报告编号:B6-2021-090601
报告来源:360CERT
报告作者:360CERT
更新日期:2021-09-06
0x01 事件导览
本周收录安全热点19
项,话题集中在网络攻击
、数据安全
方面,涉及的组织有:Microsoft
、Bilaxy
、曼谷航空
、Confluence
等。多个新冠相关机构遭遇信息泄露。对此,360CERT建议使用360安全卫士
进行病毒检测、使用360安全分析响应平台
进行威胁流量检测,使用360城市级网络安全监测服务QUAKE
进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
0x02 事件目录
恶意程序 |
---|
BazaLoader 恶意软件隐藏在虚假的 DMCA 和 DDoS 投诉中 |
曼谷航空高管为数据泄露道歉 |
卡巴斯基实验室报告了能自动窃取资金的 Android 木马程序 |
警惕“Windows 11 Alpha”附件 |
数据安全 |
---|
印度尼西亚政府的新冠病毒检测程序泄漏130万用户信息 |
富士通称暗网上出售的被盗数据与客户有关 |
泄露的包含 Guntrader 客户详细信息的数据文件已被共享 |
DuPage 医疗集团患者的数据被泄露 |
70 万法国人的 Covid 测试结果在线泄露 |
网络攻击 |
---|
美国政府警告组织修补被大规模利用的 Confluence 漏洞 |
对瑞士城市的勒索软件攻击暴露了公民的数据 |
微软警告滥用开放重定向链接的凭据网络钓鱼攻击 |
攻击者试图利用最近修补的 Atlassian Confluence CVE-2021-26084 RCE |
Autodesk 透露它是俄罗斯 SolarWinds 黑客的目标 |
加密货币交易所 Bilaxy 受到攻击,黑客窃取了 ERC20 钱包代币 |
据报道,新西兰的主要 IPS 遭受大规模 DDoS 攻击 |
其它事件 |
---|
蓝牙 BrakTooth 漏洞可能影响数十亿台设备 |
Microsoft Exchange ProxyToken 漏洞可能允许黑客窃取用户电子邮件 |
0x03 恶意程序
BazaLoader 恶意软件隐藏在虚假的 DMCA 和 DDoS 投诉中
日期: 2021年08月30日 等级: 高 来源: heimdalsecurity 标签: bazaloader, Malware, DDoS, fake messages 行业: 信息传输、软件和信息技术服务业 涉及组织: google, microsoft
bazaloader恶意软件开发人员想出了一个新主意,试图欺骗受害者打开恶意文档。
恶意软件bazaloader的攻击者目前正在向网站所有者发送虚假信息,告知他们的网站正在遭受分布式拒绝服务(ddos)攻击,这些信息包括一个法律警告和一个保存在谷歌驱动器文件夹中的文件。
详情
BazaLoader Malware Hides in False DMCA and DDoS Complaints曼谷航空高管为数据泄露道歉
日期: 2021年08月30日 等级: 高 作者: Doug Olenick 标签: Bangkok Airways, Data Breach, LockBit 行业: 交通运输、仓储和邮政业
曼谷航空公司(BangkokAirways)表示就数据泄露事件道歉。
最初的入侵发生在8月23日,到目前为止,调查发现攻击者可能已经访问了一些个人数据。
根据暗网威胁情报公司DarkTracer的一条推特消息,LockBit勒索软件团伙声称他们从航空公司获取了200GB的数据,如果他们的要求得不到满足,他们将会把部分数据公开。
详情
Bangkok Airways Execs Apologize for Data Breach卡巴斯基实验室报告了能自动窃取资金的 Android 木马程序
日期: 2021年09月02日 等级: 高 来源: ehackingnews 标签: Android Malware, Hacking Mobile, Mobile Security, Mobile Virus 行业: 金融业
卡巴斯基实验室的移动威胁首席研究员viktorchebyshev在接受俄罗斯报纸izvestia采访时谈到了自动与银行应用程序交互的安卓木马程序。
在渗透进智能手机后,木马会激励用户打开特定信用机构的应用程序并登录。
然后恶意软件会自动点击必要的“按钮”进行汇款。这种情况发生得如此之快,以至于受害者没有时间通过视觉迹象来怀疑任何事情。
详情
Kaspersky Lab has reported about Android viruses designed to steal money automatically警惕“Windows 11 Alpha”附件
日期: 2021年09月04日 等级: 高 作者: Ionut Ilascu 标签: Windows 11 , Microsoft Word, fin7, malware 行业: 信息传输、软件和信息技术服务业 涉及组织: microsoft, amd, intel
攻击者最近部署了一个恶意软件活动,该活动使用Windows11主题来引诱收件人激活放置在MicrosoftWord文档中的恶意代码。
安全研究人员认为,该活动背后的对手可能是专门窃取支付卡数据的fin7网络犯罪集团,也称为carbanak和navigator。
详情
Watch out for new malware campaign’s 'Windows 11 Alpha' attachment相关安全建议
1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
