报告编号：B6-2022-010401

报告来源：360CERT

报告作者：360CERT

更新日期：2022-01-04

0x01   事件导览

本周收录安全热点24项，话题集中在恶意软件、漏洞信息方面，涉及的组织有：ReasonLabs、Garrett、BlackTech等。多个严重漏洞曝光，各厂商注意及时修复。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

"蜘蛛侠：无路可归"盗版下载包含加密采矿恶意软件

日期: 2021年12月27日
等级: 高
作者: Mohit Kumar
标签: ReasonLabs, malware hacking
行业: 信息传输、软件和信息技术服务业

ReasonLabs是网络安全预防和检测软件的领先提供商，最近发现了一种以最新蜘蛛侠电影为幌子入侵客户计算机的新形式的恶意软件。

加密货币挖掘恶意软件将自己伪装成《蜘蛛侠：无路可归》电影的洪流，鼓励世界各地的观众下载该文件，并向犯罪分子打开计算机。

详情

新型Android银行恶意软件在巴西Itaú Unibanco银行传播

日期: 2021年12月27日
等级: 高
作者: Pierluigi Paganini
标签: Android, Itaú Unibanco, google Play
行业: 金融业
涉及组织: google

研究人员分析了一种新的安卓银行恶意软件，该恶意软件针对巴西的itaúunibanco，该恶意软件通过虚假的googlePlay商店页面进行传播。

详情

新一波ech0raix勒索软件攻击的目标是QNAP 的NAS设备

日期: 2021年12月27日
等级: 高
作者: Pierluigi Paganini
标签: ech0raix, QNAP, NAS
行业: 信息传输、软件和信息技术服务业
涉及组织: qnap

eCh0raix勒索软件至少自2019年以来一直处于活跃状态，目前正在以NAP网络连接存储（NAS）设备为目标。

详情

Shutterfly遭到了Conti勒索软件攻击

日期: 2021年12月28日
等级: 高
来源: zdnet
标签: Conti勒索软件, Shutterfly, Log4j
行业: 信息传输、软件和信息技术服务业
涉及组织: cisa, university of utah, fbi

数码摄影公司Shutterfly遭到了Conti勒索软件集团的攻击，该公司的部分业务受到影响。

并且安全公司AdvancedIntelligence的研究人员发现Conti勒索软件组通过Log4j漏洞利用VMwarevCenterServer实例。

详情

三星Galaxy商店中存在大量风险软件

日期: 2021年12月28日
等级: 高
作者: Bill Toulas
标签: galaxy store, Google Play Protect, Android, 手机病毒
行业: 信息传输、软件和信息技术服务业
涉及组织: google, huawei, samsung

三星的官方Android应用商店名为GalaxyStore，已经渗透了大量风险软件应用程序，这些应用程序会触发GooglePlayProtect警告，因为这些应用程序请求访问可能造成在Android设备上安装恶意软件的风险。如果用户授予这些请求，则允许应用访问联系人列表、通话记录、执行代码、获取恶意软件有效负载、点击广告等。

详情

RedLine恶意软件将窃取浏览器中保存的密码

日期: 2021年12月28日
等级: 高
作者: Bill Toulas
标签: RedLine, Chrome, Edge, Opera, 数据泄露
行业: 信息传输、软件和信息技术服务业
涉及组织: google

RedLine信息窃取恶意软件针对流行的Web浏览器，如Chrome，Edge和Opera，说明了为什么将密码存储在浏览器中是不安全的。

该恶意软件是一种商品信息窃取者，可以在网络犯罪论坛上以大约200美元的价格购买，并且无需太多知识或精力即可部署。

AhnLabASEC的一份新报告警告说，在Web浏览器上使用自动登录功能的便利性正在成为影响组织和个人的重大安全问题。

详情

MSBuild被滥用于恶意活动

日期: 2021年12月28日
等级: 高
作者: Pierluigi Paganini
标签: MSBuild, Morphus Labs, SANS, SSL
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft, sans

MSBuild是一个免费的开源生成工具集，用于托管代码以及本机C++代码，是.NETFramework的一部分。它用于构建应用程序，并为用户提供一个XML架构，最近MorphusLabs的安全专家观察到几个恶意活动滥用MicrosoftBuildEngine（MSBuild）在受感染的机器上执行CobaltStrike有效载荷。

