报告编号：B6-2021-112201

报告来源：360CERT

报告作者：360CERT

更新日期：2021-11-22

0x01   事件导览

本周收录安全热点26项，话题集中在恶意软件、网络攻击方面，涉及的组织有：索尼、Mac、Cloudflare、FatPipe VPNs等。多个严重漏洞曝光，各厂商注意及时修复。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

针对中东的ProxyShell相关攻击事件激增

日期: 2021年11月17日
等级: 高
作者: Mohamed Fahmy,Abdelrhman Sharshar,Sherif Magdy,Ryan Maglaque
标签: 相关组件：ProxyShell, 事件类型：网络攻击事件
行业: 政府机关、社会保障和社会组织
涉及组织: microsoft

趋势微管理XDR团队最近观察到，服务器端对Microsoftexchange上与proxyshell相关的入侵(特别是通过托管XDR服务和其他事件响应活动)的攻击激增，发生在中东的不同部门。

涉及漏洞

cve-2021-34473

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34473

cve-2021-34523

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34523

cve-2021-31207

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-31207

详情

Qakbot银行特洛伊木马的感染人数激增

日期: 2021年11月15日
等级: 高
作者: Pierluigi Paganini
标签: 事件类别：恶意程序事件, 攻击手法：excel宏, 恶意程序：Qakbot
行业: 信息传输、软件和信息技术服务业
涉及组织: cisco

新一轮的qbot（又名Qakbot）银行特洛伊木马的感染人数激增，这似乎与Squirrelwaffle(另一个恶意软件加载器)的兴起有关。

2021年9月底，QakbotTrojan运营商在中断近三个月后恢复了邮件垃圾邮件操作。

详情

电子欺诈活动呈现出稳步增长的趋势

日期: 2021年11月16日
等级: 高
来源: heimdalsecurity
标签: 攻击手法：恶意域名, 事件类别：恶意程序事件, 相关厂商：Heimdal
行业: 信息传输、软件和信息技术服务业
涉及组织: google, promo

在研究与商业假日相关的电子欺诈动态时，海姆达尔安全公司发现，电子欺诈活动呈现出稳步增长的趋势，尤其是在加密挖掘领域。

根据这项研究，在黑色星期五期间(即2020年11月13日或前后)发现的超过30%的恶意域名要么与非法加密活动有关，要么包含具有自动下载和执行功能的加密软件。

详情

Emotet恶意软件再次袭来

日期: 2021年11月16日
等级: 高
来源: heimdalsecurity
标签: 事件类别：恶意程序, 攻击手法：钓鱼邮件, 恶意程序：Emotet
行业: 金融业
涉及组织: paypal

Emotet是一种被称为“银行木马”的恶意软件。垃圾邮件，或携带恶意软件的垃圾邮件，是最常见的传播方式。

为了增加可信度，这些通信经常以可识别的品牌为特征，模仿知名和声誉良好的公司，如paypal或dhl的电子邮件结构。

Emotet随后会利用受攻击的设备进行更多的垃圾邮件活动，并安装其他有效负载，如qakbot(qbot)和trickbot恶意软件。

详情

新银行特洛伊木马SharkBot在欧美掀起波澜

日期: 2021年11月16日
等级: 高
作者: Charlie Osborne
标签: 恶意程序：SharkBot, 事件类型：恶意程序事件
行业: 金融业
涉及组织: google, microsoft, whatsapp, automatic

一种新的Android银行木马被发现，它能够通过滥用ATS来绕过多因素身份验证控制。

10月底，Cleafy的网络安全研究人员发现了这个恶意软件，它似乎不属于任何已知的家族。

这款安卓恶意软件现在被命名为SharkBot，它的攻击目标是从运行在谷歌安卓操作系统上的脆弱手机中窃取资金。

详情

11个恶意PyPI Python库被抓到窃取Discord令牌和安装shell

日期: 2021年11月19日
等级: 高
作者: Ravie Lakshmanan
标签: 事件类型：恶意程序事件, 涉及厂商：Python, 攻击手法：供应链
行业: 信息传输、软件和信息技术服务业
涉及组织: github

网络安全研究人员已经发现多达11个恶意python包，这些包已经从python包索引(pypi)存储库累计下载超过41,000次，并且可以被利用来窃取不一致访问令牌、密码，甚至阶段依赖混淆攻击。

由于Devops公司JFFROG负责任披露，这些Python软件包已从存储库中删除。

详情

新Memento勒索团伙利用WinRAR加密恶意文件

日期: 2021年11月19日
等级: 高
来源: heimdalsecurity
标签: 事件类型：勒索事件, 攻击组织名称：Memento Ransomware Group, 相关漏洞：cve-2021-21971
行业: 信息传输、软件和信息技术服务业

