安全事件周报 (05.24-05.30)
2021-05-31 10:15

报告编号:B6-2021-053101

报告来源:360CERT

报告作者:360CERT

更新日期:2021-06-01

0x01   事件导览

本周收录安全热点15项,话题集中在恶意软件网络攻击方面,涉及的组织有:BoseAppleOne CallVMware等。SolarWinds黑客再次出击,瞄准美国各地政府。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

恶意程序
Zeppelin勒索软件出现最新变种版本
英国保险公司从勒索软件攻击中恢复
BazaLoader恶意软件伪装成电影流媒体服务
Facefish 后门传播 Linux Rootkit
数据安全
富士通被黑客攻击后,日本政府机构大量数据泄露
一黑客承认出售6.5万名医疗保健人员的信息
Bose被勒索软件攻击后遭遇数据泄露
网络攻击
伊朗黑客组织瞄准以色列
FBI:APT组织利用Fortinet漏洞破坏了美国地方政府
Nobelium仿冒美国国际开发署(USAID)进行网络钓鱼活动
SolarWinds黑客利用新的“NativeZone”后门瞄准智库
其它事件
VMware vCenter服务器存在严重的RCE漏洞
在Visual Studio扩展中新发现的漏洞可能会导致供应链攻击
俄罗斯暗网市场Hydra加密货币交易在2020年达到13.7亿美元
苹果修复安全漏洞,该漏洞可使恶意软件可以在Mac上截屏

0x02   恶意程序

Zeppelin勒索软件出现最新变种版本

日期: 2021年05月24日
等级: 高
作者: Ionut Ilascu
标签: Zeppelin, Buran
行业: 信息传输、软件和信息技术服务业

Zeppelin勒索软件的开发人员在经历了去年秋天开始的一段时间的沉默之后,开始恢复他们的活动,并开始为新版本的恶意软件做广告。最近,一个黑客论坛上出现了这种恶意软件的最新变种,使勒索软件业务中的网络犯罪分子可以专注网络攻击,而无需操心后续勒索业务。Zeppelin勒索软件也被称为Buran,起源于Vega/VegaLocker家族,这是一种基于德尔福的勒索软件即服务(RaaS),2019年在俄语黑客论坛上被观察到。

详情

Zeppelin ransomware comes back to life with updated versions

英国保险公司从勒索软件攻击中恢复

日期: 2021年05月25日
等级: 高
作者: Prajeet Nair
标签: DarkSide, One Call
行业: 金融业
涉及组织: One Call

总部位于英国的保险公司OneCall系统因5月13日的勒索软件攻击而中断。5月25日,OneCall发表声明表示:“我们一直在恢复我们的系统,现在,现有客户可以使用访问文档、付款等服务。”

详情

UK Insurer Recovering From Ransomware Attack

BazaLoader恶意软件伪装成电影流媒体服务

日期: 2021年05月26日
等级: 高
作者: Lisa Vaas
标签: BravoMovies, BazaLoader, Proofpoint
行业: 信息传输、软件和信息技术服务业

目前新发现了一个名为BravoMovies的假的电影流媒体服务,其中存在BazaLoader恶意软件,BazaLoader是一个加载程序,用于部署勒索软件或其他类型的恶意软件,并窃取受害系统的敏感数据。

详情

BazaLoader Masquerades as Movie-Streaming Service

Facefish 后门传播 Linux Rootkit

日期: 2021年05月28日
等级: 高
作者: The Hacker News
标签: Facefish, NETLAB, Blowfish
行业: 跨行业事件

奇虎360网络实验室团队披露了一种新的后门程序,能够窃取用户登录凭证、设备信息,并在Linux系统上执行任意命令。这个恶意软件被奇虎360网络实验室团队称为“Facefish”,因为它能够在不同时间提供不同的rootkit,并使用Blowfish密码加密与攻击者控制的服务器的通信。

详情

Researchers Warn of Facefish Backdoor Spreading Linux Rootkits

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 各主机安装EDR产品,及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

0x03   数据安全

富士通被黑客攻击后,日本政府机构大量数据泄露

日期: 2021年05月27日
等级: 高
作者: Ax Sharma
标签: Japanese, Fujitsu, ProjectWEB
行业: 政府机关、社会保障和社会组织

