安全事件周报 (09.28-10.04)

10/05 12:02
阅读数 169

报告编号:B6-2020-100501

报告来源:360CERT

报告作者:360CERT

更新日期:2020-10-05

0x01 事件导览

本周收录安全事件35项,话题集中在勒索软件网络攻击方面,涉及的组织有:MicrosoftCMA CGMCiscoBrandBQ等。本周的攻击事件都只影响了目标公司的部分系统,这源于受害者对安全事件的及时反应和有效措施。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

恶意程序 等级
Mount Locker勒索软件运营商要求数百万美元的赎金 ★★★★
医院支付67万美元赎金来保护患者的数据 ★★★★
REvil勒索软件在黑客招募活动中存入100万美元 ★★★
埃及发现未知FinSpy Mac和Linux版本 ★★★
付赎金才能拿回你的咖啡机 ★★★
勒索软件对泰勒科技公司的攻击可能比最初想象的更糟 ★★★
QNAP敦促用户更新NAS固件和应用程序以防止感染 ★★★
美国保险巨头Arthur J. Gallagher遭遇勒索软件袭击 ★★★
谷歌Play Store上16款应用程序被发现散布Joker恶意软件 ★★★
APT‑C‑23黑客组织攻击记录通话的Android用户 ★★★
InterPlanetary Storm僵尸网络感染Mac、Android设备 ★★★
Visa分享了两起袭击北美酒店商户的细节 ★★★
Egregor勒索软件导致数据泄露事件激增 ★★
数据安全
零售商BrandBQ泄漏了1 TB的客户和承包商数据 ★★★★
Netwalker勒索软件运营商泄露了盗取的K-Electric数据 ★★★★
由于勒索软件攻击,拉斯维加斯学生的个人资料被泄露 ★★★
网络攻击
BEC诈骗活动造成巨额损失 ★★★★★
鱼叉式网络钓鱼活动使用Buer和Bazar进行攻击 ★★★★
两个主要的航班跟踪服务受到严重的网络攻击 ★★★★
物流巨头CMA CGM线下阻止恶意软件攻击 ★★★
环球医疗服务公司受到网络攻击,部分系统瘫痪 ★★★
瑞士钟表制造商Swatch关闭IT系统,以阻止网络攻击 ★★★
13岁学生因侵入学校电脑被捕 ★★★
一个恶意软件家族使用Facebook广告攻击用户 ★★★
钓鱼网页利用验证码欺骗用户,逃避检测 ★★
其它事件
超过61%的Exchange服务器易受CVE-2020-0688攻击 ★★★★
东京证券交易所打破有史以来最长的停机纪录 ★★★★
Cisco修复了IOS XR网络操作系统中被主动攻击的问题 ★★★
耶夫金尼·亚历山德罗维奇·尼库林被判88个月监禁 ★★★
两黑客由于侵入NBA,NFL球员的社交媒体账户被指控 ★★★
NVIDIA修复了Windows显示驱动程序中的高危漏洞 ★★★
GitHub启动代码扫描工具以查找安全漏洞 ★★★
卫星激增扩展了网络能力,但也带来了新的安全考虑 ★★★
HP设备管理器漏洞使Windows系统面临黑客攻击 ★★★
FBI,CISA警告针对11月大选的DDoS攻击 ★★

0x02 恶意程序

Mount Locker勒索软件运营商要求数百万美元的赎金

日期: 2020年09月28日
等级: 高
来源: SECURITYAFFAIRS
标签: Mount Locker, Ransomware, Leak Data, Stealing

被称为MountLocker的新勒索软件背后的运营商采取了与其他勒索软件运营商相同的策略,即威胁受害者泄漏被盗数据。据BleepingComputer报道,勒索软件运营商要求支付数百万美元的赎金。与其他勒索软件运营商一样,MountLocker开始瞄准企业网络,自2020年7月底以来一直很活跃。

详情

Mount Locker ransomware operators demand multi-million dollar ransoms

https://securityaffairs.co/wordpress/108840/malware/mount-locker-ransomware.html

医院支付67万美元赎金来保护患者的数据

日期: 2020年10月01日
等级: 高
作者: Lawrence Abrams
标签: SunCrypt, University Hospital New Jersey, Ransomware, COVID-19

