0x01 事件导览
本周收录安全事件 40 项,话题集中在 勒索 、 网络攻击 方面,涉及的组织有: Microsoft 、 TikTok 、 Google 、 Wibu 等。外网中存在大量暴露在外的数据库,攻击成本几乎为零。对此,360CERT建议使用 360安全卫士 进行病毒检测、使用 360安全分析响应平台 进行威胁流量检测,使用 360城市级网络安全监测服务QUAKE 进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
| 恶意程序 | 等级 |
|---|---|
| 美国视频传输提供商证实勒索软件攻击 | ★★★★★ |
| 法国国家网络安全局警告称Emotet攻击激增 | ★★★★ |
| SeaChange视频传输提供商披露了REVIL勒索软件攻击 | ★★★★ |
| 塞舌尔开发银行遭勒索软件袭击 | ★★★★ |
| 齐柏林勒索软件返回新的特洛伊木马 | ★★★ |
| ProLock勒索软件增加了支付需求和受害者数量 | ★★★ |
| 恶意软件CDRThief的目标是运营商网络中的VoIP设备 | ★★★ |
| Equinix数据中心巨头遭Netwalker勒索软件勒索450万美元赎金 | ★★★ |
| 美国人事公司Artech披露勒索软件攻击 | ★★★ |
| 费尔法克斯县学校遭Maze勒索软件袭击,学生资料外泄 | ★★★ |
| 澳大利亚警告称,勒索软件仍然是“重大”威胁 | ★★ |
| 数据安全 | |
| 新州738GB的客户数据在电子邮件泄露期间被盗 | ★★★★★ |
| 站长论坛数据库曝光80万用户数据 | ★★★★ |
| 高校招生数据库泄露近百万学生数据 | ★★★★ |
| 不安全数据库泄漏了约会网站的用户信息 | ★★★★ |
| Razer数据泄露暴露了玩家的个人信息 | ★★★ |
| 网络攻击 | |
| 黑客从加密货币交易平台ETERBASE窃取了540万美元 | ★★★★★ |
| 滥用Windows 10主题能窃取Windows帐户 | ★★★★ |
| 智利银行BancoEstado遭REVil勒索软件袭击 | ★★★★ |
| 一勒索软件团伙自称是纽卡斯尔大学袭击案的幕后黑手 | ★★★★ |
| Netwalker勒索软件攻击巴基斯坦最大的私人电力公司 | ★★★★ |
| 黑客使用易受攻击的文件管理器攻击WordPress站点 | ★★★★ |
| 勒索软件推迟了康涅狄格州哈特福德的开学日 | ★★★ |
| 黑客使用合法工具接管Docker,Kubernetes平台 | ★★★ |
| 网络钓鱼活动通过主页覆盖欺骗受害者 | ★★★ |
| SoftServe被勒索软件利用Windows自定义工具攻击 | ★★★ |
| 新的浣熊攻击解密TLS连接 | ★★★ |
| 当你看色情网站的时候,Mala smoke gang会感染你的电脑 | ★★★ |
| 其它事件 | |
| 微软发布的补丁中充斥着严重的RCE漏洞 | ★★★★★ |
| 关键的Adobe缺陷允许攻击者在浏览器中运行JavaScript | ★★★★★ |
| 第三方代码中的关键缺陷可以导致接管工控系统 | ★★★★★ |
| 一名俄罗斯国民因试图招募特斯拉员工安装恶意软件而被起诉 | ★★★ |
| Windows 10沙箱激活零日漏洞 | ★★★ |
| 在众多谷歌Play Store应用程序中发现的密码漏洞 | ★★★ |
| 研究人员揭露谷歌地图XSS漏洞 | ★★★ |
| 蓝牙窃听器使设备受到中间人攻击 | ★★★ |
| WordPress插件漏洞允许攻击者发送伪造的电子邮件 | ★★★ |
| 比特币核心区的拒绝服务问题(INVDoS)两年来一直未被披露 | ★★★ |
| TikTok已修复Android版应用中的安全漏洞 | ★★★ |
| 物联网交通灯系统的漏洞 | ★★ |
0x02 恶意程序
美国视频传输提供商证实勒索软件攻击
日期: 2020年09月09日
等级: 高
作者: Sergiu Gatlan
标签: Seachange, Operation, Ransomware, REvil, Sodinokibi, VOD, RaaS
总部位于美国的视频交付软件解决方案供应商SeaChangeInternational证实,在2020年第一季度,勒索软件攻击中断了公司的运营。SeaChange的客户名单包括电信公司和卫星运营商,如BBC、Cox、Verizon、AT&T、沃达丰、DirectTV、LibertyGlobal和DishNetworkCorporation,其框架视频交付平台目前为超过50个国家的数百个本地和云直播电视和视频点播(VOD)平台提供支持,用户超过5000万。攻击者通过攻击未修补CVE-2019-11510漏洞的脉冲安全VPN服务器。在进入目标企业的网络后,REvil在内网横向传播,同时从服务器和工作站窃取敏感数据。
详情
Leading US video delivery provider confirms ransomware attack
法国国家网络安全局警告称Emotet攻击激增
日期: 2020年09月08日
等级: 高
作者: Pierluigi Paganini
标签: Emotet, Campaign, Information, Qbot, Malicious, Trojan, France
