报告编号：B6-2021-112902

报告来源：360CERT

报告作者：360CERT

更新日期：2021-11-29

0x01   事件导览

本周收录安全热点25项，话题集中在恶意软件、漏洞信息方面，涉及的组织有：马汉航空、GoDaddy、imunif360、Gmail、Instagram等。多个严重漏洞曝光，各厂商注意及时修复。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

Squirrelwaffle利用ProxyShell和ProxyLogon劫持电子邮件链

日期: 2021年11月22日
等级: 高
作者: Bradley Barth
标签: 事件类型：恶意程序事件
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

2021年9月，Squirrelwaffle作为一种新的装载器出现，通过垃圾邮件活动传播。

据悉，该公司以回复现有的电子邮件链的方式发送恶意邮件，这是降低受害者对恶意活动的防范能力的一种策略。

它涉及到使用ProxyLogon和ProxyShell漏洞链。

涉及漏洞

cve-2021-34473

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34473

cve-2021-34523

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34523

cve-2021-31207

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-31207

详情

BazarLoader将受损安装程序、ISO添加到攻击向量中

日期: 2021年11月23日
等级: 高
作者: Ian Kenefick
标签: 事件类型：恶意程序事件, 恶意程序：BazarLoader
行业: 信息传输、软件和信息技术服务业
涉及组织: google, microsoft, teamviewer

趋势科技继续监控使用信息窃取器BazarLoader(被趋势科技检测为TrojanSpy.Win64。BAZARLOADERTrojanSpy.Win64。BAZARLOADER和Backdoor.Win64.BAZARLOADER)。虽然InfoSec论坛已经注意到在第三季度检测的激增，但趋势科技注意到，在现有的交付技术名册中，有两种新的到达机制被恶意分子用来窃取数据和勒索软件。

详情

APT C-23黑客使用新安卓间谍软件变种瞄准中东用户

日期: 2021年11月24日
等级: 高
作者: Ravie Lakshmanan
标签: 事件类型：恶意程序事件, 攻击者组织：APT C-23
行业: 国际组织
涉及组织: google

一个以打击中东目标而闻名恶意程序，再次改进了其android间谍软件的功能，使其更隐秘、更持久，同时伪装成看似无害的应用程序更新，以保持不被雷达发现。

新变种在其恶意应用程序中加入了新的功能，使其更能抵御用户的行动，用户可能会试图手动删除它们，安全公司和网络托管公司试图阻止访问或关闭它们的命令和控制服务器域。

至少自2017年以来，该手机间谍软件一直是apt-c-23威胁集团的首选工具

详情

在Gmail和Instagram钓鱼欺诈中利用Microsoft MSHTML漏洞

日期: 2021年11月26日
等级: 高
作者: Deeba Ahmed
标签: gmail, Instagram, Phishing, Vulnerability
行业: 信息传输、软件和信息技术服务业
涉及组织: twitter, google, microsoft, instagram

这些攻击始于2021年7月，攻击者利用MicrosoftMSHTML漏洞攻击海外伊朗人。

SafeBreach实验室的研究人员发现了一个新的伊朗攻击者，试图窃取全球波斯语使用者的Instagram和Gmail登录凭证。

攻击者正在使用一种新的基于powershell的窃取工具，被SafeBreach实验室称为PowerShortShell。

涉及漏洞

cve-2021-40444

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-40444

详情

恶意软件正试图利用新的Windows Installer zero day进行攻击

日期: 2021年11月23日
等级: 高
作者: Sergiu Gatlan
标签: 事件类型：恶意程序事件
行业: 信息传输、软件和信息技术服务业
涉及组织: cisco, microsoft

恶意软件创建者已经开始测试一个概念验证漏洞，目标是一个新的微软Windows安装程序0day漏洞，由安全研究员abdelhamidnaceri公开披露的。

思科talos安全情报与研究小组的技术负责人杰森·舒尔茨说:“talos已经在野外检测到试图利用这个漏洞的恶意软件样本。”

涉及漏洞

cve-2021-41379

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-41379

详情

当心BrazKing Android恶意软件升级和攻击银行

日期: 2021年11月24日
等级: 高
作者: BALAJI N
标签: 事件类型：恶意程序事件
行业: 金融业
涉及组织: twitter, google, facebook, reddit, ibm, linkedin, whatsapp