日本国土交通旅游部和国家网络安全中心(NISC)宣布,攻击者能够通过富士通的信息共享工具获得内部信息。多家日本机构的办公室被富士通的“ProjectWEB”信息共享工具攻破。富士通称,攻击者未经授权访问了使用ProjectWEB的项目,并窃取了一些客户数据。目前尚不清楚本次攻击是由于漏洞攻击造成的,还是有针对性的供应链攻击造成的,调查正在进行中。

详情

Japanese government agencies suffer data breaches after Fujitsu hack

一黑客承认出售6.5万名医疗保健人员的信息

日期: 2021年05月24日
等级: 高
作者: Sergiu Gatlan
标签: UPMC, PII
行业: 卫生和社会工作
涉及组织: UPMC

来自密歇根州底特律市的30岁的贾斯汀·肖恩·约翰逊(JustinSeanJohnson)承认窃取了医疗服务提供商和保险公司匹兹堡大学医疗中心(UPMC)65000名员工的个人身份信息(PII),并在暗网上出售。UPMC是宾夕法尼亚州最大的医疗服务提供商,在40家医院、700个医生办公室和门诊点雇佣了90000多名员工。

详情

'Dearthy Star' pleads guilty to selling info of 65K health care employees

Bose被勒索软件攻击后遭遇数据泄露

日期: 2021年05月24日
等级: 高
作者: Sergiu Gatlan
标签: Bose, Data breach
行业: 制造业

Bose公司披露了一起勒索软件攻击造成的数据泄露,该勒索软件于2021年3月初袭击了该公司的系统。根据调查,攻击者可能访问了少量内部电子表格,这些电子表格包含人力资源部门维护的管理信息,主要是姓名,社会安全号码,补偿信息以及其他与HR相关的信息。

详情

Audio maker Bose discloses data breach after ransomware attack

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施

0x04   网络攻击

伊朗黑客组织瞄准以色列

日期: 2021年05月25日
等级: 高
作者: Sergiu Gatlan
标签: Iranian, Israeli
行业: 政府机关、社会保障和社会组织
涉及组织: israel

研究人员追踪到了一个名为Agrius的黑客组织,该组织伪装为勒索软件,从2020年12月开始一直针对以色列进行网络攻击,同时几个月来一直保持对受害者网络的访问,这看起来像是一场大规模的间谍活动。攻击者使用了多种攻击方式,包括利用SQL注入、FortiOSCVE-2018-13379漏洞和各种1dayweb应用漏洞。

涉及漏洞

- CVE-2018-13379

详情

Iranian hacking group targets Israel with wiper disguised as ransomware

FBI:APT组织利用Fortinet漏洞破坏了美国地方政府

日期: 2021年05月27日
等级: 高
作者: Sergiu Gatlan
标签: FBI, US, Fortinet
行业: 政府机关、社会保障和社会组织

美国联邦调查局(FBI)说,攻击者在入侵Fortinet设备后,侵入了美国市政府的网络服务器。FBI的网络部门在发布的TLP:WHITEflash警报中说:“至少在2021年5月,一个APT组织利用了Fortigate设备漏洞攻击了一个由美国市政府托管的网络服务器。”。在获得对当地政府组织服务器的访问权限后,APT组织通过网络横向移动,创建新的域控制器、服务器和工作站用户帐户、模拟现有帐户。

涉及漏洞

- CVE-2020-12812

- CVE-2018-13379

- CVE-2019-5591

详情

FBI: APT hackers breached US local govt by exploiting Fortinet bugs

Nobelium仿冒美国国际开发署(USAID)进行网络钓鱼活动

日期: 2021年05月28日
等级: 高
作者: Chris Duckett
标签: Microsoft, Nobelium, USAID
行业: 政府机关、社会保障和社会组织
涉及组织: microsoft

微软警告称,Nobelium目前正在进行网络钓鱼活动,此前这家俄罗斯黑客组织成功控制了美国国际开发署(USAID)在电子邮件营销平台ConstantContact上使用的账户。微软表示,这场网络钓鱼活动的目标是约3000个与政府机构、智囊团、顾问和非政府组织有关的账户。

