安全事件周报(05.17-05.23)

 

0x01   事件导览

本周收录安全热点14项,话题集中在恶意软件数据泄露方面,涉及的组织有:CNA FinancialCodecovGuard.me爱尔兰卫生部等。勒索赎金再创新高,恶意软件肆虐医疗和金融保险行业。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

恶意程序
美国保险业巨头CNA Financial支付4000万美元赎金
Bizarro银行木马在欧洲激增
2021年290多家企业遭6个勒索团伙袭击
Qlocker勒索软件勒索数百名QNAP用户后关闭
澳大利亚,新西兰遭受恶意软件攻击
Conti勒索软件提供免费解密程序
WastedLocker新变体利用Internet Explorer漏洞
研究人员发现DarkSide勒索软件变种
阿拉斯加卫生部服务受到恶意软件攻击的影响
数据安全
Codecov黑客获得了Monday.com源代码的访问权限
电子商务巨头Mercari遭受重大数据泄露
学生健康保险公司Guard.me遭受数据泄露
网络攻击
联邦调查局:Conti勒索软件攻击了16个美国医疗保健和急救机构
其它事件
针对Windows HTTP漏洞的利用程序已发布

 

0x02   恶意程序

美国保险业巨头CNA Financial支付4000万美元赎金

日期: 2021年05月21日
等级: 高
作者: Charlie Osborne
标签: CNA Financial, Phoenix CryptoLocker, Evil Corp
行业: 金融业
涉及组织: CNA Financial

美国最大的保险公司之一CNAFinancial同意支付4000万美元,以便在勒索软件攻击后恢复对其系统的访问。在网络攻击期间,该公司员工无法访问公司系统,该公司业务停滞,机密数据被盗。CNA发言人在一份声明中表示,不会对赎金置评,也不会公开哪些信息被盗。

详情

US insurance giant CNA Financial paid $40 million ransom to regain control of systems: report

Bizarro银行木马在欧洲激增

日期: 2021年05月19日
等级: 高
作者: Charlie Osborne
标签: Bizarro, Trojan
行业: 金融业

研究人员称:Bizarrobanking特洛伊木马正从巴西基地转移到欧洲,并已经锁定了至少70家银行的客户。木马通过社工手段入侵受害者,一旦启动,程序将从已沦陷网站或服务器下载.ZIP副本。副本文件包含一个用Delphi编写的恶意.DLL、一个自动运行的可执行文件和一个从.DLL调用导出函数的脚本。此函数经过模糊处理,会触发银行特洛伊木马程序所需的恶意代码。在启动时,Bizarro将关闭现有的浏览器进程,包括任何与网上银行服务的活动会话。一旦受害者重新启动会话,恶意软件就会悄悄地捕获银行凭据,并将其发送到攻击者的命令和控制(C2)服务器。

详情

Bizarro banking Trojan surges across Europe

2021年290多家企业遭6个勒索团伙袭击

日期: 2021年05月19日
等级: 高
作者: Jonathan Greig
标签: Ransomware
行业: 跨行业事件

根据研究报告表明,每周都有一个新的组织面临勒索软件攻击,仅在2021年,6个勒索软件集团就在1月1日至4月31日期间危害了292个组织。该报告估计,这些组织设法从这些袭击中至少获利4500万美元,并详述了未公开的多起事件。报告详情如下方链接。

详情

More than 290 enterprises hit by 6 ransomware groups in 2021

Qlocker勒索软件勒索数百名QNAP用户后关闭

日期: 2021年05月19日
等级: 高
作者: Lawrence Abrams
标签: Qlocker, QNAP NAS
行业: 制造业
涉及组织: QNAP

研究人员发现,在勒索数百名QNAP用户后,Qlocker关闭了运营。2021年4月19日开始,全世界的QNAPNAS设备所有者突然发现,他们设备的文件被加密。除了加密的文件,QNAP所有者还发现了一个!!!READ_ME.txt勒索说明,文件内容称需要访问Tor网站支付勒索才能取回他们的文件。Tor网站将攻击者识别为Qlocker,并要求0.01比特币(约合550美元)来接收其文件的密码。通过这种方式,Qlocker勒索软件团伙在一个月内赚了35万美元后。

详情

Qlocker ransomware shuts down after extorting hundreds of QNAP users

澳大利亚,新西兰遭受恶意软件攻击

日期: 2021年05月20日
等级: 高
作者: Asha Barbaschow
标签: Hospital, Phishing
行业: 跨行业事件

澳大利亚和新西兰受到了恶意软件的广泛攻击,其中包括澳大利亚数字房地产企业、新西兰Waikato卫生局、Waikato医院、Thames医院、TeKūiti医院、Tokoroa医院、Taumarunui医院。恶意软件通过钓鱼邮件入侵相关系统,并实施勒索攻击。其中部分医院的手术、门诊活动均被被推迟。

详情

Domain Group says phishing attack targeted site users

Conti勒索软件提供免费解密程序

日期: 2021年05月20日
等级: 高
作者: Lawrence Abrams
标签: Conti, Ireland, HSE
行业: 卫生和社会工作

爱尔兰卫生部门遭到了Conti勒索软件团伙的袭击,并被迫关闭了IT系统。2021年5月下旬,Conti勒索软件团伙已经为爱尔兰的健康服务机构HSE发布了一个免费的解密程序,但警告说如果不支付2000万美元的赎金,他们仍将出售或公布被盗的私人数据。

详情

Conti ransomware gives HSE Ireland free decryptor, still selling data

WastedLocker新变体利用Internet Explorer漏洞

日期: 2021年05月20日
等级: 高
作者: Akshaya Asokan
标签: WastedLocker, WastedLoader, Internet Explorer
行业: 跨行业事件

