报告编号：B6-2021-092701

报告来源：360CERT

报告作者：360CERT

更新日期：2021-09-27

0x01   事件导览

本周收录安全热点31项，话题集中在恶意软件、网络攻击方面，涉及的组织有：VoIP.Ms、VMware、pNetwork、Microsoft等。黑客组织利用MSHTML漏洞大肆攻击。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

美国农民合作社遭受blackmatter勒索攻击，要求支付赎金590万美元

日期: 2021年09月20日
等级: 高
作者: Lawrence Abrams
标签: blackmatter, farmer cooperative, ransomware
行业: 政府机关、社会保障和社会组织
涉及组织: cisa

美国农民合作社遭到blackmatter勒索软件攻击，被要求支付590万美元，以防止泄露被盗数据并提供解密器，如果5天内没有支付赎金，赎金将增加到1180万美元。

详情

图拉黑客组织发起新的后门攻击美国和阿富汗

日期: 2021年09月21日
等级: 高
作者: Charlie Osborne
标签: Turla, APT
行业: 跨行业事件

最近发现了俄罗斯TurlaAPT组织使用的一个新后门。特点如下：

-在美国、德国以及最近在阿富汗看到了攻击和感染。

-它很可能被用作持续后门，以保持对受感染设备的访问

-它可用于下载、上传和/或执行文件。

-后门代码非常简单，但足够使用

详情

BlackMatter袭击爱荷华州农民合作社

日期: 2021年09月21日
等级: 高
来源: threatpost
标签: BlackMatter, NEW Cooperative
行业: 政府机关、社会保障和社会组织
涉及组织: NEW Cooperative

BlackMatter组织因袭击名为NEWCooperative的爱荷华州农民合作社。据报道，袭击背后的攻击者要求提供590万美元的赎金以提供解密器，如果在五天内不支付，赎金将增加到1190万美元。

这家位于爱荷华州的组织是一家饲料和谷物合作社，拥有50个地点。它为其农民网络提供各种数字和软件服务。据报道，由于这次攻击，它不得不关闭其业务，并且如果不支付赎金，它还将面临BlackMatter泄露被盗数据的威胁。

详情

俄罗斯黑客使用TinyTurla恶意软件作为二级后门

日期: 2021年09月21日
等级: 高
作者: Ionut Ilascu
标签: turla apt, tinyturla, Russian, backdoor
行业: 政府机关、社会保障和社会组织
涉及组织: cisa, cisco, intel

俄罗斯黑客turlaapt已经在过去的一年里使用新的恶意软件，破坏了美国、德国和阿富汗的系统。由于其有限的功能和简单的编码风格，这个恶意软件被命名为tinyturla。至少从2020年就开始使用了，由于它十分简单，能绕过恶意软件检测系统，因此很难被发现。

详情

美国财政部将俄罗斯加密交易所列入黑名单

日期: 2021年09月22日
等级: 高
作者: Dan Gunderman
标签: Suex, US Treasury, Russia, crypto exchange
行业: 金融业
涉及组织: fbi

美国财政部将俄罗斯加密货币交易所Suex列入黑名单，据称Suex为勒索软件运营商、诈骗者和暗网市场洗钱数千万美元。

这是首次对虚拟货币交易所进行此类认定，也是拜登政府破坏勒索软件金融基础设施的举措。

详情

新的Mac恶意软件冒充合法的macOS工具欺骗用户

日期: 2021年09月23日
等级: 高
来源: ehackingnews
标签: Chinese Search Engine, iTerm2, Mac Malware, malware
行业: 信息传输、软件和信息技术服务业
涉及组织: google, apple

中国网络安全研究人员发现了一种通过搜索引擎结果传播的新型恶意软件。

这个名为“osx.zuru”的恶意软件伪装成合法的macos工具iterm2。目前，攻击者仅针对中国百度搜索引擎。

攻击者通过模仿原始iterm2网站的网站传播iterm2恶意软件。试图从虚假网站安装term的MAC用户会被引导到第三方托管服务，该服务会获取term.dmg文件。

