报告编号：B6-2021-092202

报告来源：360CERT

报告作者：360CERT

更新日期：2021-09-22

0x01   事件导览

本周收录安全热点17项，话题集中在恶意软件、网络攻击方面，涉及的组织有：olympus、Microsoft、MikroTik、南非司法部等。新勒索软件家族大肆进行网络攻击。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

BlackMatter 勒索软件团伙袭击了科技巨头奥林巴斯

日期: 2021年09月13日
等级: 高
作者: Pierluigi Paganini
标签: Olympus, BlackMatter, Ransomware
行业: 信息传输、软件和信息技术服务业
涉及组织: Olympus

科技巨头奥林巴斯宣布遭遇勒索软件攻击，目前正在调查事件的严重程度。奥林巴斯的一份简短声明中说，“目前正在调查一起影响其欧洲、中东和非洲计算机网络的网络安全事件"，"在发现网络攻击后，我们立即动员了一个包括取证专家在内的专门应对小组，目前我们正以最优先的方式解决这个问题。我们已经暂停了受影响系统的数据传输，并通知了相关的外部合作伙伴，"

详情

Vermilion Strike：新的Cobalt Strike Beacon

日期: 2021年09月13日
等级: 高
作者: Avigayil Mechtinger
标签: Vermilion Strike, Beacon, Cobalt Strike
行业: 跨行业事件

研究人员揭开了新发现的基于CS实现的针对linux和windows的Beacon，主要如下：

-发现针对于Linux和Windows从头开始编写的CobaltStrikeBeacon

-供应商完全没有检测到Linux恶意软件

-与之前发现的WindowsDLL文件有IoC和技术重叠

-高度针对受害者，包括电信、政府和金融

详情

HHS 就 BlackMatter 攻击警告卫生部门

日期: 2021年09月13日
等级: 高
作者: Marianne Kolbasuk McGee
标签: BlackMatter, HHS
行业: 卫生和社会工作

尽管BlackMatter团伙声称其并未攻击医院等“关键基础设施”组织，但联邦监管机构正在提醒医疗保健和公共卫生部门实体注意BlackMatter潜在的勒索软件攻击的“高度威胁”。

详情

新的 Android 银行恶意软件窃取墨西哥用户金融凭证

日期: 2021年09月14日
等级: 高
来源: ehackingnews
标签: Android Banking Malware, Banking Trojan, Financial Credentials, malware, Mexican Users
行业: 金融业

mcafee移动恶意软件研究团队发现了一种针对墨西哥用户的安卓银行恶意软件，它伪装成安全银行工具，旨在攻击服务中断的自动取款机上的银行应用程序。如果目标落入陷阱，该恶意软件会窃取墨西哥目标金融机构账户的身份验证因素。

详情

假 TeamViewer 下载广告分发新的 ZLoader 变体

日期: 2021年09月16日
等级: 高
作者: Deeba Ahmed
标签: Malware, security, TeamViewer, ZLoader, Zoom
行业: 金融业
涉及组织: check point, google, microsoft, teamviewer

安全研究人员已经确定一个新的恶意软件攻击活动，该恶意软件被称为zbot和Silentnight，自2016年以来一直在传播下放zloader银行木马。zloader是一个功能丰富的银行木马，允许攻击者远程访问受感染的系统。

详情

Numando银行木马分析

日期: 2021年09月17日
等级: 高
作者: ESET Research
标签: Numando, Trojan
行业: 金融业
涉及组织: google, youtube, github

welivesecurity发布拉丁美洲银行木马程序Numando系列文章第二篇。numando是用Delphi编写的，并利用虚假的覆盖窗口从受害者那里引诱敏感信息。后门功能允许numando模拟鼠标和键盘操作，重新启动和关闭机器，显示覆盖窗口，截取屏幕截图并终止浏览器进程。

攻击方式

- System Information Discovery

- Phishing

- User Execution

- Screen Capture

- Signed Binary Proxy Execution

- Acquire Infrastructure

- Obfuscated Files or Information

- Hijack Execution Flow

- Deobfuscate/Decode Files or Information

- Data Encoding

- Application Window Discovery

- Exfiltration Over C2 Channel

详情

一种新的 Windows 恶意软件出现

日期: 2021年09月17日
等级: 高
作者: Pierluigi Paganini
标签: WSL, Windows, Linux
行业: 信息传输、软件和信息技术服务业

安全研究人员发现了一种新的恶意软件，它使用WindowsLinux子系统(wsl)来逃避针对windows机器的攻击的检测。安全人员表示文件主要是用python3编写，并为debian操作系统以linux二进制格式elf（可执行和可链接格式）编译。

详情

新的Go恶意软件Capoae使用多个漏洞来针对WordPress安装、Linux系统

日期: 2021年09月17日
等级: 高
作者: Pierluigi Paganini
标签: golang, capoae, wordpress, Linux, rce
行业: 信息传输、软件和信息技术服务业
涉及组织: wordpress

Akamai的研究人员发现了一种用golang编程语言编写的恶意软件，被称为capoae，它参与了针对wordpress安装和Linux系统的攻击。

该恶意软件通过利用已知漏洞(如cve-2020-14882oracleweblogicserverrce和cve-2018-20062thinkphprce)进行攻击，并针对受薄弱管理凭证保护的网站和系统进行传播。

一旦感染系统，恶意软件就会滥用其资源挖掘加密货币。

涉及漏洞

cve-2018-20062

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2018-20062

cve-2020-14882

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-14882

详情

Mirai僵尸网络积极利用网络漏洞

日期: 2021年09月17日
等级: 高
作者: Mihir Bagwe
标签: Mirai, OMIGOD, Azure
行业: 信息传输、软件和信息技术服务业
涉及组织: cisa, microsoft

