报告编号:B6-2021-112902
报告来源:360CERT
报告作者:360CERT
更新日期:2021-11-29
0x01 事件导览
本周收录安全热点25
项,话题集中在恶意软件
、漏洞信息
方面,涉及的组织有:马汉航空
、GoDaddy
、imunif360
、Gmail
、Instagram
等。多个严重漏洞曝光,各厂商注意及时修复。对此,360CERT建议使用360安全卫士
进行病毒检测、使用360安全分析响应平台
进行威胁流量检测,使用360城市级网络安全监测服务QUAKE
进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
0x02 事件目录
恶意程序 |
---|
Squirrelwaffle利用ProxyShell和ProxyLogon劫持电子邮件链 |
BazarLoader将受损安装程序、ISO添加到攻击向量中 |
APT C-23黑客使用新安卓间谍软件变种瞄准中东用户 |
在Gmail和Instagram钓鱼欺诈中利用Microsoft MSHTML漏洞 |
恶意软件正试图利用新的Windows Installer zero day进行攻击 |
当心BrazKing Android恶意软件升级和攻击银行 |
数据窃取恶意软件影响超过900万台运行华为appgallery的Android设备 |
新的JavaScript恶意软件悄悄地用RATs感染Windows PC |
新的Linux恶意软件隐藏在日期无效的cron作业中 |
Linux恶意软件代理攻击电子商务网站并窃取支付数据 |
海上服务提供商Swire Pacific Offshore被Clop勒索软件袭击 |
TrickBot网络钓鱼检查屏幕分辨率以逃避研究人员 |
加密黑客使用Babadeda Crypter使其恶意软件无法检测 |
数据安全 |
---|
GoDaddy hack导致数据泄露影响120万客户 |
GoDaddy数据泄露更新:六家WordPress托管服务经销商受到影响 |
包含敏感数据数千个火狐cookie出现在github存储库中 |
犹他州成像协会数据泄露影响583643名患者 |
Wi-Fi管理软件公司泄露数百万巴西人的数据 |
新墨西哥True Health公司的医疗数据被泄露 |
网络攻击 |
---|
伊朗顶级航空公司马汉航空遭受网络攻击 |
风力涡轮机巨头维斯塔斯的数据在网络攻击中受损 |
英国政府警告数千家中小企业他们的在线商店遭到黑客攻击 |
黑客滥用Glitch平台窃取凭证 |
Tardigrade黑客用秘密恶意软件瞄准大型制药疫苗制造商 |
宜家电子邮件系统遭受持续的网络攻击 |
0x03 恶意程序
Squirrelwaffle利用ProxyShell和ProxyLogon劫持电子邮件链
日期: 2021年11月22日 等级: 高 作者: Bradley Barth 标签: 事件类型:恶意程序事件 行业: 信息传输、软件和信息技术服务业 涉及组织: microsoft
2021年9月,Squirrelwaffle作为一种新的装载器出现,通过垃圾邮件活动传播。
据悉,该公司以回复现有的电子邮件链的方式发送恶意邮件,这是降低受害者对恶意活动的防范能力的一种策略。
它涉及到使用ProxyLogon和ProxyShell漏洞链。
涉及漏洞
cve-2021-34473
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34473
cve-2021-34523
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34523
cve-2021-31207
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-31207
详情
‘It’s all about click rate.’ Squirrelwaffle campaign disguises malicious activity as replies to email chainsBazarLoader将受损安装程序、ISO添加到攻击向量中
日期: 2021年11月23日 等级: 高 作者: Ian Kenefick 标签: 事件类型:恶意程序事件, 恶意程序:BazarLoader 行业: 信息传输、软件和信息技术服务业 涉及组织: google, microsoft, teamviewer
趋势科技继续监控使用信息窃取器BazarLoader(被趋势科技检测为TrojanSpy.Win64。BAZARLOADERTrojanSpy.Win64。BAZARLOADER和Backdoor.Win64.BAZARLOADER)。虽然InfoSec论坛已经注意到在第三季度检测的激增,但趋势科技注意到,在现有的交付技术名册中,有两种新的到达机制被恶意分子用来窃取数据和勒索软件。
详情
BazarLoader Adds Compromised Installers, ISO to Arrival and Delivery VectorsAPT C-23黑客使用新安卓间谍软件变种瞄准中东用户
日期: 2021年11月24日 等级: 高 作者: Ravie Lakshmanan 标签: 事件类型:恶意程序事件, 攻击者组织:APT C-23 行业: 国际组织 涉及组织: google