详情

新安卓恶意软件以美国、加拿大用户为目标，使用新冠病毒相关信息作为诱饵

日期: 2021年09月23日
等级: 高
作者: Ravie Lakshmanan
标签: tanglebot, COVID-19, US, Canadian
行业: 信息传输、软件和信息技术服务业
涉及组织: adobe

近日，美国和加拿大发现了一种针对安卓手机用户的短信诈骗软件，该软件利用与COVID-19法规和疫苗信息相关的短信诱饵，试图窃取个人和财务数据。

研究人员说:“这种恶意软件被赋予了‘tanglebot’的绰号，因为它能多层次地混淆和控制无数相互纠缠的设备功能，包括联系人、短信和电话功能、通话记录、互联网接入、摄像头和麦克风。

详情

新型恶意软件攻击印度国防人员

日期: 2021年09月24日
等级: 高
作者: Soumik Ghosh
标签: India, Defense Personnel, Malware
行业: 政府机关、社会保障和社会组织
涉及组织: google, intel

研究人员发现了一种针对印度国防人员的新的恶意软件样本。

恶意软件代码是由一个身份不明的独立威胁猎人发现的，他的推文名为@s1ckb017。

这名知情人士透露，他们使用YARA规则检测到了恶意文件，但拒绝提供更多细节。

详情

FBI决定扣留Kaseya勒索软件解密密钥引发争议

日期: 2021年09月25日
等级: 高
作者: Jonathan Greig
标签: Kaseya, ransomware, FBI
行业: 跨行业事件
涉及组织: intel, fbi

《华盛顿邮报》报道称，美国联邦调查局(FBI)掌握了7月份大规模Kaseya勒索软件攻击的受害者的解密密钥，但一直未公开。

数百家组织受到Kaseya袭击的影响，包括数十家医院、学校、企业，甚至是瑞典的一家连锁超市。

FBI之所以能够获得解密密钥，是因为他们进入了总部位于俄罗斯的犯罪团伙REvil的服务器，该团伙是此次大规模攻击的幕后黑手。

详情

Drinik恶意软件欺骗用户提供他们的手机银行详细信息

日期: 2021年09月26日
等级: 高
来源: 
标签: Android App, Financial Credentials, malware, Sensitive data, Tax refunds
行业: 金融业
涉及组织: google

有一种新的恶意软件，正在对安卓用户造成严重破坏。

Drinik是一种窃取智能手机用户重要数据和财务凭证的恶意软件。印度计算机应急响应小组Cert-in已向许多银行发出警告。到目前为止，该国27家公共和私人银行的客户已经受到了恶意软件的攻击。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

Microsoft Exchange Autodiscover漏洞泄漏10万个Windows凭据

日期: 2021年09月22日
等级: 高
作者: Lawrence Abrams
标签: microsoft exchange, windows domains, credentials, leak
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft, amd, intel

MicrosoftExchange的Autodiscover功能中的漏洞已在全球范围内泄露了大约10万个windows域的登录名和密码。

在guardicore的安全研究avpamitserper的一份新报告中，研究人员揭示了Autodiscover协议的不正确实现是如何导致Windows凭证被发送到第三方不可信网站的。

详情

38亿俱乐部和Facebook用户记录被在线出售

日期: 2021年09月24日
等级: 高
作者: Pierluigi Paganini
标签: facebook, clubhouse, 3.8 billion, sale online
行业: 信息传输、软件和信息技术服务业
涉及组织: facebook

一个黑客论坛的用户正在出售一个据称包含38亿clubhouse和facebook用户记录的数据库。

据称，该数据库是将之前从clubhouse秘密数据库中收集的38亿个电话号码与用户的facebook个人资料结合起来编制的，似乎包括姓名、电话号码和其他数据。

详情

泰国1.06亿游客的数据在网上泄露

日期: 2021年09月21日
等级: 高
作者: Pierluigi Paganini
标签: Visitors, Thailand
行业: 跨行业事件
涉及组织: elasticsearch

