报告编号:B6-2022-010401
报告来源:360CERT
报告作者:360CERT
更新日期:2022-01-04
0x01 事件导览
本周收录安全热点24
项,话题集中在恶意软件
、漏洞信息
方面,涉及的组织有:ReasonLabs
、Garrett
、BlackTech
等。多个严重漏洞曝光,各厂商注意及时修复。对此,360CERT建议使用360安全卫士
进行病毒检测、使用360安全分析响应平台
进行威胁流量检测,使用360城市级网络安全监测服务QUAKE
进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
0x02 事件目录
恶意程序 |
---|
"蜘蛛侠:无路可归"盗版下载包含加密采矿恶意软件 |
新型Android银行恶意软件在巴西Itaú Unibanco银行传播 |
新一波ech0raix勒索软件攻击的目标是QNAP 的NAS设备 |
Shutterfly遭到了Conti勒索软件攻击 |
三星Galaxy商店中存在大量风险软件 |
RedLine恶意软件将窃取浏览器中保存的密码 |
MSBuild被滥用于恶意活动 |
被log4j黑客攻击的金融公司ONUS拒绝支付赎金导致200万客户数据泄露 |
加密挖掘恶意软件正在使用升级的规避策略攻击 |
勒索团伙破坏了Spar商店 |
新的iLOBleed Rootkit针对HP企业服务器的数据清除攻击 |
Lapsus$ 勒索软件团伙袭击了葡萄牙最大的媒体集团 Impresa |
数据安全 |
---|
物流巨头D.W. Morgan价值100 GB的客户数据被披露 |
LastPass用户主密码已被泄露 |
T-Mobile遭遇了新的数据泄露 |
世嘉某欧洲服务器中门大开 25万用户数据受影响 |
网络攻击 |
---|
与朝鲜有关的攻击者从加密货币交易所窃取了17亿美元 |
盖瑞特无人值守金属探测器可以被远程黑客入侵 |
网络钓鱼者试图窃取CoinSpot用户的2FA代码 |
挪威媒体公司Amedia遭受到了网络攻击 |
美国宇航局局长推特账户被强大的希腊军队黑客入侵 |
0x03 恶意程序
"蜘蛛侠:无路可归"盗版下载包含加密采矿恶意软件
日期: 2021年12月27日 等级: 高 作者: Mohit Kumar 标签: ReasonLabs, malware hacking 行业: 信息传输、软件和信息技术服务业
ReasonLabs是网络安全预防和检测软件的领先提供商,最近发现了一种以最新蜘蛛侠电影为幌子入侵客户计算机的新形式的恶意软件。
加密货币挖掘恶意软件将自己伪装成《蜘蛛侠:无路可归》电影的洪流,鼓励世界各地的观众下载该文件,并向犯罪分子打开计算机。
详情
'Spider-Man: No Way Home' Pirated Downloads Contain Crypto-Mining Malware新型Android银行恶意软件在巴西Itaú Unibanco银行传播
日期: 2021年12月27日 等级: 高 作者: Pierluigi Paganini 标签: Android, Itaú Unibanco, google Play 行业: 金融业 涉及组织: google
研究人员分析了一种新的安卓银行恶意软件,该恶意软件针对巴西的itaúunibanco,该恶意软件通过虚假的googlePlay商店页面进行传播。
详情
New Android banking Malware targets Brazil’s Itaú Unibanco Bank新一波ech0raix勒索软件攻击的目标是QNAP 的NAS设备
日期: 2021年12月27日 等级: 高 作者: Pierluigi Paganini 标签: ech0raix, QNAP, NAS 行业: 信息传输、软件和信息技术服务业 涉及组织: qnap
eCh0raix勒索软件至少自2019年以来一直处于活跃状态,目前正在以NAP网络连接存储(NAS)设备为目标。
详情
A new wave of ech0raix ransomware attacks targets QNAP NAS devicesShutterfly遭到了Conti勒索软件攻击
日期: 2021年12月28日 等级: 高 来源: zdnet 标签: Conti勒索软件, Shutterfly, Log4j 行业: 信息传输、软件和信息技术服务业 涉及组织: cisa, university of utah, fbi
数码摄影公司Shutterfly遭到了Conti勒索软件集团的攻击,该公司的部分业务受到影响。
并且安全公司AdvancedIntelligence的研究人员发现Conti勒索软件组通过Log4j漏洞利用VMwarevCenterServer实例。
详情
Shutterfly reports ransomware incident三星Galaxy商店中存在大量风险软件
日期: 2021年12月28日 等级: 高 作者: Bill Toulas 标签: galaxy store, Google Play Protect, Android, 手机病毒 行业: 信息传输、软件和信息技术服务业 涉及组织: google, huawei, samsung
