Soumik Ghosh
标签: armaan, Fake Apps, Indian Army
行业: 政府机关、社会保障和社会组织
涉及组织: microsoft

安全研究人员称，攻击者通过创建军事人员使用的合法应用程序的虚假恶意版本，将印度军队作为攻击目标。

armaan是一款军方人员用来访问内部信息和服务的应用程序，这个版本的armaan是由一个独立的网络安全研究小组运行的恶意软件猎人团队发现的。

详情

LockBit, BlackCat, Swissport, Oh My! 勒索软件活动仍然活跃

日期: 2022年02月07日
等级: 高
来源: threatpost
标签: LockBit, BlackCat, Swissport, Oh My, Swissport, 勒索攻击
行业: 交通运输、仓储和邮政业
涉及组织: c-suite, fbi

执法部门、高管和整个网络安全社区一直专注于阻止代价高昂且破坏性的勒索软件攻击,在某种程度上，它似乎正在发挥作用。尽管如此，LockBit2.0和BlackCat团伙最近的举动，以及对Swissport机场地面物流公司的打击，表明这一祸害远未结束。

Coveware报告称，发起勒索软件攻击的成本和风险比以往任何时候都要高，勒索软件组织通过减少攻击和更高的勒索软件需求来应对，发现去年第四季度的平均勒索软件支付量攀升了130%，达到322168美元。同样，Coveware发现赎金中位数增长了63%，高达117116美元。

详情

Medusa恶意软件增加了Android短信钓鱼网络攻击的数量

日期: 2022年02月08日
等级: 高
来源: heimdalsecurity
标签: Medusa, tanglebot, Phishing, Android
行业: 金融业
涉及组织: amazon

Medusa恶意软件被发现针对多个地理区域。它的目标是金融欺诈和网络身份盗窃。

来自威胁组织研究人员的一份新报告透露了更多关于medusa恶意软件的细节，揭示了这种银行木马所采用的最新方法。

Medusa恶意软件，也被称为tanglebot，已经在北美和欧洲的活动中使用了类似于flubot恶意软件的分发服务，研究人员证实，Medusa目前在短信钓鱼活动开发过程中使用了与flubot相同的服务。也有人认为，这种方法是在看到flubot运动的成功后采用的。

详情

由于Kronos勒索软件攻击，彪马遭受数据泄露

日期: 2022年02月08日
等级: 高
来源: heimdalsecurity
标签: kronos, Puma, Ransomware, Data Breach
行业: 批发和零售业
涉及组织: experian, Puma, kronos

人力管理解决方案提供商kronos在2021年12月遭受了一次勒索软件攻击，导致其许多基于云计算的解决方案中断了数周。

Kronos是一家人力资源和劳动力管理公司，为计时、薪酬和福利、分析和其他任务提供基于云的解决方案。2020年，kronos和ultimatesoftware合并，成立了一个新的组织ukg。

设计和制造运动和休闲鞋类的德国跨国公司彪马在kronos遭受勒索软件攻击后数据遭到泄露。

详情

伪造的Windows 11升级安装程序会让您感染RedLine恶意软件

日期: 2022年02月09日
等级: 高
作者: Bill Toulas
标签: Windows 10, Windows 11, RedLine
行业: 信息传输、软件和信息技术服务业
涉及组织: google, microsoft

威胁行为者已经开始向Windows10的用户分发伪造的Windows11升级安装程序，诱使他们下载和执行RedLine窃取者恶意软件。

攻击的时间恰逢微软宣布Windows11的广泛部署阶段，因此攻击者已经为此举做好了充分的准备，并等待合适的时机来最大化其运营的成功。

据惠普的研究人员称，他们已经发现了这个活动，攻击者使用看似合法的"windows-upgraded.com"域名作为他们活动的恶意软件分发部分。

详情

Molerats黑客在高度规避的活动中部署新的恶意软件

日期: 2022年02月09日
等级: 高
作者: Bill Toulas
标签: Molerats, APT, TA402, Molets, APT舆情
行业: 政府机关、社会保障和社会组织
涉及组织: dropbox

与巴勒斯坦人结盟的APT组织被追踪为TA402（又名Molets），在网络间谍活动中被发现使用名为"NimbleMamba"的新植入物，该活动利用地理围栏和URL重定向到合法网站。

该运动是由Proofpoint发现的，其分析师观察到感染链的三种变化，都针对中东国家的政府，外交政策智囊团和一家国有航空公司。

详情

FritzFrog僵尸网络增长10倍，针对医疗保健，教育和政府系统

日期: 2022年02月10日
等级: 高
作者: Bill Toulas
标签: FritzFrog, Golang, P2P, 僵尸网络, Tor
行业: 跨行业事件
涉及组织: wordpress, github

