0x01 事件导览
本周收录安全热点14项,话题集中在勒索软件、网络攻击方面,涉及的组织有:Colonial Pipeline、Microsoft、Apple、QNAP等。勒索软件攻击严重破坏国家基础服务正常运行,基础设施防护是重中之重。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
| 恶意程序 |
|---|
| 美国和澳大利亚发布Avaddon勒索软件攻击警告 |
| TeaBot: 新的安卓恶意软件 |
| Colonial在勒索软件攻击后重新开始运营 |
| 保险巨头CNA在勒索软件攻击后完成所有系统恢复 |
| 化学品分销商向DarkSide勒索软件支付440万美元 |
| 爱尔兰医疗服务遭到2000万美元勒索 |
| 安盛保险公司遭遇勒索软件攻击 |
| 数据安全 |
| 勒索软件泄露大都会警察局数据 |
| 谈判失败,Babuk勒索软件帮泄露更多警察局的数据 |
| 网络攻击 |
| 微软:新的恶意软件瞄准航空组织 |
| 法国东芝公司遭DarkSide勒索软件组织袭击 |
| QNAP警告称eCh0raix勒索软件攻击和Roon服务器0day |
| 其它事件 |
| 美国调用紧急运输规则以保持燃料传输 |
| 苹果对受到XcodeGhost攻击的用户保持沉默 |
0x02 恶意程序
美国和澳大利亚发布Avaddon勒索软件攻击警告
日期: 2021年05月10日 等级: 高 作者: Sergiu Gatlan 标签: FBI, ACSC 行业: 跨行业事件
联邦调查局(FBI)和澳大利亚网络安全中心(ACSC)警告称,正在进行的Avaddon勒索软件活动的目标是美国和世界各地的组织。美国联邦调查局(FBI)发布警报称,Avaddon勒索软件分支机构正试图破坏全球制造业、医疗保健和其他私营部门组织的网络。
详情
US and Australia warn of escalating Avaddon ransomware attacks
TeaBot: 新的安卓恶意软件
日期: 2021年05月10日 等级: 高 作者: Waqas 标签: Europe, Android, TeaBot 行业: 金融业
意大利米兰在线欺诈预防公司Cleafy’s的威胁情报和事件响应(TIR)团队发现了一种新的Android恶意软件TeaBot,恶意软件还处于开发的早期阶段,到目前为止,它已经瞄准了全欧洲的60家银行,主要分布国家为意大利、西班牙、德国、比利时和荷兰等欧洲国家。一旦感染该软件,其会控制目标设备、窃取登录凭据、发送和截获短信,并盗窃银行数据。
IOC
Domain
– kopozkapalo[.]xyz
– sepoloskotop[.]xyz
Hash
– 89e5746d0903777ef68582733c777b9ee53c42dc4d64187398e1131cccfc0599
– 7f5b870ed1f286d8a08a1860d38ef4966d4e9754b2d42bf41d7 511e1856cc990
Ip
– 185.215.113[.]31
– 178.32.130[.]170
详情
New Android malware TeaBot found stealing data, intercepting SMS
Colonial在勒索软件攻击后重新开始运营
日期: 2021年05月12日 等级: 高 作者: Scott Ferguson 标签: Colonial Pipeline, DarkSide 行业: 电力、热力、燃气及水生产和供应业 涉及组织: Colonial Pipeline
燃油供应公司ColonialPipeline宣布,在发生DarkSide勒索软件攻击事件后,该公司重新开始运营。在Colonial宣布这一消息后,美国总统拜登签署了一项行政命令,旨在帮助政府加强对此类攻击的防护以及涉及SolarWinds和MicrosoftExchange服务器的攻击的对应措施。Colonial确实指出,要完全恢复供应链运作正常,还需要几天时间。
详情
Colonial Restarts Operations Following Ransomware Attack
保险巨头CNA在勒索软件攻击后完成所有系统恢复
日期: 2021年05月13日 等级: 高 作者: Sergiu Gatlan 标签: Phoenix CryptoLocker, CNA Financial 行业: 租赁和商务服务业 涉及组织: CNA Financial
总部位于美国的领先保险公司CNAFinancial在2021年3月下旬遭到PhoenixCryptoLocker勒索软件攻击并中断在线服务和业务运营后,已全面恢复系统。攻击者在3月21日在CNA网络上部署勒索软件有效载荷后,对超过15000台设备进行了加密。。根据保险信息研究所提供的统计数据,CNA提供包括网络保险单在内的多种保险产品,是美国第六大商业保险公司。
详情
Insurance giant CNA fully restores systems after ransomware attack