Memento勒索软件组织的方法似乎很不寻常，因为他们在利用WinRAR加密恶意文件。

因为安全软件能够检测到以前的加密技术，所以他们现在选择了这种方法。

据悉，Memento勒索团伙从2021年10月开始进行勒索活动。他们针对vmwarevcenter服务器web客户端的一个漏洞，以获得对目标网络的初始访问权。（该漏洞的cve编号为cve-2021-21971，其严重程度评分为9.8，是一个远程代码执行漏洞。

）

涉及漏洞

cve-2021-21971

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-21971

详情

研究人员入侵了Conti gang的支付网站

日期: 2021年11月21日
等级: 高
作者: Pierluigi Paganini
标签: 事件类型：勒索事件, 攻击者组织：Conti
行业: 信息传输、软件和信息技术服务业

安全公司product的研究人员能够识别Conti勒索团伙使用的一个服务器的真实IP地址，并在一个多月的时间里访问控制台。

被曝光的服务器是该团伙用来与受害者谈判赎金的支付门户网站。pti团队访问了conti的基础设施，并确定了问题服务器的真实IP地址。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

Sea Mar医疗数据被盗影响68万患者

日期: 2021年11月19日
等级: 高
作者: Jessica Davis
标签: 事件类型：数据泄露事件, 受害组织：Sea Mar
行业: 卫生和社会工作
涉及组织: microsoft

根据提供商网站上发布的违规通知，在2020年12月开始的长达数月的系统黑客攻击之后，688,000名SeaMar社区健康中心患者的个人和健康数据被访问、泄露和在线泄露。SeaMar是一个非营利实体，为华盛顿服务不足的患者提供服务。

一项取证分析发现，在2020年12月至2021年3月之间，也就是发现数据之前的几个月，从受影响的系统中删除了其他数据。被盗数据因人而异，包括姓名、联系人、社会安全号码、出生日期、客户身份号码、治疗信息、保险详情、索赔数据和牙齿图像。

详情

成人cam网站StripChat遭遇数据泄漏

日期: 2021年11月16日
等级: 高
作者: Pierluigi Paganini
标签: 事件类别：数据泄漏事件
行业: 信息传输、软件和信息技术服务业
涉及组织: elasticsearch

流行的成人CAM网站stripchat遭遇了安全漏洞，导致数百万用户和成人模特的个人数据泄露。

这个安全漏洞是由数据泄露猎人Bobdiachenko发现的，专家发现了一个弹性搜索数据库集群，可以在线访问而无需认证。

详情

加州Pizza Kitchen遭遇数据泄露

日期: 2021年11月19日
等级: 高
作者: Pierluigi Paganini
标签: 事件类型：数据泄露事件, 受害组织：Pizza Kitchen
行业: 住宿和餐饮业
涉及组织: experian, Pizza Kitchen

美国披萨连锁店加州PizzaKitchen(cpk)遭遇数据泄露，该公司已经通知了可能被泄露个人信息的员工。

根据发给受影响员工的数据泄露通知，安全漏洞是在9月15日被发现的。该公司立即在外部专家的支持下对该事件展开调查。

受影响的CPK现任和前任员工总数为103767人。该公司声称已立即保护其基础设施，并声称没有证据表明泄露的信息可能被滥用。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

Cloudflare缓解了2 Tbps DDoS攻击，这是迄今为止最大的攻击

日期: 2021年11月15日
等级: 高
作者: Pierluigi Paganini
标签: 事件类型：网络攻击, 攻击手法：僵尸网络，DDOS攻击, 恶意程序：mirai, 受害者组织：Cloudflare, 涉及CVE：CVE-2021-22205
行业: 信息传输、软件和信息技术服务业
涉及组织: gitlab, microsoft, cloudflare

Cloudflare,inc.是一家美国网络基础设施和网站安全公司，提供内容分发网络和ddos缓解服务。该公司宣布已经缓解了分布式拒绝服务(ddos)攻击，该攻击峰值低于每秒2tb(tbps)，这是cloudflare迄今为止遇到的最大的攻击。

这是一个结合了DNS放大攻击和udpflood的多矢量攻击。

整个袭击只持续了一分钟。这次攻击是由大约15000个在物联网设备和未打补丁的gitlab实例上运行原始mirai僵尸网络发起的。

详情

黑客窃取索尼ps5的root密钥

日期: 2021年11月15日
等级: 高
作者: Pierluigi Paganini
标签: 事件类别：网络攻击, 受害组织名称：SONY, 攻击组织名称: fail0verflow
行业: 信息传输、软件和信息技术服务业
涉及组织: twitter, google, SONY