三星的官方Android应用商店名为GalaxyStore,已经渗透了大量风险软件应用程序,这些应用程序会触发GooglePlayProtect警告,因为这些应用程序请求访问可能造成在Android设备上安装恶意软件的风险。如果用户授予这些请求,则允许应用访问联系人列表、通话记录、执行代码、获取恶意软件有效负载、点击广告等。
详情
Riskware Android streaming apps found on Samsung's Galaxy storeRedLine恶意软件将窃取浏览器中保存的密码
日期: 2021年12月28日 等级: 高 作者: Bill Toulas 标签: RedLine, Chrome, Edge, Opera, 数据泄露 行业: 信息传输、软件和信息技术服务业 涉及组织: google
RedLine信息窃取恶意软件针对流行的Web浏览器,如Chrome,Edge和Opera,说明了为什么将密码存储在浏览器中是不安全的。
该恶意软件是一种商品信息窃取者,可以在网络犯罪论坛上以大约200美元的价格购买,并且无需太多知识或精力即可部署。
AhnLabASEC的一份新报告警告说,在Web浏览器上使用自动登录功能的便利性正在成为影响组织和个人的重大安全问题。
详情
RedLine malware shows why passwords shouldn't be saved in browsersMSBuild被滥用于恶意活动
日期: 2021年12月28日 等级: 高 作者: Pierluigi Paganini 标签: MSBuild, Morphus Labs, SANS, SSL 行业: 信息传输、软件和信息技术服务业 涉及组织: microsoft, sans
MSBuild是一个免费的开源生成工具集,用于托管代码以及本机C++代码,是.NETFramework的一部分。它用于构建应用程序,并为用户提供一个XML架构,最近MorphusLabs的安全专家观察到几个恶意活动滥用MicrosoftBuildEngine(MSBuild)在受感染的机器上执行CobaltStrike有效载荷。
详情
Threat actors are abusing MSBuild to implant Cobalt Strike Beacons被log4j黑客攻击的金融公司ONUS拒绝支付赎金导致200万客户数据泄露
日期: 2021年12月29日 等级: 高 作者: Ax Sharma 标签: ONUS, Log4j, 勒索攻击 行业: 金融业 涉及组织: amazon, twitter, facebook
越南最大的加密交易平台之一ONUS最近遭受了使用Log4j版本支付系统的网络攻击。
攻击者与ONUS联系,勒索了500万美元,并威胁说,如果ONUS拒绝遵守,就要公布客户数据。
在该公司拒绝支付赎金后,攻击者在论坛上发布了近200万ONUS客户的数据。
涉及漏洞
cve-2021-44228
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-44228
详情
Fintech firm hit by log4j hack refuses to pay $5 million ransom加密挖掘恶意软件正在使用升级的规避策略攻击
日期: 2021年12月29日 等级: 高 作者: Ravie Lakshmanan 标签: TeamTNT, Aqua Security, DevSecOps, Log4j日志, docker, 安全建议 行业: 信息传输、软件和信息技术服务业 涉及组织: docker, redis, f5
最新研究显示,持续进行的加密采矿攻击活动已经升级了其武器库,同时发展了其防御规避策略,使威胁行为者能够隐藏入侵。
自2019年首次发现加密采矿攻击活动以来,迄今为止共记录了针对其蜜罐服务器的84次攻击,其中四次发生在2021年,根据DevSecOps和云安全公司AquaSecurity的研究人员的说法,他们在过去三年中一直在跟踪恶意软件的操作。也就是说,仅在2021年第三季度,就发现了125起袭击事件,这表明袭击并没有放缓。
详情
Ongoing Autom Cryptomining Malware Attacks Using Upgraded Evasion Tactics勒索团伙破坏了Spar商店
日期: 2021年12月30日 等级: 高 作者: Mathew J. Schwartz 标签: Vice Society, Spar, National Cyber Security Center, Eskenazi Health, 勒索攻击 行业: 住宿和餐饮业
名为ViceSociety的勒索软件声称本月早些时候袭击了两组独立拥有和经营的Spar品牌商店。ViceSociety表示,它感染了JamesHall&Co.的系统,该公司是英格兰北部600多家Spar商店的主要批发商,以及ManninRetail的所有者Heron和Brearley,该公司在马恩岛经营着19家Spar商店。
详情
