报告编号：B6-2021-122701

报告来源：360CERT

报告作者：360CERT

更新日期：2021-12-27

0x01   事件导览

本周收录安全热点24项，话题集中在网络攻击、数据泄露、漏洞信息方面，涉及的组织有：微软、Facebook、育碧等。多个严重漏洞曝光，各厂商注意及时修复。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

Clop勒索软件团伙泄露英国警方数据

日期: 2021年12月21日
等级: 高
作者: Prajeet Nair
标签: Clop Ransomware, Leak, Police Data, UK
行业: 政府机关、社会保障和社会组织
涉及组织: automatic

据新闻报道，俄罗斯黑客窃取了英国警方掌握的1300万人的个人信息和记录。

网络犯罪团伙Clop成功入侵了苏格兰管理服务提供商Dacoll，并在暗网上公布了部分数据。Dacoll具有警察国家计算机的访问权限。

详情

蜘蛛侠迷们可能会成为新的网络钓鱼活动的受害者

日期: 2021年12月20日
等级: 高
来源: heimdalsecurity
标签: Phishing, Malware
行业: 信息传输、软件和信息技术服务业

超级英雄电影《蜘蛛侠:没有回家的路》(spider-man:nowayhome)在12月17日上映。

攻击者也对这些类型的事件感到兴奋，因为它们非常适合各种类型的攻击。

研究人员警告称，这部最新的蜘蛛侠电影正在被攻击者利用，利用种子文件传递恶意软件，窃取财务信息。

研究人员称，网络犯罪分子被发现试图利用这部新漫威电影的宣传，在首映前活动频繁。

详情

借助Log4j漏洞安装的Dridex恶意软件

日期: 2021年12月21日
等级: 高
来源: heimdalsecurity
标签: dridex, Cryptolaemus, Windows, Linux, evil corp
行业: 信息传输、软件和信息技术服务业

Dridex恶意软件是一种银行木马，最初旨在窃取受害者的网上银行证书，但后来演变成一个加载器，下载各种模块，可用于执行各种恶意行为，如安装额外的有效负载，传播到其他设备，截屏，等等。

Dridex感染与evilcorp黑客团伙有关的勒索软件攻击有关。

网络安全研究公司Cryptolaemus警告说，log4j漏洞目前正被用来感染Windows设备的dridex木马和Linux设备的meterpreter。

详情

2easy现在是被盗数据的重要暗网市场

日期: 2021年12月21日
等级: 高
作者: Bill Toulas
标签: 2easy, dark web, logs
行业: 信息传输、软件和信息技术服务业
涉及组织: secure vpn, microsoft, slack

一个名为“2easy”的暗网市场正在成为销售被盗数据“logs”的重要参与者，这些“logs”来自约60万台感染了窃取信息的恶意软件的设备。

“logs”是使用恶意软件从受损的浏览器或系统中窃取的数据档案，它们最重要的方面是，它们通常包括帐户凭证、cookie和保存的信用卡。

2easy于2018年推出，去年仅销售了2.8万部受感染设备的数据，被认为是一家小公司，自那以来，该公司经历了快速增长。

详情

名为Abcbot的新僵尸网络主要针对中国的云提供商进行攻击

日期: 2021年12月22日
等级: 高
作者: Pierluigi Paganini
标签: abcbot, cloud providers, bot
行业: 信息传输、软件和信息技术服务业
涉及组织: huawei

安全研究人员在过去几个月里发现了一个名为abcbot的新僵尸网络，该网络主要针对中国的云托管提供商。

目标供应商包括阿里巴巴云、百度、腾讯和华为云。2020年11月，奇虎360网络实验室安全团队的研究人员发现了abcbot僵尸网络，该网络针对Linux系统发起分布式拒绝服务(ddos)攻击。

详情

AvosLocker勒索软件通过安全模式重新启动来绕过安全工具

日期: 2021年12月23日
等级: 高
作者: Bill Toulas
标签: avoslocker, bypass, security tools
行业: 信息传输、软件和信息技术服务业
涉及组织: automatic