位于新泽西州纽瓦克市的新泽西大学医院9月支付了67万美元勒索软件,以防止240GB被盗数据(包含患者信息)的发布。9月初,一家名为SunCrypt的勒索软件公司对这家医院进行了攻击,侵入该医院网络,窃取文件,然后对所有数据进行加密。医院被告知赎金是170万美元,不过攻击者也说明,这笔赎金“由于新冠疫情的情况,是可以协商的”。由于UHNJ只有两台服务器加密,他们更关心病人数据的泄露,并愿意支付赎金,以防进一步泄露。SunCrypt勒索软件运营商后续发布消息,他们将不再针对医疗保健机构。

详情

US hospital paid ransomware gang $670K to protect patient data

https://www.bleepingcomputer.com/news/security/us-hospital-paid-ransomware-gang-670k-to-protect-patient-data/

REvil勒索软件在黑客招募活动中存入100万美元

日期: 2020年09月28日
等级: 中
作者: Lawrence Abrams
标签: REvil, Ransomware, Bitcoins, RaaS, Hacker Forum

REvil勒索软件(Sodinokibi)的行动已经在一个讲俄语的黑客论坛上存入了100万美元的比特币,以向目标公司证明他们是认真的。许多勒索软件操作都是以勒索软件即服务(RaaS)的形式进行的,开发者负责开发勒索软件和支付网站,并招募分支机构来黑客攻击企业,加密他们的设备。作为这项协议的一部分,勒索软件开发商将获得20-30%的折扣,而一家附属公司则获得他们产生的赎金的70-80%。

详情

REvil ransomware deposits $1 million in hacker recruitment drive

https://www.bleepingcomputer.com/news/security/revil-ransomware-deposits-1-million-in-hacker-recruitment-drive/

埃及发现未知FinSpy Mac和Linux版本

日期: 2020年09月28日
等级: 中
来源: SECURITYAFFAIRS
标签: Amnesty International, Egyptian, FinSpy, FinFisher, Mac, Linux

国际特赦组织的专家发现了一项针对埃及民间社会组织的监视活动,该活动使用新版FinSpy间谍软件。国际特赦组织发现了一项针对埃及民间社会组织的新的监视活动,该活动使用了臭名昭著的FinSpy监视间谍软件的未公开版本。这次行动中使用的新版本允许其运营商同时监视LinuxmacOS系统。Finisher,又名FinFisher,是一个多平台的监视软件,被政府和执法机构用于调查。FinSpy可以监视最流行的桌面和移动操作系统,包括AndroidiOSWindowsmacOSLinux

详情

Unknown FinSpy Mac and Linux versions found in Egypt

https://securityaffairs.co/wordpress/108827/malware/finspy-spyware-target-egypt.html

付赎金才能拿回你的咖啡机

日期: 2020年09月28日
等级: 中
来源: DATABREACHTODAY
标签: Smarter Coffee, IoT, Ransomware, CVE-2020-15501

一款联网咖啡机最近出现安全问题。安全公司Avast用勒索软件感染了这台智能咖啡机,导致研磨机无法控制地旋转并提供热水。阻止它的唯一方法是拔掉机器的插头。安全研究人员Hron发现他可以在不接触实际设备的情况下篡改固件。他还可以安装这个设备,使其研磨机不受控制地运转,并在用户试图将其连接到家庭网络时不提供热水。这个问题源于设备的固件,它可以在没有任何授权或认证的情况下被替换。这个名为CVE-2020-15501的漏洞在第二代之前就会影响到智能咖啡机,而第二代咖啡机现在已经不再生产了。

详情

Want Your Coffee Machine Back? Pay a Ransom

https://www.databreachtoday.com/want-your-coffee-machine-back-pay-ransom-a-15071

勒索软件对泰勒科技公司的攻击可能比最初想象的更糟

日期: 2020年09月29日
等级: 中
来源: SECURITYAFFAIRS
标签: Tyler Technologies, United States , Ransomware, Remote, Attack

泰勒科技公司是美国公共部门最大的软件供应商。该公司披露了一次勒索软件攻击,其客户报告说,在他们的网络上发现了可疑的登录和以前从未见过的远程访问工具。勒索软件攻击发生在9月23日,威胁行动者侵入了该公司的网络并部署了恶意软件。泰勒通知了执法部门,并雇佣了一个法政公司来调查事件并确定事件的严重程度。攻击后,公司代表表示,本次勒索事件只能影响到内部网络和电话系统。

