安全事件周报(02.22-02.28)

 

0x01事件导览

本周收录安全热点12项,话题集中在网络攻击勒索软件方面,涉及的组织有:AccelionCiscoVMwarePowerhouse等。黑客利用0day漏洞威胁全球,老旧系统切勿开放在公网。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

恶意程序
Clop勒索软件利用Accelion漏洞威胁全球
Silver Sparrow恶意软件感染3万台Mac设备
恶意的Mozilla Firefox扩展能够接管用户Gmail账户
勒索软件团伙入侵厄瓜多尔最大私人银行及财政部
网络攻击
Powerhouse VPN产品可被用以进行大规模DDoS攻击
俄罗斯对乌克兰国防网站进行DDoS攻击
联邦快递网络钓鱼攻击中,1万Microsoft电子邮件用户遭袭
俄罗斯黑客组织部署IronPython恶意软件加载程序
四个针对关键基础设施的黑客组织
攻击者积极利用PoC扫描易受攻击的VMware服务器
其它事件
npm组件程序包systeminformation发现代码注入漏洞
Cisco修复了MSO严重身份验证绕过漏洞

 

0x02恶意程序

Clop勒索软件利用Accelion漏洞威胁全球

日期: 2021年02月22日
等级: 高
作者: Ionut Ilascu
标签: Accellion, File Transfer Appliance, Clop, Vulnerability
行业: 跨行业事件

Clop勒索软件将多个0day漏洞与一个新的WebShell结合在一起,破坏了多达100家公司的AccellionFTA(文件传输设备),并窃取了敏感文件。目前已知受害者包括:超市巨头Kroger,Singtel,QIMRBerghofer医学研究所,新西兰储备银行,澳大利亚证券和投资委员会(ASIC)和华盛顿州审计师办公室(“SAO”)、技术服务公司ABS集团、琼斯律师事务所、Danaher、科罗拉多大学等。目前Accellion已更新FTA安全补丁,相关信息可访问:https://www.accellion.com/company/press-releases/accellion-provides-update-to-recent-fta-security-incident/

涉及漏洞

– CVE-2021-27101

– CVE-2021-27102

– CVE-2021-27103

– CVE-2021-27104

详情

Global Accellion data breaches linked to Clop ransomware gang

Silver Sparrow恶意软件感染3万台Mac设备

日期: 2021年02月22日
等级: 高
作者: Catalin Cimpanu
标签: Mac, Silver Sparrow
行业: 跨行业事件
涉及组织: Apple

安全研究人员发现了一种针对Mac设备的新恶意软件–SilverSparrow,根据Malwarebytes提供的数据,截至2021年2月17日,SilverSparrow已经感染了包括美国、英国、加拿大、法国、德国等153个国家的29139个macOS终端。但尽管感染设备众多,但有关恶意软件如何传播和感染用户的详细信息仍然很少,目前还不清楚SilverSparrow是否隐藏在恶意广告、盗版应用程序或假冒Flash更新程序等经典传播载体中,此外,这种恶意软件的目的也不清楚。

详情

30,000 Macs infected with new Silver Sparrow malware

恶意的Mozilla Firefox扩展能够接管用户Gmail账户

日期: 2021年02月25日
等级: 高
作者: Lindsey O'Donnell
标签: Gmail, Mozilla Firefox, FriarFox, TA413
行业: 政府机关、社会保障和社会组织
涉及组织: adobe, youtube

最近发现的一种网络攻击正在控制受害者的Gmail账户,它使用的是一种定制的恶意MozillaFirefox浏览器扩展–名为FriarFox。 研究人员说,在1月和2月观察到的威胁运动针对的是西藏组织,并与TA413有关,TA413是一个已知的高级持续威胁(APT)组织。 此次攻击的幕后组织旨在通过窥探受害者的Firefox浏览器数据和Gmail邮件来收集受害者的信息。

详情

Malicious Mozilla Firefox Extension Allows Gmail Takeover

勒索软件团伙入侵厄瓜多尔最大私人银行及财政部

日期: 2021年02月26日
等级: 高
作者: Lawrence Abrams
标签: Ecuador, Ministry of Finance, Banco Pichincha, Hotarus Corp
行业: 政府机关、社会保障和社会组织