法国国家网络安全局( nationalcybersecurityagency )发布了一份警报,警告称,针对法国私营部门和公共行政实体的情感攻击大幅增加。 Emotet 银行木马至少自2014年以来一直活跃,该僵尸网络由跟踪为 TA542 的威胁参与者操作。在8月中旬,以新的以COVID19为主题的垃圾邮件活动中使用了 Emotet 恶意软件,最近的垃圾邮件活动使用带有恶意 Word 文档或指向其的链接的邮件,这些邮件伪装成发票,运送信息, COVID-19 信息,简历,财务文档或扫描的文档。
详情
France national cyber-security agency warns of a surge in Emotet attacks
SeaChange视频传输提供商披露了REVIL勒索软件攻击
日期: 2020年09月10日
等级: 高
作者: Pierluigi Paganini
标签: Seachange, Ransomware, Sodinokibi, REVil, SeaChange
总部位于美国的视频传输软件解决方案供应商 SeaChangeInternational 透露,一场勒索软件攻击扰乱了其在2020年第一季度的运营。 SeaChange 的客户包括英国广播公司(BBC)、考克斯(Cox)、威瑞森(Verizon)、美国电话电报公司(AT&T)、沃达丰(Vodafone)、直接电视(DirectTV)、自由全球(LibertyGlobal)和Dish网络公司等主要机构。2020年4月,SeaChangeInternational成为 Sodinokibi/REVil 勒索软件团伙的受害者。攻击发生时,勒索软件运营商在对该公司的系统进行加密之前,公布了他们声称窃取的数据的图片。
详情
SeaChange video delivery provider discloses REVIL ransomware attack
塞舌尔开发银行遭勒索软件袭击
日期: 2020年09月11日
等级: 高
作者: Sergiu Gatlan
标签: Bank, Ransomware, CBS, DBS, Seychelles, Maze
据塞舌尔中央银行(CBS)2020年9月11号早些时候发表的新闻声明,塞舌尔开发银行(DBS)遭到勒索软件的袭击。从2019年11月下旬的迷宫勒索软件开始,勒索软件运营商改变了勒索策略,在加密受害者数据之前,也会从中窃取受害者的档案,被盗的文件将被用来威胁受害者支付赎金。从那时起,其他18个勒索团伙开始使用同样的策略,其中大多数还创建了数据泄露网站,在成功破坏网络后公开羞辱受害者,并公布被盗数据。
详情
Development Bank of Seychelles hit by ransomware attack
齐柏林勒索软件返回新的特洛伊木马
日期: 2020年09月09日
等级: 中
作者: Tara Seals
标签: Zeppelin, Juniper Threatlab, Ransomware, Phishing, Trojan, Email
Zeppelin 勒索软件在中断了几个月之后,又重新流行起来。 JuniperThreatlab 研究人员在8月发现了一波攻击,该攻击利用了新的木马下载器。就像在2019年末观察到的最初的 Zeppelin 浪潮一样,这些邮件首先是带有 MicrosoftWord 附件(主题为“发票”)的网络钓鱼电子邮件,其中带有恶意宏。用户启用宏后,感染过程即会开始。在最新的活动中, VisualBasic 脚本的片段隐藏在各种图像后面的垃圾文本中。恶意宏会解析并提取这些脚本,然后将其写入 c:\wordpress\about1.vbs 文件中。
详情
Zeppelin Ransomware Returns with New Trojan on Board
ProLock勒索软件增加了支付需求和受害者数量
日期: 2020年09月10日
等级: 中
作者: Ionut Ilascu
标签: ProLock, Ransomware, QakBot, Bank, Trojan
使用标准策略, ProLock 勒索软件的操作员在过去六个月中能够部署大量攻击,平均每天接近一个目标。在2019年底,由于一个加密漏洞可以免费解锁文件,以 PwndLocker 为名的恶意软件在启动失败后,运营商重新启动了操作,修复了漏洞,并将恶意软件重命名为 ProLock 。从一开始,威胁行动者的目标就很高,针对企业网络,要求17.5万美元到66万美元以上的赎金。
详情
ProLock ransomware increases payment demand and victim count
恶意软件CDRThief的目标是运营商网络中的VoIP设备
日期: 2020年09月10日
等级: 中
作者: Tara Seals
标签: Linux, Malware, Voip, CDRThief, ESET
名为 CDRThief 的恶意软件的目标是大型电信运营商网络内部的IP语音(VoIP)软交换设备。据ESET研究人员称,该恶意软件是专门为攻击LinknatVOS2009和VOS3000软开关而开发的,这两个软开关运行在标准的Linux服务器上。该代码能够检索私有呼叫元数据,包括呼叫细节记录(CDRs),它记录呼叫时间、持续时间、完成状态、源号码和流经运营商网络的电话呼叫的目的地号码。
详情
CDRThief Malware Targets VoIP Gear in Carrier Networks
Equinix数据中心巨头遭Netwalker勒索软件勒索450万美元赎金
日期: 2020年09月10日