详情

被log4j黑客攻击的金融公司ONUS拒绝支付赎金导致200万客户数据泄露

日期: 2021年12月29日
等级: 高
作者: Ax Sharma
标签: ONUS, Log4j, 勒索攻击
行业: 金融业
涉及组织: amazon, twitter, facebook

越南最大的加密交易平台之一ONUS最近遭受了使用Log4j版本支付系统的网络攻击。

攻击者与ONUS联系，勒索了500万美元，并威胁说，如果ONUS拒绝遵守，就要公布客户数据。

在该公司拒绝支付赎金后，攻击者在论坛上发布了近200万ONUS客户的数据。

涉及漏洞

cve-2021-44228

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-44228

详情

加密挖掘恶意软件正在使用升级的规避策略攻击

日期: 2021年12月29日
等级: 高
作者: Ravie Lakshmanan
标签: TeamTNT, Aqua Security, DevSecOps, Log4j日志, docker, 安全建议
行业: 信息传输、软件和信息技术服务业
涉及组织: docker, redis, f5

最新研究显示，持续进行的加密采矿攻击活动已经升级了其武器库，同时发展了其防御规避策略，使威胁行为者能够隐藏入侵。

自2019年首次发现加密采矿攻击活动以来，迄今为止共记录了针对其蜜罐服务器的84次攻击，其中四次发生在2021年，根据DevSecOps和云安全公司AquaSecurity的研究人员的说法，他们在过去三年中一直在跟踪恶意软件的操作。也就是说，仅在2021年第三季度，就发现了125起袭击事件，这表明袭击并没有放缓。

详情

勒索团伙破坏了Spar商店

日期: 2021年12月30日
等级: 高
作者: Mathew J. Schwartz
标签: Vice Society, Spar, National Cyber Security Center, Eskenazi Health, 勒索攻击
行业: 住宿和餐饮业

名为ViceSociety的勒索软件声称本月早些时候袭击了两组独立拥有和经营的Spar品牌商店。ViceSociety表示，它感染了JamesHall&Co.的系统，该公司是英格兰北部600多家Spar商店的主要批发商，以及ManninRetail的所有者Heron和Brearley，该公司在马恩岛经营着19家Spar商店。

详情

新的iLOBleed Rootkit针对HP企业服务器的数据清除攻击

日期: 2021年12月30日
等级: 高
作者: Ravie Lakshmanan
标签: rootkit, iLOBleed, HP
行业: 制造业
涉及组织: HP

一个新的rootkit已经被发现，它的目标是惠普企业的集成熄灯(ilo)服务器管理技术进行野生攻击，篡改固件模块，并完全清除受感染系统的数据。

伊朗网络安全公司amnpardaz记录了这一发现，这是ilo固件中第一个真实世界的恶意软件的实例。

详情

Lapsus$ 勒索软件团伙袭击了葡萄牙最大的媒体集团 Impresa

日期: 2022年01月02日
等级: 高
作者: Pierluigi Paganini
标签: Lapsus$, Impresa, SIC, Expresso, 勒索攻击
行业: 信息传输、软件和信息技术服务业
涉及组织: amazon, twitter

Lapsus$勒索软件团伙已经破坏了葡萄牙最大的媒体集团Impresa的基础设施。Impresa拥有SIC电视频道和Expresso报纸以及其他主要媒体，包括几家杂志出版物。Lapsus$勒索软件组织污损了所有发布赎金票据的网站，声称他们有权访问Impresa的亚马逊网络服务帐户。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

物流巨头D.W. Morgan价值100 GB的客户数据被披露

日期: 2021年12月27日
等级: 高
作者: Waqas
标签: Amazon, AWS, Cisco, database, Ericsson, Privacy, security
行业: 信息传输、软件和信息技术服务业
涉及组织: cisco, amazon

一个配置错误的AmazonS3存储桶导致供应链管理和物流巨头D.W.Morgan数据库泄露。据研究人员称，该数据库包含超过100GB的数据，其中包含250万个文件，这些文件详细说明了属于D.W.Morgan全球员工和客户的财务，运输，个人和敏感记录。其中包括全球500强公司爱立信和财富500强公司思科的信息。

详情

LastPass用户主密码已被泄露

日期: 2021年12月28日
等级: 高
作者: Sergiu Gatlan
标签: LastPass, 数据泄露, Twitter, Reddit, Hacker News
行业: 信息传输、软件和信息技术服务业