一个以打击中东目标而闻名恶意程序,再次改进了其android间谍软件的功能,使其更隐秘、更持久,同时伪装成看似无害的应用程序更新,以保持不被雷达发现。
新变种在其恶意应用程序中加入了新的功能,使其更能抵御用户的行动,用户可能会试图手动删除它们,安全公司和网络托管公司试图阻止访问或关闭它们的命令和控制服务器域。
至少自2017年以来,该手机间谍软件一直是apt-c-23威胁集团的首选工具
详情
APT C-23 Hackers Using New Android Spyware Variant to Target Middle East Users在Gmail和Instagram钓鱼欺诈中利用Microsoft MSHTML漏洞
日期: 2021年11月26日 等级: 高 作者: Deeba Ahmed 标签: gmail, Instagram, Phishing, Vulnerability 行业: 信息传输、软件和信息技术服务业 涉及组织: twitter, google, microsoft, instagram
这些攻击始于2021年7月,攻击者利用MicrosoftMSHTML漏洞攻击海外伊朗人。
SafeBreach实验室的研究人员发现了一个新的伊朗攻击者,试图窃取全球波斯语使用者的Instagram和Gmail登录凭证。
攻击者正在使用一种新的基于powershell的窃取工具,被SafeBreach实验室称为PowerShortShell。
涉及漏洞
cve-2021-40444
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-40444
详情
Microsoft MSHTML flaw exploited in Gmail and Instagram phishing scam恶意软件正试图利用新的Windows Installer zero day进行攻击
日期: 2021年11月23日 等级: 高 作者: Sergiu Gatlan 标签: 事件类型:恶意程序事件 行业: 信息传输、软件和信息技术服务业 涉及组织: cisco, microsoft
恶意软件创建者已经开始测试一个概念验证漏洞,目标是一个新的微软Windows安装程序0day漏洞,由安全研究员abdelhamidnaceri公开披露的。
思科talos安全情报与研究小组的技术负责人杰森·舒尔茨说:“talos已经在野外检测到试图利用这个漏洞的恶意软件样本。”
涉及漏洞
cve-2021-41379
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-41379
详情
Malware now trying to exploit new Windows Installer zero-day当心BrazKing Android恶意软件升级和攻击银行
日期: 2021年11月24日 等级: 高 作者: BALAJI N 标签: 事件类型:恶意程序事件 行业: 金融业 涉及组织: twitter, google, facebook, reddit, ibm, linkedin, whatsapp
BrazkingAndroid银行场特洛伊木马以网络钓鱼应用程序的形式重新安装,以获得财务数据。
该应用程序已经更新了新的动态覆盖,以创造出正在访问银行数据的假象。
这种技术也可以在不需要危险的许可的情况下工作,这可能会给安全应用程序带来危险信号。
银行木马通常被设计用来窃取通过android设备传输的银行凭证。唯一的目的就是从受害者的账户里偷钱。
详情
Beware!! BrazKing Android Malware Upgraded & Attack Banks数据窃取恶意软件影响超过900万台运行华为appgallery的Android设备
日期: 2021年11月24日 等级: 高 来源: 标签: 事件类型:恶意程序事件 行业: 信息传输、软件和信息技术服务业 涉及组织: huawei
华为的应用程序库成为了一场新的大规模恶意软件攻击的目标。将近930万个android木马安装被伪装成190个不同的应用程序。
Dr.webav的研究人员发现了这一现象,并将其归因于android。它是一种不同的Cynos恶意软件变体。这种新的恶意软件的目标是执行敏感的用户信息收集。
这些应用伪装成射击游戏、平台游戏、街机游戏、模拟器和RTS策略游戏,面向国际用户或中国和俄罗斯用户。
详情
Data Stealing Malware Impacts More Than 9M Android Devices新的JavaScript恶意软件悄悄地用RATs感染Windows PC
日期: 2021年11月24日 等级: 高 作者: Bill Toulas 标签: 事件类型:恶意程序事件 行业: 信息传输、软件和信息技术服务业 涉及组织: microsoft
一种名为“ratdispenser”的新型隐形javascript加载器正在被用来通过各种远程访问木马(rats)来感染网络钓鱼攻击的设备。
这个新颖的加载器很快就与至少八个恶意软件家族建立了分销合作关系,所有这些恶意软件家族的目的都是窃取信息,并让参与者控制目标设备。在惠普威胁研究团队分析的94%的案例中,ratdispenser并不与参与者控制的服务器通信,只是作为第一阶段的恶意软件分发器使用。