3. 及时对系统及各个服务组件进行版本升级和补丁更新
4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
5. 各主机安装EDR产品,及时检测威胁
6. 注重内部员工安全培训
7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序
8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理
0x04 数据安全
印度尼西亚政府的新冠病毒检测程序泄漏130万用户信息
日期: 2021年09月01日 等级: 高 作者: Deeba Ahmed 标签: breach, COVID-19, ElasticSearch, Indonesia, LEAKS, Privacy 行业: 卫生和社会工作 涉及组织: elasticsearch, whatsapp
根据印度尼西亚卫生部官员AnasMa’ruf的说法,该国的COVID-19测试和追踪应用程序存在固有的安全漏洞,大约130万人的个人信息和健康状况因此而暴露。
详情
Indonesian Govt’s COVID-19 test, trace app leak impacting 1.3m users富士通称暗网上出售的被盗数据与客户有关
日期: 2021年08月30日 等级: 高 作者: Jonathan Greig 标签: Fujitsu, dark web, customers data 行业: 信息传输、软件和信息技术服务业 涉及组织: twitter, Fujitsu
日本科技巨头富士通的数据被一个名为marketo的组织在暗网上出售,但该公司表示,这些信息似乎与客户,而不是与他们的系统有关。
marketo表示,有4GB的被盗数据并正在出售。
他们提供了数据样本,并声称他们拥有机密的客户信息、公司数据、预算数据、报告和其他公司文件。
详情
Fujitsu says stolen data being sold on dark web 'related to customers'泄露的包含 Guntrader 客户详细信息的数据文件已被共享
日期: 2021年09月01日 等级: 高 来源: heimdalsecurity 标签: guntrader, guns, Data breach 行业: 批发和零售业 涉及组织: google
Guntrader,被称为枪支销售之家。最近,超过111,000名英国枪支拥有者的姓名和属于guntrader客户的家庭地址(包含在一个与谷歌地球兼容的csv文件中)在网上泄露,该文件将家庭住宅定位为可能的枪支存放位置。
详情
The Leaked Data File Containing Details About the Guntrader Customers Has Been SharedDuPage 医疗集团患者的数据被泄露
日期: 2021年09月01日 等级: 高 来源: heimdalsecurity 标签: DuPage, Medical Group, Cyberattack, Data Breach 行业: 卫生和社会工作
DuPage医疗集团提供者目前正在通知他们的患者(超过60万名),他们的姓名、地址、出生日期、治疗日期等敏感信息可能已被泄露。
根据该组织的新闻稿,DuPage医疗集团在7月份遭受了网络攻击,在7月12日至7月13日期间,杜帕奇医疗集团的网络被未经授权攻击者访问,导致其网络系统中断了近一周。
详情
Patients at DuPage Medical Group May Have Had Their Data Compromised Following a Cyberattack70 万法国人的 Covid 测试结果在线泄露
日期: 2021年09月02日 等级: 高 来源: heimdalsecurity 标签: francetest, Covid, French 行业: 卫生和社会工作 涉及组织: wordpress
francetest是一家专门从事将在法国药店进行的Covid测试的数据传输到si-dep平台的公司,该公司卷入了一起事件,该事件导致700,000个Covid测试结果被暴露在网上。此外,相关的姓名、出生日期、地址和电子邮件地址、电话和社会安全号码等敏感信息也被泄露。
详情
700k French Individuals Had Their Covid Test Results Leaked Online相关安全建议
1. 及时备份数据并确保数据安全
2. 合理设置服务器端各种文件的访问权限
3. 严格控制数据访问权限
4. 及时检查并删除外泄敏感数据
5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施
6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施
0x05 网络攻击
美国政府警告组织修补被大规模利用的 Confluence 漏洞
日期: 2021年09月03日 等级: 高 作者: Sergiu Gatlan 标签: US govt, Atlassian Confluence, vulnerability 行业: 跨行业事件 涉及组织: cisa
美国网络司令部(uscybercom)2021年9月3日发布了一个罕见的警报,敦促美国组织立即修补一个被大规模利用的AtlassianConfluence严重漏洞,因为攻击者正在对AtlassianConfluencecve-2021-26084进行大规模利用。
涉及漏洞
cve-2021-26084
