0x01事件导览
本周收录安全热点11项,话题集中在勒索软件、网络攻击方面,涉及的组织有:宏碁、Microsoft、Apple等。近期黑客利用Exchange和F5漏洞进行大批量扫描,各单位要及时进行漏洞修补。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
| 恶意程序 |
|---|
| 电脑巨头宏碁遭5000万美元勒索软件攻击 |
| 微软Exchange服务器零日攻击:在英国2300台机器上发现恶意软件 |
| 针对Exchange漏洞的DearCry勒索软件 |
| 新的Mirai变种和ZHtrap僵尸网络恶意软件出现在野外 |
| 苹果开发者成为新恶意软件EggShell的目标 |
| 联邦调查局:网络钓鱼邮件正在传播Trickbot恶意软件 |
| Android特洛伊木马冒充Clubhouse应用 |
| 数据安全 |
| 以色列汽车融资公司遭受数据泄露 |
| 网络攻击 |
| 2020年美国公立学校遭受超过400起网络攻击 |
| SolarWinds攻击者窃取了Mimecast源代码 |
| Office 365网络钓鱼攻击的目标是财务主管 |
0x02恶意程序
电脑巨头宏碁遭5000万美元勒索软件攻击
日期: 2021年03月19日 等级: 高 作者: Lawrence Abrams 标签: Acer, REvil, Ransomware 行业: 制造业 涉及组织: acer
电子业巨头宏碁(Acer)遭到了一次REvil勒索软件攻击,攻击者要求获得迄今为止已知的最大赎金5000万美元。这个勒索软件团伙在他们的数据泄露网站上宣布,他们进入了宏碁的系统,并分享了一些据称被盗文件的图片作为证据。这些泄露的图像是用于包括财务电子表格、银行余额和银行通信的文档。
详情
Computer giant Acer hit by $50 million ransomware attack
微软Exchange服务器零日攻击:在英国2300台机器上发现恶意软件
日期: 2021年03月15日 等级: 高 作者: Danny Palmer 标签: Exchange, NCSC 行业: 跨行业事件 涉及组织: microsoft, NCSC
英国国家网络安全中心(NCSC)的警告说,所有使用受影响版本的MicrosoftExchangeServer的组织应紧急应用最新更新,以保护其网络免受包括勒索软件在内的网络攻击。NCSC官员说,他们已经帮助检测并删除了英国2300多家企业机器上与攻击有关的恶意软件。同时,它相信英国仍然有3000多家机构使用的MicrosoftExchange电子邮件服务器尚未安装最新的安全补丁,因此仍然面临着网络攻击者利用这些漏洞的风险。
涉及漏洞
详情
Microsoft Exchange Server zero-day attacks: Malicious software found on 2,300 machines in the UK
针对Exchange漏洞的DearCry勒索软件
日期: 2021年03月16日 等级: 高 作者: Mathew J. Schwartz 标签: Exchange, Sophos, DearCry, Ransomware 行业: 信息传输、软件和信息技术服务业 涉及组织: microsoft
针对尚未部署的本地Exchange服务器的最新勒索软件似乎已被推向市场,攻击者试图在竞争加剧之前利用新的机会。
3月9日DearCry首次在野外被发现,其目标是MicrosoftExchange电子邮件服务器中的一个严重的proxylogon漏洞,这是Microsoft通过3月2日发布的软件更新修补的四个0day之一,当时它警告说该漏洞已经在野外被利用。
涉及漏洞
详情
Rushed to Market: DearCry Ransomware Targeting Exchange Bug
新的Mirai变种和ZHtrap僵尸网络恶意软件出现在野外
日期: 2021年03月16日 等级: 高 作者: The Hacker News 标签: Mirai, ZHtrap, Botnet, Shell, Malware 行业: 跨行业事件 涉及组织: twitter, linkedin
网络安全研究人员3月14日披露了新一轮持续的攻击,这些攻击利用多个漏洞在受感染的系统上部署Mirai变体。
在成功利用后,攻击者试图下载恶意的shell脚本,其中包含进一步的感染行为,例如下载和执行Mirai变体和暴力破解程序。
涉及漏洞
详情
New Mirai Variant and ZHtrap Botnet Malware Emerge in the Wild
苹果开发者成为新恶意软件EggShell的目标
日期: 2021年03月18日 等级: 高 作者: Charlie Osborne 标签: Xcode, EggShell, Backdoor, XcodeSpy 行业: 信息传输、软件和信息技术服务业 涉及组织: apple
恶意的Xcode项目正被用来劫持开发人员系统和散布EggShell后门。这个名为XcodeSpy的恶意软件的目标是Xcode,一个用于macOS开发苹果软件和应用程序的集成开发环境(IDE)。根据SentinelLabs发表的研究,IDE中的Run脚本功能正被利用,通过在网上免费共享的木马化Xcode项目,对iOS开发者进行有针对性的攻击。
详情
Apple developers targeted by new malware, EggShell backdoor
联邦调查局:网络钓鱼邮件正在传播Trickbot恶意软件
日期: 2021年03月18日 等级: 高 作者: Danny Palmer 标签: Trickbot, JavaScript, Phishing 行业: 跨行业事件 涉及组织: cisa, fbi
美国联邦调查局(FBI)和网络安全与基础设施安全局(CIA)联合发布的一份咨询报告警告称,一项新的鱼叉式网络钓鱼活动正试图用Trickbot病毒感染个人电脑,该网站的作者们正在使用一种新的策略,将含有违反交通规则证据的网络钓鱼邮件发送给目标,恶意电子邮件包含一个链接,该链接将用户定向到恶意网站,该网站告诉受害者单击照片查看证据。他们点击照片,实际上下载了一个JavaScript文件,打开后连接到一个C2服务器,该服务器将Trickbot下载到他们的系统中。
