安全事件周报(12.28-01.03)

 

0x01事件导览

本周收录安全事件26项,话题集中在网络攻击数据泄露方面,涉及的组织有:SolarWindsChromeGitHub日本川崎重工等。数据窃取贩卖频发,数据防护不可忽视。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

恶意程序 等级
基于GitHub的恶意软件从Imgur pic下载恶意脚本 ★★★★
Nefilim勒索软件运营商泄露从Whirlpool窃取的数据 ★★★★
新的基于AutoHotkey的恶意软件针对美国、加拿大银行 ★★★★
Wasabi云存储服务因托管恶意软件而被下线 ★★★
新的蠕虫病毒把Windows、Linux服务器变成了Monero矿工 ★★★
数据安全
电子商务应用程序21 Buttons公开数百万用户的数据 ★★★★★
日本川崎重工披露可能造成数据泄露的安全漏洞 ★★★★
慈善机构Get Schooled遭受数据泄露 ★★★★
数据代理公司出售26家公司的用户记录 ★★★
T-Mobile数据泄露暴露电话号码、通话记录 ★★
网络攻击
越南成为供应链攻击的目标 ★★★★★
SolarWinds黑客访问了微软的源代码 ★★★★★
ShopifyBigCommerce等商店发现跨平台的信用卡窃取器 ★★★★
黑客加强了COVID-19知识产权盗窃攻击力度 ★★★★
SolarWinds黑客的目标是访问受害者的云资产 ★★★★
FBI:攻击者劫持智能设备 ★★★★
Voyager加密货币交易平台因网络攻击而暂停交易 ★★★★
芬兰称黑客访问了国会议员的电子邮件帐户 ★★★
Ticketmaster因侵入竞争对手的系统而被罚款1000万美元 ★★★
金融服务业每天遭受数千万次攻击 ★★★
其它事件
超一百万个Zyxel防火墙、VPN网关中存在后门帐户 ★★★★★
英国警方在网络打击行动中逮捕了21名WeLeakInfo用户 ★★★★
CISA发布工具,用以检测Azure/Microsoft 365环境中的恶意活动 ★★★
Google Docs的漏洞允许黑客访问私人文档 ★★★
CISA发布有关SolarWinds补丁的新指南 ★★★
Chrome修复了Windows10上的防病毒“文件锁定”错误 ★★

 

0x02恶意程序

基于GitHub的恶意软件从Imgur pic下载恶意脚本

日期: 2020年12月28日
等级: 高
作者: Ax Sharma
标签: PowerShell, GitHub, Macros, Cobalt Strike, Imgur pic, MuddyWater

一个新的恶意软件使用带有宏的Word文件从GitHub下载PowerShell脚本。 此PowerShell脚本进一步从图像托管服务Imgur下载合法的图像文件,以在Windows系统上执行CobaltStrike脚本。 研究人员根据已知的信息,将该恶意软件与MuddyWater(又名SeedWorm)相关联,后者是政府支持的高级持续威胁(APT)小组。

详情

GitHub-based malware calculates Cobalt Strike payload from Imgur pic

Nefilim勒索软件运营商泄露从Whirlpool窃取的数据

日期: 2020年12月28日
等级: 高
作者: Pierluigi Paganini
标签: American, Nefilim, Whirlpool, Ransomware

美国跨国家电生产商和批发商Whirlpool遭受了勒索软件攻击,Nefilim勒索软件运营商声称从公司那里窃取了数据,并威胁说如果公司不支付赎金,便会泄漏所有的数据。 与Whirlpool高管的谈判失败后,Nefilim泄漏了数据,第一批数据包括员工福利、住宿要求、医疗信息要求和其他信息相关的文件。 该公司在全球59个制造和技术研究中心拥有77,000多名员工。

详情

Nefilim ransomware operators leak data stolen from Whirlpool

新的基于AutoHotkey的恶意软件针对美国、加拿大银行

日期: 2020年12月30日
等级: 高
作者: Akshaya Asokan
标签: AutoHotkey, Credentials, Browser

研究人员发现了一种新的infostealer恶意软件,它是用自动热键编程语言编写的,能够从不同的web浏览器中窃取银行凭证。这项攻击活动在美国和加拿大各地都很活跃,目标客户包括ScotiaBank、PayPal、加拿大皇家银行、CapitalOne和汇丰银行等。

