0x01事件导览

本周收录安全热点10项,话题集中在漏洞、恶意软件方面,涉及的组织有:Microsoft、OVH、施耐德、Powerhouse等。黑客利用Exchange漏洞扫描全球,各厂商务必尽快修复。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

恶意程序

Ryuk勒索软件袭击了700个西班牙政府劳工局办公室

新的ZHtrap僵尸网络恶意软件部署蜜罐来寻找更多的目标

Metamorfo银行木马滥用AutoHotKey

网络攻击

全球已有3万台服务器遭到Microsoft Exchange 0day攻击

伊朗黑客利用远程工具攻击中东和邻近地区

其它事件

至少有10个APT组织利用Microsoft Exchange漏洞进行攻击

OVH数据中心火灾,大量数据损毁

微软3月补丁日修复了82个漏洞,2个0day

网络攻击者利用严重的WordPress插件漏洞

严重的安全漏洞会导致智能电表离线

 

0x02恶意程序

Ryuk勒索软件袭击了700个西班牙政府劳工局办公室

日期: 2021年03月10日
等级: 高
作者: Sergiu Gatlan
标签: SEPE, Spanish, Spain, Ryuk, Ransomware
行业: 政府机关、社会保障和社会组织

SEPE是西班牙政府的劳工机构,在遭到勒索软件攻击之后,该系统被关闭,此次攻击袭击了西班牙700多家代理商。

该机构网站上的一份声明称:“目前,正在努力尽快恢复优先服务,其中包括国家公共就业服务门户,然后逐步向公民、公司、福利和就业办公室提供其他服务。”

SEPE主管GeradoGuitérrez证实,事件发生后,该机构的网络系统被Ryuk勒索软件运营商加密。

详情

Ryuk ransomware hits 700 Spanish government labor agency offices

新的ZHtrap僵尸网络恶意软件部署蜜罐来寻找更多的目标

日期: 2021年03月12日
等级: 高
作者: Sergiu Gatlan
标签: UPnP, ZHtrap, Honeypots
行业: 跨行业事件

新的僵尸网络正在将受感染的路由器、dvr和UPnP网络设备转化为蜜罐,帮助它找到其他感染目标。这个被360Netlab安全研究人员称为ZHtrap的恶意软件基于Mirai的源代码构建,并支持x86、ARM、MIPS和其他CPU架构。僵尸网络的主要功能包括DDoS攻击和扫描更易受感染的设备。但是,它还具有后门功能,允许操作员下载和执行其他恶意有效负载。ZHtrap使用了类似蜜罐的技术,以此来进行IP收集。

详情

New ZHtrap botnet malware deploys honeypots to find more targets

Metamorfo银行木马滥用AutoHotKey

日期: 2021年03月12日
等级: 高
作者: Tara Seals
标签: Metamorfo, AutoHotKey, Phishing
行业: 金融业

Metamorfo银行特洛伊木马正在滥用AutoHotKey(AHK)和AHK编译器来逃避检测并窃取用户信息。AHK是一种Windows脚本语言,最初是为创建快捷键而开发的。据科芬斯网络钓鱼防御中心(PDC)称,该恶意软件以西班牙语用户为目标,使用两封单独的电子邮件作为初始感染媒介。一个是所谓的下载受密码保护的文件的请求;另一个是关于未决法律文件的精心伪造的通知,带有下载.ZIP文件的链接。在这两种情况下,恶意代码都包含在最终下载到受害计算机的.ZIP文件中。

详情

Metamorfo Banking Trojan Abuses AutoHotKey

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

3. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

4. 减少外网资源和不相关的业务,降低被攻击的风险

5. 条件允许的情况下,设置主机访问白名单

6. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

 

0x03网络攻击

全球已有3万台服务器遭到Microsoft Exchange 0day攻击

日期: 2021年03月08日
等级: 高
作者: Liam Tung
标签: Microsoft Exchange Server, Zero-Day, Hafnium
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

安全研究人员称,MicrosoftExchangeServer中的0day漏洞正用于对数以千计的组织的广泛攻击,潜在的成千上万的组织受到影响。

这些漏洞的CVE编号为CVE-2021-26855,CVE-2021-26857,CVE-2021-26858和CVE-2021-27065。

微软将此次攻击归因于一个新成立的黑客团队,该团队名为Hafnium。

微软表示,这些是有限的针对性攻击,但可能会在不久的将来攻击范围更加广泛。

涉及漏洞

– CVE-2021-26855

– CVE-2021-27065

– CVE-2021-26857

– CVE-2020-0688

– CVE-2021-26858

详情

zero-day attacks: 30,000 servers hit already, says report

伊朗黑客利用远程工具攻击中东和邻近地区

日期: 2021年03月08日
等级: 高
作者: The Hacker News
标签: Earth Vetala, ScreenConnect, MuddyWater, PowerShell, RemoteUtilities
行业: 国际组织
涉及组织: twitter, linkedin

