安全事件周报 (7.20-7.26)
2020-07-27 11:09

报告编号:B6-2020-072701

报告来源:360CERT

报告作者:360CERT

更新日期:2020-07-27

0x01 事件导览

本周收录安全事件22项,话题集中在勒索数据泄漏方面,涉及的厂商有:AmazonBlackbaudGarmin阿根廷电信等。大量未做加固的服务器成为病毒的温床,恶意程序持续泛滥,威胁着企业集团和国家单位的数据财产安全。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

恶意程序 热度
勒索程序团伙要求阿根廷ISP提供750万美元赎金 ★★★★★
为门罗币而生:Prometei僵尸网络 ★★★★★
Emotet僵尸网络现在正在大量传播QakBot恶意程序 ★★★★
Garmin疑似遭勒索软件攻击 导致网站、APP及服务中断 ★★★★
Lorien Health Services遭遇恶意程序勒索,受影响个人数量约50000 ★★★
Lazarus黑客部署勒索软件,使用MATA恶意软件窃取数据 ★★★
Chrome浏览器应用商店下架100多个扩展程序 ★★★
英国政府警告勒索软件BEC对体育部门的攻击 ★★★
数据安全
7家VPN服务泄露了超过2000万用户的数据 ★★★★
云计算提供商Blackbaud在数据泄露后支付了赎金 ★★★★
高校招聘数据库泄漏了近一百万名学生的GPA,SAT分数,ID和其他个人数据 ★★★★
约克大学披露数据泄露,员工和学生记录被盗 ★★★
DNA分析服务GEDmatch遭遇数据泄露事件 暴露了130万份资料 ★★★
在黑客论坛上出现1700万用户记录后,CouchSurfing调查其数据泄露 ★★★
科技独角兽Dave承认影响750万用户的安全漏洞 ★★★
黑客攻击
新的“喵”攻击已删除了近4,000个不安全的数据库 ★★★★★
网络钓鱼活动使用Google Cloud Services窃取Office 365登录名 ★★★★
以色列的供水系统再遭受两次网络攻击 ★★
Twilio:有人闯入了我们脆弱的AWS S3仓库 ★★
其它事件
Coinbase阻止Twitter黑客诈骗约28万美元 ★★★
微软公开了新的双密钥加密 ★★★
美国提供200万美元,用于针对因SEC黑客行为而被指控的乌克兰人 ★★

0x02 恶意程序

勒索程序团伙要求阿根廷ISP提供750万美元赎金

日期: 2020年7月20日
等级: 高
作者: Catalin Cimpanu
标签: Malware, Ransom, Telecom Argentina, ISP

一个勒索程序团伙已经感染了阿根廷电信(该国最大的互联网服务提供商之一)的内部网络,现在正要求提供750万美元的赎金以解锁加密文件。该事件发生在7月18日星期六的周末,被认为是阿根廷最大的黑客事件之一。ISP内的消息人士说,黑客设法获得对内部Domain Admin的控制权后,对该公司的网络造成了广泛破坏,他们传播安装了勒索软件payload到18,000多个终端

详情

Ransomware gang demands $7.5 million from Argentinian ISP

为门罗币而生:Prometei僵尸网络

日期: 2020年7月22日
等级: 高
作者: Vanja Svajcer
标签: Malware, Botnet, Prometei, Monero, Cryptomining

在野外发现了一个新的僵尸网络,该僵尸网络利用Microsoft Windows SMB协议在整个系统中横向移动,同时秘密地挖掘加密货币。 在7月22日的一份报告中,思科Talos分析道: 自2020年3月以来,Prometei恶意软件一直在进行机器扫描。 新的僵尸网络值得关注,因为它使用了广泛的模块化系统和多种技术来破坏系统并向最终用户隐藏其存在,以便挖掘出门罗币(XMR)。

详情

Prometei botnet and its quest for Monero

Emotet僵尸网络现在正在大量传播QakBot恶意程序

日期: 2020年7月21日
等级: 高
作者: Ionut Ilascu
标签: Malware, Emotet, QakBot, Trojan, TrickBot

追踪Emotet僵尸网络的研究人员注意到,该恶意软件开始以异常高的速度传播QakBot银行木马,从而取代了之前长期使用的TrickBot。上周,Emotet在休息了五个多月后才重获新生。从昨天开始,恶意垃圾邮件操作再次开始在受感染的Windows系统上安装TrickBot。7月21日,当研究人员注意到Emotet下发QakBot时,情况发生了变化。恶意软件中的字符串表示该木马现在是Emotet僵尸网络的首选恶意程序。

