报告编号:B6-2021-072601
报告来源:360CERT
报告作者:360CERT
更新日期:2021-07-26
1. 事件导览
本周收录安全热点17项,话题集中在恶意软件、网络攻击方面,涉及的组织有:Apple、Microsoft、Android、沙特阿美等。奥运会期间,日本遭遇多次网络攻击。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
2. 事件目录
| 恶意程序 |
|---|
| 如何捕获NSO集团的Pegasus软件 |
| 黑客组织攻击 Linux 机器并部署 Cryptominer 恶意软件 |
| 印媒:以色列间谍软件潜在监控名单包括中国外交官 |
| Google Play 中的 Joker 恶意软件 |
| StrongPity APT组首次部署Android恶意软件 |
| XLoader Windows InfoStealer恶意软件现在升级并攻击macOS系统 |
| Ransomware勒索软件团伙利用伪造的浏览器更新攻击了CNA的网络 |
| APT黑客通过叙利亚电子政务门户散布Android木马 |
| 日本计算机在东京奥运会前遭到恶意软件攻击 |
| 数据安全 |
|---|
| 沙特阿美数据泄露导致 1 TB 被盗数据出售 |
| 日本政府称奥运门票数据泄露 |
| 网络攻击 |
|---|
| 外交部:中方再次强烈要求美国及其盟友停止针对中国的网络攻击 |
| 俄罗斯 SVR 黑客利用Safari 0day攻击 LinkedIn 用户 |
| Caliente Bardits传播Bandook恶意软件攻击西班牙组织 |
| 攻击者通过 Argo 工作流在 Kubernetes 集群上部署挖矿程序 |
| 新的 PetitPotam 攻击允许接管 Windows 域 |
| 其它事件 |
|---|
| 长达 16 年的安全漏洞影响了数百万台打印机 |
3. 恶意程序
如何捕获NSO集团的Pegasus软件
日期: 2021年07月19日
等级: 高
作者: Howie Shia
标签: Pegasus, NSO Group
行业: 信息传输、软件和信息技术服务业
本报告和附录中详细描述了从2014年到2021年7月的飞马攻击。
这些还包括所谓的“零点击”攻击,这些攻击不需要目标的任何交互。
自2018年5月以来,已观察到零点击攻击,并继续到目前为止。
最近,已经观察到已经开始使用“零点击”攻击,利用多个零日漏洞来攻击运行IOS14.6的iPhone12。
黑客组织攻击 Linux 机器并部署 Cryptominer 恶意软件
日期: 2021年07月19日
等级: 高
来源: ehackingnews
标签: Cryptojacking Campaign, Brute Force
行业: 信息传输、软件和信息技术服务业
根据研究人员的说法,罗马尼亚黑客组织正在使用一种新的暴力破解器“diicotbrute”来破解基于Linux的机器上的ssh密码,并安装挖矿软件xmrig。研究人员表示,他们将此次攻击活动与两个ddos僵尸网络联系起来:一种是名为“chernobyl”的ddosDemonbot僵尸网络的变体;一个是perlirc僵尸网络。
印媒:以色列间谍软件潜在监控名单包括中国外交官
日期: 2021年07月20日
等级: 高
作者: 乌元春
标签: BBC, Pegasus, Israel, Spyware
行业: 跨行业事件
一款据称监视了全球5万多人的以色列间谍软件“监听门”成为国际焦点。
英国广播公司(BBC)此前报道称,以色列软件监控公司NSO向一些国家售卖了一款名为“飞马”的手机间谍软件,用以监控记者、律师、人权活动人士甚至各国的相关政要。
被监听对象据称包括国家元首、王室成员、部长、企业高管、记者等,至少涉及50多个国家和地区。印媒20日的报道称,被这一间谍软件监控的名单上,竟然也包括中国外交官!