详情
FBI: Phishing emails are spreading this sophisticated malware
Android特洛伊木马冒充Clubhouse应用
日期: 2021年03月18日 等级: 高 作者: AmerOwaida 标签: Clubhouse, ESET, BlackRock 行业: 信息传输、软件和信息技术服务业 涉及组织: google, clubhouse
ESET恶意软件研究人员卢卡斯·斯特凡科(LukasStefanko)发现,网络犯罪分子正试图利用Clubhouse的流行,发布恶意软件,目的是窃取用户的登录信息,用于各种在线服务。该恶意软件包伪装成Android版的仅限邀请函的音频聊天应用程序,由一家具有正版会所网站外观和感觉的网站提供。该恶意程序可以盗取受害者至少458个在线服务的登录数据。目标名单包括知名金融和购物应用程序、加密货币交易所,以及社交媒体和消息平台。
详情
Beware Android trojan posing as Clubhouse app
相关安全建议
1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
2. 及时对系统及各个服务组件进行版本升级和补丁更新
3. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
4. 各主机安装EDR产品,及时检测威胁
5. 严格做好主机的权限控制
6. 注重内部员工安全培训
0x03数据安全
以色列汽车融资公司遭受数据泄露
日期: 2021年03月16日 等级: 高 作者: Prajeet Nair 标签: Israeli, K.L.S.Capital Ltd., Black Shadow 行业: 金融业
黑影黑客组织声称,他们入侵了以色列汽车金融公司K.L.S.CapitalLtd.并窃取了客户数据。2020年12月,该组织泄露了数千份包含以色列Shirbit保险公司客户个人信息的文件。这个黑客组织声称,因为没有支付赎金,他们毁掉了这家汽车金融公司的服务器。
详情
Israeli Car Financing Company Suffers Data Breach
相关安全建议
1. 条件允许的情况下,设置主机访问白名单
2. 及时对系统及各个服务组件进行版本升级和补丁更新
3. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
0x04网络攻击
2020年美国公立学校遭受超过400起网络攻击
日期: 2021年03月15日 等级: 高 作者: Doug Olenick 标签: Public Schools, COVID-19, Virtual Learning 行业: 教育 涉及组织: microsoft
2020年,由于疫情,美国公立学校普遍采取在线上课的方式,这导致去年创纪录的网络攻击事件,光报道的就超过400起。这些袭击袭击了40个州的377个不同的公共机构,其中城市、郊区和富裕地区最常成为袭击目标。同时,许多学区也受到了最近微软Exchange问题和物联网摄像机问题的影响。
详情
Over 400 Cyberattacks at US Public Schools in 2020
SolarWinds攻击者窃取了Mimecast源代码
日期: 2021年03月17日 等级: 高 作者: Lindsey O'Donnell 标签: Mimecast, SolarWinds, Source Code 行业: 信息传输、软件和信息技术服务业 涉及组织: microsoft, solarwinds, fireeye
据SolarWinds公司的最新消息,黑客入侵了Mimecast网络,并窃取了该安全公司的一些源代码。
该安全公司最初报告说,一月份的证书泄露是SolarWinds供应链攻击的一部分,该攻击还袭击了Microsoft,FireEye和一些美国政府机构。
最初发现攻击者窃取了Mimecast客户的一部分电子邮件地址和其他联系信息,以及某些散列和加盐的凭据。
但是,在对SolarWinds黑客的最新调查中,Mimecast说,它已经发现证据表明黑客也可以访问“数量有限”的源代码存储库。
详情
Mimecast: SolarWinds Attackers Stole Source Code
Office 365网络钓鱼攻击的目标是财务主管
日期: 2021年03月19日 等级: 高 作者: Becky Bracken 标签: Office 365, Financial, Phishing 行业: 金融业 涉及组织: microsoft
根据area1security的报告,一种新的网络钓鱼骗局正在兴起,目标是保险和金融服务行业的高管获取他们的microsoft365证书,并发起商业电子邮件泄露(BEC)攻击。这些新的、复杂的攻击针对C-suite高管、他们的助理和财务部门,可以绕过电子邮件安全和office365防御。研究人员补充说,他们截获的大多数攻击都试图破坏金融部门,袭击始于2020年12月,一直持续到2021年2月。研究人员的报告中说:“通过针对这些公司的财务部门,攻击者可能通过发票和账单获取第三方的敏感数据,这通常被称为BEC(商业电子邮件泄露)攻击。”
详情
Office 365 Phishing Attack Targets Financial Execs
相关安全建议
1. 及时对系统及各个服务组件进行版本升级和补丁更新
2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
3. 积极开展外网渗透测试工作,提前发现系统问题
4. 注重内部员工安全培训
0x05产品侧解决方案
360城市级网络安全监测服务
360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
0x06时间线
2021-03-22 360CERT发布安全事件周报
0x07特制报告下载链接
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。
若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。