报告编号:B6-2021-102501
报告来源:360CERT
报告作者:360CERT
更新日期:2021-10-25
1. 事件导览
本周收录安全热点29项,话题集中在恶意软件、网络攻击方面,涉及的组织有:Thingiverse、TikTok、Twitter、Thingiverse等。勒索软件大肆攻击国家关键设施。对此,360CERT 建议使用360 安全卫士进行病毒检测、使用360 安全分析响应平台进行威胁流量检测,使用360 城市级网络安全监测服务 QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
2. 事件目录
| 恶意程序 |
|---|
| 抖音可能成为黑客对儿童发动攻击的有力工具 |
| 针对医疗行业顶级勒索软件团伙的分析 |
| Twitter上出现针对网络安全研究人员的攻击 |
| 流行的NPM库被劫持安装密码窃取者和挖矿软件 |
| 辛克莱电视台因周末勒索软件袭击而瘫痪 |
| REvil勒索软件的Tor站点被劫持 |
| TeamTNT在Docker Hub上部署恶意 Docker 映像 |
| PurpleFox添加了使用WebSocket的新后门 |
| 新的karma勒索团伙可能是以前的勒索团伙改头换面的结果 |
| 勒索软件新的商业模式 |
| CISA称BlackMatter 勒索软件集团是最近攻击农业公司的幕后黑手 |
| 在Windows、 Linux 和macOS设备上运行Cryptominer时发现恶意NPM包 |
| RAT恶意软件通过网络和种子在韩国传播 |
| Evil Corp 要求新的勒索软件Macaw Locker攻击获利4000万美元 |
| UpdateAgent恶意软件变体模拟合法的macOS软件 |
| 数据安全 |
|---|
| Thingiverse漏洞:5万台3D打印机面临被劫持风险 |
| 数据分析公司披露了200万Instagram和TikTok用户的数据 |
| 黑客为5000万莫斯科司机提供销售数据 |
| 网络攻击 |
|---|
| 通过群发电子邮件运动传播的 FlawedGrace 的新变种 |
| Twitter将涉嫌窃取4500万阿根廷人数据的黑客账户关闭 |
| 跟踪CVE-2021-26084和其他基于服务器的漏洞利用 |
| 国家支持的黑客组织利用定制恶意软件入侵电信公司 |
| 宏碁在一周内被同一个黑客攻击了两次 |
| 政治主题攻击者使用旧的 MS Office 漏洞传播多个 RAT |
| 牙科联盟报告供应商漏洞影响17万 |
| FIN7建立虚假的Pentesting公司网站招聘人才 |
| SCUF游戏商店遭黑客攻击,盗取32000名顾客的信用卡信息 |
| 新的MultiloginBot网络钓鱼活动 |
3. 恶意程序
抖音可能成为黑客对儿童发动攻击的有力工具
日期: 2021 年 10 月 18 日 等级: 高 来源: 标签: 抖音, 儿童, 游戏 行业: 信息传输、软件和信息技术服务业 涉及组织: tiktok
最近,TikTok 中的游戏陷入恶意广告活动。黑客的恶意软件伪装成 TikTok 上 FakeAmongUs 和 Steam 版本的游戏,即使是 TikTok 上最新的游戏玩家也会受到攻击。
相关研究报告称,“我们有时会在 tiktok 上看到游戏官方厂商的账户提供许多与你在其他平台上看到的相同的承诺,如免费游戏,免费道具,免费物品等。一切都是免费的,没有任何附加条件。”、“抖音可能成为黑客对儿童发动攻击的有力工具。”
Akamai 在 6 月份报告称,2020 年针对游戏行业的网络应用攻击增加了 340%。父母应该教会儿童具有足够的安全意识,以避免这类型的诈骗。
详情
抖音可能成为黑客对儿童发动攻击的有力工具
https://threatpost.com/tiktok-gamer-targets-among-us-steam/175546/
针对医疗行业顶级勒索软件团伙的分析
日期: 2021 年 10 月 18 日 等级: 高 作者: Marianne Kolbasuk McGee 标签: 医疗行业, 勒索团伙, conti, sodinokibi, hive 行业: 卫生和社会工作 涉及组织: fbi, 美国卫生与公众服务部
美国卫生与公众服务部发布报告,称医疗行业是目前美国乃至全球遭受勒索最多的目标。勒索软件攻击持续威胁着美国以及全球的医疗保健行业,部分原因是许多医疗机构高度依赖传统系统和缺乏网络安全资源。报告指出,除美国外,受勒索软件事件影响最大的国家包括法国、巴西、泰国、澳大利亚和意大利。在美国,第三季度针对医疗保健行业的进行勒索的团伙前几依次是 conti、revil/sodinokibi 和 hive。在全球范围内,第三季度影响医疗保健机构的头号勒索团伙依次为: conti;avaddon;revil/sodinokibi;clop;pysa;astro;doppel/paymer;hive;lockbit; 和 raganork。
详情
Analysis: Top Ransomware Gangs Targeting Healthcare Sector
https://www.databreachtoday.com/analysis-top-ransomware-gangs-targeting-healthcare-sector-a-17755
Twitter 上出现针对网络安全研究人员的攻击
日期: 2021 年 10 月 19 日 等级: 高 来源: 标签: twitter, linkedin, 网络安全社区 行业: 信息传输、软件和信息技术服务业 涉及组织: twitter, google
twitter 暂停了两个黑客在朝鲜网络间谍活动中使用的恶意账户,相关账户是 @lagal1990 和 @shiftrows13,他们的攻击目标正是网络安全研究人员,用来欺骗他们的诱饵不是别的,正是研究和漏洞。谷歌威胁分析小组首先发现这类攻击。黑客在 Twitter 上建立了一个研究博客和多个 twitter 主页,与受害者进行互动,并使用这些 twitter 个人资料发布他们的博客链接,发布他们声称的攻击视频。谷歌威胁分析小组认为这一活动的幕后主使是北朝鲜的一个政府支持的实体,他们还使用了许多手段来针对安全研究人员。这些黑客不仅通过 twitter,还通过 linkedin、keybase、discord 或 telegram,将安全研究社区作为这次恶意活动的目标。
详情
Malicious Accounts that Targeted Security Researches Were Suspended by Twitter
https://heimdalsecurity.com/blog/malicious-twitter-accounts-suspended-researcher-community/
流行的 NPM 库被劫持安装密码窃取者和挖矿软件
日期: 2021 年 10 月 23 日 等级: 高 作者: Lawrence Abrams 标签: NPM, hijacked, miners, password-stealers 行业: 信息传输、软件和信息技术服务业 涉及组织: microsoft
黑客劫持了流行的 UA-Parser-JSNPM 库,每周有数百万下载,以在供应链攻击中使用加密器和密码窃取特洛伊木马的 Linux 和 Windows 设备。
UA-Parser-JS 库用于解析浏览器的用户代理以标识访问者的浏览器,引擎,操作系统,CPU 和设备类型 / 模型。
这个库非常受欢迎,每周有数百万次的下载,到目前为止这个月有超过 2400 万次的下载。
此外,该库被用于超过 1000 个其他项目,包括那些由 facebook,微软,亚马逊,instagram,谷歌,slack,mozilla,discord,elastic,intuit,reddit,和许多更知名的公司
详情
Popular NPM library hijacked to install password-stealers, miners
辛克莱电视台因周末勒索软件袭击而瘫痪
日期: 2021 年 10 月 18 日 等级: 高 作者: Sergiu Gatlan 标签: Sinclair Broadcast Group, ransomware attack 行业: 信息传输、软件和信息技术服务业 涉及组织: facebook
辛克莱广播集团 (SinclairBroadcastGroup) 已证实,它在 2021 年 10 月 17 日遭到了勒索软件的攻击。
辛克莱还表示,攻击者还从该公司的网络中窃取了数据。
辛克莱广播集团 (SinclairBroadcastGroup) 是一家《财富》500 强媒体公司(2020 年年收入为 59 亿美元),也是一家领先的地方体育和新闻提供商,拥有多个全国性网络。
详情
Sinclair TV stations crippled by weekend ransomware attack
REvil 勒索软件的 Tor 站点被劫持
日期: 2021 年 10 月 18 日 等级: 高 来源: heimdalsecurity 标签: REvil, Tor, Hijacked 行业: 信息传输、软件和信息技术服务业
Revil/sodinokibi 是一种高度升级的勒索软件,它使用特殊的社会工程手段,如果受害者在一定天数内不支付赎金,它将威胁要加倍赎金。
Revil 勒索软件已成为世界上分布最广泛的第四大勒索软件,主要针对美国和欧洲的公司。
据称,一名不知名的黑客接管了 Revil 勒索软件的 tor 支付网关和数据泄露博客后,Revil 似乎再次被关闭。
详情
REvil Ransomware’s Tor Sites Were Hijacked
https://heimdalsecurity.com/blog/revil-ransomwares-tor-sites-were-hijacked/
TeamTNT 在 Docker Hub 上部署恶意 Docker 映像
日期: 2021 年 10 月 18 日 等级: 高 作者: Pierluigi Paganini 标签: teamtnt, docker, Image 行业: 信息传输、软件和信息技术服务业 涉及组织: docker
uptycs 威胁研究小组最近确定了一个活动,其中 teamtnt 组织部署了一个恶意容器 image(托管在 docker 中心) 与嵌入式脚本下载 zgrab 扫描仪和 masscanner 渗透测试工具,分别用于横幅抓取和端口扫描。
利用恶意 docker 图像中的扫描工具,攻击者试图扫描受害者子网中的更多目标,并执行进一步的恶意活动。
详情
TeamTNT Deploys Malicious Docker Image On Docker Hub
https://securityaffairs.co/wordpress/123535/cyber-crime/teamtnt-docker-attack.html
PurpleFox 添加了使用 WebSocket 的新后门
日期: 2021 年 10 月 19 日 等级: 高 作者: Abdelrhman Sharshar,Jay Yaneza,Sherif Magdy 标签: purplefox, foxsocket 行业: 信息传输、软件和信息技术服务业
2021 年 9 月,趋势微管理的 XDR(mdr) 团队调查了与 purplefox 有关的可疑活动。
trendmicro 的发现了更新的 purplefox 武器库,其中包括一个额外的漏洞 (cve-2021-1732) 和优化的 rootkit 功能在他们的攻击中利用。
trendmicro 还发现在入侵过程中植入了一个用. net 编写的新后门,trendmicro 认为这与 Purplefox 高度相关。
这个后门,trendmicro 称之为 foxsocket,利用 websockets 与它的命令和控制 (c&c) 服务器进行通信,与常规的 http 流量相比,产生了更强大和更安全的通信方式。
涉及漏洞
cve-2021-1732
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-1732
cve-2020-1054
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-1054
cve-2019-0808
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2019-0808
cve-2019-1458
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2019-1458
详情
PurpleFox Adds New Backdoor That Uses WebSockets
新的 karma 勒索团伙可能是以前的勒索团伙改头换面的结果
日期: 2021 年 10 月 19 日 等级: 高 作者: Bill Toulas 标签: karma, 勒索团伙, nemty 行业: 制造业
sentinellabs 的安全研究人员发现,有证据表明,karma 勒索团伙从最初的 jsworm 演变成 nemty,后来又变成了 nefilim、fusion、milihpen,以及最近的 gangbang。
研究人员对 2021 年 6 月相同数量的勒索软件攻击的 8 个样本进行分析,发现这些样本都与 2021 年 1 月左右出现的 gangbang 和 milihpen 变种的代码明显相似。历史上,nemty 主要针对工程和制造业的中国公司,利用杠杆暴露 rdp 并利用了 VPN 漏洞,以渗透到脆弱的网络中。
详情
New Karma ransomware group likely a Nemty rebrand
https://www.bleepingcomputer.com/news/security/new-karma-ransomware-group-likely-a-nemty-rebrand/
勒索软件新的商业模式
日期: 2021 年 10 月 19 日 等级: 高 作者: Mihir Bagwe 标签: XingLocker, Trend Micro 行业: 信息传输、软件和信息技术服务业 涉及组织: Trend Micro
网络安全公司趋势科技 (TrendMicro) 的研究人员观察到,勒索软件运营商采用了一种新的基于特许经营的商业模式,摆脱了传统的 “勒索软件即服务” 模式。
这一白色标签操作是由趋势科技团队发现的,当时他们正在调查在过去几个月里非常活跃的 XingLocker 勒索软件运营商的操作。
详情
New Business Model: White Labeling of Ransomware
https://www.databreachtoday.com/new-business-model-white-labeling-ransomware-a-17761
CISA 称 BlackMatter 勒索软件集团是最近攻击农业公司的幕后黑手
日期: 2021 年 10 月 20 日 等级: 高 作者: Jonathan Greig 标签: BlackMatter, agriculture companies, ransomware 行业: 农、林、牧、渔业 涉及组织: cisa, fbi
CISA、FBI 和国家安全局正式表示,最近两家农业公司遭受的攻击中,BlackMatter 勒索软件集团参与了其中,这证实了一些安全研究人员的评估,他们说,该团伙是 9 月份新合作社 (NewCooperative) 和水晶谷 (CrystalValley) 事件的幕后黑手。
9 月 20 日,爱荷华州农场服务提供商 NewCooperative 遭到勒索软件攻击,BlackMatter 要求 590 万美元赎金。两天后,总部位于明尼苏达州的水晶谷遭到袭击。这两次袭击都发生在农民收获开始增加之际。
详情
CISA says BlackMatter ransomware group behind recent attacks on agriculture companies
在 Windows、Linux 和 macOS 设备上运行 Cryptominer 时发现恶意 NPM 包
日期: 2021 年 10 月 21 日 等级: 高 作者: Ravie Lakshmanan 标签: npm, Packages 行业: 信息传输、软件和信息技术服务业
上传到官方 npm 包存储库的三个 javascript 库已被揭露为加密挖掘恶意软件,再次证明开源软件包存储库如何成为对 windows、macos 和 linux 系统执行一系列攻击的有利可图的目标。
有问题的恶意包 okhsa,klow 和 klown 是由同一个开发人员发布的,并错误地声称是基于 javascript 的用户代理字符串解析器,旨在从 “用户代理”HTTP 报头中提取硬件细节。但导入它们的受害者不知道,作者在库中隐藏了加密货币挖掘恶意软件。
详情
Malicious NPM Packages Caught Running Cryptominer On Windows, Linux, macOS Devices
https://thehackernews.com/2021/10/malicious-npm-packages-caught-running.html
RAT 恶意软件通过网络和种子在韩国传播
日期: 2021 年 10 月 21 日 等级: 高 作者: Bill Toulas 标签: RAT malware, Korea 行业: 信息传输、软件和信息技术服务业
一项针对韩国的恶意软件分发活动正在将 RAT(远程访问木马)伪装成通过网络硬盘和种子共享的成人游戏。
攻击者使用易于获取的恶意软件,例如 njRAT 和 UDPRAT,将它们包装在一个看起来像游戏或其他程序的包中,然后将它们上传到 webhards。
WebHard 是韩国流行的在线存储服务,主要是为了方便直接下载。
详情
RAT malware spreading in Korea through webhards and torrents
Evil Corp 要求新的勒索软件 Macaw Locker 攻击获利 4000 万美元
日期: 2021 年 10 月 21 日 等级: 高 作者: Lawrence Abrams 标签: evil corp, macaw locker 行业: 信息传输、软件和信息技术服务业
EvilCorp 推出了一款名为 “MacawLocker” 的新勒索软件,以逃避美国禁止受害者支付赎金的制裁。
EvilCorp 黑客组织,也被称为 indrikspider 和 dridexgang,自 2007 年以来一直参与网络犯罪活动,但主要是作为其他组织的附属组织。随着时间的推移,该组织开始专注于自己的攻击,创建并分发一种名为 dridex 的银行木马,用于网络钓鱼攻击。
详情
Evil Corp demands $40 million in new Macaw ransomware attacks
UpdateAgent 恶意软件变体模拟合法的 macOS 软件
日期: 2021 年 10 月 22 日 等级: 高 作者: Waqas 标签: Adware, Apple, Macbook, macOS, Malware, security 行业: 信息传输、软件和信息技术服务业 涉及组织: microsoft, automatic
微软安全情报公司 (MicrosoftsecurityIntelligence) 的 IT 安全研究人员发现了一种针对 Mac 设备的 UpdateAgent(又名 WizardUpdate)恶意软件的新变体。
UpdateAgent 最初是在 2020 年 11 月发现的,目标是 macOS。
该恶意软件的另一个恶意功能包括滥用公共云基础设施来承载额外的负载。例如,在感染病毒后,UpdateAgent 会安装名为 Adload 的新广告软件。
详情
UpdateAgent malware variant impersonates legitimate macOS software
https://www.hackread.com/updateagent-malware-variant-macos-software/
相关安全建议
- 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
- 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
- 及时对系统及各个服务组件进行版本升级和补丁更新
- 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
- 各主机安装 EDR 产品,及时检测威胁
- 注重内部员工安全培训
- 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序
- 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理
4. 数据安全
Thingiverse 漏洞:5 万台 3D 打印机面临被劫持风险
日期: 2021 年 10 月 18 日 等级: 高 作者: Jeremy Kirk 标签: Printers, Hijacking, Thingiverse 行业: 制造业 涉及组织: amazon
MakerBot 的一名前员工称,影响该公司 Thingiverse3D 打印存储库网站的数据泄露远比该公司承认的严重。
至少有 200 多万人的用户名被泄露,这次泄露可能会影响到他们。
这些数据还包括 OAuth 令牌,直到最近,这些令牌还可以用于远程访问 MakerBot 第五代打印机和后来的型号。这些打印机有摄像头,所以也可以查看打印机的视频。
详情
Thingiverse Breach: 50,000 3D Printers Faced Hijacking Risk
https://www.databreachtoday.com/thingiverse-breach-50000-3d-printers-faced-hijacking-risk-a-17749
数据分析公司披露了 200 万 Instagram 和 TikTok 用户的数据
日期: 2021 年 10 月 21 日 等级: 高 作者: Deeba Ahmed 标签: Data, ElasticSearch, IGBlade, Instagram, Kim Kardashian, security, Social Media, TikTok 行业: 信息传输、软件和信息技术服务业 涉及组织: elasticsearch, instagram, youtube, tiktok
由阿努拉格 · 森 (anuragsen) 领导的网络安全团队发现了社交媒体分析网站 igblade.com 的一个不安全搜索服务器。
该服务器存储了数百万社交媒体用户的数据。这些数据来自 tiktok 和 instagram。
据报道,至少有 260 万用户的资料被泄露,相当于超过 3.6GB 的数据。
详情
Data analytics firm exposed 2m Instagram and TikTok users’ data
https://www.hackread.com/data-analytics-firm-expose-instagram-tiktok-users-data/
黑客为 5000 万莫斯科司机提供销售数据
日期: 2021 年 10 月 24 日 等级: 高 作者: Pierluigi Paganini 标签: Moscow drivers, sale data 行业: 交通运输、仓储和邮政业
有黑客正在黑客论坛上以仅 800 美元的价格出售一个包含 5000 万份莫斯科司机记录的数据库。
改黑客声称已经从当地警方内部获得了数据,他们公布了数据库记录的样本,其中包括汽车的型号,它的注册和 vin 号,注册日期,引擎功率,车主的名字,出生日期,和电话号码。
被盗数据从 2006 年到 2019 年,当地媒体已经证实了它们的真实性。
详情
Threat actors offer for sale data for 50 millions of Moscow drivers
https://securityaffairs.co/wordpress/123711/data-breach/moscow-drivers-data-leak.html
相关安全建议
- 及时备份数据并确保数据安全
- 合理设置服务器端各种文件的访问权限
- 严格控制数据访问权限
- 及时检查并删除外泄敏感数据
- 发生数据泄漏事件后,及时进行密码更改等相关安全措施
- 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施
5. 网络攻击
通过群发电子邮件运动传播的 FlawedGrace 的新变种
日期: 2021 年 10 月 19 日 等级: 高 作者: Ravie Lakshmanan 标签: TA505, Email, FlawedGrace 行业: 信息传输、软件和信息技术服务业 涉及组织: microsoft, ncc
网络安全研究人员 2021 年 10 月 19 日披露了一起由一个多产的网络犯罪团伙发起的大规模电子邮件攻击,该团伙影响了多个行业,其中一个针对特定地区的行动主要是针对德国和奥地利。
企业安全公司 Proofpoint 将恶意软件活动与 TA505 紧密联系在一起。
该组织至少从 2014 年开始就活跃在网络犯罪领域,是臭名昭著的 Dridex 银行木马以及 FlawedAmmyy、FlawedGrace、Neutrino 僵尸网络和 Locky 勒索软件等一系列恶意 工具 的幕后操控者。
详情
A New Variant of FlawedGrace Spreading Through Mass Email Campaigns
https://thehackernews.com/2021/10/a-new-variant-of-flawedgrace-spreading.html
Twitter 将涉嫌窃取 4500 万阿根廷人数据的黑客账户关闭
日期: 2021 年 10 月 20 日 等级: 高 作者: Jonathan Greig 标签: Argentinians, stole 行业: 信息传输、软件和信息技术服务业 涉及组织: twitter
Twitter 已经暂停了一名黑客的账户,据称这名黑客窃取了阿根廷数据库中包含该国 4500 万公民身份和信息的所有数据。
一个名为 @aniballeaks 的攻击者表示,他们成功侵入了阿根廷国家个人登记系统 (也被称为 renaper 或 registronacionaldelaspersonas),并在一个网络犯罪论坛上出售这些数据。
泄露的数据包括姓名、家庭住址、生日、trámite 号码、公民号码、带照片的身份证、劳动身份证号码、身份证发放和有效期。
详情
Twitter suspends hacker who allegedly stole data of 45 million Argentinians
https://www.zdnet.com/article/twitter-suspends-hacker-who-stole-data-of-46-million-argentinians/
跟踪 CVE-2021-26084 和其他基于服务器的漏洞利用
日期: 2021 年 10 月 18 日 等级: 高 作者: Ashish Verma,Yash Verma 标签: ognl, vulnerabilities, confluence 行业: 信息传输、软件和信息技术服务业
漏洞是威胁的切入点,即使是相对较新的漏洞也会有大量针对它们的攻击活动。
本文研究了恶意软件是如何攻击服务器漏洞的。研究了 atlassianconfluence 服务器 webworkognl 注入漏洞 cve-2021-26084,以及三个 oracleweblogic 服务器漏洞 cve-2020-14882、cve-2020-14750 和 cve-2020-14883。
涉及漏洞
cve-2021-26048
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-26048
cve-2021-26084
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-26084
cve-2020-14750
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-14750
cve-2020-14882
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-14882
cve-2020-14883
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-14883
详情
Tracking CVE-2021-26084 and Other Server-Based Vulnerability Exploits via Trend Micro Cloud One and Trend Micro Vision One
国家支持的黑客组织利用定制恶意软件入侵电信公司
日期: 2021 年 10 月 18 日 等级: 高 作者: Bill Toulas 标签: harvester, malware, telcos 行业: 跨行业事件 涉及组织: microsoft
一个以前不为人知的由国家资助的黑客组织正在部署一种新的恶意软件,以针对南亚的电信提供商和 IT 公司进行攻击。
赛门铁克的研究人员发现了这个组织,并命名为 harvester,他们的目标是在高度有针对性的间谍活动中收集情报,重点是电信和政府实体。
详情
State-backed hackers breach telcos with custom malware
宏碁在一周内被同一个黑客攻击了两次
日期: 2021 年 10 月 20 日 等级: 高 来源: heimdalsecurity 标签: Demoden, Acer 行业: 信息传输、软件和信息技术服务业
被确认为 desorden 的攻击者声称,他们侵入了宏碁印度公司的电脑,窃取了包括客户信息在内的数据。
宏碁在一份新闻稿中回应称,这次攻击只影响到他们在印度的售后支持系统。
desorden 向记者们透露,10 月 15 日,他们侵入宏碁公司的系统,窃取了员工和产品信息的信件。
desorden 还向记者们提供了宏碁台湾门户网站的内部图片,以及宏碁员工登录密码的 CSV 文件。
详情
Acer Hit Twice in One Week by the Same Hacker
https://heimdalsecurity.com/blog/acer-hit-twice-in-one-week-by-the-same-hacker/
政治主题攻击者使用旧的 MS Office 漏洞传播多个 RAT
日期: 2021 年 10 月 20 日 等级: 高 作者: Bill Toulas 标签: CVE-2017-11882, MS Office, RATs 行业: 信息传输、软件和信息技术服务业 涉及组织: twitter, google, microsoft, facebook, github
一个动机不明的新攻击者通过利用 CVE-2017-11882 运行犯罪软件活动,提供多个 Windows 和 AndroidRAT。
这个 4 年前的 MicrosoftOffice 公式编辑器漏洞已在 2017 年 11 月的补丁中得到解决,但它似乎仍然可以利用,尤其是在此活动的目标所在的印度和阿富汗。
涉及漏洞
cve-2017-11882
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2017-11882
详情
Political-themed actor using old MS Office flaw to drop multiple RATs
牙科联盟报告供应商漏洞影响 17 万
日期: 2021 年 10 月 21 日 等级: 高 作者: Marianne Kolbasuk McGee 标签: Dental Alliance, Breach 行业: 卫生和社会工作
在一份声明中,PDA 表示,为 PDA 业务提供管理和技术支持服务的附属供应商北美牙科管理公司 (NorthAmericanDentalManagement) 在 3 月 31 日和 4 月 1 日遭遇了电子邮件钓鱼和证书收集攻击。
PDA 说,这一事件可能暴露了患者的信息,包括姓名、邮寄地址、电子邮件地址、电话号码、牙科信息、保险信息、社会保险号和财务账号。
详情
Dental Alliance Reports Vendor Breach Affecting 170K
https://www.databreachtoday.com/dental-alliance-reports-vendor-breach-affecting-170k-a-17775
FIN7 建立虚假的 Pentesting 公司网站招聘人才
日期: 2021 年 10 月 22 日 等级: 高 作者: Mihir Bagwe 标签: FIN7, Pentesting Company 行业: 信息传输、软件和信息技术服务业 涉及组织: google
据反欺诈情报公司 GeminiAdvisory 称,FIN7 是一个以财务为动机的威胁组织,已经针对美国零售、餐饮和酒店业开展了大约 6 年的活动。
该组织建立了一个伪装成 Pentesting 公司的网站,以招聘人才。
报告称,该威胁组织在俄罗斯就业门户网站上发布了一家名为 BastionSecure 的虚假公司的招聘广告。
这一骗局的目的是吸引安全研究人员,他们可以帮助该组织进行渗透测试相关活动,从而使勒索软件攻击成为可能。
详情
FIN7 Sets Up Fake Pentesting Company Site to Recruit Talent
https://www.databreachtoday.com/fin7-sets-up-fake-pentesting-company-site-to-recruit-talent-a-17783
SCUF 游戏商店遭黑客攻击,盗取 32000 名顾客的信用卡信息
日期: 2021 年 10 月 22 日 等级: 高 作者: Sergiu Gatlan 标签: SCUF Gaming store, magecart 行业: 信息传输、软件和信息技术服务业 涉及组织: paypal
SCUFGaming 为 PC 和控制台制作高性能和定制的游戏控制器,由专业和休闲游戏玩家使用。
攻击者将基于 javascript 的脚本,注入被称为信用卡略读器 (又名 magecart 脚本) 的网络商店,使他们能够获取并窃取客户的支付和个人信息。
攻击者随后在黑客或卡片论坛上把它卖给其他人,或在各种金融或身份盗窃欺诈计划中使用它。因此,恶意脚本就被部署到 scuf 游戏的在线商店中。
详情
SCUF Gaming store hacked to steal credit card info of 32,000 customers
新的 MultiloginBot 网络钓鱼活动
日期: 2021 年 10 月 22 日 等级: 高 作者: Stuti Chaturvedi,Amandeep Kumar 标签: MultiloginBot, Phishing 行业: 信息传输、软件和信息技术服务业
multilogin 是一种应用程序,旨在使同时登录单个网站或平台上的多个帐户变得更容易。
最近,zscalerthreatlabz 遇到了一个实时网络钓鱼活动,该活动通过诱骗用户下载恶意安装程序,以真正的多登录用户为目标。
恶意程序托管在新注册的网站 “multiloginuk.com” 和“multiloginus.com”(注册日期为 2021 年 9 月 2 日)上,这两个网站与合法网站 “multilogin.com” 相似。
攻击者十分仔细地匹配每个细节,从网站布局到用于下载应用程序的 url 模式,以冒充合法网站。
攻击方式
- Exfiltration Over Web Service
- Archive Collected Data
- Boot or Logon Autostart Execution
- Credentials from Password Stores
- Command and Scripting Interpreter
- Compromise Infrastructure
- Data from Local System
- Email Collection
详情
New MultiloginBot Phishing Campaign
https://www.zscaler.com/blogs/security-research/new-multiloginbot-phishing-campaign
相关安全建议
- 积极开展外网渗透测试工作,提前发现系统问题
- 减少外网资源和不相关的业务,降低被攻击的风险
- 做好产品自动告警措施
- 及时对系统及各个服务组件进行版本升级和补丁更新
- 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
- 注重内部员工安全培训