BrazkingAndroid银行场特洛伊木马以网络钓鱼应用程序的形式重新安装，以获得财务数据。

该应用程序已经更新了新的动态覆盖，以创造出正在访问银行数据的假象。

这种技术也可以在不需要危险的许可的情况下工作，这可能会给安全应用程序带来危险信号。

银行木马通常被设计用来窃取通过android设备传输的银行凭证。唯一的目的就是从受害者的账户里偷钱。

详情

数据窃取恶意软件影响超过900万台运行华为appgallery的Android设备

日期: 2021年11月24日
等级: 高
来源: 
标签: 事件类型：恶意程序事件
行业: 信息传输、软件和信息技术服务业
涉及组织: huawei

华为的应用程序库成为了一场新的大规模恶意软件攻击的目标。将近930万个android木马安装被伪装成190个不同的应用程序。

Dr.webav的研究人员发现了这一现象，并将其归因于android。它是一种不同的Cynos恶意软件变体。这种新的恶意软件的目标是执行敏感的用户信息收集。

这些应用伪装成射击游戏、平台游戏、街机游戏、模拟器和RTS策略游戏，面向国际用户或中国和俄罗斯用户。

详情

新的JavaScript恶意软件悄悄地用RATs感染Windows PC

日期: 2021年11月24日
等级: 高
作者: Bill Toulas
标签: 事件类型：恶意程序事件
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

一种名为“ratdispenser”的新型隐形javascript加载器正在被用来通过各种远程访问木马(rats)来感染网络钓鱼攻击的设备。

这个新颖的加载器很快就与至少八个恶意软件家族建立了分销合作关系，所有这些恶意软件家族的目的都是窃取信息，并让参与者控制目标设备。在惠普威胁研究团队分析的94%的案例中，ratdispenser并不与参与者控制的服务器通信，只是作为第一阶段的恶意软件分发器使用。

详情

新的Linux恶意软件隐藏在日期无效的cron作业中

日期: 2021年11月25日
等级: 高
作者: Ionut Ilascu
标签: Linux, Cronrat
行业: 信息传输、软件和信息技术服务业

安全研究人员发现了一种新的Linux远程访问木马(rat)，它通过隐藏在计划在不存在的2月31日执行的任务中来保持几乎不可见的配置文件。

这种被称为cronrat的恶意软件目前针对的是网络商店，攻击者可以通过在Linux服务器上部署在线支付拦截器来窃取信用卡数据。

cronrat的特点是既聪明又复杂，就在线商店的恶意软件而言，许多反病毒引擎都检测不到它。

详情

Linux恶意软件代理攻击电子商务网站并窃取支付数据

日期: 2021年11月25日
等级: 高
作者: BALAJI N
标签: 事件类型：恶意程序事件
行业: 信息传输、软件和信息技术服务业
涉及组织: twitter, facebook, reddit, linkedin, whatsapp

研究人员发现了一种新的、恶意的Linux代理，它隐藏在电子商务服务器上，作为一个系统进程。

这个新的恶意Linux代理名为linux_avp，它被发现隐藏在操作系统中。

这种恶意软件使用多级攻击，利用后门库从远程位置获取恶意文件。该恶意软件的创建是为了将javascript注入页面并获取客户信息，如:-登录id密码恶意软件代理这种基于golange的恶意软件代理具有很高的成功率，并使攻击者能够区分一个规格

详情

海上服务提供商Swire Pacific Offshore被Clop勒索软件袭击

日期: 2021年11月26日
等级: 高
作者: Pierluigi Paganini
标签: 事件类型：恶意程序事件
行业: 租赁和商务服务业

Clop勒索软件袭击了海洋服务提供商SwirePacificOffshore公司(spo)，并窃取了公司数据，但没有影响全球业务。

SwirePacificOffshore公司(spo)发现其it系统遭到未经授权的网络攻击。

未经授权的访问已导致一些机密的专有商业信息的损失，并已导致一些个人数据的损失。

详情

TrickBot网络钓鱼检查屏幕分辨率以逃避研究人员

日期: 2021年11月26日
等级: 高
作者: Ionut Ilascu
标签: 事件类型：恶意程序事件, 攻击手法：网络钓鱼
行业: 信息传输、软件和信息技术服务业

