0x01 事件导览
本周收录安全热点19项,话题集中在恶意软件、漏洞信息方面,涉及的组织有:伊朗核电站、Valve、HUAWEI、Chrome等。多个严重漏洞曝光,各厂商注意及时修复。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
恶意程序
勒索软件的发展影响了法医学分析
BRATA恶意软件冒充Android安全扫描程序
50万华为用户感染了Joker Android恶意软件
新的Linux,macOS恶意软件隐藏在假冒的Browserify NPM包中
Capcom勒索事件攻击报告
黑客通过网站联系表格来传递IcedID恶意软件
休斯顿火箭队调查勒索软件攻击
Monero加密货币活动利用ProxyLogon缺陷
网络攻击
伊朗核电站遭遇网络攻击
美国和英国指责俄罗斯情报部门黑客发动重大网络攻击
其它事件
Valve游戏引擎漏洞影响多个旗下游戏
NAME:WRECK DNS漏洞影响超过1亿台设备
美国国家安全局发现了影响Microsoft Exchange服务器的新漏洞
研究人员发布Chrome,Edge,Brave,Opera的0day POC
第二个Chrome 0day漏洞在twitter上被删除
SAP修复了Business Client、Commerce和NetWeaver中的漏洞
美国因SolarWinds网络攻击制裁俄罗斯并驱逐10名外交官
未修补的MS Exchange服务器受到加密劫持恶意软件攻击
工业系统以太网/IP堆栈中报告严重错误
0x02 恶意程序
勒索软件的发展影响了法医学分析
日期: 2021年04月12日
等级: 高
作者: Bradley Barth
标签: the Active Directory, Orrick
行业: 卫生和社会工作
网络安全界密切关注勒索组织在过去一年中不断升级的商业策略,包括双重勒索、组成卡特尔和直接联系受害者。但是,不能忽视一些新的工具和技术战略,这些新的工具和技术战略是最近为阻碍和复杂化法医调查而增加的。PaloAlto公司Crypsis集团副总裁布雷特·帕德雷斯(BretPadres)指出,在虚拟机上设置ActiveDirectory和域控制器的情况下,攻击者会对虚拟机环境进行整体加密,这将进一步减缓法医学分析的速度。
详情
Ransomware’s evolving tools & technical tactics confuse forensic analysis
BRATA恶意软件冒充Android安全扫描程序
日期: 2021年04月12日
等级: 高
作者: The Hacker News
标签: Android, BRATA
行业: 跨行业事件
涉及组织: google
BRATA(BrazilianRemoteAccessToolAndroid)最开始是一个具有屏幕记录功能的巴西恶意软件,之后逐渐演变成银行特洛伊木马。近期,它被发现冒充官方游戏商店的安全扫描程序,分发一个能够收集敏感信息的后门。这些有争议的应用程序是针对巴西、西班牙和美国的用户设计的,其中大多数应用程序的安装量在1000到5000次之间。另一款名为DefenseScreen的应用程序在去年从PlayStore中被删除之前,已经安装了10000次。
详情
BRATA Malware Poses as Android Security Scanners on Google Play Store
50万华为用户感染了Joker Android恶意软件
日期: 2021年04月13日
等级: 高
作者: BALAJI N
标签: Joker Android Malware, Android, Huawei
行业: 制造业
涉及组织: huawei
DoctorWeb的分析师宣称,他们最近在华为设备的官方应用商店AppGallery中发现了JokerAndroid恶意软件,该恶意软件被认定为Android多功能木马。Joker家族会诱骗Android用户为其所有的移动服务付费,据报道,超过50万的华为智能手机用户从该公司的官方Android商店下载了受感染的应用程序。
详情
500,000 Huawei Users Infected with Joker Android Malware
新的Linux,macOS恶意软件隐藏在假冒的Browserify NPM包中
日期: 2021年04月13日
等级: 高
作者: Ax Sharma
标签: Linux, macOS, npm
行业: 信息传输、软件和信息技术服务业
涉及组织: apple, nodejs
在npm注册中心发现了一个新的恶意软件包,目标是使用Linux和applemacos操作系统的NodeJS开发者。这个恶意软件包被称为“webbrowserify”,它模仿了流行的browserifynpm组件,此外,到目前为止,该组件中包含的ELF恶意软件在所有主流杀毒引擎中的检测率均为零。
详情
New Linux, macOS malware hidden in fake Browserify NPM package
Capcom勒索事件攻击报告
日期: 2021年04月13日
等级: 高
作者: Ionut Ilascu