详情
Stealthy new JavaScript malware infects Windows PCs with RATs新的Linux恶意软件隐藏在日期无效的cron作业中
日期: 2021年11月25日 等级: 高 作者: Ionut Ilascu 标签: Linux, Cronrat 行业: 信息传输、软件和信息技术服务业
安全研究人员发现了一种新的Linux远程访问木马(rat),它通过隐藏在计划在不存在的2月31日执行的任务中来保持几乎不可见的配置文件。
这种被称为cronrat的恶意软件目前针对的是网络商店,攻击者可以通过在Linux服务器上部署在线支付拦截器来窃取信用卡数据。
cronrat的特点是既聪明又复杂,就在线商店的恶意软件而言,许多反病毒引擎都检测不到它。
详情
New Linux malware hides in cron jobs with invalid datesLinux恶意软件代理攻击电子商务网站并窃取支付数据
日期: 2021年11月25日 等级: 高 作者: BALAJI N 标签: 事件类型:恶意程序事件 行业: 信息传输、软件和信息技术服务业 涉及组织: twitter, facebook, reddit, linkedin, whatsapp
研究人员发现了一种新的、恶意的Linux代理,它隐藏在电子商务服务器上,作为一个系统进程。
这个新的恶意Linux代理名为linux_avp,它被发现隐藏在操作系统中。
这种恶意软件使用多级攻击,利用后门库从远程位置获取恶意文件。该恶意软件的创建是为了将javascript注入页面并获取客户信息,如:-登录id密码恶意软件代理这种基于golange的恶意软件代理具有很高的成功率,并使攻击者能够区分一个规格
详情
Linux Malware Agent Attack eCommerce Sites & Stealing Payment Data海上服务提供商Swire Pacific Offshore被Clop勒索软件袭击
日期: 2021年11月26日 等级: 高 作者: Pierluigi Paganini 标签: 事件类型:恶意程序事件 行业: 租赁和商务服务业
Clop勒索软件袭击了海洋服务提供商SwirePacificOffshore公司(spo),并窃取了公司数据,但没有影响全球业务。
SwirePacificOffshore公司(spo)发现其it系统遭到未经授权的网络攻击。
未经授权的访问已导致一些机密的专有商业信息的损失,并已导致一些个人数据的损失。
详情
Marine services provider Swire Pacific Offshore (SPO) hit by Clop ransomwareTrickBot网络钓鱼检查屏幕分辨率以逃避研究人员
日期: 2021年11月26日 等级: 高 作者: Ionut Ilascu 标签: 事件类型:恶意程序事件, 攻击手法:网络钓鱼 行业: 信息传输、软件和信息技术服务业
恶意软件操作者一直在使用一种新的方法来检查受害者系统的屏幕分辨率,以逃避安全软件的检测和研究人员的分析。
2020年,TrickBot组织在他们的恶意软件中添加了一个新功能,如果设备使用非标准屏幕分辨率(800x600和1024x768),就会终止感染链。
在威胁研究人员发现的一种新变体中,验证码已被添加到发送给潜在受害者的垃圾邮件的HTML附件中。
详情
TrickBot phishing checks screen resolution to evade researchers加密黑客使用Babadeda Crypter使其恶意软件无法检测
日期: 2021年11月26日 等级: 高 作者: Ravie Lakshmanan 标签: 事件类型:恶意程序事件, 恶意程序:Babadeda 行业: 信息传输、软件和信息技术服务业
一个新的恶意软件活动已经被发现,目标是加密货币、不可替代令牌(NFT)和defi爱好者通过不一致的渠道部署一个名为“Babadeda”的加密程序,该加密程序能够绕过反病毒解决方案并实施各种攻击。
morphisec的研究人员在发表的一份报告中说,他的恶意软件安装程序在最近的各种活动中被用来传送信息窃取者、rat,甚至lockbit勒索软件,据悉,恶意软件传播攻击从2021年5月开始。
详情
Crypto Hackers Using Babadeda Crypter to Make Their Malware Undetectable相关安全建议
1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
3. 及时对系统及各个服务组件进行版本升级和补丁更新
4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
5. 各主机安装EDR产品,及时检测威胁
6. 注重内部员工安全培训
7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序
8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理
0x04 数据安全
GoDaddy hack导致数据泄露影响120万客户