涉嫌与伊朗有联系的黑客正攻击中东及周边地区的学术界、政府机构和旅游实体,这是一场旨在窃取数据的间谍活动。 这一最新发现被趋势科技公司称为“EarthVetala”,该研究发现有证据表明,有恶意活动利用ScreenConnect远程管理工具,针对阿联酋和科威特政府机构。 攻击者是伊朗黑客组织MuddyWater,该组织主要对中东国家发动攻势。

详情

Iranian Hackers Using Remote Utilities Software to Spy On Its Targets

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 积极开展外网渗透测试工作,提前发现系统问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 注重内部员工安全培训

 

0x04其它事件

至少有10个APT组织利用Microsoft Exchange漏洞进行攻击

日期: 2021年03月11日
等级: 高
作者: Doug Olenick
标签: ESET, Microsoft Exchange, APT
行业: 跨行业事件
涉及组织: microsoft

据斯洛伐克安全公司ESET的研究人员称,在过去三个月里,至少有10个APT(高级持续性威胁)组织利用未修补的MicrosoftExchange漏洞攻击了数千家公司。

ESET的研究人员公布了每一次攻击的细节,并指出了APT所涉及的组织,或者指出了一个未知的团伙进行了这次攻击。

ESET说,在1月5日微软收到漏洞通知之前,几个APT组织就已经开始攻击了。

涉及漏洞

– CVE-2021-27065

– CVE-2021-26855

– CVE-2021-26857

– CVE-2021-26858

详情

At Least 10 APT Groups Exploiting Exchange Flaws

OVH数据中心火灾,大量数据损毁

日期: 2021年03月12日
等级: 高
作者: Ax Sharma
标签: OVH, UPS
行业: 信息传输、软件和信息技术服务业
涉及组织: OVH

法国斯特拉斯堡OVHCloud是欧洲最大的主机提供商,也是世界第三大主机提供商。其数据中心遭到了大火的袭击,数据中心托管的站点服务器遭到焚毁,雪上加霜的是服务器中的实时数据并未在其他地点备份。包括巴黎艺术中心和图书馆Pompidou以及新闻网站EENews等大量公司的数据将难以恢复。火灾原因目前定义为UPS电源故障。

详情

OVH data center fire likely caused by faulty UPS power supply

微软3月补丁日修复了82个漏洞,2个0day

日期: 2021年03月09日
等级: 高
作者: Lawrence Abrams
标签: Microsoft, Security Updates, Exchange
行业: 信息传输、软件和信息技术服务业
涉及组织: google, microsoft

在2021年3月9日的更新中,微软已经修复了82个漏洞,其中10个是严重漏洞,72个是高危漏洞。这些数字不包括3月早些时候发布的7个MicrosoftExchange和33个ChromiumEdge漏洞。

3月9日还修补了两个0day漏洞,这些漏洞已公开披露并已知可用于攻击。

涉及漏洞

– CVE-2021-26411

– CVE-2021-27077

详情

Microsoft March 2021 Patch Tuesday fixes 82 flaws, 2 zero-days

网络攻击者利用严重的WordPress插件漏洞

日期: 2021年03月10日
等级: 高
作者: Tara Seals
标签: WordPress, Elementor, CVE-2021-24175, Plugin
行业: 信息传输、软件和信息技术服务业
涉及组织: wordpress

用于WordPress的Elementor插件的Plus插件有一个严重的安全漏洞,攻击者可以利用该漏洞快速、轻松地远程接管网站。

研究人员称,该漏洞目前有在野利用。根据开发者的说法,这个插件有超过30000个安装。

该漏洞(CVE-2021-24175)是Elementor的PlusAddons的注册表单函数中存在的特权升级和身份验证绕过问题。

它的CVSS评分为9.8,漏洞危害等级为严重。

涉及漏洞

– CVE-2021-24175

目前wordpress在全球均有分布,具体分布如下图,数据来自于360 QUAKE

详情

Cyberattackers Exploiting Critical WordPress Plugin Bug

严重的安全漏洞会导致智能电表离线

日期: 2021年03月12日
等级: 高
作者: Tara Seals
标签: Schneider Electric, DDos
行业: 电力、热力、燃气及水生产和供应业
涉及组织: Schneider

施耐德电气智能电表中存在严重的安全漏洞,攻击者可利用该漏洞获得远程代码执行(RCE)路径,或重新启动电表,从而在设备上造成拒绝服务(DoS)情况。施耐德电气的PowerLogicION/PM智能电表产品线与其他智能电表一样,既可供消费者在家中使用,也可供部署这些电表的公用事业公司使用,以便对客户的服务进行监控和计费。它们也被工业公司、数据中心和医疗保健公司使用。

涉及漏洞

– CVE-2021-22714

– CVE-2021-22713

详情

Critical Security Bug Can Knock Smart Meters Offline

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

3. 及时备份数据并确保数据安全

 

0x05产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

 

0x06时间线

2021-03-16 360CERT发布安全事件周报

 

0x07特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

安全事件周报 (03.08-03.14)

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

文章原文链接:https://www.anquanke.com/post/id/234651