等级: 中
作者: Lawrence Abrams
标签: Equinix, Attack, Ransomware, Netwalker, Ransom
数据中心和主机托管巨头 Equinix 近日遭遇网络勒索软件攻击,黑客威胁称,他们要求450万美元的解密费用,以防止被盗数据泄露。Equinix是一家大型数据中心和托管提供商,在全球拥有50多个位置。客户使用这些数据中心来协调他们的设备或与其他isp和网络供应商互连。
详情
Equinix data center giant hit by Netwalker Ransomware, $4.5M ransom
美国人事公司Artech披露勒索软件攻击
日期: 2020年09月11日
等级: 中
作者: Sergiu Gatlan
标签: Artech information, Ransomware, Data Breach, Revil, Unauthorized Access
美国最大的IT员工公司之一ArtechInformationSystems是一家私人控股公司,2019年的年营业收入预计为8.1亿美元,在美国40个州、加拿大、印度和中国拥有超过10500名员工和顾问,该公司披露,在2020年1月初,一次勒索软件攻击导致数据泄露,该公司部分系统受到影响。
详情
US staffing firm Artech discloses ransomware attack, data breach
费尔法克斯县学校遭Maze勒索软件袭击,学生资料外泄
日期: 2020年09月12日
等级: 中
作者: Sergiu Gatlan
标签: Ransomware, Maze, Attack, Fairfax County Public Schools, School, Leaked
根据2020年9月11日晚上发布的一份官方声明,美国第十大学校—费尔法克斯县公立学校(FCPS)最近受到勒索软件的攻击。该学区也是巴尔的摩-华盛顿都会区最大的学区,已批准2021年的预算为31亿美元。FCPS在美国弗吉尼亚州的198所学校和中心有超过188,000名在校学生和大约25,000名全职员工。
详情
Fairfax County schools hit by Maze ransomware, student data leaked
澳大利亚警告称,勒索软件仍然是“重大”威胁
日期: 2020年09月07日
等级: 低
作者: Jeremy Kirk
标签: Ransomware, Malicious Code, Report, Information, Attack, Email, Australia
电子邮件仍然是犯罪分子和民族国家最常用的攻击载体之一,尤其是因为它经常能够在组织内部偷偷携带勒索软件、信息窃取工具和其他恶意代码。因此,在2020年9月4日发布的最新年度“网络威胁报告”中,警告了澳大利亚网络安全中心,该报告汇总了针对澳大利亚组织的主要攻击类型。当然,电子邮件不是在线攻击者利用的唯一机制。“尽管恶意电子邮件目前(并且很可能仍将是向ACSC报告的最常见的事件类型),但重要的是确保在整个网络(纵深防御)以及个人设备之间应用安全性,”代理商说。
详情
Ransomware Remains ‘Significant’ Threat, Australia Warns
相关安全建议
- 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序
- 注重内部员工安全培训
- 各主机安装EDR产品,及时检测威胁
- 网段之间进行隔离,避免造成大规模感染
- 如果不慎勒索中招,务必及时隔离受害主机、封禁外链ip域名并及时联系应急人员处理
- 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
0x03 数据安全
新州738GB的客户数据在电子邮件泄露期间被盗
日期: 2020年09月07日
等级: 高
作者: Aimee Chanthadavong
标签: Data Breach, Service NSW, Email, Attack, Personal Information, Stealing
新南威尔士州服务局透露,由于2020年早些时候47名员工的电子邮件账户遭到网络攻击,18.6万名客户的个人信息被盗。经过4月份开始的为期4个月的调查,新南威尔士州服务机构表示,他们发现有738GB的数据从电子邮件账户中被盗,其中380万份文件被盗。不过,这家一站式服务机构保证,没有证据表明MyServiceNSW的个人账户数据或服务NSW数据库在网络攻击期间受到损害。
详情
Service NSW reveals 738GB of customer data was stolen during email breach
站长论坛数据库曝光80万用户数据
日期: 2020年09月07日
等级: 高
作者: Charlie Osborne
标签: Data Breach, Digital Point, Forum, Elasticsearch, Leaked, MongoDB
总部位于加州圣迭戈的DigitalPoint自称是“世界上最大的网站管理员社区”,将自由职业者、市场营销人员、程序员和其他有创意的专业人士聚集在一起。2020年7月1日,WebsitePlanet研究小组和网络安全研究员JeremiahFowler发现了一个不安全的 Elasticsearch 数据库,其中包含超过6200万条记录。泄漏中总共包括了863,412个 DigitalPoint 用户的数据。