一个名为“HotarusCorp”的黑客组织入侵了厄瓜多尔财政部和该国最大的银行BancoPichincha,他们声称在那里窃取了“敏感的部委信息、电子邮件、雇员信息、合同”。勒索软件团伙首先锁定厄瓜多尔财政部EconomiayFinanzasdeEcuador,在那里他们部署了一个基于PHP的勒索软件,对一个托管在线课程的网站进行加密。攻击发生后不久,黑客在一个黑客论坛上发布了一个包含6632个登录名和哈希密码组合的文本文件。

详情

Ransomware gang hacks Ecuador’s largest private bank, Ministry of Finance

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 软硬件提供商要提升自我防护能力,保障供应链的安全

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 各主机安装EDR产品,及时检测威胁

6. 如果不慎勒索中招,务必及时隔离受害主机、封禁外链ip域名并及时联系应急人员处理

 

0x03网络攻击

Powerhouse VPN产品可被用以进行大规模DDoS攻击

日期: 2021年02月22日
等级: 高
作者: Catalin Cimpanu
标签: VPN, Powerhouse Management, DDOS
行业: 跨行业事件

僵尸网络运营商正在滥用VPN提供商PowerhouseManagement提供的VPN服务器,以此来反弹和放大DDoS攻击中的垃圾流量。研究人员说,被利用服务在PowerhouseVPN服务器上的UDP端口20811上运行,攻击者可以使用一个字节的请求来ping通此端口,并且该服务通常会以最大为原始数据包大小40倍的数据包进行响应。由于这些数据包基于UDP,因此也可以对其进行修改以包含错误的返回IP地址。这意味着攻击者可以将单字节UDP数据包发送到PowerhouseVPN服务器,然后将其放大并发送到DDoS攻击的受害者的IP地址,安全研究人员称之为反射/放大DDoS攻击。

详情

Powerhouse VPN products can be abused for large-scale DDoS attacks

俄罗斯对乌克兰国防网站进行DDoS攻击

日期: 2021年02月23日
等级: 高
作者: Prajeet Nair
标签: Ukraine, Russia, DDos, Botnet
行业: 政府机关、社会保障和社会组织

乌克兰指责俄罗斯将乌克兰政府服务器变成僵尸网络,并利用被控服务器实施大规模分布式拒绝服务攻击。乌克兰国家安全和国防委员会称,这些攻击瞄准了乌克兰安全局、乌克兰国家安全和国防委员会的网站以及其他国家机构和战略企业的系统,这些服务器感染病毒,成为僵尸网络的一部分,用于对其他资源进行分布式拒绝服务攻击。由此,互联网供应商的安全系统将乌克兰政府服务器识别为攻击源,并自动将其列入访问黑名单。因此,即使在DDoS阶段结束后,用户仍然无法访问被攻击的乌克兰政府网站。

详情

Ukraine Blames Russia for DDoS Attack on Defense Websites

联邦快递网络钓鱼攻击中,1万Microsoft电子邮件用户遭袭

日期: 2021年02月23日
等级: 高
作者: Lindsey O'Donnell
标签: Microsoft, FedEx, DHL Express, Phishing
行业: 跨行业事件
涉及组织: google, microsoft, adobe

2021年2月底发现两起针对至少10000名微软电子邮件用户的网络钓鱼攻击,攻击者假装来自邮件快递公司,其中包括联邦快递(FedEx)和DHLExpress。这两个骗局的目标都是微软的电子邮件用户,目的是刷他们的工作电子邮件帐户凭据。他们还使用了合法域名(包括Quip和googlefirebase的域名)来放置钓鱼网页。

详情

10K Microsoft Email Users Hit in FedEx Phishing Attack

俄罗斯黑客组织部署IronPython恶意软件加载程序

日期: 2021年02月24日
等级: 高
作者: Akshaya Asokan
标签: Russian, Turla, IronNetInjector
行业: 跨行业事件