在最近的攻击中，avoslocker勒索软件团伙已经开始把重点放在禁用终端安全解决方案上，这些解决方案会阻止他们重新启动受攻击的系统进入Windows安全模式。

这种策略使得加密受害者的文件更容易，因为大多数安全解决方案将自动禁用，Windows设备启动在安全模式。

他们的新方法似乎相当有效，因为该组织发起的攻击事件数量正在上升。

详情

在Windows系统上悄悄地潜入恶意软件

日期: 2021年12月23日
等级: 高
作者: Ionut Ilascu
标签: BLISTER, Windows, malware
行业: 信息传输、软件和信息技术服务业

安全研究人员发现了一种恶意活动，它依靠有效的代码签名证书将恶意代码伪装成合法的可执行文件。研究人员称之为BLISTER，作为其他恶意软件的加载器，是一种检测率很低的新型威胁。BLISTER背后的攻击者一直依靠多种技术来保持他们的攻击不被察觉，使用代码签名证书只是他们的伎俩之一。

详情

Rook勒索软件是泄露的Babuk代码的又一个产物

日期: 2021年12月24日
等级: 高
作者: Bill Toulas
标签: rook, ransomware
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

最近在网络犯罪领域出现了一种名为rook的新勒索软件，攻击者表明迫切需要通过破坏公司网络和加密设备来赚取“大量资金”。Sentinellabs的研究人员深入研究了这种新毒株，揭示了其技术细节、感染链以及它与babuk勒索软件的重叠方式。

详情

Android银行特洛伊木马通过假冒的Google Play商店页面传播

日期: 2021年12月24日
等级: 高
作者: Bill Toulas
标签: itaú unibanco, Android, Google Play, banking trojan
行业: 金融业
涉及组织: google

itaúunibanco是巴西的一家大型金融服务提供商，在全球拥有5500万客户。攻击者使用一种银行木马病毒对itaúunibanco进行攻击，通过建立了一个欺骗页面，看起来非常像android官方的谷歌play应用程序商店，让用户认为他们是从一个值得信赖的服务安装应用程序。

该恶意软件假装是itaúunibanco的官方银行应用程序，并具有相同的图标。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

在开放云服务器上存储着5亿组泄露证书

日期: 2021年12月21日
等级: 高
来源: threatpost
标签: Cloud Server, Credentials
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft, fbi

根据英国国家犯罪署的国家网络犯罪部门表示，近5.86亿组凭证被收集到一个被破坏的云存储设施中，任何网络攻击者只要碰巧发现该存储库就可以免费获取。

这些凭证的来源很复杂，目前还不清楚这些密码是如何被泄露的。

详情

加纳政府机构因错误配置存储导致70万公民的数据泄露

日期: 2021年12月22日
等级: 高
作者: Deeba Ahmed
标签: AWS, Ghana, Healthcare, LEAKS, NSS, Privacy, security
行业: 政府机关、社会保障和社会组织
涉及组织: amazon, mongodb

加纳国家服务秘书处NSS在使用的awss3存储桶发生错误配置，泄露了来自全国各地多达700,000名公民的数据，约55GB。

研究人员认为，这一违规行为对与该机构有关联的加尼亚政府官员及其数千名公民构成了巨大风险。泄露的数据库于2021年9月29日被发现，并在2021年10月6日至12日之间通知了NSS。

详情

德克萨斯州耳鼻喉科专科医院535000名患者数据泄露

日期: 2021年12月20日
等级: 高
作者: Adam Bannister
标签: US, Healthcare, Data Breach, Cyber-attacks, Data Leak, Network Security, Hacking News, Compliance, HIPAA, Organizations, Industry News, Nor
行业: 卫生和社会工作

美国医疗保健提供商德州耳鼻喉专科医院(TexasEar,NoseandThroatspecialist,TexasENT)的数据泄露，导致50多万患者受到影响。在获悉安全漏洞后，德州ENT确定，在2021年8月9日至2021年8月15日期间，攻击者进入了计算机系统，并获取了德州ENT的文件副本。被泄露的数据包括病人姓名、出生日期、医疗记录号码、用于计费目的的程序代码，以及仅在有限数量的文件中使用的社会安全号码。