LastPass用户收到电子邮件警告：他们的密码已被泄露并且有人正在试图使用主密码从未知位置登录他们的帐户。

LastPass负责人表示调查了有关阻止登录尝试的活动，并确定该活动与相当常见的机器人相关活动有关，其中恶意攻击者试图使用从与其他非附属服务相关的第三方违规行为中获得的电子邮件地址和密码访问用户帐户。

详情

T-Mobile遭遇了新的数据泄露

日期: 2021年12月29日
等级: 高
作者: Pierluigi Paganini
标签: T-Mobile, SIM, 手机病毒
行业: 信息传输、软件和信息技术服务业

T-Mobile披露了一项新的数据泄露事件，该事件影响了"极少数客户"，他们是SIM卡交换攻击的受害者。攻击中暴露了客户专有网络信息可能包括计费帐户名称、电话号码、帐户上的行数、帐号和费率计划信息。

详情

世嘉某欧洲服务器中门大开 25万用户数据受影响

日期: 2022年01月01日
等级: 高
来源: 
标签: 世嘉, VPN Overview, Amazon Web Services S3, 数据泄露
行业: 信息传输、软件和信息技术服务业
涉及组织: amazon

据安全研究中心VPNOverview的发现，世嘉其中一个位于欧洲的服务器因为AmazonWebServicesS3简易储存服务的设定有误，让黑客可以任意上载档案到世嘉域名的网站，其中更涉及25万名用户的电邮资料。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

与朝鲜有关的攻击者从加密货币交易所窃取了17亿美元

日期: 2022年01月02日
等级: 高
作者: Pierluigi Paganini
标签: North Korea, cryptocurrency, apt groups
行业: 金融业
涉及组织: apple

与朝鲜有关的apt集团被怀疑是针对加密货币交易所的一些最大规模网络攻击的幕后黑手。

据韩国媒体《朝鲜》报道，朝鲜的攻击者在过去5年里从多个交易所窃取了价值约17亿美元(2万亿韩元)的加密货币。

据当地媒体报道，美国联邦检察官认为，朝鲜政府认为加密货币是一项长期投资，并通过非法活动积累加密货币资金。

详情

盖瑞特无人值守金属探测器可以被远程黑客入侵

日期: 2021年12月27日
等级: 高
作者: Ravie Lakshmanan
标签: Garrett, cisco
行业: 信息传输、软件和信息技术服务业
涉及组织: cisco

Garrett盖瑞特金属探测器的网络组件中发现了许多安全漏洞，这些漏洞可能允许远程攻击者绕过身份验证要求，篡改金属探测器配置，甚至在设备上执行任意代码。

详情

网络钓鱼者试图窃取CoinSpot用户的2FA代码

日期: 2021年12月27日
等级: 高
作者: Mihir Bagwe
标签: CoinSpot, blockchain & cryptocurrency
行业: 信息传输、软件和信息技术服务业

据研究人员称，威胁行为者试图从澳大利亚加密货币交易所CoinSpot的用户那里窃取双因素身份验证代码。Cofense网络钓鱼防御中心的分析师表示，这些代码将帮助攻击者执行"可能未经授权的个人帐户提款"

详情

挪威媒体公司Amedia遭受到了网络攻击

日期: 2021年12月29日
等级: 高
作者: Pierluigi Paganini
标签: Amedia, 勒索攻击
行业: 信息传输、软件和信息技术服务业

12月27日至12月28日之间的夜间,挪威最大的媒体公司之一Amedia遭受了"严重"的网络攻击，并被迫关闭其计算机系统。

该公司拥有50家当地在线报纸和印刷机构以及自己的新闻机构AvisenesNyhetsbyrå。该公司还在俄罗斯拥有并经营着一组以PrimePrint品牌命名的印刷厂。

这次袭击封锁了印刷机，导致无法印刷周三的实体报纸。网络攻击还影响了该公司的广告和订阅系统。

详情

美国宇航局局长推特账户被强大的希腊军队黑客入侵

日期: 2022年01月02日
等级: 高
作者: Pierluigi Paganini
标签: NASA , Twitter
行业: 政府机关、社会保障和社会组织
涉及组织: twitter

美国宇航局局长兼空中交通高级技术专家的推特账号帕里马尔·科帕德卡尔先生（@nasapk）被强大的希腊军队入侵。

该组织一位发言人表示，他们瞄准NASA局长是为了好玩，这次袭击不是出于政治动机。他们之所以选择Kopardekar，是因为他们正在寻找在NASA工作的人。先生（@nasapk）被强大的希腊军队入侵。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x07   时间线

2022-01-03 360CERT发布安全事件周报