化学品分销商向DarkSide勒索软件支付440万美元
日期: 2021年05月13日 等级: 高 作者: Lawrence Abrams 标签: Brenntag, Bitcoin, DarkSide 行业: 制造业 涉及组织: Brenntag
化学品分销公司Brenntag以比特币形式向黑暗勒索软件团伙支付了440万美元的赎金,以获得加密文件的解密器,并防止攻击者公开泄露的被盗数据。Brenntag是一家全球领先的化学品分销公司,总部位于德国,在全球670多个工厂拥有17000多名员工。
详情
Chemical distributor pays $4.4 million to DarkSide ransomware
爱尔兰医疗服务遭到2000万美元勒索
日期: 2021年05月15日 等级: 高 作者: Lawrence Abrams 标签: Ireland, HSE, Conti 行业: 卫生和社会工作
爱尔兰公共资助的医疗保健系统健康服务执行局(HSE)在遭遇Conti勒索软件攻击后,关闭了所有的IT系统。爱尔兰国家卫生局说:“我们已经采取预防措施,关闭了我们所有的IT系统,以保护它们免受这次攻击,并让我们与自己的安全伙伴有充分事件评估局势。同时,我们拒绝向Conti勒索软件团伙支付2000万美元的赎金”
详情
Ireland’s Health Services hit with $20 million ransomware demand
安盛保险公司遭遇勒索软件攻击
日期: 2021年05月16日 等级: 高 作者: Ax Sharma 标签: AXA, Avaddon 行业: 租赁和商务服务业 涉及组织: AXA
保险巨头AXA总部设在泰国、马来西亚、香港和菲律宾的分支机构遭受Avaddon勒索网络攻击。Avaddon勒索软件集团在他们的泄密网站上声称,他们从AXA的亚洲业务中窃取了3TB的敏感数据。该组织称,Avaddon获得的泄露数据包括客户医疗报告(暴露其性健康诊断)、身份证复印件、银行账户对账单、索赔表、付款记录、合同等。
详情
Insurer AXA hit by ransomware after dropping support for ransom payments
相关安全建议
1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
3. 及时对系统及各个服务组件进行版本升级和补丁更新
4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
5. 各主机安装EDR产品,及时检测威胁
6. 注重内部员工安全培训
7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序
8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理
0x03 数据安全
勒索软件泄露大都会警察局数据
日期: 2021年05月11日 等级: 高 作者: Sergiu Gatlan 标签: Babuk Locker, MPD, DC Police 行业: 政府机关、社会保障和社会组织 涉及组织: MPD
BabukLocker泄露了属于大都会警察局(也称为MPD或DC警察)的数据,公布的文件包括来自华盛顿特区警察个人档案的150MB数据。勒索软件团伙声称,这些数据被泄露是因为华盛顿警方愿意支付的金额与BabukLocker的勒索要求不符。勒索团队说,如果华盛顿警方不愿意满足他们的要求,所有数据都将被泄露。
详情
Ransomware gang leaks data from Metropolitan Police Department
谈判失败,Babuk勒索软件帮泄露更多警察局的数据
日期: 2021年05月12日 等级: 高 作者: Deeba Ahmed 标签: Babuk, Columbia’s Metropolitan Police Department 行业: 政府机关、社会保障和社会组织 涉及组织: MPD
在谈判失败后,Babuk勒索软件帮派泄露了DC警察更多的数据,最新泄露的数据包含价值26GB的记录。黑客发布警告说,如果再不支付赎金,他们将公布整个250GB的数据库。数据库包括情报简报、调查报告、纪律处分和逮捕数据。
详情
Babuk ransomware gang leaks DC police data as negotiations fail
相关安全建议
1. 及时备份数据并确保数据安全
2. 合理设置服务器端各种文件的访问权限
3. 严格控制数据访问权限
4. 及时检查并删除外泄敏感数据
5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施
6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施
0x04 网络攻击
微软:新的恶意软件瞄准航空组织
日期: 2021年05月12日 等级: 高 作者: Sergiu Gatlan 标签: Microsoft, RAT, Aerospace, Travel 行业: 跨行业事件