详情

New AutoHotkey-Based Malware Targets US, Canadian Banks

Wasabi云存储服务因托管恶意软件而被下线

日期: 2020年12月29日
等级: 中
作者: Lawrence Abrams
标签: Wasabi, Cloud storage, Amazon S3, Malware

云存储提供商Wasabi遭遇了一次服务中断,原因是用于存储端点的域托管了恶意软件。 Wasabi是一家云存储提供商,提供便宜的服务,不收取出口或API费用,并保证数据持久性。 2020年12月28日,Wasabi用户突然发现他们不能再访问托管在wasabisys.com域名上的数据。 Wasabi称目前正在调查。

详情

Wasabi cloud storage service knocked offline for hosting malware

新的蠕虫病毒把Windows、Linux服务器变成了Monero矿工

日期: 2020年12月30日
等级: 中
作者: Sergiu Gatlan
标签: Windows, Linux, Golang, ELF Malware, Brute Force

自2020年12月初以来,一种新发现并自我传播的基于Golang的恶意软件一直积极地在Windows和Linux服务器上下放XMRig加密货币矿工。这种多平台恶意软件通过对面向公众的服务(即MySQL,Tomcat,Jenkins和WebLogic)进行暴力破解,将其传播到其他系统。

详情

New worm turns Windows, Linux servers into Monero miners

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 减少外网资源和不相关的业务,降低被攻击的风险

3. 各主机安装EDR产品,及时检测威胁

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

6. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

 

0x03数据安全

电子商务应用程序21 Buttons公开数百万用户的数据

日期: 2020年12月28日
等级: 高
作者: Pierluigi Paganini
标签: 21 Buttons, Europe, AWS bucket, vpnMentor, E-commerce

网络安全公司vpnMentor的研究人员发现,电子商务应用程序21Buttons正在公开用户的私人数据。21Buttons允许用户共享其所穿衣服的照片以及指向所穿品牌的链接,然后其关注者可以使用该应用直接从相关品牌购买自己喜欢的衣服。 2020年11月2日,vpnMentor专家发现21Buttons应用程序使用了配置错误的AWS存储库,该存储库包含超过5000万个文件,包括许多敏感信息,如全名、地址、财务信息、照片和视频等。

详情

E-commerce app 21 Buttons exposes millions of users’ data

日本川崎重工披露可能造成数据泄露的安全漏洞

日期: 2020年12月29日
等级: 高
作者: Sergiu Gatlan
标签: Japan, Kawasaki Heavy Industries, Japanese, Data Leak, Unauthorized, Security Breach

日本川崎重工(KawasakiHeavyIndustries)披露了一项安全漏洞,利用该漏洞,攻击者可能在未授权的情况下从多个海外办事处访问日本公司的服务器。

川崎重工是一家日本跨国公司,拥有35,000多名员工,活跃于重型设备,机车车辆,汽车,航空航天和国防工业。

川崎重工在2020年12月28日发表的一份声明中说,经过彻底的调查,该公司发现海外办事处的某些信息可能已经泄露给外部各方。

详情

Kawasaki discloses security breach, potential data leak

慈善机构Get Schooled遭受数据泄露

日期: 2020年12月31日
等级: 高
作者: Derek B. Johnson
标签: AWS, TurgenSec, Get Schooled, AWS bucket

纽约一家慈善机构GetSchooled遭受了数据泄露,导致与数十万名学生相关的记录留在了一个不安全的AWSbucket中,该bucket是开放的,可以从互联网访问。这些公开的数据包括与该非营利组织有关的学生的详细信息,包括姓名、电子邮件、年龄、性别、高中或大学以及毕业数据、实际地址和电话号码。

详情

Non-profit founded by Gates Foundation suffers massive exposure of student records

数据代理公司出售26家公司的用户记录

日期: 2020年12月31日
等级: 中
作者: Lawrence Abrams
标签: Data breach broker

一家数据代理公司开始在黑客论坛上出售26家公司总计36.88万条被盗用户记录。当攻击者和黑客组织破坏一家公司并窃取其用户数据库时,他们通常会与数据代理公司合作,后者为他们推销数据。经纪人随后会在黑客论坛和黑暗网络市场上发布帖子,推销被盗数据。