恶意软件操作者一直在使用一种新的方法来检查受害者系统的屏幕分辨率，以逃避安全软件的检测和研究人员的分析。

2020年，TrickBot组织在他们的恶意软件中添加了一个新功能，如果设备使用非标准屏幕分辨率(800x600和1024x768)，就会终止感染链。

在威胁研究人员发现的一种新变体中，验证码已被添加到发送给潜在受害者的垃圾邮件的HTML附件中。

详情

加密黑客使用Babadeda Crypter使其恶意软件无法检测

日期: 2021年11月26日
等级: 高
作者: Ravie Lakshmanan
标签: 事件类型：恶意程序事件, 恶意程序：Babadeda
行业: 信息传输、软件和信息技术服务业

一个新的恶意软件活动已经被发现，目标是加密货币、不可替代令牌(NFT)和defi爱好者通过不一致的渠道部署一个名为“Babadeda”的加密程序，该加密程序能够绕过反病毒解决方案并实施各种攻击。

morphisec的研究人员在发表的一份报告中说，他的恶意软件安装程序在最近的各种活动中被用来传送信息窃取者、rat，甚至lockbit勒索软件，据悉，恶意软件传播攻击从2021年5月开始。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

GoDaddy hack导致数据泄露影响120万客户

日期: 2021年11月22日
等级: 高
作者: Sergiu Gatlan
标签: 事件类型：信息泄露事件, 涉及组件：Godaddy
行业: 信息传输、软件和信息技术服务业
涉及组织: wordpress, Godaddy

在2021年11月22日发布的一份数据泄露通知中，godaddy表示，在黑客进入该公司托管的wordpress主机环境后，多达120万用户的数据被泄露。

godaddy公司于11月17日发现了这一事件，但攻击者至少从2021年9月6日起就进入了该公司的网络，并获取了被入侵系统中的数据。

多达120万活跃和不活跃的wordpress管理客户的电子邮件地址和客户号码被公开。

详情

GoDaddy数据泄露更新：六家WordPress托管服务经销商受到影响

日期: 2021年11月25日
等级: 高
来源: heimdalsecurity
标签: 事件类型：数据泄露事件, 受害者组织：GoDaddy
行业: 信息传输、软件和信息技术服务业
涉及组织: wordpress

GoDaddy是最大的网络托管公司和域名注册商之一，最近遭受了一次数据泄露，导致大约120万用户暴露。

这家网络托管公司还透露，该事件影响了几家受管理的WordPress服务经销商，包括tsoHost、MediaTemple、123Reg、DomainFactory、HeartInternet和HostEurope。

详情

包含敏感数据数千个火狐cookie出现在github存储库中

日期: 2021年11月22日
等级: 高
作者: cnBeta.COM
标签: 事件类型：数据泄露事件, 涉及组织：Firefox，Github
行业: 信息传输、软件和信息技术服务业
涉及组织: github, firefox

包含敏感数据的数千个firefoxcookie数据库目前出现在github的存储库中，这些数据可能用于劫持经过身份验证的会话。

这些cookies.sqlite数据库通常位于firefox配置文件文件夹中。它们用于在浏览会话之间存储cookie。

现在可以通过使用特定查询参数搜索github来找到它们，这就是所谓的搜索“dork”。

详情

犹他州成像协会数据泄露影响583643名患者

日期: 2021年11月22日
等级: 高
作者: Pierluigi Paganini
标签: 事件类型：数据泄露事件, 涉及组织：Utah Imaging Associates
行业: 卫生和社会工作

犹他州成像协会(UIA)于2021年9月4日披露了一个安全漏洞，该公司声称发现并阻止了一次网络攻击。在一家专门的第三方网络安全公司的帮助下，这家医疗保健提供商迅速保护了其基础设施。犹他州成像协会也通知了美国卫生与公众服务部。

医疗保健提供商还进行了调查，以确定入侵的范围。攻击者获得了一些包含583643人敏感数据的UIA文件，首次渗透发生在2021年8月29日。

详情

Wi-Fi管理软件公司泄露数百万巴西人的数据

日期: 2021年11月23日
等级: 高
作者: Angelica Mari
标签: 事件类型：数据泄露事件, 受害者组织：wspot
行业: 信息传输、软件和信息技术服务业
涉及组织: amazon, microsoft

一家巴西wi-fi管理软件公司wspot卷入了一场事件，曝光了多家知名公司及其数百万客户的数据。

该公司提供的软件可以确保企业内部wi-fi网络的安全，并允许客户免密码在线接入。这次曝光是由安全研究公司“安全侦探”发现的。

详情

新墨西哥True Health公司的医疗数据被泄露

日期: 2021年11月26日
等级: 高
作者: Jeremy Kirk
标签: 事件类型：数据泄露事件
行业: 卫生和社会工作

新墨西哥州的一家医疗保险公司警告说，数据泄露导致个人和医疗信息暴露。

TruehealthnewMexico在其网站上发布的一份安全顾问报告中称，在“10月初”的一次入侵之后，该公司于10月5日首次获悉安全事件。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

