安全事件周报 (04.19-4.25)
2021-04-26 10:19

报告编号:B6-2021-042601

报告来源:360CERT

报告作者:360CERT

更新日期:2021-04-26

0x01   事件导览

本周收录安全热点15项,话题集中在恶意软件网络攻击方面,涉及的组织有:ApplePasswordstateCodecovHomebrew等。供应链攻击再起,各厂商注意防护。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

恶意程序
REvil窃取苹果产品蓝图并向其勒索
通过Xcode项目传播的恶意软件现在针对苹果的Mac
黑客假冒微软商店、Spotify网站来传播窃取信息的恶意软件
Qlocker勒索软件攻击使用7zip加密QNAP设备
“ToxicEye”恶意软件在Telegram平台中泛滥
Joker恶意软件的目标是更多的Android设备
黑客入侵安卓手机来模仿联网电视产品
网络攻击
Passwordstate密码管理器被用于供应链攻击
Codecov受到供应链攻击
Lazarus APT黑客现在使用BMP图像隐藏RAT恶意软件
朝鲜黑客利用网络浏览器盗取比特币
美国国家安全局发布俄罗斯黑客利用的5大漏洞
黑客利用虚假的Facebook广告进行网络钓鱼
其它事件
黑客们正积极瞄准VPN设备漏洞
Homebrew远程代码执行漏洞披露

0x02   恶意程序

REvil窃取苹果产品蓝图并向其勒索

日期: 2021年04月20日
等级: 高
作者: Sergiu Gatlan
标签: REvil, Apple
行业: 制造业
涉及组织: apple, Quanta

Quanta是一家总部位于台湾的原始设计制造商(ODM),并且是AppleWatch,AppleMacbookAir和AppleMacbookPro的制造商。REvil勒索软件团伙声称他们通过该公司窃取了苹果的产品蓝图,并要求苹果公司在5月1日之前支付赎金,以防止其窃取的数据被泄露。根据Tor付款页面,Quanta或者苹果必须在4月27日之前支付5,000万美元,或者在倒计时结束后支付1亿美元,否则相关敏感数据将会被泄露。

详情

REvil gang tries to extort Apple, threatens to sell stolen blueprints

通过Xcode项目传播的恶意软件现在针对苹果的Mac

日期: 2021年04月19日
等级: 高
作者: The Hacker News
标签: Mac, Xcode, Apple, M1
行业: 信息传输、软件和信息技术服务业

一个针对Xcode开发者的Mac恶意软件已经重构,以增加对苹果新M1芯片的支持,并扩展其功能,从加密货币应用程序中窃取机密信息。XCSSET在2020年8月被发现通过修改后的XcodeIDE项目进行传播。在构建时,这些项目被配置为执行有效负载。

详情

Malware That Spreads Via Xcode Projects Now Targeting Apple's M1

黑客假冒微软商店、Spotify网站来传播窃取信息的恶意软件

日期: 2021年04月20日
等级: 高
作者: Lawrence Abrams
标签: Spotify, Info-stealing, Fake Site
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft, spotify

攻击者正模仿微软商店、Spotify和一个在线文档转换器的网站,并通过这些虚假网站散布恶意软件,窃取保存在web浏览器中的信用卡和密码。攻击是通过恶意广告进行的,这些广告宣传合法的应用程序。例如,此攻击中使用的一个广告推广了一个在线象棋应用程序,然而,当用户点击广告时,他们会被带到一个假冒的微软商店页面,上面有一个假冒的“Xchess3”在线象棋应用程序,而该程序就是精心构造的恶意软件。

详情

Fake Microsoft Store, Spotify sites spread info-stealing malware

Qlocker勒索软件攻击使用7zip加密QNAP设备

日期: 2021年04月21日
等级: 高
作者: Lawrence Abrams
标签: QNAP, Qlocker
行业: 信息传输、软件和信息技术服务业

一场针对全球QNAP设备的大规模勒索活动正在进行。这个勒索软件被称为Qlocker,并于2021年4月19日开始针对QNAP设备。攻击者使用7-zip将QNAP设备上的文件移动到受密码保护的加密档案中。当文件被锁定时,QNAP资源监视器将显示许多“7z”进程,这些进程是7zip命令行可执行文件。勒索软件完成后,QNAP设备的文件将存储在受密码保护的7-zip档案中,以.7z扩展名结尾。

涉及漏洞

- CVE-2020-36195

详情

Massive Qlocker ransomware attack uses 7zip to encrypt QNAP devices

“ToxicEye”恶意软件在Telegram平台中泛滥

日期: 2021年04月22日
等级: 高
作者: Elizabeth Montalbano
标签: Telegram, ToxicEye
行业: 信息传输、软件和信息技术服务业