日期: 2021年11月22日 等级: 高 作者: Sergiu Gatlan 标签: 事件类型:信息泄露事件, 涉及组件:Godaddy 行业: 信息传输、软件和信息技术服务业 涉及组织: wordpress, Godaddy
在2021年11月22日发布的一份数据泄露通知中,godaddy表示,在黑客进入该公司托管的wordpress主机环境后,多达120万用户的数据被泄露。
godaddy公司于11月17日发现了这一事件,但攻击者至少从2021年9月6日起就进入了该公司的网络,并获取了被入侵系统中的数据。
多达120万活跃和不活跃的wordpress管理客户的电子邮件地址和客户号码被公开。
详情
GoDaddy hack causes data breach affecting 1.2 million customersGoDaddy数据泄露更新:六家WordPress托管服务经销商受到影响
日期: 2021年11月25日 等级: 高 来源: heimdalsecurity 标签: 事件类型:数据泄露事件, 受害者组织:GoDaddy 行业: 信息传输、软件和信息技术服务业 涉及组织: wordpress
GoDaddy是最大的网络托管公司和域名注册商之一,最近遭受了一次数据泄露,导致大约120万用户暴露。
这家网络托管公司还透露,该事件影响了几家受管理的WordPress服务经销商,包括tsoHost、MediaTemple、123Reg、DomainFactory、HeartInternet和HostEurope。
详情
GoDaddy Data Breach Update: Six WordPress Hosting Service Resellers Impacted包含敏感数据数千个火狐cookie出现在github存储库中
日期: 2021年11月22日 等级: 高 作者: cnBeta.COM 标签: 事件类型:数据泄露事件, 涉及组织:Firefox,Github 行业: 信息传输、软件和信息技术服务业 涉及组织: github, firefox
包含敏感数据的数千个firefoxcookie数据库目前出现在github的存储库中,这些数据可能用于劫持经过身份验证的会话。
这些cookies.sqlite数据库通常位于firefox配置文件文件夹中。它们用于在浏览会话之间存储cookie。
现在可以通过使用特定查询参数搜索github来找到它们,这就是所谓的搜索“dork”。
详情
包含敏感数据数千个Firefox cookie出现在GitHub存储库中犹他州成像协会数据泄露影响583643名患者
日期: 2021年11月22日 等级: 高 作者: Pierluigi Paganini 标签: 事件类型:数据泄露事件, 涉及组织:Utah Imaging Associates 行业: 卫生和社会工作
犹他州成像协会(UIA)于2021年9月4日披露了一个安全漏洞,该公司声称发现并阻止了一次网络攻击。在一家专门的第三方网络安全公司的帮助下,这家医疗保健提供商迅速保护了其基础设施。犹他州成像协会也通知了美国卫生与公众服务部。
医疗保健提供商还进行了调查,以确定入侵的范围。攻击者获得了一些包含583643人敏感数据的UIA文件,首次渗透发生在2021年8月29日。
详情
Utah Imaging Associates data breach impacts 583,643 patientsWi-Fi管理软件公司泄露数百万巴西人的数据
日期: 2021年11月23日 等级: 高 作者: Angelica Mari 标签: 事件类型:数据泄露事件, 受害者组织:wspot 行业: 信息传输、软件和信息技术服务业 涉及组织: amazon, microsoft
一家巴西wi-fi管理软件公司wspot卷入了一场事件,曝光了多家知名公司及其数百万客户的数据。
该公司提供的软件可以确保企业内部wi-fi网络的安全,并允许客户免密码在线接入。这次曝光是由安全研究公司“安全侦探”发现的。
详情
Data from millions of Brazilians exposed in Wi-Fi management software firm leak新墨西哥True Health公司的医疗数据被泄露
日期: 2021年11月26日 等级: 高 作者: Jeremy Kirk 标签: 事件类型:数据泄露事件 行业: 卫生和社会工作
新墨西哥州的一家医疗保险公司警告说,数据泄露导致个人和医疗信息暴露。
TruehealthnewMexico在其网站上发布的一份安全顾问报告中称,在“10月初”的一次入侵之后,该公司于10月5日首次获悉安全事件。
详情
Medical Data Exposed in Breach at True Health New Mexico相关安全建议
1. 及时备份数据并确保数据安全
2. 合理设置服务器端各种文件的访问权限
3. 严格控制数据访问权限
4. 及时检查并删除外泄敏感数据
5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施
6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施
0x05 网络攻击
伊朗顶级航空公司马汉航空遭受网络攻击
日期: 2021年11月22日 等级: 高 作者: Waqas 标签: 攻击者组织:hooshyarane vatan, 事件类型:网络攻击事件 行业: 交通运输、仓储和邮政业 涉及组织: israel
