安全事件周报 (05.03-05.09)
2021-05-10 10:42

报告编号:B6-2021-051001

报告来源:360CERT

报告作者:360CERT

更新日期:2021-05-10

0x01   事件导览

本周收录安全热点13项,话题集中在漏洞修复勒索软件方面,涉及的组织有:AppleVMwareIntelAMD等。多个严重漏洞曝光,各厂商注意及时修复。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

恶意程序
新的Windows“Pingback”恶意软件使用ICMP进行隐蔽通信
Panda Stealer放入Excel文件中,通过Discord传播以窃取用户加密货币
新的rootkit后门瞄准Windows系统
数据安全
到目前为止,勒索团伙已经泄露了2100家公司的被盗数据
网络攻击
DDoS攻击使比利时政府网站离线
俄罗斯间谍黑客利用的12大安全漏洞
Colonial Pipeline 遭遇网络攻击并关闭运营
其它事件
苹果紧急发布0day漏洞安全补丁
严重的Exim漏洞使数百万台服务器受到攻击
VMware修复了vRealize Business for Cloud中严重漏洞
英特尔和AMD CPU中的新幽灵漏洞影响了数十亿台计算机
高通芯片漏洞影响大量安卓主流手机
微软发现针对数十个组织的商业电子邮件泄露攻击

0x02   恶意程序

新的Windows“Pingback”恶意软件使用ICMP进行隐蔽通信

日期: 2021年05月04日
等级: 高
作者: Ax Sharma
标签: Windows, Pingback
行业: 信息传输、软件和信息技术服务业

研究人员公布了他们在一个新的Windows恶意软件样本上的发现,该样本使用互联网控制消息协议(ICMP)进行命令和控制(C2)活动。这个被称为“Pingback”的恶意软件以MicrosoftWindows64位系统为目标,利用DLL劫持获得持久性。

IOC

Hash

- 0190495d0c3be6c0edbab0d4dbd5a7e122efbb3f

- 264c2ede235dc7232d673d4748437969

- e50943d9f361830502dcfdb00971cbee76877aa73665245427d817047523667f

详情

New Windows 'Pingback' malware uses ICMP for covert communication

Panda Stealer放入Excel文件中,通过Discord传播以窃取用户加密货币

日期: 2021年05月05日
等级: 高
作者: Charlie Osborne
标签: Trend Micro, Panda Stealer, Excel
行业: 信息传输、软件和信息技术服务业

PandaStealer,一个盗取加密货币的恶意软件,正在通过钓鱼邮件进行传播。TrendMicro的研究人员称,PandaStealer的目标是美国、澳大利亚、日本和德国等国家的个人。PandaStealer通过网络钓鱼邮件开始其感染链,上传到VirusTotal的样本还表明,受害者一直通过链接从恶意网站下载可执行文件。

详情

Panda Stealer dropped in Excel files, spreads through Discord to steal user cryptocurrency

新的rootkit后门瞄准Windows系统

日期: 2021年05月06日
等级: 高
作者: Sergiu Gatlan
标签: TunnelSnake, Windows
行业: 信息传输、软件和信息技术服务业

一个未知的攻击者使用了一个新的rootkit后门攻击Windows系统,这似乎是一项秘密进行的间谍活动,被称为TunnelSnake,至少可以追溯到2018年。rootkit是一种恶意工具,旨在通过深入操作系统来逃避检测,攻击者利用它在逃避检测的同时完全接管受感染的系统。

详情

New Moriya rootkit used in the wild to backdoor Windows systems

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 各主机安装EDR产品,及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

0x03   数据安全

到目前为止,勒索团伙已经泄露了2100家公司的被盗数据

日期: 2021年05月08日
等级: 高
作者: Lawrence Abrams
标签: DarkTracer, Ransomware, Dark Net
行业: 跨行业事件

自2020年初以来,勒索团伙开始实施一种称为双重勒索的新策略。双重勒索是指勒索软件在加密网络之前窃取未加密的文件。如果受害者不支付赎金,他们将在暗网上公开发布被盗文件。到2021年5月,勒索团伙已经泄露了2103个组织的数据。

详情

Ransomware gangs have leaked the stolen data of 2,100 companies so far

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施

0x04   网络攻击

DDoS攻击使比利时政府网站离线

日期: 2021年05月05日
等级: 高
作者: AmerOwaida
标签: Belgium, Belnet
行业: 跨行业事件

比利时公共部门的互联网服务提供商Belnet遭到大规模分布式拒绝服务(DDoS)攻击后,比利时许多政府网站和服务被迫下线。此次攻击影响了使用Belnet服务的大约200个机构和组织。公共办公室、大学和研究机构都部分或全部无法上网,其网站几乎无法访问。

详情

DDoS attack knocks Belgian government websites offline

俄罗斯间谍黑客利用的12大安全漏洞

日期: 2021年05月08日
等级: 高
作者: CISA
标签: NCSC, SVR, CISA
行业: 政府机关、社会保障和社会组织

根据英国和美国情报机构联合发布的新咨询报告,称隶属于俄罗斯外国情报局(SVR)的网络特工已改变其攻击策略,利用以下漏洞对各国单位进行网络攻击。

涉及漏洞

- CVE-2019-2725

- CVE-2021-21972

- CVE-2018-13379

- CVE-2019-7609

- CVE-2019-19781

- CVE-2019-1653

- CVE-2019-9670

- CVE-2020-4006

- CVE-2020-14882

- CVE-2019-11510

- CVE-2020-5902

- CVE-2021-26855

详情

Top 12 Security Flaws Russian Spy Hackers Are Exploiting in the Wild

Colonial Pipeline 遭遇网络攻击并关闭运营

日期: 2021年05月08日
等级: 高
作者: Larry Dignan
标签: Colonial Pipeline, Fuel
行业: 制造业

5月7日,ColonialPipeline遭遇网络攻击并关闭运营。该公司为美国军方提供汽油、柴油、喷气燃料、家用取暖油和燃料等精炼石油产品,占东海岸45%燃料供应量。这次攻击凸显了勒索软件和其他网络攻击对现实世界基础设施的威胁越来越大。