微软警告称,针对航空航天和旅游组织的“鱼叉”网络钓鱼活动正在进行中,这些组织使用新的隐蔽恶意软件加载程序部署了多个远程访问特洛伊木马(RAT)。攻击者的最终目的是利用遥控、键盘记录和密码窃取功能从受感染的设备中获取和过滤数据。
攻击方式
详情
Microsoft: Threat actors target aviation orgs with new malware
法国东芝公司遭DarkSide勒索软件组织袭击
日期: 2021年05月14日 等级: 高 作者: Charlie Osborne 标签: French, Toshiba, DarkSide 行业: 制造业 涉及组织: Toshiba
法国东芝公司已经成为DarkSide勒索软件攻击的最新受害者。东芝公司表示受到一次网络攻击,该攻击已波及欧洲一些地区。在发现攻击后,东芝公司关闭了日本、欧洲及其子公司之间的网络,以防止损害的蔓延,同时实施恢复协议和数据备份。该公司表示,已经对损害程度展开调查,并已派出第三方网络取证专家协助。
详情
Toshiba unit struck by DarkSide ransomware group
QNAP警告称eCh0raix勒索软件攻击和Roon服务器0day
日期: 2021年05月14日 等级: 高 作者: Sergiu Gatlan 标签: QNAP, Roon Server, NAS 行业: 制造业 涉及组织: QNAP
QNAP警告客户,RoonServer0day漏洞和eCh0raix勒索软件攻击正在被积极利用,目标是他们的网络连接存储(NAS)设备。QNAP敦促客户立即行动,通过以下方式保护其数据免受潜在的eCh0raix攻击:
-为管理员帐户使用更强大的密码
-更改NAS密码
-启用IP访问保护
-更改系统端口号。
详情
QNAP warns of eCh0raix ransomware attacks, Roon Server zero-day
相关安全建议
1. 积极开展外网渗透测试工作,提前发现系统问题
2. 减少外网资源和不相关的业务,降低被攻击的风险
3. 做好产品自动告警措施
4. 及时对系统及各个服务组件进行版本升级和补丁更新
5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
6. 注重内部员工安全培训
0x05 其它事件
美国调用紧急运输规则以保持燃料传输
日期: 2021年05月10日 等级: 高 作者: Liam Tung 标签: FMCSA, USDOT, Ransomware 行业: 电力、热力、燃气及水生产和供应业 涉及组织: Colonial Pipeline
针对ColonialPipeline的勒索软件攻击事件影响美国东海岸45%的燃料,美国交通部(USDOT)已经动用了紧急权力——涉及限制道路燃料运输的法律的临时豁免,并允许司机工作更长时间。豁免适用于向阿拉巴马州、阿肯色州、哥伦比亚特区、特拉华州、佛罗里达州、乔治亚州、肯塔基州、路易斯安那州、马里兰州、密西西比州、新泽西州、纽约州、北卡罗来纳州、宾夕法尼亚州、南卡罗来纳州、田纳西州、德克萨斯州和弗吉尼亚州运输汽油、柴油、喷气燃料和其他精炼石油产品的车辆,以便更方便地通过公路运输燃料。
详情
Pipeline ransomware attack: US invokes emergency transport rules to keep fuel flowing
苹果对受到XcodeGhost攻击的用户保持沉默
日期: 2021年05月10日 等级: 高 作者: Deeba Ahmed 标签: iOS, XcodeGhost, Apple 行业: 信息传输、软件和信息技术服务业
据报道,近1.28亿iOS用户下载了包含XcodeGhost恶意软件的应用程序,但苹果没有告知受害者此次攻击。2021年3月,Hackread.com报告了一次supplycheck攻击,其中XcodeSpy恶意软件被用于针对使用Xcode集成开发环境的开发人员,2015年还使用了类似的恶意软件。它的代号为XcodeGhost,允许攻击者使用从第三方网站下载的Xcode的恶意版本在合法应用程序中插入恶意代码。
详情
Apple kept mum about XcodeGhost malware attack against 128M users
相关安全建议
1. 及时对系统及各个服务组件进行版本升级和补丁更新
2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
0x06 产品侧解决方案
360城市级网络安全监测服务
360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
0x07 时间线
2021-05-17 360CERT发布安全事件周报
0x08 特制报告下载链接
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。
若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。