详情

Emotet botnet is now heavily spreading QakBot malware

Garmin疑似遭勒索软件攻击 导致网站、APP及服务中断

日期: 2020年7月23日
等级: 高
作者: Catalin Cimpanu
标签: Malware, WastedLocker, Garmin, Smartwatch, Ransom

知名运动品牌佳明(Garmin)昨日疑似遭到勒索软件攻击,导致包括网站、移动APP以及 Garmin Connect 在内的诸多服务中断。而且客户无法连接到 Garmin 的呼叫中心,公司团队成员也无法进入聊天、通话或者电子邮件。Garmin的一些员工在网上发表讲话,将这一事件归因于今年早些时候出现的一种新型勒索软件,称为WastedLocker

详情

Garmin services and production go down after ransomware attack

Lorien Health Services遭遇恶意程序勒索,受影响个人数量约50000

日期: 2020年7月20日
等级: 中
作者: Ionut Ilascu
标签: Malware, Lorien Health Services, Ransom, Data Breach, Netwalker

马里兰州的Lorien Health Services宣布,其于六月初成为勒索软件事件的受害者。事故期间数据被盗,接着终端文件被加密。Netwalker勒索软件运营商宣布对此次攻击负责,他们在Lorien拒绝支付赎金要求后泄露了信息。根据发送给卫生和公共服务部长的信息显示,受影响的个人数量为47,754。

详情

Lorien Health Services discloses ransomware attack affecting nearly 50,000

Lazarus黑客部署勒索软件,使用MATA恶意软件窃取数据

日期: 2020年7月22日
等级: 中
作者: Sergiu Gatlan
标签: Lazarus, MATA, Malware, North Korea

自2018年4月以来,一个名为MATA的恶意软件框架已与朝鲜支持的黑客组织Lazarus链接,该组织针对多个国家/地区的公司实体实施攻击以用于勒索软件部署和数据盗窃。 卡巴斯基实验室全球研究与分析团队(GReAT)的安全研究人员发现MATA时关于被攻击国家提到了波兰,德国,土耳其,韩国,日本和印度。 Lazarus(也被美国情报机构称为HIDDEN COBRA,被Microsoft称为Zinc)使用MATA入侵并感染了从事各种行业活动的公司的机器,包括但不限于软件开发公司,互联网服务提供商和电子商务公司。

详情

Lazarus hackers deploy ransomware, steal data using MATA malware

Chrome浏览器应用商店下架100多个扩展程序

日期: 2020年7月22日
等级: 中
作者: Ravie Lakshmanan
标签: Malware, Google, Chrome, Browser Extensions, Sensitive data

最近在Chrome网上应用店中,Google被删除了106个扩展,原因是监测到这些扩展非法收集敏感用户数据,这是针对石油,天然气,金融和医疗保健部门的“大规模全球监视运动”的一部分。 Awake Security 于上周晚些时候披露了调查结果,称恶意浏览器插件与一个互联网域名注册商GalComm绑定在一​​起。 但是,尚不清楚谁是间谍软件背后的力量。 Awake Security表示:“该活动和涉及到的Chrome扩展程序执行了一些操作,例如为受害设备拍摄屏幕快照,加载恶意软件,读取剪贴板以及积极收集令牌和用户输入。”

详情

Over 100 New Chrome Browser Extensions Caught Spying On Users

英国政府警告勒索软件BEC对体育部门的攻击

日期: 2020年7月23日
等级: 中
作者: Sergiu Gatlan
标签: Malware, NCSC, BEC, Phishing, Ransom, Sports

英国国家网络安全中心(NCSC)7月23日强调了针对体育组织和球队(包括英超足球俱乐部)的勒索软件攻击,网络钓鱼活动以及商业电子邮件和解(BEC)欺诈计划带来的日益增加的风险。 根据该机构委托进行的Ipsos MORI调查得出的数据,至少70%的体育组织在去年经历了违规或网络事件,其中30%在此期间记录了5次以上的事件,“比英国企业的平均水平高出一倍。” 在这些事件中,大约30%的平均财务损失也达到了10,000英镑(12,700美元),据报道,单笔损失最大的是超过400万英镑(近5,100,000美元)。

