【安全帮】北京警方破获首起“盗挖虚拟货币”案：前员工入侵公司数百台电脑挖矿

 收集 936 万条公民信息赚“提成” 男子获刑 4 年 为培训机构招生的何某，通过网络收集公民个人信息，除了替自己的“东家”寻找生源外，还将部分信息与他人交换使用……在案发时，何某的电脑内存储公民信息936万条，其中百万条涉及法律规定的包括公民财产交易健康状况等敏感信息。11月22日，何某因侵犯公民个人信息罪被石景山法院判处有期徒刑4年。根据检方指控，何某在位于石景山的住所内，非法获取公民个人信息，并存放于其使用的苹果便携电脑内，经鉴定，计算机内存储公民个人信息相关数据936万条。在案证据显示，何某电脑内的数据涵盖面广泛：其中包括众多公司的内部通讯录，除了详细记录客户的姓名、出生日期、手机号、购买保险产品类型、金额等信息外，公民身份证号码、家庭详细住址、存款信息等隐私也在其中，涉及法律所规定的“敏感”信息即公民财产等内容的信息100余万条，涉及公民生理健康等信息6万条。

参考来源：

http://www.bjnews.com.cn/news/2018/11/22/523809.html

北京警方破获首起 “ 盗挖虚拟货币 ” 案：前员工入侵公司数百台电脑挖矿 近期，朝阳警方接某互联网公司报警称，其公司350台服务器无法正常工作，资源消耗巨大。经过侦查，涉案的服务器均被植入了某程序，该程序致使服务器以高耗能状态进行运算，进行网络货币“挖掘”工程，并将挖取的网络货币转至控制者处，从而提现牟取暴利，严重影响了服务器的正常运行。民警一方面固定证据，一方面通过该程序账号进行追踪溯源，确认了该公司前员工聂某有重大嫌疑，通过对服务器取证、侦查后，警务支援大队民警锁定了嫌疑人真实身份、居住地址，对嫌疑人开展抓捕工作，嫌疑人聂某最终在上海某公司落入法网。经民警现场勘查，嫌疑人聂某使用的电脑内存有挖取网络货币所需要的程序。经讯问，犯罪嫌疑人聂某对其非法入侵某互联网公司集团服务器，并部署植入程序挖取网络货币的犯罪事实供认不讳。目前，嫌疑人聂某因涉嫌非法侵入计算机信息系统罪，已被公安机关依法采取刑事强制措施。

参考来源：

https://www.secrss.com/articles/6640

大量 Android 第三方 ROM 未正确配置导致信息泄漏预警 11月22日，Magisk作者topjohnwu发表文章，提到他在研究Fate/Grand Order手游的root检测机制时发现了存在于数百万台android设备上的漏洞，利用该漏洞会泄漏系统上的进程信息。除了Samsung等少数厂商以外，大部分国产厂商的设备都受到影响。如果具有root权限用户可以选择使用该APP运行“mount -o remount,hidepid=2,gid=3009 /proc”命令重新挂载/proc来修复该问题。存在漏洞但是没有root权限暂时不能修复的用户也不必过于担心，该漏洞的危害较为有限，仅能泄漏一些其它进程信息，不能通过该漏洞获取root权限或者用户密码等敏感数据。

参考来源：

https://www.anquanke.com/post/id/166475

电商客服来电要退款？一条巨大黑色产业链被曝光了 今年4月份，张女士接到了一个陌生来电，对方自称是某电商平台的客服，因为张女士之前购买的童装被检测出甲醛超标，商家正在退款。对方在微信上说，张女士需要先从这家电商平台的贷款平台借钱，随后这笔借款将和衣服的退款一起返还。当天，张女士先后4次借款，并将借来的近4万元钱全部打入对方指定的账号。直到第二天早上，张女士才意识到自己被骗，立刻报了警。警方通过对张女士提供的转账账号和微信号码进行摸排，确定这是一起隐藏在境外的电信诈骗团伙所为。进一步侦查发现，这起电信诈骗的背后竟然隐藏着一个非法贩卖公民信息和银行卡的庞大网络，并锁定了70多个倒卖公民信息银行卡的QQ群，确定了226名参与买卖公民信息和银行卡的犯罪嫌疑人。警方随即于今年8月分赴上海、安徽、湖南、宁夏等地，抓捕了32名主要犯罪嫌疑人，共查获银行卡488张，个人身份证信息2万多条。目前，公安部已经通知各地公安机关，正在对剩余的犯罪嫌疑人进行协查抓捕。

参考来源：

https://www.cnbeta.com/articles/tech/790829.htm

MetInfo最新版本爆出SSRF 0day漏洞 2018年11月中旬，最新MetInfo爆出SSRF注入漏洞。该漏洞是由于MetInfo中关于图片上传的代码出现缺陷，没有对指定图片路径中的“#”等敏感字符进行过滤，使得攻击者可以借助图片上传功能的图片的相关参数来达到对内部网络的探测的目的，严重威胁内网安全。MetInfo是中国知名的企业建站软件，在中国的活跃使用量数以万计，一旦有高危漏洞爆出，势必会影响各行各业众多网站。而且此次漏洞影响的版本不仅包括官网在10月16日所发布的最新版本6.1.3，还有更早的5.3版本，预计会在最新补丁出来之前对所有使用该模板的网站造成不小的影响。而且据该安全院研究，此次漏洞一年前的某个Metinfo的SSRF漏洞极为相似，因此我们推测，以前的多个版本很大概率也存在该漏洞，预计在未来的很长一段时间，所有基于MetInfo的网站都将受到不小的安全威胁。

参考来源：

https://nosec.org/home/detail/1981.html

网络犯罪组织 Lazarus 植入后门攻击拉丁美洲金融机构 趋势科技发现，曾经攻击过亚洲和拉丁美洲金融机构的网络犯罪组织Lazarus分支Bluenoroff最近似乎再度活跃，他们近期的一系列活动展示了其攻击 工具 和技术的演变，上周他们从亚洲和非洲的ATM机中非法窃取了数百万美元。此外，研究人员还观察到他们成功将后门植入了拉丁美洲几家金融机构。研究人员经过跟踪分析后，根据加载器组件的服务创建时间确定，目标设备被安装后门的具体时间为2018年9月19日。这种攻击技术与BAE Systems分析的2017年Lazarus攻击与亚洲目标有相似之处。FileTokenBroker.dll的使用是2017年该组织攻击的关键部分，他们似乎也在最近的事件中使用了相同的模块化后门。

参考来源：

https://www.hackeye.net/securityevent/17435.aspx

软件内嵌广告遭遇挂马攻击，上万电脑被安装 Steam 游戏盗号木马 腾讯御见威胁情报中心监测发现某输入法软件及某网吧管理软件内嵌的广告页面遭遇网页挂马攻击，这些软件启动时，会自动打开内嵌的广告页面。盗号木马团伙使用黑客技术精心构造了含漏洞攻击代码的广告（漏洞编号：CVE-2018-8174）。随着广告页面呈现，漏洞攻击代码被触发，更多恶意软件被下载安装，包括其他木马下载器、Steam盗号木马、广告刷量木马。监测数据表明，受挂马影响的电脑超过5万台，其中有大约20%（即1万余台电脑）被安装多个盗号木马、广告刷量木马，以及木马下载器。由此推断，未及时安装补丁的电脑占到20%。

参考来源：

https://s.tencent.com/

关于安全帮®

安全帮®，是中国电信北京研究院旗下安全团队，致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系：一个SaaS电商(www.anquanbang.vip) 、四个平台（SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台）。