攻击者利用两个内核漏洞从游戏控制台窃取了索尼ps5的root密钥。

这两次攻击都没有被披露给该公司，黑客于11月7日在twitter上披露了这两次攻击。这个ps5漏洞可以让黑客安装盗版游戏并运行模拟器。

详情

Mac 0day警报：野外水坑攻击

日期: 2021年11月15日
等级: 高
作者: Mihir Bagwe
标签: 攻击手法：水坑攻击, 事件类别：恶意程序事件, 相关漏洞：CVE-2021-1789.CVE-2021-30869
行业: 信息传输、软件和信息技术服务业
涉及组织: google, apple

谷歌的威胁分析小组公布了一场针对macOS0day漏洞攻击链的活动的细节，黑客在访问一家媒体和一个著名的亲民主劳工和政治团体的香港网站的用户的设备上安装了一种从未见过的恶意软件。

9月23日，苹果在macOS的Catalina,BigSur11.2和Mojave,iOS12.5.5中修复了这个0day漏洞CVE-2021-30869。

就在一个月前，谷歌TAG的研究人员Hernandez和ClémentLecigne，以及谷歌ProjectZero的IanBeer，发现它在野外被利用。

涉及漏洞

CVE-2021-1789

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-1789

CVE-2021-30869

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30869

详情

Moses Staff黑客对以色列组织造成严重破坏

日期: 2021年11月15日
等级: 高
作者: Bill Toulas
标签: 事件类别：网络攻击, 攻击者组织：Moses Staff
行业: 政府机关、社会保障和社会组织
涉及组织: check point, twitter, microsoft

一个名为MosesStaff的新黑客组织最近对针对以色列实体发起多次攻击，这些攻击似乎有政治动机，因为他们没有提出任何赎金要求。

在过去的几个月里，这些黑客组织多次破坏以色列的系统，渗透网络，加密文件，然后将窃取的副本泄露给公众。

因此，该组织的动机显然是通过专门的数据泄露网站，泄露企业机密和其他敏感信息，对其目标造成最大程度的运营干扰和损害。

详情

针对中东知名网站的战略网络入侵攻击

日期: 2021年11月16日
等级: 高
作者: Matthieu Faou
标签: 攻击者组织：Candiru, 受害者：中东
行业: 政府机关、社会保障和社会组织
涉及组织: google, microsoft, instagram, github

ESET研究人员发现了针对中东知名网站的战略网络入侵（又名水坑）攻击。

2020年7月11日，伊朗驻阿布扎比大使馆的网站已被修改，并已开始从https://piwiks[.]com/reconnect.js注入JavaScript代码。

涉及漏洞

cve-2021-30551

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-30551

cve-2021-33742

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-33742

攻击方式

- Phishing

- Application Layer Protocol

- Command and Scripting Interpreter

- Compromise Infrastructure

- Drive-by Compromise

- Acquire Infrastructure

详情

FBI:一个APT在FatPipe VPNs中滥用0day长达6个月

日期: 2021年11月17日
等级: 高
来源: therecord
标签: 相关组件：FatPipe VPNs, 事件类型：APT攻击事件
行业: 信息传输、软件和信息技术服务业

美国联邦调查局(FBI)表示，他们发现了一个高级持续威胁(APT)，它利用FatPipe网络设备的0day漏洞，入侵企业并进入其内部网络。

FBI在2021年11月16日发布的一份flash安全警报中表示，截至2021年11月，FBI的法医分析表明，FatPipeMPVPN设备软件中一个0day漏洞的利用至少可以追溯到2021年5月。黑客组织利用该漏洞利用了设备固件中的文件上传功能，并安装了webshell。

详情

以缅甸为目标的黑客利用域名前置来隐藏恶意活动

日期: 2021年11月17日
等级: 高
作者: Ravie Lakshmanan
标签: 攻击手法：Domain Fronting, 受害者：Myanmar, 事件类型：恶意程序事件
行业: 信息传输、软件和信息技术服务业
涉及组织: cisco, cloudflare

一个恶意的活动已经被发现，利用了一种叫做域名前置的技术来隐藏和控制流量，该活动利用缅甸政府拥有的合法域名将通信路由到一个攻击者控制的服务器，目的是逃避检测。

这一攻击是在2021年9月观察到的，它部署了c2载荷，作为发动进一步攻击的基础。

详情

美国、英国和澳大利亚警告伊朗黑客利用微软fortinet漏洞

日期: 2021年11月17日
等级: 高
作者: Ravie Lakshmanan
标签: 事件类型：网络攻击事件, 攻击者：伊朗政府支持
行业: 政府机关、社会保障和社会组织
涉及组织: cisa, microsoft, fbi

来自澳大利亚、英国和美国的网络安全机构2021年11月17日发布了一份联合咨询警告，称伊朗政府支持的参与者正在积极利用fortinet和微软exchangeproxyshell漏洞，以获得进入脆弱系统的初始权限，以便进行后续活动，包括数据外泄和勒索软件。