详情

UK govt warns of ransomware, BEC attacks against sports sector

相关安全建议

  1. 建议加大口令强度,对内部计算机、网络服务、个人账号都使用强口令
  2. 及时对系统及各个服务组件进行版本升级和补丁更新
  3. 注重内部员工安全培训,不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序
  4. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
  5. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
  6. 如果不慎勒索中招,务必及时隔离受害主机、封禁外链ip域名并及时联系应急人员处理

0x03 数据安全

7家VPN服务泄露了超过2000万用户的数据

日期: 2020720日
等级: 高
作者: Amer Owaida
标签: Data Breach, VPN, User Data, Elasticsearch, Databases, Unsecured Server

vpnMentor的研究人员表示:七家声称不保留其用户在线活动日志的虚拟专用网(VPN)提供商最近暴露了1.2 TB的专用用户数据,在由服务共享的服务器上发现的数据包括可能多达2000万个VPN用户的个人身份信息(PII)。 UFO VPNFAST VPNFREE VPNSUPER VPNFlash VPNSecure VPNRabbit VPN都与事件有关。该报告表明,所有这些基于香港的服务都具有共享的开发人员和应用程序,并被指定为是白标签解决方案,且以不同品牌重新用于其他公司。该假设基于共享相同Elasticsearch服务器,托管在相同资产上的服务,以及这些服务共享单个收款人的事实

目前Elasticsearch在全球均有分布,具体分布如下图,数据来自于360 QUAKE

详情

7 VPN services leaked data of over 20 million users, says report

云计算提供商Blackbaud在数据泄露后支付了赎金

日期: 2020年7月21日
等级: 高
作者: Pierluigi Paganini
标签: Data Breach, Blackbaud, Attack, Ransom

Blackbaud是一个云计算提供商,上周,该公司披露它是2020年5月勒索软件攻击的受害者。尽管该公司已发现入侵并锁定了攻击者,但勒索软件运营商仍能够泄露其数据。该公司选择支付赎金,以删除攻击者在入侵期间窃取的数据。

详情

Cloud computing provider Blackbaud paid a ransom after data breach

高校招聘数据库泄漏了近一百万名学生的GPA,SAT分数,ID和其他个人数据

日期: 2020年7月22日
等级: 高
作者: Bernard Meyer
标签: Amazon, Amazon S3 Bucket, Data Breach, CaptainU, Database, Unsecured Server

我们最近发现了一个脆弱的Amazon S3(简单存储服务)数据库,其中包含近一百万条敏感的高中学生学术信息记录。 此数据库中包括GPA分数,ACT,SAT和PSAT分数,非官方成绩单,学生ID以及学生和父母的姓名,电子邮件地址,家庭住址,电话号码等。 这个没有安全防护的数据库似乎属于CaptainU,这是一个在线平台,旨在帮助联系有兴趣招募学生参加体育运动的学生运动员和学院或大学。正因为如此,里面还包含学生的体育成就的图片和视频,从学生到教练的个人信息,以及其他招募相关材料。

详情

College recruitment database leaking nearly 1 million students’ GPAs, SAT scores, IDs, and other personal data

约克大学披露数据泄露,员工和学生记录被盗

日期: 2020722日
等级: 中
作者: Charlie Osborne
标签: Data Breach, Blackbaud, University of York

约克大学已经披露了由第三方服务提供商经历的网络攻击导致的数据泄露。 根据学术机构的说法,泄漏信息可能包括:姓名,职称,性别,出生日期,学生编号,电话号码,电子邮件地址,实际地址和LinkedIn个人资料记录。此外,也可能暴露了课程信息,所获得的资格,有关课外活动的详细信息,职业,雇主,调查答复以及已记录的校友活动和筹款活动。 该大学表示,针对第三方云计算提供商Blackbaud的勒索软件攻击是造成数据失窃的原因。Blackbaud为约克大学提供客户关系管理(CRM)服务。

详情

University of York discloses data breach, staff and student records stolen

DNA分析服务GEDmatch遭遇数据泄露事件 暴露了130万份资料

日期: 2020724日
等级: 中
作者: CNBeta
标签: Data Breach, GEDmatch, Phishing, Verogen, MyHeritage