标签: Capcom, Ragnar Locker, VPN
行业: 文化、体育和娱乐业
涉及组织: Capcom
CapCom是日本电视游戏软件公司,旗下有《街头霸王》、《洛克人》、《生化危机》等有名气的作品。该公司在2020年11月遭遇RagnarLocker勒索病毒攻击,被窃取1TB敏感数据,并被索要1100万美元作为赎金,该公司一直都未曾主动联系过黑客协商赎金支付问题,其数据也在被勒索的几周后被泄露。
近日,该公司宣布,经过研究人员对网络设备的分析调查,此次攻击事件黑客是通过攻击Capcom位于北美加州子公司的一个旧VPN备份进入了Capcom的内部。2020年11月1日,攻击者从该设备转向美国和日本办公设备。
对数据泄露的最终评估为15649人将受到该事件影响,涉及到的数据包括姓名、地址、电话号码、电子邮件地址等公司和个人数据。
详情
Capcom: Ransomware gang used old VPN device to breach the network
黑客通过网站联系表格来传递IcedID恶意软件
日期: 2021年04月14日
等级: 高
作者: BALAJI N
标签: Microsoft, IcedID
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft
微软的安全研究人员最近发现,黑客不断滥用合法的公司联系表格发送钓鱼电子邮件,这样黑客就可以通过合法的诉讼威胁目标企业,不仅如此,黑客还试图通过IcedID信息窃取恶意软件影响目标企业。
详情
Hackers Abuse Website Contact forms to Deliver IcedID Malware
休斯顿火箭队调查勒索软件攻击
日期: 2021年04月16日
等级: 高
作者: Doug Olenick
标签: NBA, Houston Rockets
行业: 文化、体育和娱乐业
NBA休斯顿火箭队报道称,他们最近遭到勒索软件攻击,巴布克网络团伙为此承担了责任。巴布克团伙在其勒索网站上的一篇现已被删除的帖子中,放置了一张据称已从火箭队网络中删除的纸条和文件。该团伙声称已经删除了500GB的数据,包括第三方合同以及公司、客户、员工和财务信息。巴布克的报告说:“公布这些信息可能会导致法律问题,并引起客户的担忧。”。
详情
Houston Rockets Investigate Ransomware Attack
Monero加密货币活动利用ProxyLogon缺陷
日期: 2021年04月18日
等级: 高
作者: Pierluigi Paganini
标签: ProxyLogon, Microsoft Exchange, Monero
行业: 跨行业事件
涉及组织: microsoft
Sophos研究人员报告说,攻击者利用ProxyLogon漏洞,攻击Exchange服务器并部署恶意Monerocryptominer。攻击始于PowerShell命令,该命令从另一台受感染服务器的OutlookWebAccess登录路径(/owa/auth)检索名为win_r.zip的文件。然后该脚本调用Windows内置的certutil.exe程序来下载另外两个文件,即win_s.zip和win_d.zip,之后下放病毒。
涉及漏洞
详情
Monero Cryptocurrency campaign exploits ProxyLogon flaws
相关安全建议
1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
3. 条件允许的情况下,设置主机访问白名单
4. 及时对系统及各个服务组件进行版本升级和补丁更新
5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
6. 各主机安装EDR产品,及时检测威胁
0x03 网络攻击
伊朗核电站遭遇网络攻击
日期: 2021年04月12日
等级: 高
作者: Prajeet Nair
标签: Israeli, Iranian
行业: 电力、热力、燃气及水生产和供应业
涉及组织: Iranian
以色列公共媒体《菅直人报》援引情报人士的话称,以色列政府发动的网络攻击导致伊朗一座核电站关闭,伊朗称这是“蓄意破坏”的行为,此次攻击拖延了伊朗浓缩提炼铀进度。
详情
Iranian Nuclear Site Shut Down by Apparent Cyberattack
美国和英国指责俄罗斯情报部门黑客发动重大网络攻击
日期: 2021年04月15日
等级: 高
作者: Danny Palmer
标签: Russian, SolarWinds
行业: 政府机关、社会保障和社会组织
据美国和英国称,为俄罗斯对外情报局工作的黑客是太阳风攻击、针对Covid-19研究设施等的网络间谍活动的幕后黑手。美国的指控来自国家安全局(NSA)、网络安全和基础设施安全局(CISA)和联邦调查局(FBI)的联合咨询,其中还描述了俄罗斯对外情报局(SVR)正在利用VPN服务中的五个众所周知的漏洞。英国也将这些袭击归咎于俄罗斯情报部门。
详情
SolarWinds: US and UK blame Russian intelligence service hackers for major cyber attack