详情

Colonial Pipeline cyberattack shuts down pipeline that supplies 45% of East Coast's fuel

相关安全建议

1. 积极开展外网渗透测试工作,提前发现系统问题

2. 减少外网资源和不相关的业务,降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

6. 注重内部员工安全培训

0x05   其它事件

苹果紧急发布0day漏洞安全补丁

日期: 2021年05月03日
等级: 高
作者: The Hacker News
标签: Apple, iOS, macOS, WatchOS
行业: 信息传输、软件和信息技术服务业
涉及组织: apple

苹果发布了iOS、macOS和watchOS的安全更新,以解决三个0day漏洞,并扩展了第四个漏洞的修补程序。这些漏洞都与WebKit有关,WebKit是一个浏览器引擎,在iOS中为Safari和其他第三方web浏览器提供动力。这些漏洞允许攻击者在目标设备上执行任意代码。

涉及漏洞

- CVE-2021-30663

- CVE-2021-30661

- CVE-2021-30666

- CVE-2021-30665

详情

Apple Releases Urgent Security Patches For Zero‑Day Bugs Under Active Attacks

严重的Exim漏洞使数百万台服务器受到攻击

日期: 2021年05月04日
等级: 高
作者: Sergiu Gatlan
标签: Exim, MTA
行业: 信息传输、软件和信息技术服务业

Exim邮件传输代理(MTA)软件中新发现的严重漏洞,允许未经验证的远程攻击者在具有默认或通用配置的邮件服务器上执行任意代码,并获得root权限。Qualys研究小组发现并报告的安全漏洞(10个可远程利用,11个可本地利用)统称为21A。Exim4.94.2之前发布的所有版本都容易受到攻击。

涉及漏洞

- CVE-2019-10149

- CVE-2020-28017

详情

Critical 21Nails Exim bugs expose millions of servers to attacks

VMware修复了vRealize Business for Cloud中严重漏洞

日期: 2021年05月05日
等级: 高
作者: Sergiu Gatlan
标签: VMware, vRealize, RCE
行业: 信息传输、软件和信息技术服务业

VMware发布了安全更新,以解决vRealizeBusinessforCloud中的一个严重漏洞,该漏洞使未经验证的攻击者能够在易受攻击的服务器上远程执行恶意代码。vRealizeBusinessforCloud是一个自动化的云业务管理解决方案,旨在为IT团队提供云规划、预算和成本分析工具。该安全漏洞被跟踪为CVE-2021-21984,它会影响运行VMwarevRealizeBusinessforCloud7.6.0之前版本的虚拟设备。

涉及漏洞

- CVE-2021-21984

详情

VMware fixes critical RCE bug in vRealize Business for Cloud

英特尔和AMD CPU中的新幽灵漏洞影响了数十亿台计算机

日期: 2021年05月06日
等级: 高
作者: The Hacker News
标签: Spectre, ARM, AMD
行业: 制造业
涉及组织: amd, arm, intel

2018年1月,影响现代处理器的一类严重幽灵漏洞(Spectre)被公开披露。研究人员表示,“由于不易修复,它将存在相当长一段时间”。事实上,已经过去三年多了,这一漏洞仍旧没有解决。来自弗吉尼亚大学和加州大学圣地亚哥分校的一组学者发现了一条新的攻击线,它绕过了芯片中内置的当前所有保护,可能使几乎所有系统——台式机、笔记本电脑、云服务器和智能手机——再次像三年前一样面临风险。其间数年来,尽管英特尔、ARM和AMD等芯片制造商一直在争先恐后地加入防御系统,各种各样的攻击仍然层出不穷。

详情

New Spectre Flaws in Intel and AMD CPUs Affect Billions of Computers

高通芯片漏洞影响大量安卓主流手机

日期: 2021年05月07日
等级: 高
作者: Jonathan Greig
标签: Qualcomm, Android
行业: 制造业
涉及组织: qualcomm

以色列网络安全公司Checkpoint的研究人员称,全球数百万部手机受到普遍存在的高通芯片组漏洞的影响。CheckPoint的SlavaMakkaveev发表了一篇博客文章,强调了高通公司移动站调制解调器接口中的一个安全漏洞。这使得攻击者能够访问用户的通话记录和短信息,以及监听用户对话。

涉及漏洞

- CVE-2020-11292

详情

Qualcomm chip vulnerability found in millions of Google, Samsung, and LG phones

微软发现针对数十个组织的商业电子邮件泄露攻击

日期: 2021年05月07日
等级: 高
作者: Sergiu Gatlan
标签: Microsoft, BEC, Email
行业: 跨行业事件

微软发现了一个大规模的商业电子邮件妥协(BEC)活动,目标是120多个组织,使用的是在攻击开始前几天注册的拼写错误域名。BEC诈骗者使用各种策略(包括社会工程、网络钓鱼或黑客攻击)来危害商业电子邮件帐户,后来用于将付款重定向到其控制下的银行帐户。

详情

Microsoft: Business email compromise attack targeted dozens of orgs

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

0x06   产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

0x07   时间线

2021-05-10 360CERT发布安全事件周报

0x08   特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

安全事件周报 (05.03-05.09)

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。