伊朗顶级航空公司马汉航空遭受网络攻击

日期: 2021年11月22日
等级: 高
作者: Waqas
标签: 攻击者组织：hooshyarane vatan, 事件类型：网络攻击事件
行业: 交通运输、仓储和邮政业
涉及组织: israel

根据马汉航空公司的说法，这次网络攻击是在2021年11月21日早上发起的，后来一个相对不太知名的黑客组织——“hooshyaranevatan”宣称对此次袭击负责。

继伊朗航空公司之后的第二大航空公司、伊朗第一个私人航空公司马汉航空公司被确认遭受了网络攻击。

据伊朗官方媒体报道，该航空公司的航班没有受到此次袭击的影响。该航空公司除了覆盖国内航线外，还服务于中亚、南亚、中东和欧洲。

详情

风力涡轮机巨头维斯塔斯的数据在网络攻击中受损

日期: 2021年11月22日
等级: 高
作者: Bill Toulas
标签: 事件类型：网络攻击事件, 受害者组织：Vestas
行业: 电力、热力、燃气及水生产和供应业

风力涡轮机制造领域的领军企业维斯塔斯风力系统公司(Vestaswindsystems)在11月19日遭受网络攻击后关闭了其it系统。

维斯塔斯是北美领先的风力涡轮机制造商、安装和服务公司，在美国和加拿大拥有40,000兆瓦的装机容量和36,000多兆瓦的服务容量。

详情

英国政府警告数千家中小企业他们的在线商店遭到黑客攻击

日期: 2021年11月22日
等级: 高
作者: Sergiu Gatlan
标签: 攻击手法：magic cart, 事件类型：网络攻击事件
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

英国国家网络安全中心(ncsc)表示，他们警告超过4000家网上商店的店主，他们的网站受到了magiccart攻击，从而窃取了顾客的支付信息。

随后，攻击者将使用这些数据进行各种金融和身份盗窃欺诈计划，或者在黑客或刷卡论坛上将其出售给出价最高的人。

详情

黑客滥用Glitch平台窃取凭证

日期: 2021年11月22日
等级: 高
作者: Prajeet Nair
标签: 事件类型：网络攻击事件, 涉及组件：Glitch
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft, wordpress, github, Glitch

研究人员发现了一个正在进行的鱼叉式网络钓鱼活动，使用的是短期的Glitch应用程序，这些应用程序在逃避检测的同时保存了获取证书的url，网络钓鱼活动始于2021年7月。

攻击者利用含有可疑pdf的电子邮件将目标锁定在中东的一些大公司，这些邮件本身并不是恶意的，但其中包含一个URL，将受害者导向短暂的Glitch应用。这些应用程序托管了一个SharePoint钓鱼页面，其中包含了用于获取证书的模糊JavaScript。

详情

Tardigrade黑客用秘密恶意软件瞄准大型制药疫苗制造商

日期: 2021年11月23日
等级: 高
作者: Bill Toulas
标签: 事件类型：网络攻击事件
行业: 卫生和社会工作

一个名为tardigrade的先进黑客组织正在瞄准生物制造设施和研究疫苗和药物的研究中心。

行动者使用复杂的自定义恶意软件在被破坏的网络中传播，并在不被注意的情况下长时间地窃取数据。

至少自2020年1月以来，该行动者一直在积极瞄准该领域的实体。

详情

宜家电子邮件系统遭受持续的网络攻击

日期: 2021年11月26日
等级: 高
作者: Lawrence Abrams
标签: 事件类型：网络攻击事件, 攻击手法：钓鱼攻击
行业: 制造业
涉及组织: microsoft

宜家正在与一场正在进行的网络攻击作斗争，攻击者利用窃取的回复链电子邮件对宜家员工进行内部钓鱼攻击。

回复链电子邮件攻击是指攻击者窃取合法的公司电子邮件，然后用恶意文件的链接回复这些邮件，这些文件会在收件人的设备上安装恶意软件。

由于回复链电子邮件是来自公司的合法电子邮件，通常是从受损的电子邮件帐户和内部服务器发送的，收件人将信任该电子邮件，更有可能打开恶意文件。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x07   时间线

2021-11-29 360CERT发布安全事件周报