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-26084
详情
US govt warns orgs to patch massively exploited Confluence bug对瑞士城市的勒索软件攻击暴露了公民的数据
日期: 2021年08月30日 等级: 高 作者: Mihir Bagwe 标签: Ransomware, Swiss, Citizens' Data, darknet 行业: 政府机关、社会保障和社会组织 涉及组织: cisco
瑞士日内瓦湖附近的罗尔市的官员承认,他们最初对最近一次勒索软件攻击的影响判断错误,但瑞士新闻机构沃森(Watson)报道称,网络犯罪分子在一个暗网勒索网站上发布了大量泄露的机密文件。其后,官员们承认,他们低估了事件的严重性。
详情
Ransomware Attack on Swiss City Exposed Citizens' Data微软警告滥用开放重定向链接的凭据网络钓鱼攻击
日期: 2021年08月31日 等级: 高 作者: Waqas 标签: Captcha, Microsoft, Phishing, security, Windows 行业: 信息传输、软件和信息技术服务业 涉及组织: microsoft
微软(Microsoft)已就一场新的大规模网络钓鱼(phishing)活动发出警告。
在这场活动中,攻击者正在滥用开放的重定向链接,将用户转移到恶意网站,并窃取微软Office365的证书。
根据微软发布的报告,在这次活动中,攻击者正在使用社会工程技术来冒充流行的生产力工具/服务,以便迫使用户点击恶意链接。
详情
Microsoft warns of credential phishing attack abusing open redirect links攻击者试图利用最近修补的 Atlassian Confluence CVE-2021-26084 RCE
日期: 2021年09月02日 等级: 高 作者: Pierluigi Paganini 标签: Atlassian, Confluence, ognl injection, vulnerability 行业: 信息传输、软件和信息技术服务业 涉及组织: Atlassian
Atlassian修补了的Confluence企业协作产品几天后,发现攻击者利用了cve-2021-26084漏洞。
Atlassian发布了安全补丁,以解决影响Confluence企业协作产品的cve-2021-26084漏洞。该漏洞是一个ognl注入,经过身份验证的攻击者可以利用它在受影响的Confluence服务器和数据中心实例上执行任意代码。
涉及漏洞
cve-2021-26084
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-26084
详情
Attackers are attempting to exploit recently patched Atlassian Confluence CVE-2021-26084 RCEAutodesk 透露它是俄罗斯 SolarWinds 黑客的目标
日期: 2021年09月02日 等级: 高 作者: Sergiu Gatlan 标签: SolarWinds, Autodesk, supply chain attack 行业: 信息传输、软件和信息技术服务业 涉及组织: linkedin
Autodesk在发现其一台服务器安装了sunburst恶意软件后门近9个月后,已经证实,它也成为了大规模Solarwindsorion供应链攻击背后的俄罗斯国家黑客的目标。
详情
Autodesk reveals it was targeted by Russian SolarWinds hackers加密货币交易所 Bilaxy 受到攻击,黑客窃取了 ERC20 钱包代币
日期: 2021年09月05日 等级: 高 来源: ehackingnews 标签: Bilaxy, cryptocurrency, Cyber Attacks. Machine learning, Tokens 行业: 金融业
2021年8月29日,总部位于香港的加密货币交易所bilaxy遭到入侵,其系统中的一个热钱包被入侵,导致295个价值超过2100万美元的erc-20代币被交易到一个钱包。
详情
Cryptocurrency Exchange Bilaxy Under Attack, Hacker Stole ERC20 Wallet Tokens据报道,新西兰的主要 IPS 遭受大规模 DDoS 攻击
日期: 2021年09月05日 等级: 高 作者: Pierluigi Paganini 标签: New Zealand, vocus isp, ddos 行业: 信息传输、软件和信息技术服务业 涉及组织: vocus isp
vocus是新西兰第三大互联网运营商,在澳大利亚和新西兰提供零售、批发和企业电信服务。2021年9月3日,vocusisp遭受了大规模的DDoS攻击,使该国部分地区与互联网隔离。
详情
Major IPS in New Zealand hit by massive DDoS, Internet outages reported相关安全建议
1. 积极开展外网渗透测试工作,提前发现系统问题
2. 减少外网资源和不相关的业务,降低被攻击的风险
3. 做好产品自动告警措施
4. 及时对系统及各个服务组件进行版本升级和补丁更新
5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