详情
印媒:以色列间谍软件潜在监控名单包括中国外交官
https://3w.huanqiu.com/a/c36dc8/440t5PHmlZs
Google Play 中的 Joker 恶意软件
日期: 2021年07月20日
等级: 高
作者: Viral Gandhi
标签: Joker, Google Play, spyware
行业: 信息传输、软件和信息技术服务业
涉及组织: google
Joker是针对Android设备的最突出的恶意软件系列之一。
尽管公众已经意识到这种恶意软件,但它通过在其代码,执行方法或有效载荷检索技术中使用更改来不断进入谷歌的官方应用程序市场。
此间谍软件旨在窃取短信,联系人列表和设备信息,并签署PremiumWirelessProtocol(WAP)服务的受害者。
详情
Joker Joking in Google Play
https://www.zscaler.com/blogs/security-research/joker-joking-google-play
StrongPity APT组首次部署Android恶意软件
日期: 2021年07月21日
等级: 高
作者: Zhengyu Dong,Fyodor Yarochkin,Steven Du
标签: Android, strongpity apt, malware
行业: 信息传输、软件和信息技术服务业
涉及组织: twitter, microsoft, samsung
研究人员最近对一个恶意的Android恶意软件样本进行了调查,认为该样本来自于StrongPityAPT组织,该组织发布在叙利亚电子政府网站上。
这是该组织首次被公开观察到使用恶意Android应用程序进行攻击。
恶意的APK软件很可能是使用类似水坑攻击的技术分发的。
据称,攻击者已侵入叙利亚官方电子政府网站,并将官方Android应用程序文件替换为原应用程序的木马版本。
详情
StrongPity APT Group Deploys Android Malware for the First Time
https://www.trendmicro.com/en_us/research/21/g/strongpity-apt-group-deploys-android-malware-for-the-first-time.html
XLoader Windows InfoStealer恶意软件现在升级并攻击macOS系统
日期: 2021年07月21日
等级: 高
作者: Ravie Lakshmanan
标签: Windows, MacOS, formbook, xloader
行业: 信息传输、软件和信息技术服务业
涉及组织: check point, microsoft
一种以从Windows电脑中窃取敏感信息而闻名的流行恶意软件,已经演变成一种新的恶意软件,可以攻击苹果的macos操作系统。
升级后的恶意软件被称为“xloader”,之前被称为formbook,formbook可以从各种网络浏览器中提取证书,捕捉屏幕截图,记录击键,从攻击者控制的域下载并执行文件。
在Darknet上低至49美元,黑客可以为新恶意软件购买许可证,使能功能收集登录凭据,收集屏幕截图,日志击键和执行恶意文件
详情
XLoader Windows InfoStealer Malware Now Upgraded to Attack macOS Systems
https://thehackernews.com/2021/07/xloader-windows-infostealer-malware-now.html
Ransomware勒索软件团伙利用伪造的浏览器更新攻击了CNA的网络
日期: 2021年07月22日
等级: 高
作者: Sergiu Gatlan
标签: CNA, Ransomware, Phoenix CryptoLocker
行业: 租赁和商务服务业
涉及组织: fbi, CNA
CNA保险公司披露,PhoenixCryptoLocker组织于3月5日首先侵入了一名员工的工作站,使用的是通过一个合法网站发布的伪造的恶意浏览器更新。
攻击者通过恶意软件在系统上获得了更高的权限,然后通过CNA的网络横向移动,破坏并在更多设备上建立持久化。
3月21日,PhoenixCryptoLocker组织在CNA的网络上部署了勒索软件后,对15000多个系统进行了加密。
详情
Ransomware gang breached CNA’s network via fake browser update
https://www.bleepingcomputer.com/news/security/ransomware-gang-breached-cna-s-network-via-fake-browser-update/
APT黑客通过叙利亚电子政务门户散布Android木马
日期: 2021年07月22日
等级: 高
作者: Ravie Lakshmanan
标签: Trojan, Syrian, Government, Portal
行业: 政府机关、社会保障和社会组织
涉及组织: cisco
在叙利亚电子政府门户网站部署安卓恶意软件的新活动中,一名高级持续威胁(APT)行为者被追踪到
据称,伪装成叙利亚电子政府Android应用程序的恶意软件是在2021年5月创建的,该应用程序的清单文件(“AndroidManifest.xml”)被修改,以明确地请求对手机的额外权限,包括读取联系人、写入外部存储、保持设备清醒、获取手机和Wi-Fi网络的信息,精确的位置,甚至允许应用程序在系统启动后立即启动。
详情
APT Hackers Distributed Android Trojan via Syrian e-Government Portal
https://thehackernews.com/2021/07/apt-hackers-distributed-android-trojan.html
日本计算机在东京奥运会前遭到恶意软件攻击
日期: 2021年07月24日
等级: 高