一项新的研究发现,黑客正在利用广受欢迎的电报信息应用程序,将其代码嵌入名为ToxicEye的远程访问特洛伊木马(RAT)中。ToxicEye恶意软件可以接管文件系统,安装勒索软件,并从受害者的电脑中泄露数据。

详情

Telegram Platform Abused in 'ToxicEye' Malware Campaigns

Joker恶意软件的目标是更多的Android设备

日期: 2021年04月22日
等级: 高
作者: Akshaya Asokan
标签: Android, Huawei
行业: 信息传输、软件和信息技术服务业

据安全公司DoctorWeb称,Joker恶意软件通过华为官方应用商店AppGallery中的恶意应用锁定了全球超过50万台Android设备。这些恶意小丑应用程序已被下载53.8万次。一旦安装在Android设备上,攻击者就可以使用恶意软件一次向设备订阅多达10个高级移动服务。攻击者拥有受害者在不知情的情况下订阅的海外“高级服务”,然后通过受害者的电话账单收取移动服务费。一旦安装了恶意应用程序,当用户与其交互时,特洛伊木马会连接到攻击者的命令和控制服务器,并下载其他组件。下载的组件会自动为Android设备用户订阅高级移动服务。

详情

Joker Malware Targets More Android Devices

黑客入侵安卓手机来模仿联网电视产品

日期: 2021年04月24日
等级: 高
作者: Deeba Ahmed
标签: Android, Pareto, Botnet
行业: 信息传输、软件和信息技术服务业
涉及组织: google, facebook

网络安全公司HumanSecurity(原WhiteOps)发现了一个高度复杂的基于僵尸网络的欺诈行动,黑客成功感染了100多万台Android移动设备,来窃取了广告商的收入。这些被入侵的设备被用来通过电视广告进行诈骗,模仿电视产品的恶意软件被植入android设备中,以生成虚假的广告浏览量。据研究人员称,僵尸网络模拟超过6000个CTV应用程序,每天至少提供6.5亿条广告请求。

详情

Hacked Android phones mimicked connected TV products to generate fake ad views

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 各主机安装EDR产品,及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

0x03   网络攻击

Passwordstate密码管理器被用于供应链攻击

日期: 2021年04月23日
等级: 高
作者: Sergiu Gatlan
标签: ClickStudios, Passwordstate
行业: 跨行业事件
涉及组织: Click Studios

Passwordstate是一种本地密码管理解决方案,已被全球29,000家公司的370,000多名安全和IT专业人员使用。它的客户名单中有许多500强企业,包括政府,国防,金融,航空,零售,汽车,医疗保健,法律和媒体。Passwordstate密码管理器背后的公司ClickStudios通知客户,攻击者破坏了该应用程序的更新机制,在破坏其网络后以供应链攻击的形式传播恶意软件。在4月20日至4月22日期间下载了升级程序的客户可能已经中招。

详情

Passwordstate password manager hacked in supply chain attack

Codecov受到供应链攻击

日期: 2021年04月19日
等级: 高
作者: Pierluigi Paganini
标签: Codecov, Bash
行业: 信息传输、软件和信息技术服务业
涉及组织: codecov

软件公司Codecov遭遇网络攻击,攻击者破坏了其一个工具的供应链,此前攻击者破坏了其基础架构,以将凭据收集器代码注入其名为BashUploader的工具中。

详情

Codecov was a victim of a supply chain attack

Lazarus APT黑客现在使用BMP图像隐藏RAT恶意软件

日期: 2021年04月19日
等级: 高
作者: The Hacker News
标签: North Korean, Malwarebytes, Lazarus
行业: 跨行业事件
涉及组织: twitter, linkedin

2021年4月13日,malwarebytes发现了Lazarus针对韩国的攻击,疑似通过分发附带恶意文档的钓鱼邮件作为初始攻击媒介,有趣的是,攻击者将恶意HTA对象嵌入到BMP文件中以释放RATLoader,完成后续攻击。

malwarebytes在报告中对本次攻击的样本及过程进行了分析。报告地址:https://blog.malwarebytes.com/malwarebytes-news/2021/04/lazarus-apt-conceals-malicious-code-within-bmp-file-to-drop-its-rat/

详情

Lazarus APT Hackers are now using BMP images to hide RAT malware

朝鲜黑客利用网络浏览器盗取比特币

日期: 2021年04月20日
等级: 高
作者: Ionut Ilascu
标签: Lazarus, JavaScript, Bitcoin
行业: 批发和零售业