相关安全建议
1. 积极开展外网渗透测试工作,提前发现系统问题
2. 及时对系统及各个服务组件进行版本升级和补丁更新
3. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
4. 注重内部员工安全培训
0x04 其它事件
Valve游戏引擎漏洞影响多个旗下游戏
日期: 2021年04月12日
等级: 高
作者: Ionut Ilascu
标签: CS:GO, RCE, HackerOne
行业: 信息传输、软件和信息技术服务业
涉及组织: Valve Source games
一组被称为秘密俱乐部的安全研究人员在Twitter上报告了Valve开发的源3D游戏引擎中的远程代码执行漏洞,该引擎用于构建拥有数千万玩家的游戏。由于该漏洞存在于游戏引擎中,因此所有使用源代码构建的产品都会受到影响,并且需要一个补丁来消除对用户的风险。该组织的一名研究人员说,他们大约两年前就披露了其脆弱性,但它仍然影响着《反击:全球进攻》(CS:GO)的最新版本。
详情
CS:GO, Valve Source games vulnerable to hacking using Steam invites
NAME:WRECK DNS漏洞影响超过1亿台设备
日期: 2021年04月13日
等级: 高
作者: Ionut Ilascu
标签: TCP/IP, NAME:WRECK, Siemens, DNS
行业: 信息传输、软件和信息技术服务业
涉及组织: Siemens
2021年4月13日,安全研究人员披露了九个漏洞,这些漏洞影响在至少1亿个设备上运行的TCP/IP网络通信堆栈中的域名系统协议的实现。主要为以下设备
-FreeBSD(漏洞版本:12.1):BSD系列中最流行的操作系统之一
-IPnet(漏洞版本:VxWorks6.6):由Interpeak最初开发,由WindRiver维护,并由VxWorks实时操作系统(RTOS)使用
-NetX(漏洞版本:6.0.1):是ThreadXRTOS的一部分,是Microsoft维护的一个开源项目,名称为AzureRTOSNetX
-NucleusNET(漏洞版本:4.3):由西门子业务MentorGraphics维护的NucleusRTOS的一部分,用于医疗,工业,消费类,航空航天和物联网设备
涉及漏洞
详情
NAME:WRECK DNS bugs affect over 100 million devices
美国国家安全局发现了影响Microsoft Exchange服务器的新漏洞
日期: 2021年04月13日
等级: 高
作者: The Hacker News
标签: Microsoft, NAS
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft
在4月份发布的一系列修补程序中,微软针对总共114个安全漏洞推出了修补程序,其中包括一个被积极利用的0day漏洞和Exchange服务器中的四个远程代码执行漏洞。在114个安全漏洞中,19个被评为严重,88个被评为高危,1个被评为中危。其中最主要的是CVE-2021-28310,这是Win32k中的一个权限提升漏洞,据说该漏洞正受到攻击,攻击者可以通过在目标系统上运行恶意代码来提升权限。
涉及漏洞
详情
NSA Discovers New Vulnerabilities Affecting Microsoft Exchange Servers
研究人员发布Chrome,Edge,Brave,Opera的0day POC
日期: 2021年04月13日
等级: 高
作者: Deeba Ahmed
标签: POC, Chromium
行业: 信息传输、软件和信息技术服务业
涉及组织: google
印度一名安全研究人员RajvardhanAgarwal发布了一个PoC,该漏洞主要影响web浏览器。它是v8javascript中的一个远程代码执行漏洞,影响除Chrome之外的所有Chromium浏览器,如MS-Edge、Brave和Opera。这个漏洞在Pwn2Own2021黑客竞赛中被证明,最初是由来自DataflowSecurity的BrunoKeith和NiklasBaumstark发现的。两人因利用这个漏洞在Chrome和Edge上运行恶意代码而获得10万美元的奖金。
详情
Researcher release PoC exploit for 0-day in Chrome, Edge, Brave, Opera
第二个Chrome 0day漏洞在twitter上被删除
日期: 2021年04月14日
等级: 高
作者: Lawrence Abrams
标签: Twitter, Google Chrome, Microsoft Edge
行业: 信息传输、软件和信息技术服务业
涉及组织: google, microsoft