安全研究人员在网上发现了一个不安全的数据库，其中包含数百万泰国游客的个人信息。

该数据库大小为200GB，包含多项资产，包括超过1.06亿条记录。

暴露的记录包括全名、抵达日期、性别、居留身份、护照号码、签证信息和泰国入境卡号码。

详情

哥伦比亚房地产中介公司10万买家数据泄漏

日期: 2021年09月23日
等级: 高
作者: Ravie Lakshmanan
标签: aws s3, Colombian, Real Estate, Leak
行业: 房地产业
涉及组织: amazon

据网络安全公司wizcase称，哥伦比亚一家房地产公司的超过1tb的数据被泄露，其中包含550万个文件、超过10万名客户的个人信息。其中一些敏感信息如客户的姓名、照片和地址被公开。

不需要密码或登录凭证就能看到这些信息，这些数据也没有被加密。

数据泄漏是由于错误配置amazonwebservices(aws)简单存储服务(s3)桶。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

黑客集团利用ProxyLogon漏洞攻击全球酒店

日期: 2021年09月23日
等级: 高
作者: Sergiu Gatlan
标签: famoussparrow, ProxyLogon, Hacking group
行业: 跨行业事件
涉及组织: cisa, microsoft

至少自2019年以来，一个新发现的网络间谍组织一直在针对世界各地的酒店，以及政府、国际组织、律师事务所和工程公司等更知名的目标。

slovakian网络安全公司eset发现了这个黑客组织(被称为“famoussparrow”)。

该组织利用暴露在互联网上的网络应用程序中的多种攻击载体来攻击目标的网络，包括微软sharepoint的远程代码执行漏洞，oracleopera酒店管理软件，以及微软exchange安全漏洞。

详情

一个0day漏洞使100万台物联网设备暴露于风险之中

日期: 2021年09月23日
等级: 高
来源: threatpost
标签: IoT Devices, nanomq
行业: 制造业

一个被广泛使用的物联网(iot)基础设施代码的漏洞，使1万家企业的1亿多台设备容易受到攻击。

guardara的研究人员利用他们的技术在nanomq中发现了一个0day漏洞。

nanomq是Emq的一个开源平台，它实时监控物联网设备，然后充当消息代理，在检测到非典型活动时发出警报。

Emq的产品被用于监测出院患者的健康状况，检测火灾，监控汽车系统，智能手表，智能城市应用等等。

详情

针对南美组织的新一波恶意软件攻击

日期: 2021年09月20日
等级: 高
作者: Ravie Lakshmanan
标签: apt-c-36, Malware, South America
行业: 跨行业事件

一项旨在向南美一些组织发送鱼钩式网络钓鱼邮件的垃圾邮件运动，已经对其攻击技术进行了调整，包括使用远程访问木马和地理位置过滤以避免被检测。

网络安全公司trendmicro将这些攻击归咎于一种名为apt-c-36(又名盲鹰)的高级持续威胁(apt)，这是一个疑似南美间谍组织，至少从2018年开始就很活跃，此前以瞄准哥伦比亚政府机构和金融、石油、和制造业。

详情

共和党州长协会电子邮件服务器被黑客攻破

日期: 2021年09月20日
等级: 高
作者: Sergiu Gatlan
标签: the republican governors association, email, data breach
行业: 政府机关、社会保障和社会组织
涉及组织: microsoft

共和党州长协会(rga)在数据泄露通知信中透露，其服务器在2021年3月针对全球组织的大规模微软Exchange黑客活动中被入侵。

在3月10日开始的调查之后，rga确定，攻击者在2021年2月至2021年3月期间访问了rga的电子邮件环境的一小部分，姓名、社会安全号码和支付卡信息在袭击中被暴露。

详情

DDoS勒索攻击中断VoIP.Ms电话服务

日期: 2021年09月20日
等级: 高
作者: Lawrence Abrams
标签: voip.Ms, ddos, phone services
行业: 信息传输、软件和信息技术服务业