详情
Webmaster forum database exposed data of 800,000 users
高校招生数据库泄露近百万学生数据
日期: 2020年09月09日
等级: 高
作者: Bernard Meyer
标签: Student, Information, Database, Amazons3, CaptainU, Data Breach, Leaked
cybernews 最近发现了一个不安全的 AmazonS3 (简单存储服务)数据库,其中包含近100万条敏感的高中生学术信息记录。包括 GPA 分数, ACT , SAT 和 PSAT 分数,非官方的成绩单,学生证,学生和家长的姓名,电子邮件地址,家庭住址,电话号码等等。不安全的数据库似乎属于 CaptainU ,这是一个在线平台,旨在帮助学生运动员和有兴趣招募他们参加运动项目的学院或大学建立联系。因此,该数据库还包含学生的运动成绩的图片和视频,学生给教练的信息以及其他招聘材料。
详情
College recruitment database leaking nearly 1 million students’ data
不安全数据库泄漏了约会网站的用户信息
日期: 2020年09月13日
等级: 高
作者: Catalin Cimpanu
标签: Elasticsearch, Mailfire, Unauthorized Access, Data Breach, Dating Site
一个没有密码就暴露在网上的在线数据库泄露了成千上万注册在线约会网站的用户的个人详细信息。vpnMentor的安全研究人员于8月底发现了这个数据库,即Elasticsearch服务器。该数据库存储了各种在线站点通过Mailfire的推送通知服务发送给其用户的推送通知的副本。推送通知是公司可以发送给同意接收此类消息的智能手机或浏览器用户的实时消息。泄漏的数据库存储了超过882GB的日志文件,日志文件总共包含过去96个小时内发送的6600万条个人通知的详细信息,以及数十万用户的个人详细信息,包括姓名,年龄,性别信息,电子邮件地址,一般地理位置和IP地址。
目前 Elasticsearch 在全球均有分布,具体分布如下图,数据来自于 360 QUAKE
详情
Leaky server exposes users of dating site network
Razer数据泄露暴露了玩家的个人信息
日期: 2020年09月12日
等级: 中
作者: Lawrence Abrams
标签: Razer, Data Breach, Database, Information, Diachenko
在线游戏制造商Razer的一家在线游戏商店因数据泄露而遭受攻击。 Razer 是一家新加坡裔美国游戏硬件制造商,以其鼠标,键盘和其他高端游戏设备而闻名。大约在8月19日,安全研究员BobDiachenko发现了一个不安全的数据库,暴露了大约10万在雷蛇网上商店购买商品的人的信息。
详情
Razer data leak exposes personal information of gamers
相关安全建议
- 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施
- 条件允许的情况下,设置主机访问白名单
- 及时备份数据并确保数据安全
- 明确每个服务功能的角色访问权限
- 严格控制数据访问权限
- 对于托管的云服务器(VPS)或者云数据库,务必做好防火墙策略以及身份认证等相关设置
0x04 网络攻击
黑客从加密货币交易平台ETERBASE窃取了540万美元
日期: 2020年09月10日
等级: 高
作者: Pierluigi Paganini
标签: Eterbase, Slovak, Steal, Attack, Bitcoin, Cryptocurrency, Slovak
斯洛伐克加密货币交换机构·ETERBASE披露了一个安全漏洞,黑客窃取了比特币、Ether、ALGO、Ripple、Tezos和TRON价值540万美元的资产。该公司2020年9月10日披露了这次黑客攻击,威胁者从其热钱包中偷走了各种加密货币,并暂停了所有交易。
详情
Hackers stole $5.4 million from cryptocurrency exchange ETERBASE
滥用Windows 10主题能窃取Windows帐户
日期: 2020年09月07日
等级: 高
作者: Lawrence Abrams
标签: Windows, Pass-the-Hash, Remote, Ntlm, Account credential, Themes
特制的Windows10主题和主题包可用于“哈希传递”攻击,以从毫无戒心的用户那里窃取Windows帐户凭据。Windows允许用户创建包含自定义颜色、声音、鼠标指针和操作系统将使用的壁纸的自定义主题。Windows用户可以根据需要在不同主题之间切换,以改变操作系统的外观。主题的设置以扩展名为.theme的文件形式保存在%AppData%\Microsoft\Windows\Themes文件夹下,例如“CustomDark.theme”。这些桌面主题包可以通过电子邮件共享,也可以在网站上下载,双击即可安装。
详情
Windows 10 themes can be abused to steal Windows accounts
智利银行BancoEstado遭REVil勒索软件袭击