详情

Microsoft warns of current Nobelium phishing campaign impersonating USAID

SolarWinds黑客利用新的“NativeZone”后门瞄准智库

日期: 2021年05月28日
等级: 高
作者: The Hacker News
标签: Microsoft, SolarWinds
行业: 政府机关、社会保障和社会组织

微软透露,SolarWinds供应链黑客组织重新开张,将目标锁定在包括美国在内的24个国家的政府机构、智囊团、顾问和非政府组织。微软负责客户安全和信任的公司副总裁汤姆·伯特(TomBurt)表示:“这一波攻击的目标是150多个不同组织的大约3000个电子邮件帐户。”

涉及漏洞

- CVE-2021-1879

详情

SolarWinds Hackers Target Think Tanks With New 'NativeZone' Backdoor

相关安全建议

1. 积极开展外网渗透测试工作,提前发现系统问题

2. 减少外网资源和不相关的业务,降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

6. 注重内部员工安全培训

0x05   其它事件

VMware vCenter服务器存在严重的RCE漏洞

日期: 2021年05月25日
等级: 高
作者: The Hacker News
标签: VMware, vCenter
行业: 信息传输、软件和信息技术服务业
涉及组织: vmware

VMware已推出修补程序来解决vCenterServer中的一个严重安全漏洞,该漏洞可被对手用来在服务器上执行任意代码。该漏洞的CVE编号为CVE-2021-21985(CVSS得分9.8),该漏洞是源于虚拟SAN(vSAN)运行状况检查插件中缺少输入验证,而vCenter服务器默认启用该插件。

涉及漏洞

- CVE-2021-21972

- CVE-2021-21985

- CVE-2021-21984

- CVE-2021-21986

详情

Critical RCE Vulnerability Found in VMware vCenter Server — Patch Now!

在Visual Studio扩展中新发现的漏洞可能会导致供应链攻击

日期: 2021年05月26日
等级: 高
作者: The Hacker News
标签: VSCode, IDE
行业: 信息传输、软件和信息技术服务业

在VisualStudio代码扩展中发现的严重安全漏洞,其可使攻击者通过开发人员的集成开发环境(IDE)危害本地计算机以及构建和部署系统。这些易受攻击的扩展可能被利用在开发人员的系统上远程运行任意代码,从而最终为供应链攻击铺平道路。

详情

Newly Discovered Bugs in VSCode Extensions Could Lead to Supply Chain Attacks

俄罗斯暗网市场Hydra加密货币交易在2020年达到13.7亿美元

日期: 2021年05月25日
等级: 高
作者: Charlie Osborne
标签: Hydra, DarkWeb
行业: 信息传输、软件和信息技术服务业

Flashpoint和chainanalysis联合发布了一份关于黑网市场Hydra的分析报告。在2015年成立之初,Hydra以销售麻醉品而闻名,但随着时间的推移,该市场已经扩展到包括被盗信用卡数据、伪造证件(包括身份证)、假钞票和网络攻击服务等产品。年交易额逐年攀升,在最近的三年里,Hydra的年增长率约为624%,从2016年的940万美元增至2020年的13.7亿美元,使其成为目前最受欢迎的犯罪市场之一。

详情

Russian dark web marketplace Hydra cryptocurrency transactions reached $1.37bn in 2020

苹果修复安全漏洞,该漏洞可使恶意软件可以在Mac上截屏

日期: 2021年05月26日
等级: 高
作者: Liam Tung
标签: Apple, Mac
行业: 信息传输、软件和信息技术服务业
涉及组织: apple

苹果发布了macOS的安全更新,修补了其隐私偏好中的一个漏洞。据苹果称,这可能会允许恶意应用程序记录Mac的屏幕,该漏洞可能已有在野利用。

涉及漏洞

- CVE-2021-30715

- CVE-2021-30713

详情

Apple just fixed a security flaw that allowed malware to take screenshots on Macs

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

0x06   产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

0x07   时间线

2021-05-31 360CERT发布安全事件周报

0x08   特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

安全事件周报 (05.24-05.30)

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。