Twitter上发布了第二个chromiumzero-day远程代码执行漏洞,该漏洞会影响当前版本的googlechrome、microsoftedge,以及其他可能基于Chromium的浏览器。一位名为frust的安全研究人员在Twitter上发布了一个PoC漏洞,该漏洞是基于Chromium的0day漏洞,导致Windows记事本应用程序打开。frust的远程代码执行漏洞也无法逃脱Chromium的沙盒安全功能。Chromium的沙盒是一种安全特性,可以防止攻击者在主机上执行代码或访问文件。除非攻击者使用未修补的沙盒逃逸漏洞将新的0day漏洞连接起来,否则处于当前状态的新0day漏洞不会伤害用户,除非用户禁用沙盒。
详情
Second Google Chrome zero-day exploit dropped on twitter this week
SAP修复了Business Client、Commerce和NetWeaver中的漏洞
日期: 2021年04月14日
等级: 高
作者: Ionut Ilascu
标签: SAP, Business Client, CVE
行业: 信息传输、软件和信息技术服务业
SAP的安全更新解决了多个漏洞。其中最严重的影响该公司的业务客户产品。该公司的另外两款产品更新了针对严重漏洞的修补程序,这些漏洞允许未经授权的用户访问配置对象并允许远程代码执行。
涉及漏洞
详情
SAP fixes critical bugs in Business Client, Commerce, and NetWeaver
美国因SolarWinds网络攻击制裁俄罗斯并驱逐10名外交官
日期: 2021年04月15日
等级: 高
作者: The Hacker News
标签: US, SolarWinds, Russia, SVR
行业: 信息传输、软件和信息技术服务业
美国和英国正式将IT基础设施管理公司SolarWinds的“供应链攻击”归因于为俄罗斯外国情报服务(SVR)工作的政府工作人员。英国政府在一份声明中说:“无论是在网络空间、在选举中的干涉还是在情报部门的侵略行动中,俄罗斯在世界范围内的恶行模式都表明,对英国的国家和集体安全来说,俄罗斯仍然是最严重的威胁。”为此,美国财政部对俄罗斯实施了全面制裁,理由是俄罗斯“破坏了美国自由公正选举和民主体制的运作”,并对其在助长蔓延的SolarWinds黑客攻击方面发挥了作用,同时还禁止国内6家为俄罗斯情报部门运营的网络项目提供支持的科技公司。这些公司包括ERATechnopolis、Pasit、联邦州自治科学机构科学研究所、专业安全计算设备和自动化(SVA)、Neobit、AdvancedSystemTechnology和PozitivTeknolodzhiz(积极技术),最后三家是IT安全公司,其客户包括俄罗斯情报机构。此外,拜登政府还驱逐了10名俄罗斯驻华盛顿外交使团成员,包括其情报部门的代表。
涉及漏洞
详情
US Sanctions Russia and Expels 10 Diplomats Over SolarWinds Cyberattack
未修补的MS Exchange服务器受到加密劫持恶意软件攻击
日期: 2021年04月15日
等级: 高
作者: Waqas
标签: Sophos, Exchange, Microsoft
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft
根据Sophos网络安全研究人员的报告,黑客正在寻找易受攻击、未修补的MicrosoftExchange服务器,并在其上安装加密货币挖掘恶意软件。调查进一步显示,这一新发现的活动旨在秘密利用受损系统的处理能力牟利。
详情
Unpatched MS Exchange servers hit by cryptojacking malware
工业系统以太网/IP堆栈中报告严重错误
日期: 2021年04月16日
等级: 高
作者: The Hacker News
标签: CISA, Claroty, Dos, CIP
行业: 制造业
美国网络安全和基础设施安全局(CISA)发布警告称,开放式以太网/IP协议栈中存在多个漏洞,可能使工业系统遭受拒绝服务(DoS)攻击、数据泄漏和远程代码执行。2021年2月10日之前的所有版本都会受到影响。
涉及漏洞
详情
Severe Bugs Reported in EtherNet/IP Stack for Industrial Systems
相关安全建议
1. 及时对系统及各个服务组件进行版本升级和补丁更新
2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
3. 受到网络攻击之后,积极进行攻击痕迹、遗留文件信息等证据收集
0x05 产品侧解决方案
360城市级网络安全监测服务
360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
0x06 时间线
2021-04-19 360CERT发布安全事件周报
0x07 特制报告下载链接
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。
若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。
文章原文链接:https://www.anquanke.com/post/id/238651