日期: 2020年09月07日
等级: 高
作者: Pierluigi Paganini
标签: Ransomware, Chilean bank, BancoEstado, Encrypted, Chilean
智利最大的银行之一智利银行(BancoEstado)受勒索软件攻击,迫使其分支机构自2020年9月7日起关闭。勒索软件对公司的大多数服务器和工作站进行了加密。据ZDNet援引一位接近调查的消息人士的话说,这家智利银行受到了REvil勒索软件运营商的攻击,但在撰写这篇文章时,BancoEstado的数据还没有在该团伙的泄露网站上公布。
详情
Chilean bank BancoEstado hit by REVil ransomware
一勒索软件团伙自称是纽卡斯尔大学袭击案的幕后黑手
日期: 2020年09月07日
等级: 高
作者: Sergiu Gatlan
标签: Doppelpaymer, Attack, Account, Ransomware, Newcastle University
英国研究大学纽卡斯尔大学表示,8月30日早上, DoppelPaymer 勒索软件的运营商侵入了其网络,导致系统离线,因此需要数周时间才能恢复其it服务。目前,英国警方、国家犯罪局和纽卡斯尔大学信息技术服务中心(NUIT)正在对这起袭击进行调查。 DoppelPaymer 是一家勒索软件公司,自2019年6月中旬以来,该公司就以攻击企业目标而闻名,方法是获取管理凭证,并利用这些凭证入侵整个网络,将勒索软件有效负载部署到所有设备上。
详情
Ransomware gang says they are behind Newcastle University attack
Netwalker勒索软件攻击巴基斯坦最大的私人电力公司
日期: 2020年09月08日
等级: 高
作者: Lawrence Abrams
标签: Netwalker, Ransomware, K-Electric, Power Supplier, Payment
K-Electric 是巴基斯坦卡拉奇的唯一电力供应商,遭受了 Netwalker 勒索软件攻击,导致计费和在线服务中断。 K-Electric 是巴基斯坦最大的电力供应商,为250万客户提供服务,雇员超过1万人。从9月7日开始, K-Electric 的客户无法访问其账户的在线服务。
详情
Netwalker ransomware hits Pakistan’s largest private power utility
黑客使用易受攻击的文件管理器攻击WordPress站点
日期: 2020年09月11日
等级: 高
作者: Pierluigi Paganini
标签: Attack, File Manager, WordPress Plugin, Vulnerability, WordPress
9月初,专家报告称,黑客正积极利用文件管理器WordPress插件中的一个关键远程代码执行漏洞进行攻击,未经验证的攻击者可利用该漏洞在运行插件易受攻击版本的WordPress站点上载脚本和执行任意代码。文件管理器插件允许用户直接从WordPress轻松管理文件,它目前安装在超过700000个WordPress站点上,该漏洞会影响流行插件6.0到6.8之间的所有版本。几天内,170多万个网站成为黑客攻击的目标,截至9月10日,攻击次数达到260万次。
目前 WordPress 在全球均有分布,具体分布如下图,数据来自于 360 QUAKE
详情
Threat actors target WordPress sites using vulnerable File Manager install
勒索软件推迟了康涅狄格州哈特福德的开学日
日期: 2020年09月08日
等级: 中
作者: Lawrence Abrams
标签: Hartford School, Ransomware, Attack, Leak, COVID-19, Connecticut
在劳动节假期的勒索软件攻击之后,康涅狄格州的哈特福德学区推迟了开学日,因为他们努力恢复教室和交通系统的运行。本学年,由于COVID-19大流行,美国大多数学区都在艰难地决定如何以及何时重新开学。对于哈特福德学区,在2020年9月5日遭受勒索软件攻击后,他们暂时无法开学。在9月8日上午的新闻发布会上,哈特福德市长卢克·布隆宁表示,学区的网络在9月3日被攻破。
详情
Ransomware delays first day of school for Hartford, Connecticut
黑客使用合法工具接管Docker,Kubernetes平台
日期: 2020年09月08日
等级: 中
作者: Ionut Ilascu
标签: Cloud, Docker, Attack, Kubernetes, TeamTNT, Weave Scope, Take Over
在最近的一次攻击中,网络犯罪集团 TeamTNT 依靠一种合法的工具来避免在受损的云基础设施上部署恶意代码,并且仍然很好地控制着它。他们使用了一个专门创建来监视和控制安装了 Docker 和 Kubernetes 的云环境的开源工具,从而减少了他们在被破坏的服务器上的占用空间。通过分析这次攻击, Intezer 的研究人员发现, TeamTNT 安装了 WeaveScope 开源工具,以获得对受害者云基础设施的完全控制。
详情
Hackers use legit tool to take over Docker, Kubernetes platforms