活跃了两年多的FritzFrog僵尸网络以惊人的感染率重新浮出水面，在短短一个月内袭击了大量医疗保健，教育和政府系统。

该恶意软件于2020年8月被发现，用Golang编写的，被认为是一种复杂的威胁，它依赖于自定义代码，在内存中运行，并且是分散的-点对点（P2P），因此它不需要中央管理服务器。

新的僵尸网络变体的运营商还准备向目标WordPress服务器添加新功能。

详情

旧金山49人NFL球队遭到BlackByte勒索软件攻击

日期: 2022年02月13日
等级: 高
作者: Pierluigi Paganini
标签: San Francisco, NFL team, 49ers, BlackByte, ransomware
行业: 文化、体育和娱乐业
涉及组织: fbi

旧金山49人NFL球队的it网络遭到勒索软件攻击。

blackbyte勒索软件将NFL球队添加到暗网泄漏网站的受害者名单中，并对外公开了这次攻击。

相关记录指出，如果这支球队获得了超级碗(superbowllvi)的参赛资格，此次攻击的后果就会是灾难性的，因为这对球队的准备工作造成了巨大影响。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

flexbooker遭遇数据泄露，370万客户信息曝光

日期: 2022年02月12日
等级: 高
作者: Prajeet Nair
标签: flexbooker, aws
行业: 信息传输、软件和信息技术服务业
涉及组织: amazon, flexbooker

flexbooker在两个月内第二次遭遇亚马逊网络服务(aws)云基础设施漏洞。在2021年12月23日，黑客成功地对该公司的aws服务器进行了ddos攻击，导致其网络大面积中断，黑客得以窃取370万用户的数据，包括相当多的个人身份信息、id、哈希密码和部分信用卡号码。

详情

华盛顿州许可部门涉嫌数据泄露

日期: 2022年02月07日
等级: 高
作者: Jessica Haworth
标签: Data Breach, US, Government, Data Leak, Privacy, North America, Database Security, Hacking News, Cyber-attacks, Cybercrime, Network Securi
行业: 政府机关、社会保障和社会组织

据DOL称，该事件发生在1月24日，当时它意识到涉及专业和职业执照数据的可疑活动。

作为预防措施，它已暂停其专业在线许可和监管信息系统（POLARIS）平台，以保护专业被许可人的个人信息。

POLARIS系统存储有关其专业和营业执照持有人和申请人的信息，包括社会安全号码、出生日期、驾驶执照号码和其他个人身份信息。

详情

克罗地亚电话运营商数据泄露影响20万客户

日期: 2022年02月11日
等级: 高
作者: Bill Toulas
标签: phone carrier, croatian, a1 hrvatska
行业: 信息传输、软件和信息技术服务业
涉及组织: a1 hrvatska

克罗地亚电话运营商“a1hrvatska”披露了一起数据泄露事件，该公司10%的客户(约20万人)的个人信息被泄露。泄漏的信息类型包括全名、个人识别号码、物理地址和电话号码。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

黑客在活动前几天入侵了中国全运会的一台服务器

日期: 2022年02月07日
等级: 高
作者: Pierluigi Paganini
标签: National Games of China
行业: 文化、体育和娱乐业

网络安全公司avast的研究人员发现，一个中国攻击者曾破坏了2021年中国全国运动会的系统。

该赛事于2021年9月15日在中国陕西举行，是国家版的奥运会，只有当地运动员参加。9月3日，攻击者入侵了一个网络服务器，并部署了多个反向网络外壳，在目标网络中建立了一个永久据点。

详情

自2021年10月以来，俄罗斯Gamaredon APT将目标对准了乌克兰

日期: 2022年02月07日
等级: 高
作者: Pierluigi Paganini
标签: gamaredon, Russian, Ukraine
行业: 国际组织
涉及组织: microsoft

微软表示，与俄罗斯有关的网络间谍组织gamaredon(又名Armageddon，原始熊，actinium)自2021年10月以来一直在针对与乌克兰事务有关的乌克兰实体和组织进行鱼叉式网络钓鱼攻击。

详情

巴勒斯坦黑客在最近的攻击中使用了新的NimbleMamba植入物

日期: 2022年02月08日
等级: 高
作者: Ravie Lakshmanan
标签: molerats, nimblemamba, Palestinian, ta402
行业: 跨行业事件
涉及组织: wordpress, dropbox

一个高级持续威胁(apt)黑客组织的行动动机可能与巴勒斯坦一致，他们开始了一项新的行动，利用一种以前没有记录的植入物，称为nimblemamba。

企业安全公司proofpoint在一份报告中称，此次入侵攻击者利用了一个复杂的攻击链，目标是中东各国政府、外交政策智库和一家国有航空公司，并将此次秘密行动归咎于一名追踪到molerats(又名ta402)的攻击者。