作者: Pierluigi Paganini
标签: Olympics, Japan, Wiper Malware
行业: 文化、体育和娱乐业
日本安全研究人员发现了一种以奥运会为主题的恶意软件,该恶意软件专门针对日本个人电脑而设计,并在2021年东京奥运会开幕式之前被检测到。恶意代码旨在清除用户个人窗口中的某些文件类型(dotm、dotx、pdf、csv、xls、xlsx、xlsm、ppt、pptx、pptm、jtdc、jttc、jtd、jtt、txt、exe、log)文件夹。专家还发现,该恶意软件的目标是使用ichitaro日语文字处理器创建的文件,这种情况表明它是为日本用户开发的。恶意软件还实现了规避和反分析功能,以防止恶意代码被分析。
详情
Japanese computers hit by a wiper malware ahead of 2021 Tokyo Olympics
https://securityaffairs.co/wordpress/120513/malware/2021-tokyo-olympics-wiper.html
相关安全建议
1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
3. 及时对系统及各个服务组件进行版本升级和补丁更新
4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
5. 各主机安装EDR产品,及时检测威胁
6. 注重内部员工安全培训
7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序
8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理
4. 数据安全
沙特阿美数据泄露导致 1 TB 被盗数据出售
日期: 2021年07月19日
等级: 高
作者: Ax Sharma
标签: Saudi, Aramco, data breach
行业: 采矿业
涉及组织: twitter
攻击者窃取了属于沙特阿美公司的1TB的专有数据,并在暗网上进行出售。
沙特阿拉伯石油公司,更好地称为沙特阿美公司,是世界上最大的公共石油和天然气公司之一。
攻击者正在以5000万美元的价格开始提供沙特阿美公司的数据。
详情
Saudi Aramco data breach sees 1 TB stolen data for sale
https://www.bleepingcomputer.com/news/security/saudi-aramco-data-breach-sees-1-tb-stolen-data-for-sale/
日本政府称奥运门票数据泄露
日期: 2021年07月23日
等级: 高
来源: ehackingnews
标签: Japan, Olympics, User Data Leak
行业: 文化、体育和娱乐业
日本政府官员称,东京奥运会门票网关的用户ID和密码在泄密网站上公布。ID和密码可能会让攻击者访问某人的姓名、地址、银行账户信息和其他个人信息。目前有多少帐户遭到入侵没有具体说明,奥运会的组织机构已经开始调查。
详情
Olympic Ticket Data Leaked, Says Japanese Government
https://www.ehackingnews.com/2021/07/olympic-ticket-data-leaked-says.html
相关安全建议
1. 及时备份数据并确保数据安全
2. 合理设置服务器端各种文件的访问权限
3. 严格控制数据访问权限
4. 及时检查并删除外泄敏感数据
5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施
6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施
5. 网络攻击
外交部:中方再次强烈要求美国及其盟友停止针对中国的网络攻击
日期: 2021年07月20日
等级: 高
作者: 吴咏玲
标签:
行业: 政府机关、社会保障和社会组织
新华社北京7月20日电(记者潘洁、许可)外交部发言人赵立坚20日说,中方再次强烈要求美国及其盟友停止针对中国的网络窃密和攻击,停止在网络安全问题上向中国泼脏水,中方将采取必要措施坚定维护中国的网络安全和自身利益。
赵立坚在当日例行记者会上回答有关提问时说,美国纠集盟友在网络安全问题上对中国进行无理指责,此举无中生有,颠倒黑白,完全是出于政治目的的抹黑和打压,中方绝不接受。
他表示,中方坚决反对并打击任何形式的网络攻击,更不会对黑客攻击进行鼓励、支持或纵容。这一立场是一贯和明确的。网络空间虚拟性强,溯源难,行为体多样,在调查和定性网络事件时应有完整充分证据,将有关网络攻击与一国政府相关联,更应慎之又慎。美方发布的所谓技术细节并不能构成完整的证据链。
详情
外交部:中方再次强烈要求美国及其盟友停止针对中国的网络攻击
http://m.xinhuanet.com/2021-07/20/c_1127675665.htm
俄罗斯 SVR 黑客利用Safari 0day攻击 LinkedIn 用户
日期: 2021年07月19日
等级: 高
来源: ehackingnews
标签: Google Chrome, Internet Explorer, Linkedin, Safari, SVR
行业: 跨行业事件
谷歌安全专家透露了四个0day漏洞的详细信息:Chrome中的CVE-2021-21166和CVE-2021-30551、InternetExplorer中的CVE-2021-33742和WebKit中的CVE-2021-1879
据谷歌专家称,俄罗斯政府支持的黑客组织利用这些0day漏洞攻击运行旧版系统的设备。虽然谷歌没有将漏洞利用与特定的APT组织联系起来,但微软声称是Nobelium所为,该组织负责去年导致许多美国联邦机构受到攻击的SolarWinds供应链攻击。
涉及漏洞
cve-2021-21166
cve-2021-30551
等级: important