据Arcadia集团安全运营中心负责人KevinBeaumont称，Mirai僵尸网络正在积极利用已知的漏洞cve-2019-38647，这是微软AzureLinuxOpenManagementInfrastructure框架中被称为OMIGOD的四分之一漏洞的一部分。

微软打了CVE-2021-38647补丁，但Beaumont指出，仍有15700台Azure服务器存在漏洞。

涉及漏洞

cve-2021-38647

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-38647

详情

Ryuk勒索软件团伙利用Microsoft MSHTML漏洞

日期: 2021年09月17日
等级: 高
来源: threatpost
标签: ryuk, Windows MSHTML, rce
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

Ryuk勒索软件背后的攻击者是WindowsMSHTML漏洞的早期利用者，微软和riskiq的合作研究揭示了Ryuk攻击者早期利用该漏洞的活动，该漏洞为cve-2021-40444。

该漏洞是Windows中的一个远程代码执行(rce)漏洞，它允许攻击者制造恶意的微软办公文档。

涉及漏洞

cve-2021-40444

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-40444

详情

南非司法部遭受勒索软件袭击

日期: 2021年09月18日
等级: 高
来源: ehackingnews
标签: Cyber Attacks, Department of Justice, Ransomware, South African
行业: 政府机关、社会保障和社会组织

南非司法部在2021年9月6日遭到一场大型勒索软件攻击，勒索软件入侵了司法部的整个信息系统，此后一直在努力恢复正常。

它限制内部员工和公众访问任何技术服务，包括电子邮件和网站。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

健身手环中 16.17 GB 的用户数据已暴露

日期: 2021年09月16日
等级: 高
来源: ehackingnews
标签: Apple HealthKit, Cyber Attacks, Data Leaked, FitBit, Fitness Bands, Healthcare
行业: 卫生和社会工作
涉及组织: gethealth

安全研究人员发现了16.18GB的未加密数据库，其中含有超过6100万条可穿戴设备中的用户记录。很大一部分的记录都与gethealth有关，这是一家总部位于纽约市的公司，声称拥有数百种可穿戴设备、医疗保健设备和应用程序提供统一的解决方案，以访问健康和保健数据。泄露的信息包括用户的姓名、出生日期、体重、身高、性别、地理位置等。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

新的 Zloader 攻击可以禁用Windows Defender

日期: 2021年09月14日
等级: 高
作者: Sergiu Gatlan
标签: Microsoft Defender, Zloader, Antivirus
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

根据微软的统计，MicrosoftDefenderAntivirus是预装在超过10亿个运行Windows10的系统上的反恶意软件解决方案。而最新的zloader攻击活动使用新的感染链来禁用受害者计算机上的MicrosoftDefender防病毒软件以逃避检测。

详情

Mēris Bot 感染了 曾在2018 年遭到入侵的 MikroTik 路由器

日期: 2021年09月14日
等级: 高
作者: Pierluigi Paganini
标签: Yandex, Mēris, Botnet
行业: 信息传输、软件和信息技术服务业
涉及组织: Yandex

2021年9月初，俄罗斯互联网巨头Yandex遭遇俄罗斯网络历史上最大的DDoS攻击。经调查，DDoS攻击是由一个名为Mēris（拉脱维亚语中的“瘟疫”）的新型DDoS僵尸网络发起的，它以前所未有的每秒2180万次请求的速度达到峰值。

根据Yandex和QratorLabs进行的联合调查，Mēris僵尸网络由大约200,000多个设备组成。据专家介绍，构成僵尸网络的大多数设备是运行各种版本RouterOS的MikroTik路由器。网络设备制造商MikroTik透露，路由器之前曾在2018年遭到入侵。

详情

匿名黑客入侵Epik网络主机

日期: 2021年09月15日
等级: 高
作者: Pierluigi Paganini
标签: Epik, Far-right
行业: 信息传输、软件和信息技术服务业

黑客组织anonymous声称从域名注册提供商Epik获得了大量数据，后者为各种客户提供域名、托管和dns服务。

这些客户包括德克萨斯州共和党、gab、parler和8chan等右翼网站。被盗数据已经以种子的形式发布。该黑客组织说，这组数据的大小超过180GB，包含“该公司十年的数据”。

详情

微软：Windows MSHTML 漏洞现在被勒索软件团伙利用

日期: 2021年09月16日
等级: 高
作者: Sergiu Gatlan
标签: Microsoft, MSHTML
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

微软表示，包括勒索软件附属公司在内的多个黑客组织正在利用最近修补的Windowsmshtml远程代码执行安全漏洞进行大肆攻击。

涉及漏洞

cve-2021-40444

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-40444

详情

在黑客勒索1000万美元后，扬克斯市拒绝支付赎金

日期: 2021年09月19日
等级: 高
来源: ehackingnews
标签: Cyber Attacks, Ransomware attack, United States, User Security
行业: 政府机关、社会保障和社会组织
涉及组织: fbi

2021年9月，扬克斯市(Yonkers)遭遇了勒索软件攻击者的电脑入侵，政府雇员被禁止访问他们的笔记本电脑。

与此同时，员工被告知要尽可能多地手动从备份中恢复数据，这通常意味着要保留转移到数据库中的笔和纸记录。

扬克斯市拒绝支付赎金，此前勒索软件攻击者要求支付1000万美元的赎金，以恢复覆盖该市不同部门的不同模块。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x07   时间线

2021-09-22 360CERT发布安全事件周报