一个WastedLocker恶意软件新变种,正在利用互联网浏览器中的两个漏洞,将恶意广告插入合法网站,该变种被称为:WastedLoader。研究人员称:“攻击始于合法网站发布的恶意广告,恶意广告将重定向到标题为“RIGEK”的登录页。然后该页将利用这两个漏洞执行攻击,如果攻击成功,它将下发恶意软件。”

涉及漏洞

– CVE-2019-0752

– CVE-2018-8174

详情

New WastedLocker Variant Exploits Internet Explorer Flaws

研究人员发现DarkSide勒索软件变种

日期: 2021年05月20日
等级: 高
作者: Akshaya Asokan
标签: DarkSide, Ransomware
行业: 跨行业事件

FortiGuard实验室的安全研究人员发现了一种具有破坏性的DarkSide勒索软件变体。攻击者能够搜索磁盘分区信息并加密多个磁盘中的文件。FortiGuard研究人员指出:“这种DarkSide变体会在多引导系统上寻找分区,以找到要加密的额外文件,从而造成更大的破坏。”

详情

Researchers Uncover Another DarkSide Ransomware Variant

阿拉斯加卫生部服务受到恶意软件攻击的影响

日期: 2021年05月20日
等级: 高
作者: Marianne Kolbasuk McGee
标签: Alaska, Health Department
行业: 卫生和社会工作
涉及组织: Alaska Health Department

阿拉斯加卫生和社会服务部遭遇恶意软件的网络攻击,该部门表示:“我们正在与有关当局合作调查这起事件,并采取相关行动,防止服务器、系统和数据库受到进一步破坏和损害。”阿拉斯加州部门官员说,该部门的网站在遭受攻击之后,于晚上关闭,在该此次事件公布细节之前,公众将无法访问。

详情

Alaska Health Department Services Affected by Malware Attack

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 各主机安装EDR产品,及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

 

0x03   数据安全

Codecov黑客获得了Monday.com源代码的访问权限

日期: 2021年05月18日
等级: 高
作者: Ax Sharma
标签: Monday.com, Codecov
行业: 信息传输、软件和信息技术服务业
涉及组织: Monday.com, Codecov

Monday.com称受到Codecov供应链攻击的影响。Monday.com是一个在线工作流管理平台,供项目经理、销售和CRM专业人员、营销团队以及其他各种组织部门使用。该平台的客户包括优步、BBC工作室、Adobe、环球、Hulu、欧莱雅、可口可乐和联合利华等知名品牌。在对Codecov漏洞进行调查后,Monday.com发现未经授权的攻击者者获得了他们源代码的只读副本。

详情

Codecov hackers gained access to Monday.com source code

电子商务巨头Mercari遭受重大数据泄露

日期: 2021年05月21日
等级: 高
作者: Ax Sharma
标签: Mercari, Codecov
行业: 信息传输、软件和信息技术服务业
涉及组织: Mercari

电子商务平台Mercari披露了一起因Codecov供应链攻击曝光而发生的重大数据泄露事件。Mercari是一家日本上市公司,也是一家在线市场,最近已将其业务扩展到美国和英国。截至2017年,Mercari应用程序在全球的下载量已超过1亿次,该公司是日本第一家达到独角兽地位的公司。

详情

E-commerce giant suffers major data breach in Codecov incident

学生健康保险公司Guard.me遭受数据泄露

日期: 2021年05月17日
等级: 高
作者: Lawrence Abrams
标签: guard.me
行业: 金融业
涉及组织: guard.me

学生健康保险运营商Guard.me遭遇网络攻击,攻击者可以任意访问保单持有人的个人信息,目前Guard.me已将其网站下线。guard.me是全球最大的保险公司之一,专门为在另一个国家旅行或出国留学的学生提供健康保险。Guard.me称:此漏洞允许攻击者访问学生的出生日期、性别、电子邮件地址、邮寄地址、电话号码和加密密码。

详情

Student health insurance carrier Guard.me suffers a data breach

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施

 

0x04   网络攻击

联邦调查局:Conti勒索软件攻击了16个美国医疗保健和急救机构

日期: 2021年05月21日
等级: 高
作者: Sergiu Gatlan
标签: FBI, Conti
行业: 卫生和社会工作

联邦调查局(FBI)说,Conti勒索软件团伙试图破坏十多个美国医疗和急救组织的网络。这一信息是通过TLP:WHITEflash警报共享的,该警报旨在帮助系统管理员和安全专业人员保护组织的网络免受Conti攻击。联邦调查局网络部门说:“联邦调查局在过去一年内确认了至少16起针对美国医疗保健和急救网络的连续勒索软件攻击,还包括执法机构、紧急医疗服务、911调度中心和市政当局。”

详情

FBI: Conti ransomware attacked 16 US healthcare, first responder orgs

相关安全建议

1. 积极开展外网渗透测试工作,提前发现系统问题

2. 减少外网资源和不相关的业务,降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

6. 注重内部员工安全培训

 

0x05   其它事件

针对Windows HTTP漏洞的利用程序已发布

日期: 2021年05月17日
等级: 高
作者: Sergiu Gatlan
标签: Windows, Http, CVE
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

漏洞攻击代码已经发布,可用于最新的Windows10和WindowsServer版本。这个漏洞被追踪为CVE-2021-31166。该漏洞可允许未经验证的攻击者在大多数情况下远程执行任意代码。

涉及漏洞

– CVE-2021-31166

详情

Exploit released for wormable Windows HTTP vulnerability

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

 

0x06   产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

 

0x07   时间线

2021-05-24 360CERT发布安全事件周报

 

0x08   特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

安全事件周报 (05.17-05.23)

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

(完)