据外媒Techspot报道,像GEDmatch这样的私人DNA剖析公司通过向人们提供探索其家族史和健康风险的能力而大受欢迎。这些公司中的许多公司向法医基因组学市场扩张,为执法部门建立DNA档案,但往往没有一个坚实的网络安全策略来保护用户的数据。最近,一起重大安全漏洞事件促使DNA分析服务GEDmatch的所有者将网站下线。

详情

DNA分析服务GEDmatch遭遇数据泄露事件 暴露了130万份资料

在黑客论坛上出现1700万用户记录后,CouchSurfing调查其数据泄露

日期: 2020年7月23日
等级: 中
作者: ZDNet
标签: Data Breach, CouchSurfing, Telegram, Data trading

允许用户查找免费住宿的在线服务CouchSurfing正在调查安全漏洞攻击事件,此前黑客开始在Telegram频道和黑客论坛上出售1700万用户的详细信息。 ZDNet从数据经纪人那里了解到,CouchSurfing数据目前的售价为700美元,该人买卖被黑客入侵的数据是为了从地下黑客获利。 要求匿名的数据经纪人无法识别黑客,但表示CouchSurfing数据于2020年7月在本月初从CouchSurfing的服务器上获取,该数据最早于上周在私人Telegram频道中出现。 。

详情

CouchSurfing investigates data breach after 17m user records appear on hacking forum

科技独角兽Dave承认影响750万用户的安全漏洞

日期: 2020年7月26日
等级: 中
作者: Catalin Cimpanu
标签: Data Breach, Dave.com, Security Breach, ShinyHunters, Data Trading

在骇客在公开论坛上发布了7,516,625位用户的详细资料后,TDigital Bankingapp和科技独角兽Dave.com7月26日确认存在安全漏洞。 Dave在7月26日给ZDNet的电子邮件中说,安全漏洞源于前业务合作伙伴Waydev的网络,Waydev是工程团队使用的分析平台。 该公司表示,它已经堵住了黑客的切入点,并且正在将事件通知客户。暴露后,Dave应用程序密码也将被重置。

详情

Tech unicorn Dave admits to security breach impacting 7.5 million users

相关安全建议

  1. 对于托管的云服务器(VPS)或者云数据库,务必做好防火墙策略以及身份认证等相关设置
  2. 使用VPN时,应当谨慎选择VPN供应商,避免个人敏感信息泄漏
  3. 及时备份数据并确保数据安全
  4. 合理设置服务器端各种文件的访问权限
  5. 敏感数据建议存放到http无权限访问的目录
  6. 统一web页面报错信息,避免暴露敏感信息
  7. 明确每个服务功能的角色访问权限
  8. 严格控制数据访问权限
  9. 及时检查并删除外泄敏感数据

0x04 黑客攻击

新的“喵”攻击已删除了近4,000个不安全的数据库

日期: 2020年7月25日
等级: 高
作者: Ionut Ilascu
标签: Meow Attack, Automated Attack, Unsecured Databases, Elasticsearch, MongoDB, Redis

外网上公开的数个脆弱数据库是自动扫描程序--“喵”的攻击目标,该攻击会在没有任何说明的情况下破坏数据,甚至没有赎金就破坏甚至删除了Elasticsearch和MongoDB实例。然后,攻击会扩展到其他数据库类型和在Web上打开的文件系统。“喵”攻击主要影响Elasticsearch数据库,其次是MongoDB和Redis。

目前MongoDB在全球均有分布,具体分布如下图,数据来自于360 QUAKE

目前Redis在全球均有分布,具体分布如下图,数据来自于360 QUAKE

详情

New ‘Meow’ attack has deleted almost 4,000 unsecured databases

网络钓鱼活动使用Google Cloud Services窃取Office 365登录名

日期: 2020年7月21日
等级: 高
作者: Ionut Ilascu
标签: Phishing, Google Cloud Services, Attack, Office 365, PDF

Check Point的研究人员7月21日在一份报告中描述,攻击者依靠Google云端硬盘托管恶意PDF文档,并依靠Google的“storage.googleapis.com”托管网络钓鱼页面。 并非只有谷歌的云服务被这种方式滥用。Microsoft Azure,Microsoft Dynamics和IBM Cloud的都被滥用至这起网络钓鱼活动。

详情

Phishing campaign uses Google Cloud Services to steal Office 365 logins

以色列的供水系统再遭受两次网络攻击

日期: 2020720日
等级: 低
作者: Catalin Cimpanu
标签: Attack, Israel, Water system, Water Authority