2020年7月,Sansec发表了一篇攻击者使用JavaScript嗅探器(JS-sniffers)对美国和欧洲在线商店进行攻击的文章。文章中,研究人员将“clientToken=”攻击活动归因于一个被称为Lazarus的APT组织。

Group-IB的威胁情报团队对这些活动进行了更加深入的研究,并锁定了另一个具有相同基础架构的攻击活动。攻击者表现出了以前的攻击习惯——使用从未见过的工具窃取加密货币。Lazarus攻击了在线商店,在网页中植入恶意JS嗅探器:JS嗅探器经过重新设计以窃取加密货币。实际上,Sansec识别出的受害者中,有一些并没有受到“clientToken=“攻击活动的影响,而是成为了另一个没有报道过的攻击活动的受害者,Group-IB的研究人员将这个攻击活动命名为BTCChanger。Group-IB的研究人员将其命名为BTCChanger。Group-IB的TI&A团队在其中识别出了Lazarus使用的BTC地址,并分析了来往业务。结果发现了Lazarus参与其中的额外证据。

详情

North Korean hackers adapt web skimming for stealing Bitcoin

美国国家安全局发布俄罗斯黑客利用的5大漏洞

日期: 2021年04月20日
等级: 高
作者: BALAJI N
标签: CISA, NSA, FBI, SVR
行业: 政府机关、社会保障和社会组织
涉及组织: fbi, NSA, SVR

网络安全和基础设施安全局(CISA)与国家安全局(NSA)以及联邦调查局(FBI)最近共同发布了一份关于俄罗斯对外情报局(SVR)正在利用的五个已知漏洞的文档。美国国家安全局称,俄罗斯SVR正在利用这些漏洞入侵美国政府网络。这些漏洞针对公众服务,攻击者的主要动机是获取身份验证凭据。一旦攻击者得到了敏感身份凭据,他们就可以轻易地破坏美国企业网络和政府网络。

涉及漏洞

- CVE-2018-13379

- CVE-2019-19781

- CVE-2019-9670

- CVE-2020-4006

- CVE-2019-11510

详情

NSA Released Top 5 Vulnerabilities that Exploited by Russian Hackers

黑客利用虚假的Facebook广告进行网络钓鱼

日期: 2021年04月21日
等级: 高
作者: Waqas
标签: Facebook Messenger, Facebook, Phinshing
行业: 信息传输、软件和信息技术服务业
涉及组织: facebook

网络安全公司groupib发布了一份新的报告,详细介绍了影响80多个国家用户的新网络钓鱼活动。攻击者在欧洲、亚洲、北美和南美以及中东创建了大约1000个虚假的Facebook个人账号,并利用这些账号发布虚假的Facebook广告,来宣传虚假的FacebookMessenger,以窃取用户的登录凭据。

详情

Facebook ads used in spreading Facebook Messenger phishing scam

相关安全建议

1. 积极开展外网渗透测试工作,提前发现系统问题

2. 减少外网资源和不相关的业务,降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

6. 注重内部员工安全培训

7. 软硬件提供商要提升自我防护能力,保障供应链的安全

0x04   其它事件

黑客们正积极瞄准VPN设备漏洞

日期: 2021年04月21日
等级: 高
作者: Liam Tung
标签: FireEye, CISA
行业: 信息传输、软件和信息技术服务业

网络安全公司FireEye和美国国土安全部网络安全和基础设施安全局(CISA)发出警告,称攻击者利用PulseConnect安全VPN产品中新发现的漏洞进行攻击。FireEye报告说,它一直在调查多起使用4月份发现的CVE-2021-22893漏洞的设备出现故障的事件。这起事件严重性评分为10分(满分为10分),部署的恶意软件旨在绕过双因素身份验证。

涉及漏洞

- CVE-2020-8243

- CVE-2021-22893

- CVE-2019-11510

- CVE-2020-8260

详情

Hackers are actively targeting flaws in these VPN devices. Here's what you need to do

Homebrew远程代码执行漏洞披露

日期: 2021年04月21日
等级: 高
作者: reitermarkus
标签: Homebrew, Ruby, HackerOne
行业: 信息传输、软件和信息技术服务业
涉及组织: Homebrew

一名安全研究人员在Homebrew组织的Homebrew/homebrew-cask存储库存储库中发现了一个漏洞,并在HackerOne上报告了该漏洞。在该存储库中可以通过混淆Homebrew项目中的库,来合并恶意请求请求。通过此漏洞,攻击者可以在使用的用户计算机上执行任意Ruby代码。

详情

通过破坏官方的Cask存储库导致Homebrew远程执行代码漏洞披露

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

0x05   产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

0x06   时间线

2021-04-26 360CERT发布安全事件周报

0x07   特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

安全事件周报 (04.19-4.25)

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。