Vice Society: Ransomware Gang Disrupted Spar Stores新的iLOBleed Rootkit针对HP企业服务器的数据清除攻击
日期: 2021年12月30日 等级: 高 作者: Ravie Lakshmanan 标签: rootkit, iLOBleed, HP 行业: 制造业 涉及组织: HP
一个新的rootkit已经被发现,它的目标是惠普企业的集成熄灯(ilo)服务器管理技术进行野生攻击,篡改固件模块,并完全清除受感染系统的数据。
伊朗网络安全公司amnpardaz记录了这一发现,这是ilo固件中第一个真实世界的恶意软件的实例。
详情
New iLOBleed Rootkit Targeting HP Enterprise Servers with Data Wiping AttacksLapsus$ 勒索软件团伙袭击了葡萄牙最大的媒体集团 Impresa
日期: 2022年01月02日 等级: 高 作者: Pierluigi Paganini 标签: Lapsus$, Impresa, SIC, Expresso, 勒索攻击 行业: 信息传输、软件和信息技术服务业 涉及组织: amazon, twitter
Lapsus$勒索软件团伙已经破坏了葡萄牙最大的媒体集团Impresa的基础设施。Impresa拥有SIC电视频道和Expresso报纸以及其他主要媒体,包括几家杂志出版物。Lapsus$勒索软件组织污损了所有发布赎金票据的网站,声称他们有权访问Impresa的亚马逊网络服务帐户。
详情
Lapsus$ ransomware gang hits Impresa, Portugal’s largest media conglomerate相关安全建议
1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
3. 及时对系统及各个服务组件进行版本升级和补丁更新
4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
5. 各主机安装EDR产品,及时检测威胁
6. 注重内部员工安全培训
7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序
8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理
0x04 数据安全
物流巨头D.W. Morgan价值100 GB的客户数据被披露
日期: 2021年12月27日 等级: 高 作者: Waqas 标签: Amazon, AWS, Cisco, database, Ericsson, Privacy, security 行业: 信息传输、软件和信息技术服务业 涉及组织: cisco, amazon
一个配置错误的AmazonS3存储桶导致供应链管理和物流巨头D.W.Morgan数据库泄露。据研究人员称,该数据库包含超过100GB的数据,其中包含250万个文件,这些文件详细说明了属于D.W.Morgan全球员工和客户的财务,运输,个人和敏感记录。其中包括全球500强公司爱立信和财富500强公司思科的信息。
详情
Logistics giant D.W. Morgan exposed 100 GB worth of clients’ dataLastPass用户主密码已被泄露
日期: 2021年12月28日 等级: 高 作者: Sergiu Gatlan 标签: LastPass, 数据泄露, Twitter, Reddit, Hacker News 行业: 信息传输、软件和信息技术服务业
LastPass用户收到电子邮件警告:他们的密码已被泄露并且有人正在试图使用主密码从未知位置登录他们的帐户。
LastPass负责人表示调查了有关阻止登录尝试的活动,并确定该活动与相当常见的机器人相关活动有关,其中恶意攻击者试图使用从与其他非附属服务相关的第三方违规行为中获得的电子邮件地址和密码访问用户帐户。
详情
LastPass users warned their master passwords are compromisedT-Mobile遭遇了新的数据泄露
日期: 2021年12月29日 等级: 高 作者: Pierluigi Paganini 标签: T-Mobile, SIM, 手机病毒 行业: 信息传输、软件和信息技术服务业
T-Mobile披露了一项新的数据泄露事件,该事件影响了"极少数客户",他们是SIM卡交换攻击的受害者。攻击中暴露了客户专有网络信息可能包括计费帐户名称、电话号码、帐户上的行数、帐号和费率计划信息。
详情
T-Mobile suffered a new data breach世嘉某欧洲服务器中门大开 25万用户数据受影响
日期: 2022年01月01日 等级: 高 来源: 标签: 世嘉, VPN Overview, Amazon Web Services S3, 数据泄露 行业: 信息传输、软件和信息技术服务业 涉及组织: amazon
据安全研究中心VPNOverview的发现,世嘉其中一个位于欧洲的服务器因为AmazonWebServicesS3简易储存服务的设定有误,让黑客可以任意上载档案到世嘉域名的网站,其中更涉及25万名用户的电邮资料。