俄罗斯黑客组织Turla正在部署一个基于IronPython的恶意软件加载程序,名为“IronNetInjector”,“IronNetInjector由一个IronPython脚本组成,该脚本包含一个.NET注入器,使用.NETFrameworkAPI和Python库来远程访问特洛伊木马ComRAT。相关研究报告指出当运行IronPython脚本时,会加载.NET注入器,从而将有效负载注入到自己的进程或远程进程中。

详情

Russian Hacking Group Deploys IronPython Malware Loader

四个针对关键基础设施的黑客组织

日期: 2021年02月25日
等级: 高
作者: Danny Palmer
标签: APT, Infrastructure, Industrial Systems
行业: 政府机关、社会保障和社会组织

网络安全研究人员称,在2020年发现了四个针对工业系统的新黑客组织,而且针对工业和工业控制系统的网络攻击者也在不断增加。在过去的一年里,研究人员发现了四个新的黑客组织,分别是Stibnite,Talonite,Kamacite,和Vanadinite。该四个组织分工明确,Stibnite专注于在阿塞拜疆发电的风力涡轮机公司,而Talonite几乎只专注于美国的电力供应商。Kamacite将目标锁定在北美和欧洲能源公司的工业运营上。Vanadinite在北美、欧洲、澳大利亚和亚洲开展针对能源、制造和运输的业务,重点是信息收集和运输。

详情

These four new hacking groups are targeting critical infrastructure, warns security company

攻击者积极利用PoC扫描易受攻击的VMware服务器

日期: 2021年02月25日
等级: 高
作者: Sergiu Gatlan
标签: RCE, VMware, vCenter
行业: 跨行业事件

在安全研究人员开发并发布了针对严重vCenter远程代码执行(RCE)漏洞的概念验证(PoC)攻击代码之后,攻击者正积极利用该poc扫描易受攻击的VMware服务器。就在VMware修补了严重漏洞的一天后,安全公司发现了这一扫描活动。根据BinaryEdge(超过14000个暴露服务器)和Shodan(超过6700个)提供的信息,成千上万个未修补的vCenter服务器仍然可以通过互联网访问。

涉及漏洞

– CVE-2021-21972

详情

Attackers scan for vulnerable VMware servers after PoC exploit release

相关安全建议

1. 积极开展外网渗透测试工作,提前发现系统问题

2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 不盲目信任云端文件及链接

6. 注重内部员工安全培训

 

0x04其它事件

npm组件程序包systeminformation发现代码注入漏洞

日期: 2021年02月24日
等级: 高
作者: Ax Sharma
标签: npm, Code Injection
行业: 信息传输、软件和信息技术服务业
涉及组织: node.js

该漏洞被追踪为CVE-2021-21315,影响了“systeminformation”npm组件,该组件每周下载量约为80万次,自发布以来,下载量已接近3400万次。简单地说,“systeminformation”是一个轻量级的node.js库,是开发人员可以在其项目中包含的库,用于检索与CPU、硬件、电池、网络、服务和系统进程相关的系统信息。“systeminformation”用户应升级至5.3.1及以上版本,以解决其应用程序中的漏洞。

涉及漏洞

– CVE-2021-21315

详情

Heavily used Node.js package has a code injection vulnerability

Cisco修复了MSO严重身份验证绕过漏洞

日期: 2021年02月24日
等级: 高
作者: Sergiu Gatlan
标签: Cisco, Cisco ACI, MSO
行业: 制造业
涉及组织: cisco

Cisco已解决在ApplicationServices引擎上安装的CiscoACI多站点Orchestrator(MSO)的API终结点中发现的最大严重性身份验证绕过漏洞。未经身份验证的攻击者可以通过发送精心编制的请求,远程绕过受影响设备上的身份验证。成功的攻击使攻击者能够获得具有管理员级权限的身份令牌。

涉及漏洞

– CVE-2021-1393

– CVE-2021-1388

详情

Cisco fixes maximum severity MSO auth bypass vulnerability

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

3. 不盲目安装官方代码仓库的第三方Package

4. 软硬件提供商要提升自我防护能力,保障供应链的安全

 

0x05产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

 

0x06时间线

2021-03-01 360CERT发布安全事件周报

 

0x07特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

安全事件周报 (2.22-2.28)

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

(完)