涉及漏洞

cve-2021-34473

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34473

cve-2020-12812

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-12812

cve-2019-5591

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2019-5591

cve-2018-13379

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2018-13379

详情

Tiktok网红成为网络钓鱼活动的目标

日期: 2021年11月18日
等级: 高
作者: Pierluigi Paganini
标签: 攻击手法：钓鱼攻击, 事件类型：网络攻击事件
行业: 信息传输、软件和信息技术服务业
涉及组织: tiktok, linkedin, whatsapp

研究人员发现，攻击者发起了针对125个tiktok网红账户的钓鱼活动，试图劫持他们。

最初的网络钓鱼邮件使用了tiktok版权侵犯通知诱饵，这些信息指示回复邮件的受害者避免在48小时内删除自己的账户。

受害者回复了钓鱼信息后，假冒tiktok官员的攻击者通过电子邮件回应，向受害者提供了一个名为“确认我的账户”的短链接。该链接将用户引导至whatsapp聊天对话。

参与whatsapp对话的运营商要求受害者核实目标tiktok账户的linkedin电话号码和电子邮件地址。

详情

RedCurl公司间谍黑客使用更新的工具继续攻击

日期: 2021年11月18日
等级: 高
作者: Ionut Ilascu
标签: 攻击者组织：RedCurl, 事件类型：网络攻击事件
行业: 批发和零售业

一群专门从事商业间谍活动的高技能黑客重新开始活动，2021年他们的受害者之一是俄罗斯的一家大型批发公司。

这个名为redcurl的组织2021年两次攻击了俄罗斯企业，每次都使用精心设计的鱼叉式网络钓鱼邮件，以及初始阶段的恶意软件。

自2018年以来，RedCurl公司的受害者人数不断增加，该公司至少对30起针对俄罗斯(其中18起)、乌克兰、加拿大、挪威、英国和德国企业的攻击负有责任，最近的4起发生在2021年。

详情

假的TSA预检网站用假的续签合同欺骗美国旅客

日期: 2021年11月19日
等级: 高
作者: Bill Toulas
标签: 事件类型：网络攻击事件, 攻击手法：钓鱼网站
行业: 信息传输、软件和信息技术服务业
涉及组织: google, microsoft, paypal

越来越多的人在访问tsaprecheck,globalentry，和nexus应用服务网站后被骗，被收取140美元，却没有得到任何回报。

关于这些骗局的报道首次出现在2021年3月到7月，黑客滥用谷歌广告在谷歌搜索上推广虚假网站，增加流量。

一份不正常安全部门的报告证实，诈骗仍在继续，随着圣诞旅游旺季的到来，更多的人成为受害者的几率会成倍增加。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   其它事件

600万Sky路由器在17个月内面临接管攻击

日期: 2021年11月19日
等级: 高
作者: Bill Toulas
标签: 涉及组织：Sky routers, 攻击手法：DNS rebinding
行业: 信息传输、软件和信息技术服务业
涉及组织: wordpress, intel

英国约有600万台Sky宽带用户路由器受到一个严重漏洞的影响，其官方17个月的时间才向用户推出修复方案。

这个公开的漏洞是一个DNS重绑定漏洞，如果用户没有更改默认的管理密码，或者攻击者可以强制使用凭据，那么攻击者可以很容易地利用这个漏洞。

这种利用的结果将是危及客户的家庭网络，改变路由器的配置，并可能转移到其他内部设备。

详情

NPM修复了私有包名称泄漏、严重授权漏洞

日期: 2021年11月16日
等级: 高
作者: Ax Sharma
标签: 相关厂商：NPM
行业: 信息传输、软件和信息技术服务业
涉及组织: twitter, node.js, github

最大的node.js包注册中心npm披露了最近发现并修复的多个安全漏洞。

第一个漏洞是npmjs.com的副本服务器源上的私有NPM包的名称泄露，第三方服务从中使用这些包。

第二个漏洞由于不适当的授权检查，允许攻击者发布任何现有NPM包的新版本，。

详情

CKEditor漏洞对Drupal和其他下游应用程序构成XSS威胁

日期: 2021年11月19日
等级: 高
作者: Adam Bannister
标签: 涉及组织：Drupal, CKEditor, 攻击手法：XSS
行业: 信息传输、软件和信息技术服务业
涉及组织: drupal

由于与Drupal捆绑的第三方富文本编辑器CKEditor存在漏洞，被广泛使用的web内容管理系统(CMS)Drupal发布了安全更新。

两个跨站点脚本(XSS)漏洞（Drupal判定其等级为严重）可能会产生深远的影响，因为CKEditor已被整合到许多在线应用程序中。

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x08   时间线

2021-11-22 360CERT发布安全事件周报