VoIP.Ms是一家互联网电话服务公司，为世界各地的企业提供价格低廉的ip语音服务。

VoIP.Ms遭到DDoS攻击和勒索，严重扰乱了公司的运作。

当客户配置他们的VoIP设备连接到该公司的域名时，DDoS攻击中断了电话服务，使他们无法接收或拨打电话。

详情

微软警告说将有大规模的PHaaS出现

日期: 2021年09月22日
等级: 高
作者: Ravie Lakshmanan
标签: BulletProofLink, phishing, Microsoft
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

微软披露了一项大规模的“钓鱼即服务”(PHaaS)业务，该业务涉及销售钓鱼工具和电子邮件模板，并以低成本提供主机和自动化服务，从而使网络参与者能够购买钓鱼活动，并以最小的成本部署它们。

详情

pNetwork遭受了价值1200万美元的比特币损失

日期: 2021年09月22日
等级: 高
来源: ehackingnews
标签: Binance Smart Chain, Bitcoin, Cyber Security, DeFi Hack, pNetwork
行业: 金融业

据称，defi黑客攻击了pNetwork，窃取了价值1270万美元的比特币。

虽然该公司损失了1200万美元的比特币，但该公司声称，如果资金被追回，将奖励白帽150万美元的漏洞赏金。

详情

黑客利用MSHTML漏洞攻击俄罗斯国防部火箭中心

日期: 2021年09月23日
等级: 高
作者: Waqas
标签: MSHTML, Phishing, Russia, security, Vulnerability
行业: 政府机关、社会保障和社会组织

微软Office0day漏洞也被称为MSHTML攻击，目标是俄罗斯政府，包括内政部和国家火箭中心。

研究人员截获了钓鱼邮件附件，显示攻击者试图以俄罗斯组织为目标。

涉及漏洞

cve-2021-40444

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-40444

详情

黑客入侵了俄罗斯和其他十多个邻国政府机构雇员的账户

日期: 2021年09月23日
等级: 高
来源: ehackingnews
标签: Cyber Attacks, National Cyber Security
行业: 政府机关、社会保障和社会组织

英国cyjax公司发现了针对俄罗斯及周边国家机构雇员的大规模攻击。

攻击者创建网站，模拟官员的电子邮件访问权限，这些数据可以用来进一步攻击机构或在市场出售访问权限。安全专家们找出了攻击者不同的攻击方向，有政治挑衅，也有数据钓鱼。

详情

黑客利用“双倍现金”在Bitcoin.org中窃取17000美元

日期: 2021年09月25日
等级: 高
作者: Ax Sharma
标签: Bitcoin, cryptocurrency
行业: 金融业
涉及组织: twitter, instagram

攻击者劫持了比特币项目网站bitcoin.org，并修改了其网站，添加了双倍现金的钓鱼模块，不幸的是，一些用户上当了。

虽然黑客入侵持续了不到一天，但黑客们已经窃取1.7万多美元。

详情

休斯顿港遭到Zoho 0day漏洞攻击

日期: 2021年09月25日
等级: 高
来源: ehackingnews
标签: Cyber Attacks, Port of Houston, Texas, USA, zero Day vulnerability, Zoho
行业: 交通运输、仓储和邮政业
涉及组织: cisa

cisa官员于9月23日报告了一个政府支持的黑客组织，该组织利用zoho用户认证设备中的0day漏洞，试图破坏美国主要港口机构之一的休斯顿港网络（portofhoustonnetworks）。

涉及漏洞

cve-2021-40539

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-40539

详情

欧洲呼叫中心遭受勒索软件攻击

日期: 2021年09月25日
等级: 高
作者: Prajeet Nair
标签: Ransomware, European Call Center, Attack
行业: 跨行业事件
涉及组织: instagram, fbi

欧洲最大的呼叫中心提供商Covisian的西班牙和拉丁美洲分部GSS已经通知客户，它受到了勒索软件的攻击，该公司的it系统被冻结，所有西班牙语客户的呼叫中心都瘫痪了。