以色列供水系统在四月份受到了首次网络攻击之后,又遭遇了两次攻击。水务局官员上周表示,又有两次网络攻击袭击了以色列的水管理设施。袭击发生在上个月,即六月,第一次网络攻击袭击了上加利利的农业用水泵,而第二次袭击袭击了中部省份Mateh Yehuda 。水务局在一份声明中说:“这些是农业部门专用的小型排水装置,由当地人立即独立维修,不会造成任何现实世界的伤害或影响。”

详情

Two more cyber-attacks hit Israel's water system

Twilio:有人闯入了我们脆弱的AWS S3仓库

日期: 2020年7月21日
等级: 低
作者: Shaun Nichols
标签: Twilio, Amazon, Attack, Amazon S3 Bucket, Unsecured Server, JavaScript

Twilio7月21号证实,一个或多个不法之徒潜入其不安全的云存储系统,并修改了其客户使用的JavaScript SDK的副本。 一位匿名的消息来源向我们通报了安全漏洞之后,云通信巨头对The Register详细介绍了入侵情况。简而言之,有人可以进入Twilio的Amazon Web Services S3 bucket,该bucket不受保护且可写在世界范围内,并更改了TaskRouter v1.20 SDK,使其包含“非恶意”代码,这些代码的出现主要是为了方便黑客追踪是否修改成功。

详情

Twilio: Someone broke into our unsecured AWS S3 silo

相关安全建议

  1. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制
  2. 对于托管的云服务器(VPS)或者云数据库,务必做好防火墙策略以及身份认证等相关设置
  3. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
  4. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
  5. 积极开展外网渗透测试工作,提前发现系统问题
  6. 减少外网资源和不相关的业务,降低被攻击的风险
  7. 域名解析使用CDN
  8. 条件允许的情况下,设置主机访问白名单
  9. 及时对系统及各个服务组件进行版本升级和补丁更新

0x05 其它事件

Coinbase阻止Twitter黑客诈骗约28万美元

日期: 2020年7月20日
等级: 中
作者: Sergiu Gatlan
标签: Attack, Twitter, Coinbase, Bitcoins

Coinbase表示,它阻止其客户向Twitter黑客发送大约280,000美元,这些黑客上周接管了多名公众人物的推特帐户,以进行大规模的比特币诈骗活动。 来自美国的加密货币交易所拥有来自100个国家/地区的3500万用户,在攻击开始后的几分钟内,就将诈骗者使用的比特币地址列入黑名单。 通过这样做,Coinbase阻止了大约1000个用户被骗,并阻止了向Twitter黑客的钱包中发送的30.4比特币。

详情

Coinbase blocked Twitter hackers from stealing an extra $280K

微软公开了新的双密钥加密

日期: 2020年7月21日
等级: 中
作者: Catalin Cimpanu
标签: Encryption, Microsoft, Microsoft 365, Azure

Microsoft7月21号首次公开宣布了名为Double Key Encryption的新Microsoft 365安全功能。它使用两个密钥来保护您的数据,一个密钥位于控件,第二个密钥安全地存储在Microsoft Azure中。微软表示,这项新功能是专门为金融服务或医疗保健等高度管制的行业设计的,或者是为需要在云中安全存储敏感数据(例如商业秘密,专利,财务算法或用户数据)的公司而设计的。满足监管要求和内部协议的最高保护级别。

详情

Microsoft Double Key Encryption enters public preview

美国提供200万美元,用于针对因SEC黑客行为而被指控的乌克兰人

日期: 2020年7月22日
等级: 低
作者: Sergiu Gatlan
标签: U.S. Department of State, Rewards, Ukrainian Hacker, Court

美国国务院7月22号宣布悬赏高达200万美元,以奖励可能导致逮捕或定罪乌克兰国民Artem Viacheslavovich Radchenko和Oleksandr Vitalyevich Ieremenko的信息。 Radchenko和Ieremenko 于2019年1月由于证券欺诈共谋,计算机欺诈共谋,电汇欺诈共谋,电汇欺诈以及以16项未密封起诉书中的计算机欺诈被指控。

详情

US offers $2 million for info on Ukrainians charged for SEC hack

相关安全建议

  1. 注重内部员工安全培训
  2. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

0x06 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对事件相关组件进行监测,请用户联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

0x07 时间线

2020-07-27 360CERT发布安全事件周报