根据马汉航空公司的说法,这次网络攻击是在2021年11月21日早上发起的,后来一个相对不太知名的黑客组织——“hooshyaranevatan”宣称对此次袭击负责。
继伊朗航空公司之后的第二大航空公司、伊朗第一个私人航空公司马汉航空公司被确认遭受了网络攻击。
据伊朗官方媒体报道,该航空公司的航班没有受到此次袭击的影响。该航空公司除了覆盖国内航线外,还服务于中亚、南亚、中东和欧洲。
详情
Iran’s Top Tier Airline Mahan Air Suffers Cyberattack风力涡轮机巨头维斯塔斯的数据在网络攻击中受损
日期: 2021年11月22日 等级: 高 作者: Bill Toulas 标签: 事件类型:网络攻击事件, 受害者组织:Vestas 行业: 电力、热力、燃气及水生产和供应业
风力涡轮机制造领域的领军企业维斯塔斯风力系统公司(Vestaswindsystems)在11月19日遭受网络攻击后关闭了其it系统。
维斯塔斯是北美领先的风力涡轮机制造商、安装和服务公司,在美国和加拿大拥有40,000兆瓦的装机容量和36,000多兆瓦的服务容量。
详情
Wind turbine giant Vestas' data compromised in cyberattack英国政府警告数千家中小企业他们的在线商店遭到黑客攻击
日期: 2021年11月22日 等级: 高 作者: Sergiu Gatlan 标签: 攻击手法:magic cart, 事件类型:网络攻击事件 行业: 信息传输、软件和信息技术服务业 涉及组织: microsoft
英国国家网络安全中心(ncsc)表示,他们警告超过4000家网上商店的店主,他们的网站受到了magiccart攻击,从而窃取了顾客的支付信息。
随后,攻击者将使用这些数据进行各种金融和身份盗窃欺诈计划,或者在黑客或刷卡论坛上将其出售给出价最高的人。
详情
UK govt warns thousands of SMBs their online stores were hacked黑客滥用Glitch平台窃取凭证
日期: 2021年11月22日 等级: 高 作者: Prajeet Nair 标签: 事件类型:网络攻击事件, 涉及组件:Glitch 行业: 信息传输、软件和信息技术服务业 涉及组织: microsoft, wordpress, github, Glitch
研究人员发现了一个正在进行的鱼叉式网络钓鱼活动,使用的是短期的Glitch应用程序,这些应用程序在逃避检测的同时保存了获取证书的url,网络钓鱼活动始于2021年7月。
攻击者利用含有可疑pdf的电子邮件将目标锁定在中东的一些大公司,这些邮件本身并不是恶意的,但其中包含一个URL,将受害者导向短暂的Glitch应用。这些应用程序托管了一个SharePoint钓鱼页面,其中包含了用于获取证书的模糊JavaScript。
详情
Hackers Abusing Glitch Platform to Steal CredentialsTardigrade黑客用秘密恶意软件瞄准大型制药疫苗制造商
日期: 2021年11月23日 等级: 高 作者: Bill Toulas 标签: 事件类型:网络攻击事件 行业: 卫生和社会工作
一个名为tardigrade的先进黑客组织正在瞄准生物制造设施和研究疫苗和药物的研究中心。
行动者使用复杂的自定义恶意软件在被破坏的网络中传播,并在不被注意的情况下长时间地窃取数据。
至少自2020年1月以来,该行动者一直在积极瞄准该领域的实体。
详情
Tardigrade hackers target big pharma vaccine makers with stealthy malware宜家电子邮件系统遭受持续的网络攻击
日期: 2021年11月26日 等级: 高 作者: Lawrence Abrams 标签: 事件类型:网络攻击事件, 攻击手法:钓鱼攻击 行业: 制造业 涉及组织: microsoft
宜家正在与一场正在进行的网络攻击作斗争,攻击者利用窃取的回复链电子邮件对宜家员工进行内部钓鱼攻击。
回复链电子邮件攻击是指攻击者窃取合法的公司电子邮件,然后用恶意文件的链接回复这些邮件,这些文件会在收件人的设备上安装恶意软件。
由于回复链电子邮件是来自公司的合法电子邮件,通常是从受损的电子邮件帐户和内部服务器发送的,收件人将信任该电子邮件,更有可能打开恶意文件。
详情
IKEA email systems hit by ongoing cyberattack相关安全建议
1. 积极开展外网渗透测试工作,提前发现系统问题
2. 减少外网资源和不相关的业务,降低被攻击的风险
3. 做好产品自动告警措施
4. 及时对系统及各个服务组件进行版本升级和补丁更新
5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
6. 注重内部员工安全培训
0x06 产品侧解决方案
若想了解更多信息或有相关业务需求,可移步至http://360.net
360城市级网络安全监测服务
360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
0x07 时间线
2021-11-29 360CERT发布安全事件周报