类型: type_confusion
简介:
- URL: https://chromereleases.googleblog.com/2021/06/stable-channel-update-for-desktop.html
cve-2021-33742
等级: critical
类型: code_execution
简介:
- URL: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-33742
- Text: 已存在在野利用。MSHTML的渲染引擎 Trident中存在一处严重漏洞,攻击者可以通过构建特制的Web页面诱使用户访问,即可控制用户计算机设备。
cve-2021-1879
详情
With Safari Zero-Day Attacks, Russian SVR Hackers Targeted LinkedIn Users
https://www.ehackingnews.com/2021/07/with-safari-zero-day-attacks-russian.html
Caliente Bardits传播Bandook恶意软件攻击西班牙组织
日期: 2021年07月21日
等级: 高
来源: ehackingnews
标签: Bandook, malware, Remote Access Trojan, Spanish
行业: 跨行业事件
自2021年1月以来,Proofpoint研究人员一直在追踪一个新的黑客团伙TA2721,也通常被称为CalienteBardits。
据研究人员称,该集团正积极瞄准许多行业,主要集中在娱乐和金融领域。
该组织正在传播一种已知但很少被使用的名为Bandook的RAT木马。
详情
Caliente Bandits Target Spanish Speaking Individuals to Spread Bandook Malware
https://www.ehackingnews.com/2021/07/caliente-bandits-target-spanish.html
攻击者通过 Argo 工作流在 Kubernetes 集群上部署挖矿程序
日期: 2021年07月23日
等级: 高
作者: Sergiu Gatlan
标签: Kubernetes, Argo, Cryptominers
行业: 信息传输、软件和信息技术服务业
涉及组织: Kubernetes
攻击者滥用配置错误的argo工作流实例在kubernetes(k8s)集群上部署加密货币矿工。Kubernetes(常简称为K8s)是用于自动部署、扩展和管理“容器化(containerized)应用程序”的开源系统。[3]该系统由Google设计并捐赠给CloudNativeComputingFoundation(今属Linux基金会)来使用。它旨在提供“跨主机集群的自动部署、扩展以及运行应用程序容器的平台”。
详情
Attackers deploy cryptominers on Kubernetes clusters via Argo Workflows
https://www.bleepingcomputer.com/news/security/attackers-deploy-cryptominers-on-kubernetes-clusters-via-argo-workflows/
新的 PetitPotam 攻击允许接管 Windows 域
日期: 2021年07月23日
等级: 高
作者: Lawrence Abrams
标签: petitpotam, Ntlm
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft
一种名为petitpotam的新ntlm中继攻击已被发现,该攻击允许攻击者强制域控制器针对恶意ntlm中继进行身份验证,然后通过http将请求转发到域的活动目录证书服务。之后接管域控制器,从而控制整个Windows域。
详情
New PetitPotam attack allows take over of Windows domains
https://www.bleepingcomputer.com/news/microsoft/new-petitpotam-attack-allows-take-over-of-windows-domains/
相关安全建议
1. 积极开展外网渗透测试工作,提前发现系统问题
2. 减少外网资源和不相关的业务,降低被攻击的风险
3. 做好产品自动告警措施
4. 及时对系统及各个服务组件进行版本升级和补丁更新
5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
6. 注重内部员工安全培训
6. 其它事件
长达 16 年的安全漏洞影响了数百万台打印机
日期: 2021年07月20日
等级: 高
作者: Ravie Lakshmanan
标签: Printers, 16-Year-Old, Vulnerability
行业: 制造业
涉及组织: samsung, hp, xerox
hp、xerox和samsung打印机中使用的软件驱动程序中存在高严重性安全漏洞,其详细信息自2005年以来一直未被发现。
漏洞编号为cve-2021-3438(cvss评分:8.8),该问题涉及缓冲区溢出一个名为“ssport.sys”的打印驱动程序安装包,可以启用远程权限和任意代码执行。
涉及漏洞
CVE-2021-3438
详情
16-Year-Old Security Bug Affects Millions of HP, Samsung, Xerox Printers
https://thehackernews.com/2021/07/16-year-old-security-bug-affects.html
相关安全建议
1. 及时对系统及各个服务组件进行版本升级和补丁更新
2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
猜你喜欢: