报告编号:B6-2021-120602
报告来源:360CERT
报告作者:360CERT
更新日期:2021-12-06
1. 事件导览
本周收录安全热点31项,话题集中在恶意软件、网络攻击方面,涉及的组织有:谷歌云、日本松下集团、MonoX、美国国务院等。多个严重漏洞曝光,各厂商注意及时修复。对此,360CERT 建议使用360 安全卫士进行病毒检测、使用360 安全分析响应平台进行威胁流量检测,使用360 城市级网络安全监测服务 QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
2. 事件目录
| 恶意程序 |
|---|
| 活动滥用合法的远程管理 工具 使用假冒的加密货币网站 |
| 超过30万安卓用户下载了这些银行特洛伊木马恶意软件应用 |
| EwDoor僵尸网络瞄准美国公司的AT&T网络边缘设备 |
| 伊朗Android用户被广泛的Smishing活动欺骗 |
| FBI:Cuba勒索软件攻击了49个美国关键基础设施组织 |
| 黑客使用受损的谷歌云帐户挖掘加密货币 |
| Flubot银行木马病毒在芬兰通过短信传播 |
| Yanluowang勒索软件与Thieflock的联系 |
| Emotet现在通过假冒的Adobe Windows应用程序安装包传播 |
| 恶意Android应用程序窃取马来西亚银行凭证、MFA代码 |
| Microsoft Exchange服务器被黑客攻击以部署Blackbyte勒索软件 |
| Aberbot-2.0攻击银行应用程序和加密钱包 |
| Sabbath勒索软件的目标是美国和加拿大的关键基础设施 |
| 分析TeamTNT如何使用受损的Docker Hub帐户 |
| 新的恶意软件隐藏作为合法的Nginx进程在电子商务服务器 |
| 新的广告活动传播后门,恶意Chrome扩展 |
| 通过GitHub, Netlify发布的Monero挖掘恶意软件漏洞 |
| 恶意的KMSPico安装程序窃取加密货币钱包 |
| 数据安全 |
|---|
| 巴基斯坦国家数据库生物特征数据泄露 |
| Quest的Reposource因影响35万名患者的数据泄露而面临患者诉讼 |
| DNA检测服务数据泄露影响210万用户 |
| 洛杉矶计划生育协会遭受勒索软件攻击。导致数据泄露 |
| 网络攻击 |
|---|
| 新的Chinotto间谍软件以朝鲜叛逃者、人权活动家为目标 |
| 科罗拉多能源公司在网络攻击后丢失了25年的数据,但仍在重建网络 |
| 美国国务院雇员的电话被NSO的间谍软件窃听 |
| 隐秘的WiRTE黑客瞄准中东政府 |
| 松下在遭受黑客攻击后数据泄露 |
| 昆士兰政府能源发电机遭勒索软件袭击 |
| MonoX表示因漏洞导致被黑客窃取3100万美元 |
| 网络钓鱼攻击者开始利用新冠病毒变种话题 |
| 去中心化金融平台badgerdao遭黑客攻击 损失超过1.2亿美元 |
3. 恶意程序
活动滥用合法的远程管理工具使用假冒的加密货币网站
日期: 2021 年 11 月 29 日
等级: 高
作者: Jaromir Horejsi
标签: 事件类型:恶意程序事件, 攻击手法:DLL 加载
行业: 信息传输、软件和信息技术服务业
涉及组织: teamviewer
一段时间以来,trendmicro 一直在跟踪一项涉及滥用众所周知的远程访问工具 (RAT)(即 TeamViewer)的 SpyAgent 恶意软件的活动。
trendmicro 观察到一个新的与加密货币相关的活动,该活动通过名为 SpyAgent 的较新版本的恶意软件滥用称为 Safib 助手的合法俄罗斯 RAT。
这涉及利用 DLL 旁加载漏洞,该漏洞会导致加载恶意 DLL。该 DLL 挂钩并修补 RAT 调用的各种 API 函数。这会导致 RAT 窗口对用户隐藏。
详情
Remote access tools abused to spread malware and steal cryptocurrency
https://www.trendmicro.com/en\\_us/research/21/k/campaign-abusing-rats-uses-fake-websites.html
超过 30 万安卓用户下载了这些银行特洛伊木马恶意软件应用
日期: 2021 年 11 月 30 日
等级: 高
作者: Danny Palmer
标签: 事件类型:恶意程序事件
行业: 信息传输、软件和信息技术服务业
涉及组织: google, whatsapp
超过 30 万安卓智能手机用户在成为绕过谷歌 Play 应用商店检测的恶意软件的受害者后,下载了被证明是银行特洛伊木马的软件。四种不同形式的恶意软件通过通常下载的应用程序的恶意版本,包括文档扫描仪、二维码阅读器、健身监视器和加密货币应用程序,向受害者交付。这四个恶意软件分别是:Anatsa、Alien、Hydra 和 Ermac。这些应用程序通常附带一些功能,这些功能都是为了避免用户产生怀疑而发布的。在每种情况下,应用程序的恶意意图都是隐藏的,只有在安装应用程序后,才会开始交付恶意软件,从而使他们能够绕过 PlayStore 检测。
详情
Over 300,000 Android users have downloaded these banking trojan malware apps, say security researchers
EwDoor 僵尸网络瞄准美国公司的 AT&T 网络边缘设备
日期: 2021 年 11 月 30 日
等级: 高
作者: Sergiu Gatlan
标签: 事件类型:恶意程序事件,
涉及组织:360 netlab, 恶意程序:EwDoor
行业: 信息传输、软件和信息技术服务业
2021 年 10 月 27 日,360netlab 的 BotMon 系统发现有攻击者正通过 CVE-2017-6079 漏洞攻击 EdgewaterNetworks 设备,其 payload 里有比较罕见的 mount 文件系统指令,这引起了 360netlab 的兴趣,经过分析,360netlab 确认这是一个全新的僵尸网络家族,基于其针对 Edgewater 产商、并且有 Backdoor 的功能,360netlab 将它命名为 EwDoor。
涉及漏洞
cve-2017-6079
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2017-6079
详情
EwDoor botnet targets AT&T network edge devices at US firms
https://blog.netlab.360.com/warning-ewdoor-botnet-is-attacking-att-customers\\_cn/
伊朗 Android 用户被广泛的 Smishing 活动欺骗
日期: 2021 年 12 月 01 日
等级: 高
来源: threatpost
标签: 事件类型:恶意程序事件, 攻击手法:钓鱼攻击
行业: 信息传输、软件和信息技术服务业
涉及组织: check point
攻击者冒充伊朗政府发起了一场广泛的短信钓鱼活动,在数千名 Android 用户的设备上安装恶意软件,窃取他们的信用卡数据,并从他们的金融账户中抽取资金,以此欺骗他们。
CheckPointResearch 的研究人员估计,这场通过发送所谓的 “假短信”(smishing) 诱使受害者访问恶意网站的活动,已经危及了数万台设备。
详情
Widespread ‘Smishing’ Campaign Defrauds Iranian Android Users
https://threatpost.com/smishing-campaign-iranian-android-users/176679/
FBI:Cuba 勒索软件攻击了 49 个美国关键基础设施组织
日期: 2021 年 12 月 03 日
等级: 高
作者: Sergiu Gatlan
标签: 事件类型:恶意程序事件, 攻击者:cuba ransomware gang
行业: 跨行业事件
涉及组织: microsoft, fbi
美国联邦调查局 (FBI) 透露,Cuba 勒索软件团伙已经破坏了至少 49 个组织的网络,这些组织来自美国重要的基础设施部门。
联邦执法机构表示:“联邦调查局已确认,截至 2021 年 11 月初,Cuba 勒索软件背后的黑客已危及 5 个关键基础设施部门的至少 49 个实体,包括但不限于金融、政府、医疗保健、制造业和信息技术部门。”
联邦调查局还补充说,这个勒索软件集团自开始攻击目标以来已经赚了超过 4000 万美元。
详情
FBI: Cuba ransomware breached 49 US critical infrastructure orgs
黑客使用受损的谷歌云帐户挖掘加密货币
日期: 2021 年 11 月 29 日
等级: 高
作者: Ravie Lakshmanan
标签: 涉及厂商:Google Cloud, 事件类型:恶意程序事件
行业: 信息传输、软件和信息技术服务业
涉及组织: google, samsung, youtube, github
攻击者正在利用不安全的谷歌云平台 (gcp) 实例下载加密货币挖掘软件到受威胁的系统,并滥用其基础设施安装勒索软件,进行网络钓鱼活动,甚至为 YouTube 视频产生流量以操纵浏览量。
在最近被攻破的 50 个 GCP 实例中,86% 被用于进行加密货币挖掘,在某些情况下,在成功攻破后的 22 秒内,而 10% 的实例被用于扫描互联网上其他可公开访问的主机,以识别易受攻击的系统,8% 的实例被用来打击其他实体。大约 6% 的 GCP 实例被用于承载恶意软件。
详情
Hackers Using Compromised Google Cloud Accounts to Mine Cryptocurrency
https://thehackernews.com/2021/11/hackers-using-compromised-google-cloud.html
Flubot 银行木马病毒在芬兰通过短信传播
日期: 2021 年 11 月 30 日
等级: 高
来源: threatpost
标签: 事件类型:恶意程序事件, 恶意程序:Flubot
行业: 信息传输、软件和信息技术服务业
涉及组织: intel
Flubot 银行木马病毒正在芬兰蔓延,通过 Android 手机传播,发送了数百万条恶意短信。
芬兰交通和通讯局的国家网络安全中心 (ncscfi) 发布了一份关于恶意软件风暴的严重警告,称该病毒通过数十种信息变体传播。
一旦安装完毕,Flubot 就会着手获取许可、窃取银行信息和凭证、盗取存储在设备上的密码,并将各种个人信息储存起来。
详情
Finland Faces Blizzard of Flubot-Spreading Text Messages
https://threatpost.com/finland-flubot-text-messages/176649/
Yanluowang 勒索软件与 Thieflock 的联系
日期: 2021 年 11 月 30 日
等级: 高
来源: threatpost
标签: 事件类型:恶意程序事件, 恶意程序:Yanluowang, 恶意程序:Thieflock
行业: 金融业
研究人员发现,此前与 Thieflock 勒索软件操作有关的一个威胁行为者,现在可能正在使用新兴的盐洛旺勒索软件,对美国企业进行一系列攻击。
研究人员发现了 Thieflock 和 Yanluowang 之间的联系,在观察到后者被用于针对一家大型组织后,他们于去年 10 月披露了后者。
他们认为,自 8 月以来,有黑客一直在利用 Yanluowang 攻击美国的主要金融公司。
详情
Yanluowang Ransomware Tied to Thieflock Threat Actor
https://threatpost.com/yanluowang-ransomware-thieflock-threat-actor/176640/
Emotet 现在通过假冒的 Adobe Windows 应用程序安装包传播
日期: 2021 年 12 月 01 日
等级: 高
作者: Lawrence Abrams
标签: 事件类型:恶意程序事件, 恶意程序:Emotet
行业: 信息传输、软件和信息技术服务业
涉及组织: google, microsoft, adobe
emotet 恶意软件现在通过伪装成 adobePDF 软件的恶意 Windows 应用程序安装包传播。
Emotet 是一种通过钓鱼邮件和恶意附件传播的臭名昭著的恶意软件感染。
一旦安装,它将窃取受害者的电子邮件为其他垃圾邮件活动,并部署恶意软件,如狡诈机器人和 qbot,这通常导致勒索软件攻击。
详情
Emotet now spreads via fake Adobe Windows App Installer packages
恶意 Android 应用程序窃取马来西亚银行凭证、MFA 代码
日期: 2021 年 12 月 01 日
等级: 高
作者: Bill Toulas
标签: 事件类型:恶意程序事件
行业: 金融业
涉及组织: twitter, google
一款假冒的安卓应用冒充家政服务,从马来西亚八家银行的客户那里窃取网上银行凭证。
该应用通过多个假冒或克隆的网站和社交媒体账户进行推广,以推广恶意软件 apk,即马来西亚清洁服务。
cyble 的研究人员对其进行了分析,并提供了该应用恶意行为的详细信息。
详情
Malicious Android app steals Malaysian bank credentials, MFA codes
Microsoft Exchange 服务器被黑客攻击以部署 Blackbyte 勒索软件
日期: 2021 年 12 月 01 日
等级: 高
作者: Bill Toulas
标签: 事件类型:恶意程序事件
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft
Blackbyte 勒索软件团伙现在利用 proxyshell 漏洞利用 microsoftexchange 破坏企业网络。
Proxyshell 是三个 Microsoftexchange 漏洞集合的名称,当链接在一起时,这些漏洞允许未经身份验证的远程代码在服务器上执行。
涉及漏洞
cve-2021-34473
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34473
cve-2021-34523
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34523
cve-2021-34523
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34523
详情
Microsoft Exchange servers hacked to deploy BlackByte ransomware
Aberbot-2.0 攻击银行应用程序和加密钱包
日期: 2021 年 12 月 01 日
等级: 高
作者: Soumik Ghosh
标签: 事件类型:恶意程序事件, 恶意程序:aberebot-2
行业: 金融业
涉及组织: google, ibm
Aberbot-2.0 是一款银行恶意软件的新变种,目标是 22 个国家的 213 款银行应用和 9 款加密钱包应用。
这种基于 telegram 的恶意软件名为 aberebot-2.0,是 2021 年 7 月发现的 aberebot 机器人银行木马的新版本。
详情
Report: Aberebot-2.0 Hits Banking Apps and Crypto Wallets
https://www.databreachtoday.com/report-aberebot-20-hits-banking-apps-crypto-wallets-a-18031
Sabbath 勒索软件的目标是美国和加拿大的关键基础设施
日期: 2021 年 12 月 01 日
等级: 高
作者: Pierluigi Paganini
标签: 事件类型:恶意程序事件, 恶意程序:Sabbath
行业: 信息传输、软件和信息技术服务业
一个名为 Sabbath(又名 unc2190) 的新勒索软件组织自 2021 年 6 月以来一直针对美国和加拿大的关键基础设施。
根据下颌研究人员的说法,这群人是 arcane 和 eruptiongangs 的重新命名。
根据 mandiant 公司的警告,该组织以前以 arcane 和 eruptiongangs 的名义开展活动,并在去年被观察到部署了 rollcoast 勒索软件。
详情
Sabbath Ransomware target critical infrastructure in the US and Canada
https://securityaffairs.co/wordpress/125154/cyber-crime/sabbath-ransomware.html
分析 TeamTNT 如何使用受损的 Docker Hub 帐户
日期: 2021 年 12 月 01 日
等级: 高
作者: Nitesh Surana
标签: 事件类型:恶意程序事件, 攻击者:TeamTNT
行业: 信息传输、软件和信息技术服务业
涉及组织: docker
在 11 月初,trendmicro 披露了被入侵的 dockerhub 账户被用于加密货币挖掘,这些活动与 TeamTNT 黑客有关。
虽然这些帐户现在已经被删除,trendmicro 仍然能够调查 TeamTNT 的活动与这些被破坏的帐户。
涉及漏洞
cve-2018-18264
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2018-18264
详情
Analyzing How TeamTNT Used Compromised Docker Hub Accounts
新的恶意软件隐藏作为合法的 Nginx 进程在电子商务服务器
日期: 2021 年 12 月 02 日
等级: 高
作者: Ionut Ilascu
标签: 恶意程序:nginrat, 事件类型:恶意程序事件
行业: 批发和零售业
电子商务服务器正受到远程访问恶意软件的攻击,这些恶意软件隐藏在 Nginx 服务器上,使其对安全解决方案几乎不可见。
该威胁的名称为 nginrat,是其目标应用程序及其提供的远程访问能力的组合,并被用于服务器端攻击,从在线商店窃取支付款卡数据。
Nginrat 是在北美和欧洲的电子商务服务器上发现的,该服务器被感染了 cronrat(一种远程访问木马),它将有效负载隐藏在计划在无效日期执行的任务中。
详情
New malware hides as legit nginx process on e-commerce servers
新的广告活动传播后门,恶意 Chrome 扩展
日期: 2021 年 12 月 03 日
等级: 高
作者: Ravie Lakshmanan
标签: 事件类型:恶意程序事件, 攻击者:magnat
行业: 信息传输、软件和信息技术服务业
涉及组织: cisco, twitter, google
一系列恶意运动已经利用 Viber,Wechat,Noxplayer 和 battlefield 等流行应用和游戏的伪装,作为诱惑用户下载新的后门和无证的恶意谷歌浏览器扩展,其目标是窃取凭据存储在受妥协的系统中的数据以及维护持久远程访问。
思科塔洛斯将恶意软件的有效载荷归因于一个化名为 “magnat” 的未知攻击者,并指出“这两个家族一直受到其作者不断开发和改进的影响。”
详情
New Malvertising Campaigns Spreading Backdoors, Malicious Chrome Extensions
https://thehackernews.com/2021/12/new-malvertising-campaigns-spreading.html
通过 GitHub, Netlify 发布的 Monero 挖掘恶意软件漏洞
日期: 2021 年 12 月 03 日
等级: 高
作者: Nitesh Surana
行业: 信息传输、软件和信息技术服务业
涉及组织: f5, github
2021 早些时候,ApacheHTTPServerProject 披露了一个被识别为 cve-2021-41773 的安全漏洞,这是 ApacheHTTPServer2.4.49 中的路径遍历和远程代码执行 (RCE) 漏洞。
如果这个漏洞被利用,它允许攻击者将 url 映射到由类似别名的指令配置的目录之外的文件。在某些配置下,CommonGatewayInterface(CGI) 脚本为别名路径启用,攻击者也可以将其用于 RCE。由于最初的修复被认为是不够的,后来报告了该修复的一个绕过,并跟踪为 CVE-2021-42013。然而,当 trendmicro 查看滥用该漏洞的恶意示例时,trendmicro 发现更多的这些漏洞被滥用,以针对产品和包中的不同缺口,恶意挖掘 Monero。
涉及漏洞
cve-2021-41773
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-41773
cve-2021-42013
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-42013
cve-2021-40438
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-40438
cve-2021-26084
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-26084
cve-2021-26085
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-26085
cve-2021-21972
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-21972
cve-2021-21973
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-21973
cve-2021-21985
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-21985
cve-2021-22005
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-22005
cve-2020-5902
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-5902
cve-2020-14882
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-14882
cve-2020-14750
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-14750
cve-2020-14883
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-14883
cve-2021-22986
链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-22986
详情
Vulnerabilities Exploited for Monero Mining Malware Delivered via GitHub, Netlify
恶意的 KMSPico 安装程序窃取加密货币钱包
日期: 2021 年 12 月 04 日
等级: 高
作者: Bill Toulas
标签: 事件类型:恶意程序事件
行业: 信息传输、软件和信息技术服务业
涉及组织: google, microsoft
攻击者正在分发修改过的 KMSPico 安装程序,以通过窃取加密货币钱包的恶意软件感染 Windows 设备。
红金丝雀的研究人员发现了这种行为,他们警告说,为了节省授权费用而使用盗版软件是不值得的。
Kmspico 是一个流行的 MicrosoftWindows 和 office 产品激活器,它模拟 Windows 密钥管理服务 (kms) 服务器来欺骗性地激活许可证。根据红金丝雀的说法,许多 it 部门使用 kmspico 而不是合法的微软软件许可证,其规模远远超出人们的预期。
详情
Malicious KMSPico installers steal your cryptocurrency wallets
相关安全建议
- 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
- 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
- 及时对系统及各个服务组件进行版本升级和补丁更新
- 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
- 各主机安装 EDR 产品,及时检测威胁
- 注重内部员工安全培训
- 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序
- 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理
4. 数据安全
巴基斯坦国家数据库生物特征数据泄露
日期: 2021 年 11 月 29 日
等级: 高
作者: Soumik Ghosh
标签: 事件类型:数据泄露事件
行业: 卫生和社会工作
据巴基斯坦日报《黎明报》报道,该国国家数据库和注册局 (NationalDatabaseandRegistrationAuthority) 的生物识别数据已遭泄露。
曙光号最初报道说,美国国家数据库和注册管理局 (简称 NADRA) 的生物特征数据遭到了黑客攻击。但佩尔韦兹后来澄清说,这些数据被泄露了,但没有被黑。
详情
Pakistan’s National Database Biometric Data Compromised
https://www.databreachtoday.com/pakistans-national-database-biometric-data-compromised-a-18009
Quest 的 Reposource 因影响 35 万名患者的数据泄露而面临患者诉讼
日期: 2021 年 11 月 30 日
等级: 高
作者: Jessica Davis
标签: 事件类型:数据泄露事件
行业: 卫生和社会工作
Quest 生育诊断公司通知约 35 万名患者,他们的数据可能被勒索软件访问或获取。
在告知 35 万名患者他们受保护的健康信息可能被盗一个月后,再生生育诊断被一名患者起诉,称其存在安全隐患。再生资源是一个临床实验室的生育专家和一个附属的探索诊断。
详情
Quest’s ReproSource faces patient lawsuit over data breach impacting 350K patients
DNA 检测服务数据泄露影响 210 万用户
日期: 2021 年 12 月 01 日
等级: 高
作者: Waqas
标签: 事件类型:数据泄露事件
行业: 卫生和社会工作
DNA 诊断中心表示,黑客试图获取其包括支付款卡在内的用户的高度敏感信息和个人信息。
位于俄亥俄州的 DNA 测试服务 DNA 诊断中心(DDC)的 Fairfield 披露了一种数据泄露,其中敏感的个人和财务数据超过 210 万(2,102,436)客户 / 用户被黑客偷走了。
详情
DNA testing service data breach impacting 2.1 million users
https://www.hackread.com/dna-testing-service-data-breach-users-impacted/
洛杉矶计划生育协会遭受勒索软件攻击。导致数据泄露
日期: 2021 年 12 月 02 日
等级: 高
来源: heimdalsecurity
标签: 事件类型:数据泄露事件
行业: 卫生和社会工作
洛杉矶一家医疗服务提供商计划生育协会 la(缩写为 ppla) 透露,在去年 10 月遭到勒索软件攻击后,该公司的数据遭到了泄露。
这一事件导致了近 40 万名患者的个人数据暴露。该公司于 11 月 4 日发现,被盗的资料中包括出生资料、诊断或程序等临床资料、地址、保险资料等个人信息,从而确定了被盗资料的性质。
详情
Planned Parenthood LA Impacted by Ransomware Attack that Led to Data Breach
https://heimdalsecurity.com/blog/planned-parenthood-la-data-breach-due-to-ransomware-attack/
相关安全建议
- 及时备份数据并确保数据安全
- 合理设置服务器端各种文件的访问权限
- 严格控制数据访问权限
- 及时检查并删除外泄敏感数据
- 发生数据泄漏事件后,及时进行密码更改等相关安全措施
- 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施
5. 网络攻击
新的 Chinotto 间谍软件以朝鲜叛逃者、人权活动家为目标
日期: 2021 年 11 月 29 日
等级: 高
作者: Ravie Lakshmanan
标签: 事件类型:网络攻击事件, 攻击者:apt37
行业: 政府机关、社会保障和社会组织
涉及组织: tencent, microsoft, huawei, facebook
朝鲜叛逃者、报道朝鲜相关新闻的记者和在韩国的实体正被国家支持的 apt 组织攻击。
卡巴斯基将此次入侵归因于一个被追踪到的朝鲜黑客组织,该组织名为 scarcruft,也被称为 apt37,reapergroup,inkysquid 和 ricochetchollima。
该组织使用了三种具有类似功能的恶意软件: powershell 版本,Windows 可执行程序和 android 应用程序。
详情
New Chinotto Spyware Targets North Korean Defectors, Human Rights Activists
https://thehackernews.com/2021/11/new-chinotto-spyware-targets-north.html
科罗拉多能源公司在网络攻击后丢失了 25 年的数据,但仍在重建网络
日期: 2021 年 12 月 02 日
等级: 高
作者: Jonathan Greig
标签: 事件类型:网络攻击事件
行业: 电力、热力、燃气及水生产和供应业
涉及组织: wordpress
科罗拉多州的德尔塔 - 蒙特罗斯电力协会 (dmea) 仍在努力从 11 月毁灭性的网络攻击中恢复,该攻击导致其 90% 的内部系统瘫痪,并导致 25 年的历史数据丢失。
该公司说,它从 11 月 7 日开始注意到问题,网络攻击最终导致其大部分内部网络服务瘫痪。此次攻击影响了该公司所有的支持系统、支付处理工具、计费平台和其他提供给客户的工具。
详情
Colorado energy company loses 25 years of data after cyberattack while still rebuilding network
美国国务院雇员的电话被 NSO 的间谍软件窃听
日期: 2021 年 12 月 03 日
等级: 高
作者: Sergiu Gatlan
标签: 事件类型:网络攻击事件, 恶意程序:pegasus
行业: 政府机关、社会保障和社会组织
涉及组织: apple
苹果公司 (Apple) 警告美国国务院 (departmentofstate) 雇员称,他们的 iphone 遭到了不明身份攻击者的黑客攻击,攻击者利用一项名为 forceentry 的 ios 漏洞,部署了以色列监控公司 NSO 集团开发的飞马 (pegasus) 间谍软件。
根据路透社 12 月 3 日引用的匿名消息来源,这些攻击针对的是美国官员 (据《华盛顿邮报》报道,至少有 11 起),他们的基地在东非国家乌干达,或者是与乌干达有关的事务,并且发生在最近几个月。
详情
US State Dept employees’ phones hacked using NSO spyware
隐秘的 WiRTE 黑客瞄准中东政府
日期: 2021 年 11 月 29 日
等级: 高
作者: Bill Toulas
标签: 事件类型:网络攻击事件
行业: 政府机关、社会保障和社会组织
涉及组织: cloudflare
一个名为 “WiRTE” 的秘密黑客组织至少从 2019 年起就与针对政府的攻击活动有关,他们使用恶意的 excel4.0 宏进行攻击。
主要的目标范围包括在中东的公共和私人实体,但也有其他地区。
卡巴斯基分析了这次行动、工具和方法,认为该组织有支持巴勒斯坦的动机,并被怀疑是 gazacybergang 的一部分。
详情
Stealthy WIRTE hackers target governments in the Middle East
松下在遭受黑客攻击后数据泄露
日期: 2021 年 11 月 29 日
等级: 高
作者: Sergiu Gatlan
标签: 事件类型:网络攻击事件
行业: 制造业
涉及组织: wordpress, Panasonic
日本跨国企业集团松下 11 月披露了一个安全漏洞,未知的攻击者可以获得访问其网络服务器的权限。
松下公司已经确认其网络在 2021 年 11 月 11 日被第三方非法访问。内部调查的结果是,在入侵过程中,文件服务器上的一些数据被非法访问。
详情
Panasonic discloses data breach after network hack
https://www.bleepingcomputer.com/news/security/panasonic-discloses-data-breach-after-network-hack/
昆士兰政府能源发电机遭勒索软件袭击
日期: 2021 年 11 月 30 日
等级: 高
作者: Chris Duckett
标签: 事件类型:勒索软件事件
行业: 电力、热力、燃气及水生产和供应业
昆士兰州政府所有的能源公司 CSenergy 表示,该公司正在应对发生的勒索软件事件。
该公司表示,该事件没有影响卡利德和科根溪电站的发电,并正在寻求恢复其网络。
针对该事件,澳新银行 Claroty 地区主管拉尼 · 莱菲蒂 (LaniRefiti) 表示,由于基础设施公司无法承受任何中断或停机,关键基础设施越来越多地成为勒索软件团伙的目标。
详情
Queensland government energy generator hit by ransomware
https://www.zdnet.com/article/queensland-government-energy-generator-hit-by-ransomware/
MonoX 表示因漏洞导致被黑客窃取 3100 万美元
日期: 2021 年 12 月 02 日
等级: 高
标签: 受害者组织:monox finance
行业: 金融业
区块链初创公司 MonoX 在 2021 年 12 月 1 日表示,由于软件中用于起草智能合约部分存在漏洞,已经被黑客已经成功窃取了 3100 万美元。
该公司使用一种被称为 monox 的去中心化金融协议,让用户在没有传统交易所的一些要求的情况下交易数字货币代币。
详情
MonoX 宣布因漏洞导致被黑客窃取 3100 万美元
https://www.cnbeta.com/articles/tech/1209969.htm
网络钓鱼攻击者开始利用新冠病毒变种话题
日期: 2021 年 12 月 02 日
等级: 高
作者: Bill Toulas
标签: 攻击手法:钓鱼攻击, 事件类型:网络攻击事件
行业: 信息传输、软件和信息技术服务业
涉及组织: adobe, nhs
网络钓鱼攻击者开始利用 OmicronCOVID-19 变种,现在把它作为他们恶意电子邮件活动的诱饵。
攻击者很擅长利用最新的趋势和热门话题,而增加人们的恐惧是一个很好的方法,利用新冠病毒变种的消息使人们在没有首先考虑它的情况下就急于打开一封电子邮件。
详情
Phishing actors start exploiting the Omicron COVID-19 variant
去中心化金融平台 badgerdao 遭黑客攻击 损失超过 1.2 亿美元
日期: 2021 年 12 月 03 日
等级: 高
标签: 事件类型:网络攻击事件
行业: 金融业
2021 年 12 月 1 日晚间,有黑客从连接到去中心化金融平台 badgerdao 的多个加密货币钱包中窃取了价值 1.2 亿美元的各种代币。
目前 badger 已经和区块链安全和数据分析公司 peckshield 合作调查本次事件。
详情
去中心化金融平台 BadgerDAO 遭黑客攻击 损失超过 1.2 亿美元
https://www.cnbeta.com/articles/tech/1210257.htm
相关安全建议
- 积极开展外网渗透测试工作,提前发现系统问题
- 减少外网资源和不相关的业务,降低被攻击的风险
- 做好产品自动告警措施
- 及时对系统及各个服务组件进行版本升级和补丁更新
- 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
- 注重内部员工安全培训