详情

ACTINIUM黑客组织以政府、军方和非政府组织为目标，窃取敏感数据

日期: 2022年02月08日
等级: 高
作者: BALAJI N
标签: Gamaredon, spear-phishing
行业: 跨行业事件
涉及组织: twitter, microsoft, facebook, reddit, linkedin, whatsapp

微软最近宣布，一个名为Gamaredon的网络安全黑客组织正在创建一系列鱼叉式网络钓鱼电子邮件。

但是，在最近的事件中，已经检测到ACTINIUM黑客组织的运营商正在针对以下乌克兰部门窃取敏感数据：-政府，军队，非政府组织，司法，执法。

详情

沃达丰葡萄牙遭遇大规模网络攻击

日期: 2022年02月08日
等级: 高
作者: Pierluigi Paganini
标签: cyberattack , 4G, 5G, Lapsus, 勒索攻击
行业: 信息传输、软件和信息技术服务业

据媒体报道，沃达丰葡萄牙遭受了重大网络攻击，导致该国服务中断，媒体报道了4G/5G通信和电视服务的暂时中断。

在该公司发布的公告中写道"沃达丰是2022年2月7日晚开始的网络中断的目标，这是由于蓄意和恶意的网络攻击，旨在造成破坏和中断。一旦检测到网络上出现问题的第一个迹象，沃达丰立即采取行动，以识别和控制影响并恢复服务，这种情况正在影响基于数据网络的服务提供，即4G/5G网络、固定语音、电视、短信和语音/数字应答服务。沃达丰将这一事件标记为"蓄意和恶意的攻击，旨在造成损害"，该公司目前没有证据表明客户数据因攻击而被访问。

详情

Kimsuky黑客将商品RAT与自定义的Gold Dragon恶意软件一起使用

日期: 2022年02月08日
等级: 高
作者: Bill Toulas
标签: Kimsuky, xRAT , Gold Dragon, APT舆情
行业: 信息传输、软件和信息技术服务业

韩国研究人员发现了来自Kimsuky黑客组织的新一波活动，涉及商品开源远程访问工具及其自定义后门GoldDragon。

Kimsuky是朝鲜国家支持的黑客组织，也被称为TA406，自2017年以来一直积极参与网络间谍活动。

该小组展示了令人印象深刻的操作多功能性和威胁活动的多元化，从事恶意软件分发，网络钓鱼，数据收集甚至加密货币盗窃。

在ASEC（AhnLab）分析师发现的最新活动中，Kimsuky使用xRAT对韩国实体进行有针对性的攻击。该活动于2022年1月24日开始，目前仍在进行中。

详情

俄罗斯黑客APT29利用COVID-19诱饵瞄准欧洲外交官

日期: 2022年02月09日
等级: 高
作者: Ravie Lakshmanan
标签: APT29, Cobalt Strike Beacon, COVID-19, APT舆情
行业: 国际组织
涉及组织: microsoft

与俄罗斯有联系的威胁行为者APT29针对欧洲外交使团和外交部，作为2021年10月和11月发起的一系列鱼叉式网络钓鱼活动的一部分。

根据ESET与TheHackerNews分享的T32021威胁报告，入侵为在受感染的系统上部署CobaltStrikeBeacon铺平了道路，然后利用立足点丢弃其他恶意软件，以收集有关主机和同一网络中其他计算机的信息。

涉及漏洞

CVE-2021-36934

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-36934

详情

伊朗黑客在“Out to Sea”间谍活动中使用新的Marlin后门

日期: 2022年02月09日
等级: 高
作者: Ravie Lakshmanan
标签: OilRig, APT34, Lyceum, APT舆情
行业: 跨行业事件

一个与伊朗有联系的高级持续威胁（APT）组织已经更新了其恶意软件工具集，包括一个名为Marlin的新后门，作为2018年4月开始的长期间谍活动的一部分。

斯洛伐克网络安全公司ESET将这些代号为"OuttoSea"的攻击归因于一个名为OilRig（又名APT34）的威胁行为者，同时也最终将其活动与以Lyceum（HexaneakaSiameseKitten）的名义跟踪的第二个伊朗组织联系起来。

详情

MageCart攻击浪潮针对数百个过时的Magento网站

日期: 2022年02月09日
等级: 高
作者: Bill Toulas
标签: Magento, MageCart, Quickview, 漏洞攻击
行业: 批发和零售业

安全研究人员已经发现了运行Magento1平台的500多家电子商务商店大规模违规的来源。

2022年1月，Sansec在一天内发现374个感染，攻击开始变得频繁，并且这些攻击都使用相同的恶意软件。黑客加载恶意软件的域是naturalfreshmall[.]com，目前处于离线状态，黑客的目标是窃取目标在线商店上客户的信用卡信息。

详情

黑客组织“ModifiedElephant”活动十年来一直未被发现

日期: 2022年02月10日
等级: 高
作者: Bill Toulas
标签: ModifiedElephant, NetWire, DarkComet, APT舆情
行业: 政府机关、社会保障和社会组织

十年来，一个名为ModifiedElephant的高级持续威胁（APT）参与者一直在使用策略，使其能够在最大程度的保密状态下运行，而无需网络安全公司将攻击之间的点连接起来。

这群特殊的黑客通过鱼叉式网络钓鱼使用现成的特洛伊木马，自2012年以来一直针对印度的人权活动家，言论自由捍卫者，学者和律师。

恶意电子邮件推送键盘记录程序和远程访问木马，如NetWire和DarkComet，甚至Android恶意软件。

涉及漏洞

cve-2012-0158

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2012-0158

cve-2013-3906

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2013-3906

cve-2014-1761

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2014-1761

cve-2015-1641

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1641

详情

FBI警告称美国公民在2021的SIM交换攻击中损失了6600多万美元

日期: 2022年02月10日
等级: 高
作者: Pierluigi Paganini
标签: SIM swap attacks, FBI
行业: 信息传输、软件和信息技术服务业
涉及组织: fbi

美国联邦调查局(FBI)发现，通过劫持受害者的手机号码来获取数百万美元资金的sim卡交换攻击活动正在扩张。

FBI的报告称，美国公民在2021年因模拟交换攻击而损失了逾6800万美元，自2018年以来投诉数量和相关损失增加了近5倍。

详情

APT组织“ModifiedElephant”十年来一直在隐匿行踪

日期: 2022年02月10日
等级: 高
作者: Bill Toulas
标签: ModifiedElephant, APT
行业: 跨行业事件

十年来，被追踪为ModifiedElephant的APT组织，使用的隐匿策略使其能够在极度保密的情况下运作。

自2012年以来，该APT组织利用现成的木马程序，通过鱼叉式网络钓鱼，一直在攻击印度的人权活动人士、言论自由捍卫者、学者和律师。

涉及漏洞

cve-2012-0158

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2012-0158

cve-2013-3906

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2013-3906

cve-2014-1761

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2014-1761

cve-2015-1641

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1641

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   其它事件

DPD组包裹跟踪缺陷可能暴露了客户数据

日期: 2022年02月07日
等级: 高
作者: Bill Toulas
标签: DPD, exposed data, API
行业: 交通运输、仓储和邮政业
涉及组织: DPD

DPD集团的包跟踪系统中存在未经验证的API调用漏洞，有可能被利用来访问客户的个人身份信息。

DPD集团是一家全球性的包裹递送服务公司，每年在全球运送约20亿件包裹。为了跟踪包裹的状态和位置，客户需要输入包裹代码和邮政编码，如果他们匹配数据库中的有效条目，他们就有权查看运送细节。

研究人员探索了这个系统，发现他们可以在API调用中尝试包裹代码，并获得带有收件人在地图上位置的开放街图地址。

详情

渥太华卡车司机抗议活动捐赠网站现安全漏洞：捐赠者数据遭曝光

日期: 2022年02月09日
等级: 高
作者: cnBeta.COM
标签: GiveSendGo, Freedom, Convoy, COVID-19, GoFundMe, 漏洞攻击, 数据泄露
行业: 交通运输、仓储和邮政业

获悉，目前在渥太华抗议加拿大国家疫苗规定的卡车司机使用的捐赠网站已经修复了一个安全漏洞，该漏洞暴露了捐赠者的护照和驾驶执照。位于马萨诸塞州波士顿的捐赠服务GiveSendGo成为FreedomConvoy的主要捐赠服务商，此前GoFundMe冻结了数百万美元的捐赠，理由是警方报告了该市的暴力和骚扰。

详情

PHP Everywhere RCE漏洞威胁着成千上万的WordPress网站

日期: 2022年02月09日
等级: 高
作者: Bill Toulas
标签: WordPress, RCE, PHP Everywhere, 漏洞攻击
行业: 信息传输、软件和信息技术服务业
涉及组织: wordpress

研究人员在WordPress的"PHPEverywhere"插件中发现了三个关键的远程执行代码（RCE）漏洞，该插件被全球30，000多个网站使用。

PHPEverywhere是一个插件，允许WordPress管理员在页面，帖子，侧边栏或任何Gutenberg块中插入PHP代码，并使用它来显示基于计算的PHP表达式的动态内容。

涉及漏洞

cve-2022-24663

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2022-24663

cve-2022-24664

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2022-24664

cve-2022-24665

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2022-24665

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x08   时间线

2022-02-14 360CERT发布安全事件周报