详情

育碧公开未经授权访问《Just Dance》用户数据的安全事件

日期: 2021年12月22日
等级: 高
作者: Pierluigi Paganini
标签: Ubisoft, Just Dance, user data, unauthorized
行业: 信息传输、软件和信息技术服务业

育碧披露了一个数据泄露事件，该事件导致未经授权用户访问数据。安全漏洞是由错误配置引起的，好消息是漏洞已经迅速修复。

据游戏公司称，被泄露的数据只包括技术标识符，但使未经授权的用户可能访问和复制一些个人玩家数据。

详情

美国服装供应商Pro Wrestling Tees遭遇数据泄露

日期: 2021年12月23日
等级: 高
作者: Adam Bannister
标签: US, Data Breach, Retail, Malware, Compliance, Legal, Data Leak, Hacking News, Cyber-attacks, North America, Industry News, Organizations, E-
行业: 批发和零售业

据TheDailySwig一份通知显示，销售职业摔跤运动员设计的t恤的ProWrestlingTees公司发现，一些客户的信用卡号码被泄露。

总部位于芝加哥的这家公司寄给可能受到影响的客户的一封信表明，数据泄露事件于11月1日曝光。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

Meta起诉Facebook和Instagram网络钓鱼背后的人

日期: 2021年12月20日
等级: 高
作者: Sergiu Gatlan
标签: Meta, phishing
行业: 信息传输、软件和信息技术服务业
涉及组织: facebook, instagram, whatsapp

Meta(原名facebook)已经向加州法院提起联邦诉讼，以阻止针对facebook、messenger、instagram和whatsapp用户的网络钓鱼攻击。

这些网络钓鱼活动背后的攻击者使用了近4万个网络钓鱼页面来冒充这四个平台的登录页面。

这一网络钓鱼计划涉及创建39000多个网站，假冒facebook、messenger、instagram和whatsapp的登录页面。

详情

比利时国防部受到利用Log4Shell漏洞的网络攻击

日期: 2021年12月20日
等级: 高
作者: Pierluigi Paganini
标签: Log4Shell, Belgian, defense ministry
行业: 政府机关、社会保障和社会组织

比利时国防部证实，它受到了一次网络攻击，似乎攻击者利用了log4shell漏洞。

据当地媒体报道，此次黑客攻击事件于10日被揭露，并于10日被政府公开，但由于安全漏洞，国防部的活动被封锁了好几天。

详情

专家发现美国联邦机构网络上部署了后门

日期: 2021年12月20日
等级: 高
作者: Ravie Lakshmanan
标签: Backdoor, Federal Agency, U.S.
行业: 政府机关、社会保障和社会组织

据报道，美国联邦政府一个与国际权利相关的委员会遭到后门攻击，该后门破坏了其内部网络。

捷克安全公司avast在上周发布的一份报告中表示:这次攻击可能会让网络完全可见，并完全控制一个系统，因此可以作为多级攻击的第一步，更深入地渗透这个或其他网络。

详情

网络钓鱼攻击冒充辉瑞公司提出虚假报价请求

日期: 2021年12月20日
等级: 高
作者: Bill Toulas
标签: Phishing, Pfizer
行业: 信息传输、软件和信息技术服务业

攻击者正在进行一场具有高度针对性的网络钓鱼活动，假冒辉瑞公司，从受害者那里窃取商业和财务信息。

辉瑞公司是一家知名的制药公司，因生产目前为数不多的抗covid-19mrna疫苗之一而受到广泛宣传。

网络钓鱼攻击者的目标是利用广为人知的品牌名来增加钓鱼成功的几率。

详情

FBI警告称有国家支持的黑客在利用Zoho Zero Day

日期: 2021年12月21日
等级: 高
来源: heimdalsecurity
标签: APT, Zoho, Zero-Day
行业: 信息传输、软件和信息技术服务业
涉及组织: cisa, microsoft, fbi

据美国联邦调查局(fbi)12月17日发布的一份紧急警报显示，自去年10月以来，国家支持的网络犯罪团伙一直在积极利用zoho0day。

该漏洞位于zoho的管理引擎桌面中心，它似乎已经引起高级持续威胁(apt)组的兴趣一段时间了。

该漏洞被确定为CVE-2021-44515，APT攻击者损害了桌面中央服务器，上传WebShell，下载工具，枚举域用户和组，进行网络侦察，尝试横向移动和倾销凭据。

涉及漏洞

cve-2021-44515

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-44515

cve-2021-40539

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-40539

详情

国家行为者利用Zoho公司的0day

日期: 2021年12月22日
等级: 高
作者: Devon Warren-Kachelein
标签: ManageEngine Desktop Central, Zoho, vulnerability
行业: 信息传输、软件和信息技术服务业
涉及组织: cisa, microsoft, fbi

在Zoho公司广泛使用的统一端点管理工具ManageEngineDesktopCentral中发现了一个新的0day漏洞，编号为CVE-2021-44515，据FBI称，该漏洞正在被国家行为者积极利用。

FBI表示，该认证绕过漏洞的关键得分为9.8分(满分10分)，这使得高级持续攻击者能够入侵服务器，丢弃覆盖该软件合法功能的网络外壳，并转储证书。

该机构表示，至少从2020年10月以来，这种漏洞引发的攻击就一直在发生。

涉及漏洞

cve-2021-44515

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-44515

详情

微软 azure 应用服务中的一个漏洞导致客户源代码暴露至少四年

日期: 2021年12月23日
等级: 高
作者: Pierluigi Paganini
标签: Microsoft Azure, notlegit, vulnerability
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

12月初，微软通知了一小群azure客户，他们受到最近发现的一个名为notlegit的漏洞的影响，该漏洞至少从2017年9月起就暴露了他们azureweb应用的源代码。这个不合法的漏洞可能被攻击者利用进行攻击。

该漏洞是由wiz研究团队的研究人员发现的，它是azure应用程序服务中不安全的默认行为，它暴露了使用本地git部署的、用php、python、ruby或node编写的客户应用程序的源代码。

详情

全球IT服务公司Inetum遭到勒索软件攻击

日期: 2021年12月24日
等级: 高
作者: Ionut Ilascu
标签: inetum group, IT services provider
行业: 信息传输、软件和信息技术服务业

法国IT服务公司inetumgroup遭到勒索软件攻击，对其业务和客户的影响造成影响。

Inetum公司业务遍布全球26个国家，为航空航天和国防、银行、汽车、能源和公用事业、医疗保健、保险、零售、公共部门、交通、电信和媒体等多个领域的公司提供数字服务。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   其它事件

80万个WordPress站点仍然受到严重SEO插件缺陷的影响

日期: 2021年12月21日
等级: 高
作者: Sergiu Gatlan
标签: WordPress, SEO plugin, vulnerabilities
行业: 信息传输、软件和信息技术服务业
涉及组织: wordpress

在非常流行的“allinone”搜索引擎wordpress插件中，两个严重的和高危的安全漏洞暴露了超过300万个网站被接管攻击。

automattic安全研究员marcmontpas发现并报告的安全漏洞包括一个严重的认证权限升级漏洞(cve-2021-25036)和一个高危的认证SQL注入漏洞(cve-2021-25037)。

2021年12月7日，超过80万个易受攻击的wordpress网站发布了安全更新，解决了这两个漏洞。然而，根据补丁发布后两周的下载统计，超过82万个使用该插件的网站还没有更新他们的安装，仍然容易受到攻击。

涉及漏洞

cve-2021-25036

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-25036

cve-2021-25037

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-25037

详情

恶意软件攻击者使用新的漏洞绕过Microsoft MSHTML缺陷的修补程序

日期: 2021年12月21日
等级: 高
作者: Ravie Lakshmanan
标签: Microsoft MSHTML, vulnerability, remote code execution
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

一个短时间的网络钓鱼活动被观察到，它利用一个新颖的漏洞绕过了微软的一个补丁，该补丁旨在修复一个影响MSHTML组件的远程代码执行漏洞，目的是发送formbook恶意软件。

涉及漏洞

cve-2021-40444

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-40444

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x08   时间线

2021-12-27 360CERT发布安全事件周报