6. 注重内部员工安全培训
0x06 其它事件
蓝牙 BrakTooth 漏洞可能影响数十亿台设备
日期: 2021年09月02日 等级: 高 作者: Ionut Ilascu 标签: braktooth, Bluetooth, vulnerabilities 行业: 制造业 涉及组织: microsoft, intel
统称为braktooth的漏洞正在影响来自十多个供应商的片上系统(soc)电路上实现的蓝牙堆栈。
这一系列问题影响了从消费电子产品到工业设备的各种设备。
漏洞类型包括拒绝服务攻击、设备死锁状态、任意代码执行。
涉及漏洞
cve-2021-28139
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-28139
cve-2021-34144
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34144
cve-2021-28136
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-28136
cve-2021-28135
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-28135
cve-2021-28155
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-28155
cve-2021-31717
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-31717
cve-2021-31609
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-31609
cve-2021-31612
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-31612
cve-2021-34150
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34150
cve-2021-31613
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-31613
cve-2021-31611
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-31611
cve-2021-31785
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-31785
cve-2021-31786
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-31786
cve-2021-31610
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-31610
cve-2021-34149
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34149
cve-2021-34146
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34146
cve-2021-34143
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34143
cve-2021-34145
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34145
cve-2021-34148
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34148
cve-2021-34147
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34147
详情
Bluetooth BrakTooth bugs could affect billions of devicesMicrosoft Exchange ProxyToken 漏洞可能允许黑客窃取用户电子邮件
日期: 2021年08月31日 等级: 高 来源: heimdalsecurity 标签: Microsoft, Exchange, ProxyToken, Emails 行业: 制造业 涉及组织: microsoft
微软Exchange服务器中的一个严重漏洞称为proxytoken,该漏洞不需要身份验证即可从目标帐户访问电子邮件,攻击者可以通过在Exchange控制面板(ecp)应用程序构造特殊请求,成功利用该漏洞后,黑客能够以这种方式从受害者的收件箱中窃取消息。
详情
A Microsoft Exchange ProxyToken Bug May Allow Hackers to Steal User Emails相关安全建议
1. 及时对系统及各个服务组件进行版本升级和补丁更新
2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
0x07 产品侧解决方案
若想了解更多信息或有相关业务需求,可移步至http://360.net
360城市级网络安全监测服务
360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
0x08 时间线
2021-09-06 360CERT发布安全事件周报