详情
世嘉某欧洲服务器中门大开 25万用户数据受影响相关安全建议
1. 及时备份数据并确保数据安全
2. 合理设置服务器端各种文件的访问权限
3. 严格控制数据访问权限
4. 及时检查并删除外泄敏感数据
5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施
6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施
0x05 网络攻击
与朝鲜有关的攻击者从加密货币交易所窃取了17亿美元
日期: 2022年01月02日 等级: 高 作者: Pierluigi Paganini 标签: North Korea, cryptocurrency, apt groups 行业: 金融业 涉及组织: apple
与朝鲜有关的apt集团被怀疑是针对加密货币交易所的一些最大规模网络攻击的幕后黑手。
据韩国媒体《朝鲜》报道,朝鲜的攻击者在过去5年里从多个交易所窃取了价值约17亿美元(2万亿韩元)的加密货币。
据当地媒体报道,美国联邦检察官认为,朝鲜政府认为加密货币是一项长期投资,并通过非法活动积累加密货币资金。
详情
North Korea-linked threat actors stole $1.7 billion from cryptocurrency exchanges盖瑞特无人值守金属探测器可以被远程黑客入侵
日期: 2021年12月27日 等级: 高 作者: Ravie Lakshmanan 标签: Garrett, cisco 行业: 信息传输、软件和信息技术服务业 涉及组织: cisco
Garrett盖瑞特金属探测器的网络组件中发现了许多安全漏洞,这些漏洞可能允许远程攻击者绕过身份验证要求,篡改金属探测器配置,甚至在设备上执行任意代码。
详情
Garrett Walk-Through Metal Detectors Can Be Hacked Remotely网络钓鱼者试图窃取CoinSpot用户的2FA代码
日期: 2021年12月27日 等级: 高 作者: Mihir Bagwe 标签: CoinSpot, blockchain & cryptocurrency 行业: 信息传输、软件和信息技术服务业
据研究人员称,威胁行为者试图从澳大利亚加密货币交易所CoinSpot的用户那里窃取双因素身份验证代码。Cofense网络钓鱼防御中心的分析师表示,这些代码将帮助攻击者执行"可能未经授权的个人帐户提款"
详情
Phishers Attempt to Steal 2FA Code of CoinSpot Users挪威媒体公司Amedia遭受到了网络攻击
日期: 2021年12月29日 等级: 高 作者: Pierluigi Paganini 标签: Amedia, 勒索攻击 行业: 信息传输、软件和信息技术服务业
12月27日至12月28日之间的夜间,挪威最大的媒体公司之一Amedia遭受了"严重"的网络攻击,并被迫关闭其计算机系统。
该公司拥有50家当地在线报纸和印刷机构以及自己的新闻机构AvisenesNyhetsbyrå。该公司还在俄罗斯拥有并经营着一组以PrimePrint品牌命名的印刷厂。
这次袭击封锁了印刷机,导致无法印刷周三的实体报纸。网络攻击还影响了该公司的广告和订阅系统。
详情
A cyber attack against Norwegian Media firm Amedia blocked newspaper publishing美国宇航局局长推特账户被强大的希腊军队黑客入侵
日期: 2022年01月02日 等级: 高 作者: Pierluigi Paganini 标签: NASA , Twitter 行业: 政府机关、社会保障和社会组织 涉及组织: twitter
美国宇航局局长兼空中交通高级技术专家的推特账号帕里马尔·科帕德卡尔先生(@nasapk)被强大的希腊军队入侵。
该组织一位发言人表示,他们瞄准NASA局长是为了好玩,这次袭击不是出于政治动机。他们之所以选择Kopardekar,是因为他们正在寻找在NASA工作的人。先生(@nasapk)被强大的希腊军队入侵。
详情
Exclusive: NASA Director Twitter account hacked by Powerful Greek Army相关安全建议
1. 积极开展外网渗透测试工作,提前发现系统问题
2. 减少外网资源和不相关的业务,降低被攻击的风险
3. 做好产品自动告警措施
4. 及时对系统及各个服务组件进行版本升级和补丁更新
5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
6. 注重内部员工安全培训
0x06 产品侧解决方案
若想了解更多信息或有相关业务需求,可移步至http://360.net
360城市级网络安全监测服务
360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
0x07 时间线
2022-01-03 360CERT发布安全事件周报