网络钓鱼活动通过主页覆盖欺骗受害者
日期: 2020年09月09日
等级: 中
来源: DATABREACHTODAY
标签: Email, Cofense, Credential, Phishing, Social Engineering, FBI, Homepage Overlay
据安全公司Cofense称,最近发现的一个旨在获取证书的网络钓鱼活动利用公司的官方网页作为覆盖层,以隐藏旨在获取企业证书的恶意域。这些攻击源于一封网络钓鱼邮件,该邮件声称安全工具隔离了三封邮件,用户需要打开邮件中嵌入的链接才能检索,因为这些邮件在收件箱中被屏蔽。据报道,如果点击,受害者公司的主页就会出现一个假的登录面板。
详情
Phishing Campaign Uses Homepage Overlay to Trick Victims
SoftServe被勒索软件利用Windows自定义工具攻击
日期: 2020年09月10日
等级: 中
作者: Lawrence Abrams
标签: SoftServe, Attack, Ukrainian, Malware, Ransomware
2020年9月1日,乌克兰软件开发商和IT服务提供商 SoftServe 遭遇勒索软件攻击,可能导致客户源代码被盗。 SoftServe 是乌克兰最大的软件开发和IT咨询公司之一,在全球拥有超过8000名员工和50个办事处。2020年9月10日凌晨1点,SoftServe受到了网络攻击。攻击者可以访问公司的基础架构,并设法与其他一些恶意软件一起启动了加密勒索软件。
详情
SoftServe hit by ransomware, Windows customization tool exploited
新的浣熊攻击解密TLS连接
日期: 2020年09月11日
等级: 中
作者: Pierluigi Paganini
标签: Boffins, TLS, Raccoon, DH Secrets, Attack, Timing Attack, Decrypt
来自德国和以色列大学的安全研究人员披露了一种新的定时攻击的细节,这种攻击被称为Raccoon,它可以让恶意行为体解密受TLS保护的通信。定时漏洞存在于传输层安全(TLS)协议中,黑客可以利用它来访问传输中的敏感数据。Raccoon攻击是一种服务器端攻击,它利用加密协议(1.2版及更低版本)中的一个侧信道,该协议允许攻击者提取用于保护通信的共享密钥。
详情
Decrypting TLS connections with new Raccoon Attack
当你看色情网站的时候,Mala smoke gang会感染你的电脑
日期: 2020年09月12日
等级: 中
作者: Pierluigi Paganini
标签: Malàsmoke, Porn Site, JavaScript, Malicious Ads
在过去的几个月中,一个名为 Malàsmoke 的网络犯罪组织一直瞄准色情网站,它在成人主题网站上放置恶意广告,以重定向用户以利用工具包并分发恶意软件。据Malwarebytes的研究人员称,该团伙几乎滥用了所有的成人广告网络,但在最近的一次活动中,他们首次攻击了一家顶级出版商。这次,网络犯罪集团设法在 xHamster 上放置了恶意广告, xHamster 是最受欢迎的成人视频门户之一,每月有数十亿的访问者。这些恶意广告使用JavaScript代码将用户从色情站点重定向到一个恶意站点,该站点承载着一个攻击工具包,用于攻击CVE-2019-0752(InternetExplorer)和CVE-2018-15982(FlashPlayer)漏洞。
详情
Malàsmoke gang could infect your PC while you watch porn sites
相关安全建议
- 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
- 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
- 减少外网资源和不相关的业务,降低被攻击的风险
- 安装网页防篡改软件
- 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
0x05 其它事件
微软发布的补丁中充斥着严重的RCE漏洞
日期: 2020年09月08日
等级: 高
作者: Tara Seals
标签: Microsoft, Patch, Remote, Windows, Microsoft Exchange
微软已经在其9月补丁日更新中发布了129个安全漏洞的补丁。其中包括23个严重漏洞,105个高危漏洞和一个中危漏洞。微软表示,幸运的是,没有一个是众所周知的,并且这些漏洞也没有被广泛利用。据研究人员说,这当中最严重的漏洞是CVE-2020-16875。这是MicrosoftExchange中的一个内存损坏问题,它仅通过向目标发送电子邮件,就允许远程代码执行(RCE)。运行任意代码可以为攻击者授予他们创建新帐户、访问、修改或删除数据以及安装程序所需的访问权限。
详情
Microsoft’s Patch Tuesday Packed with Critical RCE Bugs
关键的Adobe缺陷允许攻击者在浏览器中运行JavaScript
日期: 2020年09月08日
等级: 高
作者: Lindsey O'Donnell
