安全事件周报 (03.29-04.04)
2021-04-06 10:52

报告编号:B6-2021-040601

报告来源:360CERT

报告作者:360CERT

更新日期:2021-04-06

0x01   事件导览

本周收录安全热点11项,话题集中在数据泄露网络攻击方面,涉及的组织有:AsteelflashFacebookPHP SRCActivision等。PHP代码被植入后门,Facebook遭遇用户数据泄露。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

恶意程序
Asteelflash电子制造商遭遇勒索软件攻击
《使命召唤:战区》恶意软件
一种Android恶意软件隐藏为系统更新应用程序来监视你
数据安全
Facebook5.33亿用户数据被发布
MobiKwik遭遇重大漏洞,350万用户KYC数据曝光
网络攻击
针对安全研究人员的最新网络攻击
PHP代码被植入后门
针对加密货币的自动攻击行为
其它事件
伪造的jQuery文件会在WordPress网站上加载被混淆的恶意软件
VMware修补程序关键的vRealize操作平台漏洞
成千上万的项目受到netmask npm包漏洞的影响

0x02   恶意程序

Asteelflash电子制造商遭遇勒索软件攻击

日期: 2021年04月02日
等级: 高
作者: Lawrence Abrams
标签: Asteelflash, REvil
行业: 信息传输、软件和信息技术服务业
涉及组织: Asteelflash

法国领先的电子制造服务公司Asteelflash遭到了REvil勒索软件团伙的网络攻击,该团伙要求支付2400万美元的赎金,REvil允许攻击者访问Tor协商页面进行网络攻击。

详情

Asteelflash electronics maker hit by REvil ransomware attack

《使命召唤:战区》恶意软件

日期: 2021年04月02日
等级: 高
作者: Becky Bracken
标签: Activision, Call of Duty, RAT
行业: 信息传输、软件和信息技术服务业
涉及组织: activision

《使命召唤:战区》(CallofDuty:Warzone)背后的公司Activision发布警告称,一名攻击者发布了一款作弊工具的广告,结果发现这是远程访问特洛伊木马(RAT)。Activision在警告中说,该木马于3月份首次出现,当时一名网络攻击者发布了一款免费的游戏辅助工具。作弊指南通常会要求用户以最高的权限运行,并禁用或卸载防病毒软件和主机防火墙、内核代码签名等。该工具发布贴收到了1万多次浏览和260条回复,这篇帖子随后在评论中又添加了说明,并链接到了一个YouTube视频,该视频的浏览量达到了5000次。

详情

Call of Duty Cheats Expose Gamers to Malware

一种Android恶意软件隐藏为系统更新应用程序来监视你

日期: 2021年03月29日
等级: 高
作者: Charlie Osborne
标签: Android, Trojan
行业: 信息传输、软件和信息技术服务业
涉及组织: whatsapp

研究人员发现了一种新的“复杂的”安卓间谍软件应用程序,将自己伪装成软件更新。该恶意软件是一种远程访问特洛伊木马(RAT),能够窃取GPS数据和短信、联系人列表、通话日志、获取图像和视频文件、秘密录制基于麦克风的音频、劫持移动设备的摄像头拍照、查看浏览器书签和历史记录、窃听电话、窃取手机上的操作信息,包括存储统计数据和已安装应用程序的列表,即时通讯内容也面临风险。

详情

[

This Android malware hides as a System Update app to spy on you

](https://www.zdnet.com/article/this-android-malware-hides-as-a-system-update-app-to-spy-on-you/)

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 条件允许的情况下,设置主机访问白名单

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 各主机安装EDR产品,及时检测威胁

0x03   数据安全

Facebook5.33亿用户数据被发布

日期: 2021年04月03日
等级: 高
作者: Larry Dignan
标签: Facebook
行业: 信息传输、软件和信息技术服务业
涉及组织: facebook

5.53亿Facebook用户的数据,包括电话号码、Facebookid、全名、出生日期和其他信息都被发布在网上。安全公司哈德逊洛克(hudsonrock)的首席技术官阿隆•加尔在推特上发布了这个数据。加尔公布了受影响用户的国家名单,根据他的名单,美国有3230万受影响用户,英国有1150万。

详情

[

Facebook data on 533 million users posted online

](https://www.zdnet.com/article/facebook-data-on-533-million-users-posted-online/)

MobiKwik遭遇重大漏洞,350万用户KYC数据曝光

日期: 2021年03月29日
等级: 高
作者: The Hacker News
标签: MobiKwik, KYC, India, Payments Service
行业: 金融业
涉及组织: twitter, tor browser, linkedin

印度移动支付服务MobiKwik在2021年3月初发现重大数据泄露事件后,数百万用户共8.2TB的数据开始在暗网上流传。

泄露的数据包括敏感的个人信息,如:客户姓名、散列密码、电子邮件地址、住宅地址等。

详情

MobiKwik Suffers Major Breach — KYC Data of 3.5 Million Users Exposed

相关安全建议

1. 严格控制数据访问权限

2. 发生数据泄漏事件后,及时进行密码更改等相关安全措施

3. 及时检查并删除外泄敏感数据

0x04   网络攻击

针对安全研究人员的最新网络攻击

日期: 2021年04月01日
等级: 高
作者: Adam Weidemann
标签: SecuriElite, Security Researchers, North Korean
行业: 信息传输、软件和信息技术服务业