详情

Data breach broker selling user records stolen from 26 companies

T-Mobile数据泄露暴露电话号码、通话记录

日期: 2020年12月30日
等级: 低
作者: Lawrence Abrams
标签: CPNI, T-Mobile

据T-Mobile称,其安全团队最近发现了对其系统的恶意攻击。在网络安全公司进行调查后发现,攻击者获得了由客户生成的电信信息,即CPNI。这次泄露的信息包括电话号码、通话记录和账户上的线路数。“访问了联邦通信委员会(FCC)规定的客户专有网络信息(CPNI)。T-Mobile在一份数据泄露通知中表示:“访问的CPNI可能包括电话号码、您账户上订阅的线路数,在某些情况下,还包括作为您无线服务正常运行的一部分而收集的与通话相关的信息。”。

详情

T-Mobile data breach exposed phone numbers, call records

相关安全建议

1. 及时备份数据并确保数据安全

2. 及时检查并删除外泄敏感数据

3. 合理设置服务器端各种文件的访问权限

4. 条件允许的情况下,设置主机访问白名单

 

0x04网络攻击

越南成为供应链攻击的目标

日期: 2020年12月28日
等级: 高
作者: Catalin Cimpanu
标签: Vietnamese, the Vietnam Government Certification Authority, Supply Chain Attack, ESET, Certificate

一群黑客通过在政府软件工具包中插入恶意软件,对越南的私营公司和政府机构实施了一次巧妙的供应链攻击。 该攻击是由安全公司ESET发现的,并在名为OperationSignSight的报告中进行了详细描述。攻击的对象是越南政府证书颁发机构(VGCA),该政府组织颁发可以用于电子签名正式文件的数字证书。 但是ESET表示,2020年某个时候,黑客入侵了该机构位的的网站ca.gov.vn,并将恶意软件插入了两个VGCA客户端应用程序中,这些应用程序可供在该网站上下载。 ESET表示,在2020年7月23日至8月5日期间,这两个文件包含了一个名为PhantomNet的后门木马。

详情

Vietnam targeted in complex supply chain attack

SolarWinds黑客访问了微软的源代码

日期: 2020年12月31日
等级: 高
作者: Catalin Cimpanu
标签: SolarWinds, Microsoft, Source Code

SolarWinds供应链攻击背后的黑客成功访问了对微软内部网络,并获得了少量内部账户的访问权限,这些账户使他们可以访问微软源代码库。微软表示,黑客并没有对他们访问的存储库进行任何更改,因为被泄露的账户只有查看代码的权限,而没有修改代码的权限。微软强调,尽管黑客查看了一些源代码,但攻击者并没有将攻击升级到生产系统、客户数据或使用微软产品攻击微软客户。

详情

SolarWinds hackers accessed Microsoft source code

ShopifyBigCommerce等商店发现跨平台的信用卡窃取器

日期: 2020年12月28日
等级: 高
作者: Sergiu Gatlan
标签: Shopify, MageCart, E-Commerce Platform, Skimmer, Payment Card

最近发现的跨平台信用卡窃取器可以在ShopifyBigCommerceZencartWoocommerce的商店中收集付款信息。 这种恶意软件通常是针对单一类型的电子商务平台设计的,但这种新型的网络恶意软件可以通过注入恶意的结账页面,接管多个商店的结账过程。 该窃取器通过在客户登陆真实的结帐页面之前显示一个伪造的付款页面,并使用键盘记录器拦截付款和个人信息来做到这一点。

详情

Multi-platform card skimmer found on Shopify, BigCommerce stores

黑客加强了COVID-19知识产权盗窃攻击力度

日期: 2020年12月28日
等级: 高
作者: Tara Seals
标签: IP, Pfizer, Moderna, COVID-19, Zebrocy, Vaccine Supply Chain

随着对COVID-19疫苗的研究发展,Pfizer公司,Moderna公司和其他生物技术公司开始大量生产疫苗,攻击者现在将医疗保健空间视为一个丰富的知识产权(IP)库。 网络攻击最近集中在COVID-19疫苗供应链上,黑客继续使用Zebrocy恶意软件进行与疫苗相关的网络攻击。2020年12月,攻击者获取了辉瑞和生物技术公司提交给欧盟监管机构的疫苗文件。