标签: Adobe, Critical flaw, JavaScript, Browsers, Patch, Vulnerabilities
Adobe发布了针对其广受欢迎的 ExperienceManager 内容管理解决方案(用于构建网站、移动应用程序和表单)中的五个高危漏洞的修复程序。跨站点脚本( XSS )缺陷允许攻击者在目标浏览器中执行 JavaScript 。包括AdobeExperienceManager在内,Adobe在其9月定期计划的更新中修复了18个漏洞。它还解决了AdobeFramemaker的缺陷,AdobeFramemaker是其用于编写和编辑大型或复杂文档的文档处理器。
详情
Critical Adobe Flaws Allow Attackers to Run JavaScript in Browsers
第三方代码中的关键缺陷可以导致接管工控系统
日期: 2020年09月09日
等级: 高
来源: THREATPOST
标签: Codemeter, Vulnerability, Bug, Wibu, Industrial Systems, Remote Code Execution
Wibu系统拥有的CodeMeter存在缺陷,WibuSystems是一个软件管理组件,许多顶级工业控制系统(ICS)软件供应商都授权使用该组件,包括罗克韦尔自动化(RockwellAutomation)和西门子(Siemens)。8月11日,Wibu系统的第三方软件组件中发现了六个关键漏洞。未经验证的远程攻击者可以利用这些漏洞发动各种恶意攻击,包括部署勒索软件、关闭甚至接管关键系统。
详情
Critical Flaws in 3rd-Party Code Allow Takeover of Industrial Control Systems
一名俄罗斯国民因试图招募特斯拉员工安装恶意软件而被起诉
日期: 2020年09月07日
等级: 中
作者: Pierluigi Paganini
标签: Russian, Tesla, Company, Malware, Recruit, Indicted
27岁的俄罗斯公民伊戈雷维奇·克里乌奇科夫在美国被起诉,罪名是密谋招募一名特斯拉员工在公司网络上安装恶意软件。 Kriuchkov 与其他犯罪分子密谋招募内华达州一家公司的雇员。8月底,埃隆•马斯克( ElonMusk )证实,俄罗斯黑客曾试图招募一名员工,在电动汽车制造商特斯拉( Tesla )的网络中安装恶意软件。 Teslarati 证实,犯罪分子联系的员工是一名会说俄语的非美国公民,在特斯拉拥有的锂离子电池和电动汽车组装工厂 GigaNevada 工作。
详情
Russian national indicted for attempting to recruit Tesla employee to install malware
Windows 10沙箱激活零日漏洞
日期: 2020年09月07日
等级: 中
作者: Ionut Ilascu
标签: Windows 10, Lykkegaard, Vulnerability, Hyper-V, System32
一名逆向工程师在大多数Windows10版本中发现了一个新的零日漏洞,该漏洞允许在操作系统的受限区域创建文件。利用此漏洞很简单,攻击者可以在最初感染目标主机后使用它来进一步进行攻击,尽管它仅在启用了Hyper-V功能的计算机上起作用。Windows逆向工程师JonasLykkegaard9月发布了一条推文,展示了没有特权的用户如何在system32中创建任意文件。system32是一个受限制的文件夹,其中包含Windows操作系统和已安装软件的重要文件。
详情
Windows 10 Sandbox activation enables zero-day vulnerability
在众多谷歌Play Store应用程序中发现的密码漏洞
日期: 2020年09月08日
等级: 中
作者: Elizabeth Montalbano
标签: Play Store, Vulnerabilities, Passwords, Google, CRYLOGGER, Columbia University
研究人员在GooglePlay商店中发现了300多种应用程序,使用他们开发的用于动态分析密码的新工具破解了基本密码代码。哥伦比亚大学(ColumbiaUniversity)的学者们开发了一款定制工具CRYLOGGER,根据26条基本密码规则,可以分析Android应用程序是否使用了不安全的密码。这些规则包括避免使用:破散列函数、坏密码、多次重用密码、HTTPURL连接或用于加密的派生密钥。
详情
Cryptobugs Found in Numerous Google Play Store Apps
研究人员揭露谷歌地图XSS漏洞
日期: 2020年09月08日
等级: 中
作者: Charlie Osborne
标签: Google, Cdata, Security issue, Bug Bounty, Google Maps, Xml
谷歌已经解决了谷歌地图(googlemaps)中的XSS漏洞,该漏洞是通过这家科技巨头的bug悬赏计划报告的。googlemaps在处理导出特性时存在跨站点脚本问题,根据Shachar的说法,这个文件格式的映射名包含在一个开放的CDATA标记中,因此代码“不由浏览器呈现”。但是,通过添加特殊字符(如“]]>”),可以从标记中转义并添加任意的XML内容,从而导致XSS。
详情
Researcher reveals Google Maps XSS bug, patch bypass