2021年1月,威胁分析小组记录了一次黑客攻击活动,并将其归因于朝鲜政府支持的一个针对安全研究人员的实体。

3月17日,这些黑客为一家名为“SecuriElite”的假公司建立了一个具有相关社交媒体资料的新网站。

该网站谎称自己是一家位于土耳其的红队安全公司,可提供渗透测试,软件安全评估和漏洞利用。

与这些黑客以前创建的网站一样,该网站在页面底部也有指向其PGP公钥的链接。

IOC

Name

- www.securielite[.]com

- https://twitter.com/alexjoe9983

- https://twitter.com/BenH3mmings

- https://twitter.com/chape2002

- https://twitter.com/julia0235

- https://twitter.com/lookworld0821

- https://twitter.com/osm4nd

- https://twitter.com/seb_lazar

- https://twitter.com/securielite

Domain

- bestwing[.]org{

- codebiogblog[.]com{

- coldpacific[.]com{

- cutesaucepuppy[.]com{

- devguardmap[.]org{

- hireproplus[.]com{

- hotelboard[.]org{

- mediterraneanroom[.]org{

- redeastbay[.]com{

- regclassboard[.]com{

- securielite[.]com{

- spotchannel02[.]com{

- wileprefgurad[.]net{

Email

- contact@securielite.com

- osman@securielite.com

- submit@securielite.com

详情

Update on campaign targeting security researchers

PHP代码被植入后门

日期: 2021年03月29日
等级: 高
来源: PHP
标签: PHP, Backdoor, Zlib
行业: 信息传输、软件和信息技术服务业

2021年3月28日,PHP团队的git.php.net服务器上维护的php-srcGit存储库中被提交了两个恶意文件。恶意文件是以创建者的名义提交的,目前尚不清楚这一攻击是如何发生的,但是所有线索都表明这次攻击是针对git.php.net服务器的(而不是个人git帐户)。通过分析恶意代码,发现其目的是为了给安装该版本PHP的网站植入后门并方便远程执行代码(RCE)。目前尚不清楚该事件的影响情况,但是git.php.net服务器已停用,其源代码存储库现已迁移到GitHub。

GithubCommit地址 -https://github.com/php/php-src/commit/c730aa26bd52829a49f2ad284b181b7e82a68d7d-https://github.com/php/php-src/commit/c730aa26bd52829a49f2ad284b181b7e82a68d7d

详情

PHP代码被植入后门

针对加密货币的自动攻击行为

日期: 2021年04月03日
等级: 高
作者: Ax Sharma
标签: GitHub, GitHub Actions, Cryptocurrency
行业: 信息传输、软件和信息技术服务业
涉及组织: github

攻击者滥用GitHubActions,并在攻击中使用GitHub的服务器来挖掘加密货币。GitHubActions是一个CI/CD解决方案,可轻松实现所有软件工作流程的自动化和定期任务的设置。

这种特殊的攻击将恶意的GitHubActions代码添加到了合法代码的分叉存储库中,并进一步为原始存储库维护者创建了一个PullRequest,以将代码合并回去,合法项目的维护者不需要执行操作就可以使攻击成功,以此来更改原始代码。

详情

Automated attack abuses GitHub Actions to mine cryptocurrency

相关安全建议

1. 积极开展外网渗透测试工作,提前发现系统问题

2. 及时对系统及各个服务组件进行版本升级和补丁更新

3. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

4. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

0x05   其它事件

伪造的jQuery文件会在WordPress网站上加载被混淆的恶意软件

日期: 2021年03月31日
等级: 高
作者: Ax Sharma
标签: JavaScript, WordPress, JQuery Migrate
行业: 信息传输、软件和信息技术服务业
涉及组织: wordpress

JQueryMigrate插件的假冒版本被注入了数十个网站,其中包含用于加载恶意软件的模糊代码。攻击者可以获得各种各样的能力,包括用于信用卡浏览的Magecart诈骗,以及将用户重定向到诈骗网站,用户可能会被引导到虚假调查,技术支持诈骗,被要求订阅垃圾邮件通知或下载不需要的浏览器扩展。

详情

Fake jQuery files load obfuscated malware on WordPress sites

VMware修补程序关键的vRealize操作平台漏洞

日期: 2021年03月31日
等级: 高
作者: Charlie Osborne
标签: VMware, VRealize
行业: 信息传输、软件和信息技术服务业
涉及组织: vmware

VMware修补了一对可能导致vRealize中管理员凭据被盗的严重漏洞,这些漏洞是由PositiveTechnologies渗透测试人员EgorDimitrenko私下向VMware报告的,可允许具有网络访问权限的攻击者执行SSRF攻击并窃取管理员凭据。

涉及漏洞

- CVE-2021-21983

- CVE-2021-21975

详情

[

VMware patches critical vRealize Operations platform vulnerabilities

](https://www.zdnet.com/article/vmware-patches-critical-vrealize-operations-vulnerabilities/)

成千上万的项目受到netmask npm包漏洞的影响

日期: 2021年03月30日
等级: 高
作者: Pierluigi Paganini
标签: CVE-2021-28918, Npm, Netmask, SSRF, Vulnerability
行业: 信息传输、软件和信息技术服务业
涉及组织: npm

netmasknpm软件包中的漏洞(编号为CVE-2021-28918)可能使专用网络遭受多种攻击。

该漏洞是由于netmasknpm软件包中八进制字符串的输入验证不正确引起的,它影响了1.1.0版本。

在广泛使用的netmasknpm包v1.1.0及以下版本中,不正确的八进制字符串输入允许未经身份验证的远程攻击者对许多依赖的包执行SSRF、RFI和LFI攻击。

涉及漏洞

- CVE-2021-28918

详情

Hundreds of thousands of projects affected by a flaw in netmask npm package

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

0x06   产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

0x07   时间线

2021-04-06 360CERT发布安全事件周报

0x08   特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

安全事件周报 (03.29-04.04)

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。