西班牙的沃达丰、MasMovil网络服务提供商、马德里的供水公司、电视台和许多私营企业都受到了影响。

详情

JSC GREC Makeyev和其他俄罗斯实体受到攻击

日期: 2021年09月26日
等级: 高
作者: Pierluigi Paganini
标签: Internet Explorer, MSHTML
行业: 跨行业事件
涉及组织: microsoft

一场网络间谍活动利用最近披露的零日漏洞袭击了多个俄罗斯组织，包括主要国防承包商JSCGRECMakeyev（一家为俄罗斯弹道导弹和太空火箭计划开发液体和固体燃料的公司）。

攻击者精心策划了鱼叉式网络钓鱼攻击，发送给目标组织的消息使用了武器化的Office文档。

涉及漏洞

CVE-2021-40444

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40444

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   其它事件

VMware修复了vCenter Server中的一个严重漏洞

日期: 2021年09月22日
等级: 高
作者: Pierluigi Paganini
标签: Vmware, vCenter Server, vulnerability, Patch
行业: 信息传输、软件和信息技术服务业

Vmware修复了一个严重的任意文件上传漏洞，编号为cve-2021-22005，该漏洞影响运行默认vCenterServer6.7和7.0部署的设备。

Vcenter服务器是vmware的集中管理工具，用于集中管理虚拟机、多个esxi主机以及所有依赖的组件。

涉及漏洞

cve-2021-22005

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-22005

cve-2021-21985

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-21985

详情

新的Nagios软件漏洞可能让黑客接管IT基础设施

日期: 2021年09月22日
等级: 高
作者: Ravie Lakshmanan
标签: nagios, claroty, vulnerabilities, rce
行业: 信息传输、软件和信息技术服务业
涉及组织: docker

工业网络安全公司claroty发现了nagios网络管理系统中的多达11个安全漏洞，其中一些漏洞可以通过链接实现具有最高权限的预认证远程代码执行，并导致凭证盗窃和网络钓鱼攻击。

修复后的安全版本为nagiosxi5.8.5或以上,Nagiosxiswitchwizard2.5.7或以上，Nagiosxidockerwizard1.13或以上，Nagiosxiwatchguard1.4.8或以上。

涉及漏洞

cve-2021-37344

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-37344

cve-2021-37346

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-37346

cve-2021-37350

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-37350

cve-2021-37343

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-37343

cve-2021-37345

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-37345

cve-2021-37347

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-37347

cve-2021-37348

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-37348

cve-2021-37349

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-37349

cve-2021-37351

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-37351

cve-2021-37352

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-37352

cve-2021-37353

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-37353

详情

海康威视摄像头存在严重漏洞，可能被远程黑客攻击

日期: 2021年09月22日
等级: 高
作者: Pierluigi Paganini
标签: Hikvision, cameras, cve-2021-36260
行业: 制造业
涉及组织: Hikvision

一个编号为cve-2021-36260的严重漏洞影响了70多个海康摄像头和NVR型号，并允许攻击者接管设备。

该漏洞是海康威视IP摄像头/nvr固件中的一个未经认证的远程代码执行(rce)漏洞，它是由一个名为“watchfulip”的安全研究员在线发现的。

即使使用最新的固件(截至2021年6月21日)，海康威视相机最近的大多数相机产品系列都容易受到严重的远程未经认证代码执行漏洞的影响。

涉及漏洞

cve-2021-36260

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-36260

详情

Microsoft Windows中的一个新漏洞可能让黑客轻松安装Rootkit

日期: 2021年09月23日
等级: 高
作者: Ravie Lakshmanan
标签: Microsoft Windows, Rootkit, vulnerability
行业: 制造业
涉及组织: microsoft

安全研究人员披露了微软Windows平台二进制表(wpbt)的一个未修补的漏洞，影响自Windows8以来所有基于Windows的设备，可能被利用来安装rootkit和危及设备的完整性。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x08   时间线

2021-09-27 360CERT发布安全事件周报