蓝牙窃听器使设备受到中间人攻击
日期: 2020年09月10日
等级: 中
作者: Lindsey O'Donnell
标签: Bluetooth, Vulnerability, Wireless, Unauthenticated, BLURtooth
一个严重的蓝牙漏洞已经被发现,它可以使无线范围内未经身份验证的攻击者窃听或改变成对设备之间的通信。该漏洞( CVE-2020-15802 )由洛桑联邦理工学院( EPFL )和普渡大学的研究人员独立发现,被称为“BLURtooth”。蓝牙4.0到5.0实施的配对过程中存在此问题。这种配对过程称为跨传输密钥派生( CTKD )。
详情
Bluetooth Bug Opens Devices to Man-in-the-Middle Attacks
WordPress插件漏洞允许攻击者发送伪造的电子邮件
日期: 2020年09月11日
等级: 中
作者: Lindsey O'Donnell
标签: WordPress, Vulnerability, Email, Icegram, Remote, Control
超过100000个WordPress网站受到一个时事通讯的插件的严重漏洞的影响。该漏洞存在于Icegram的电子邮件订阅者和时事通讯插件中,该插件允许用户收集线索,自动发送新的博客帖子通知电子邮件。一个远程的、未经身份验证的攻击者可以利用这个漏洞向所有联系人或订阅者发送伪造的电子邮件,攻击者可以完全控制电子邮件的内容和主题。
目前 Icegram 在全球均有分布,具体分布如下图,数据来自于 360 QUAKE
详情
WordPress Plugin Flaw Allows Attackers to Send Forged Emails
比特币核心区的拒绝服务问题(INVDoS)两年来一直未被披露
日期: 2020年09月12日
等级: 中
作者: Pierluigi Paganini
标签: Bitcoin, INVDoS, Braydon Fuller, Litecoin, Namecoin, Decred, DoS, Vulnerability
两年前,比特币协议工程师布雷登·富勒(BraydonFuller)发现了一个主要的不受控内存资源消耗拒绝服务漏洞( INVDoS ),漏洞编号为CVE-2018-17145,该漏洞影响了比特币和其他区块链的三个实现点对点网络代码,包括Litecoin、Namecoin和Decred,这名研究人员对漏洞的细节保密,以避免威胁行为者利用该问题,但2020年9月,在一名独立研究人员发现另一种加密货币利用了更老版本的比特币核心后,这一问题被披露。
详情
INVDoS, a severe DoS issue in Bitcoin core remained undisclosed for two years
TikTok已修复Android版应用中的安全漏洞
日期: 2020年09月13日
等级: 中
来源: CNBeta
标签: TikTok, Android, Token, Steal Token, Unauthorized Access
TikTok已经修复了其Android应用中的四个安全漏洞,这些漏洞可能会导致用户账号被劫持。恶意应用将利用这个漏洞向TikTok应用注入一个恶意文件。一旦用户打开应用,恶意文件就会被触发,从而让恶意应用访问并在后台无声地向攻击者的服务器发送偷来的会话令牌。这款恶意应用还可以劫持TikTok的应用权限、允许它访问Android设备的摄像头、麦克风和设备上的私人数据如照片和视频。TikTok表示,在Oversecure报告了这些漏洞后,他们已经修复了它们。
详情
TikTok已修复Android版应用中可能会导致账号被劫持的安全漏洞
物联网交通灯系统的漏洞
日期: 2020年09月08日
等级: 低
作者: Jeremy Kirk
标签: Traffic Light, IoT, Vulnerabilities, DefCon, Zolder
试想这样一个场景:你骑自行车到红绿灯前,它就能变成绿色。在荷兰一些安装了物联网交通灯的城市中,这已经成为可能。但是安全研究人员却已经发现了问题。交通灯与骑手手机上的应用程序交互。在DefCon安全会议上的最近一次演讲中,安全公司Zolder的研究人员展示了他们如何能够在不靠近电灯的情况下,远程触发电灯。Zolder的联合创始人RikvanDuijn说,他的团队(包括WesleyNeelen)正在开发与交通灯兼容的反向工程应用程序。经过反复试验,他们最终找到了复制发送正确命令的方法。
详情
Full Stop: Vulnerabilities in IoT Traffic Light Systems
相关安全建议
- 受到网络攻击之后,积极进行攻击痕迹、遗留文件信息等证据收集
- 及时对系统及各个服务组件进行版本升级和补丁更新
- 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
0x06 产品侧解决方案
360城市级网络安全监测服务
360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对事件相关组件进行监测,请用户联系相关产品区域负责人或(quake#360.cn)获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
0x07 时间线
2020-09-14 360CERT发布安全事件周报