详情

Hackers Amp Up COVID-19 IP Theft Attacks

SolarWinds黑客的目标是访问受害者的云资产

日期: 2020年12月29日
等级: 高
作者: Pierluigi Paganini
标签: Microsoft, SolarWinds, Solorigate, Cloud, Backdoor, SAML, Supply Chain Attack

Microsoft365Defender团队透露,SolarWinds供应链攻击的目标是受害者的云资产,一旦Sunburst/Solorigate后门感染了受害者的网络,攻击者便将其转移到受害者的云基础架构。 一旦部署了后门,攻击者就可以使用它来窃取凭据,提升特权并在目标网络内进行横向移动,从而获得创建有效SAML令牌的能力。 接着,攻击者就可以利用SAML令牌来访问云资源并泄露电子邮件和敏感数据。

详情

SolarWinds hackers aimed at access to victims’ cloud assets

FBI:攻击者劫持智能设备

日期: 2020年12月29日
等级: 高
作者: Catalin Cimpanu
标签: FBI, Smart Devices, Hijacking, Leaked

美国联邦调查局(FBI)表示,攻击者劫持了安全保障薄弱的智能设备,包括具有视频和音频功能的家庭监控设备。

攻击者正在接管一些设备,这些设备的所有者在这些设备上创建了帐户,但重复使用了以前在其他公司的数据泄露出来的凭据。

详情

FBI: Pranksters are hijacking smart devices to live-stream swatting incidents

Voyager加密货币交易平台因网络攻击而暂停交易

日期: 2020年12月29日
等级: 高
作者: Lawrence Abrams
标签: Voyager, Cryptocurrency Broker, DNS, Cyberattack

Voyager加密货币交易平台于12月28日暂停了交易,因为其DNS配置遭到了网络攻击。

VoyagerDigitalLLC是一家加密货币交易平台,允许投资者使用Voyager移动应用程序交易资产。Voyager2020年增长迅速,在12个月内增长了40倍,管理的资产为2亿美元。

详情

Voyager cryptocurrency broker halted trading due to cyberattack

芬兰称黑客访问了国会议员的电子邮件帐户

日期: 2020年12月28日
等级: 中
作者: Catalin Cimpanu
标签: Parliament, IT System, APT28, Finland, MPs, Emails Accounts

芬兰议会2020年12月28日表示,黑客入侵了其内部IT系统,并访问了一些国会议员的电子邮件帐户。 政府官员说,袭击发生在2020年秋天,是12月由议会IT人员发现的。芬兰中央刑事警察(KRP)目前正在调查此事。KRP专员TeroMuurman在一份正式声明中说,这次袭击并未对议会内部的IT系统造成任何损害。

详情

Finland says hackers accessed MPs’ emails accounts

Ticketmaster因侵入竞争对手的系统而被罚款1000万美元

日期: 2020年12月31日
等级: 中
作者: Sergiu Gatlan
标签: Ticketmaster, Live Nation, CrowdSurge

Ticketmaster是LiveNation的子公司,也是一家领先的票务分销和销售公司,因使用其一名前雇员的证件非法访问竞争对手CrowdSurge的系统而被罚款1000万美元。该员工在加入LiveNation后,为TicketMaster高管使用的票务网页草稿共享了私有的CrowdSurgeURL。

详情

Ticketmaster fined $10 million for breaking into rival’s systems

金融服务业每天遭受数千万次攻击

日期: 2020年12月31日
等级: 中
作者: Steve Zurier
标签: Akamai, Financial, CyberAttack

在更新的互联网现状报告中显示,在过去一年中,金融服务行业每天遭受数百万或数千万次攻击。仅在2020年9月,就追踪到3300万起针对金融服务行业的web应用程序攻击。报告发现,攻击者主要使用常见的攻击路径,如SQL注入、本地文件包含和跨站点脚本。

详情

Financial services industry hit with tens of millions of attacks per day

相关安全建议

1. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

2. 积极开展外网渗透测试工作,提前发现系统问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 软硬件提供商要提升自我防护能力,保障供应链的安全

 

0x05其它事件

超一百万个Zyxel防火墙、VPN网关中存在后门帐户

日期: 2021年01月02日
等级: 高
作者: Catalin Cimpanu
标签: Zyxel, VPN, Firewall

超过一百万个Zyxel防火墙、VPN网关和访问点控制器包含一个硬编码的管理级后门帐户,该帐户可以通过SSH接口或web管理面板授予攻击者对设备的根访问权限。

受影响的型号包括Zyxel的许多顶级产品,包括:

-高级威胁防护(ATP)系列-主要用作防火墙

-统一安全网关(USG)系列-用作混合防火墙和VPN网关

-USGFLEX系列-用作混合防火墙和VPN网关

-VPN系列-用作VPN网关

-NXC系列-用作WLAN接入点控制器

详情

Backdoor account discovered in more than 100,000 Zyxel firewalls, VPN gateways

英国警方在网络打击行动中逮捕了21名WeLeakInfo用户

日期: 2020年12月28日
等级: 高
作者: Prajeet Nair
标签: U.K., Britain, WeLeakInfo, Cyber Crackdown

英国国家犯罪局(NationalCrimeAgency)称,英国警方已经逮捕了21人,他们是现已倒闭的WeLeakInfo网站的客户,该网站为网络罪犯提供了超过120亿份的个人记录,这些数据是从1万个数据库中违规获取的。 在运营期间,WeLeakInfo向犯罪分子出售帐户的名称,电子邮件地址,用户名,电话号码和密码等,这些犯罪分子每天将以低至2美元的价格购买订阅,以访问数据。

详情

UK Police Arrest 21 WeLeakInfo Users In Cyber Crackdown

CISA发布工具,用以检测Azure/Microsoft 365环境中的恶意活动

日期: 2020年12月28日
等级: 中
作者: Sergiu Gatlan
标签: CISA, PowerShell-based, Azure, Microsoft 365, Tool

网络安全和基础结构安全局(CISA)发布了基于PowerShell的工具,该工具可帮助检测Azure/Microsoft365环境中可能受到威胁的应用程序和帐户。 在此之前,Microsoft披露了攻击者如何利用窃取的凭据和访问令牌来登陆Azure客户。 该工具旨在供事件应急响应人员使用,仅检测基于身份验证攻击的活动。

详情

CISA releases Azure, Microsoft 365 malicious activity detection tool

Google Docs的漏洞允许黑客访问私人文档

日期: 2020年12月29日
等级: 中
作者: The Hacker News
标签: Google Docs, Vulnerability, Screenshots, Private Documents, Cloud, Iframe

谷歌修复了其服务集成的反馈工具中的一个漏洞,攻击者可以利用该漏洞将该反馈工具嵌入到恶意网站中,从而窃取GoogleDocs文档的截图。 该漏洞于7月9日被安全研究员SreeramKL发现,他因此获得了Google漏洞奖励计划的3133.70美元。

详情

A Google Docs Bug Could Have Allowed Hackers See Your Private Documents

CISA发布有关SolarWinds补丁的新指南

日期: 2020年12月31日
等级: 中
作者: Akshaya Asokan
标签: SolarWinds, CISA

CISA要求各大机构在12月31日前更新到最新版本网络安全和基础设施安全局发布紧急指令,要求所有仍在运行易受攻击的SolarWindsOrion软件的联邦组织立即更新至最新版本。CISA称:“国家安全局已经检查了这个版本,并验证了它消除了先前发现的恶意代码,”

详情

CISA Releases New Guidance on SolarWinds Patch

Chrome修复了Windows10上的防病毒“文件锁定”错误

日期: 2021年01月03日
等级: 低
作者: Ax Sharma
标签: Google Chrome, Windows 10, Antivirus, File Locking

作为一种安全预防措施,通常防病毒程序会暂时锁定系统上新生成的文件,直到可以扫描这些文件并排除恶意活动。对此,googlechrome团队修复了一个相关的bug,该bug使windows10上的防病毒程序能够锁定新创建的文件。修补这个漏洞意味着运行在Windows上的防病毒程序将不再阻止Chrome浏览器生成的新文件,比如书签。

详情

Google Chrome fixes antivirus ‘file locking’ bug on Windows 10

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

 

0x06产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

 

0x07时间线

2021-01-04 360CERT发布安全事件周报

 

0x08特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

安全事件周报 (12.28-01.03)

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

(完)