详情

Ransomware attack on Tyler Technologies might be worse than initially thought

https://securityaffairs.co/wordpress/108899/malware/tyler-technologies-ransomware-attack.html

QNAP敦促用户更新NAS固件和应用程序以防止感染

日期: 2020年09月29日
等级: 中
来源: SECURITYAFFAIRS
标签: AgeLocker, QNAP NAS, Taiwanese, Ransomware, Malware, QSnatch

台湾厂商QNAP敦促其客户更新其网络连接存储(NAS)设备上安装的固件和应用程序,以防止感染AgeLocker勒索软件。AgeLocker这个名字来源于使用实际上很好的加密(AGE)算法加密文件,专家警告说,加密的文件如果不向勒索软件运营商支付赎金,将无法恢复。

详情

QNAP urges users to update NAS firmware and app to prevent infections

https://securityaffairs.co/wordpress/108908/hacking/qnap-nas-under-attack.html

美国保险巨头Arthur J. Gallagher遭遇勒索软件袭击

日期: 2020年09月29日
等级: 中
作者: Sergiu Gatlan
标签: AJG, Malware, Ransomware, Attack, Insurance, US, F5 BIG-IP

总部位于美国的全球保险经纪和风险管理公司ArthurJ.Gallagher(AJG)证实了一次勒索软件攻击,该公司的系统在2020年9月26日遭到攻击。AJG是全球最大的保险经纪公司之一,拥有超过33300名员工,业务遍及49个国家。AJG表示,他们在2020年9月26日检测到勒索软件攻击,只有有限数量的公司内部系统受到影响。

详情

Ransomware hits US-based Arthur J. Gallagher insurance giant

https://www.bleepingcomputer.com/news/security/ransomware-hits-us-based-arthur-j-gallagher-insurance-giant/

谷歌Play Store上16款应用程序被发现散布Joker恶意软件

日期: 2020年10月01日
等级: 中
来源: HACKREAD
标签: Google , Play Store, Joker, Fleeceware, Pradeo

在9月早些时候删除了6个感染了Joker恶意软件的应用程序之后,谷歌现在又从PlayStore中删除了16个应用程序,这些应用程序在9月份被上传到PlayStore,有12万次下载。小丑是一个可以模拟点击的间谍软件。它被称为fleeceware,旨在窃取联系人列表、短信和设备信息。

详情

16 apps on Google Play Store caught distributing Joker malware

https://www.hackread.com/joker-malware-on-google-play-store-again/

APT‑C‑23黑客组织攻击记录通话的Android用户

日期: 2020年10月01日
等级: 中
来源: GBHACKERS
标签: Android, APT-C-23, Two-tailed Scorpion, Fake Android app

安全研究人员发现APT-C-23黑客组织通过伪造的Android应用商店以及短信app来攻击用户,诱骗用户请求号码权限,以及“拍照和录像、录音、阅读和修改联系人、阅读和发送短信”。一旦恶意软件活动被初始化,在大多数情况下,受害者将被要求安装一个包含恶意软件源的合法应用程序。恶意软件与合法的应用程序一起静静地安装在手机中,间谍软件在后台默默运行。当恶意软件第一次启动时,它会将受害者记录到C&C服务器并将设备信息发送到服务器。

详情

APT‑C‑23 Hacker Group Attacks Android Users That Records Calls

https://gbhackers.com/new-android-spyware/

InterPlanetary Storm僵尸网络感染Mac、Android设备

日期: 2020年10月02日
等级: 中
来源: DATABREACHTODAY
标签: Android, Linux, Botnet, InterPlanetary Storm, Brute Force

最近更新的InterPlanetaryStorm僵尸网络正在感染Mac和Android设备以及运行Windows和Linux的设备。僵尸网络在全球84个国家感染了1.3万多台设备,还在继续增长。大部分的感染发生在亚洲,而其他的则出现在美国、加拿大、欧洲和巴西。最新版本的僵尸网络试图通过对SSH服务器的爆破攻击来危害设备。

详情

'InterPlanetary Storm' Botnet Infecting Mac, Android Devices

https://www.databreachtoday.com/interplanetary-storm-botnet-infecting-mac-android-devices-a-15106

Visa分享了两起袭击北美酒店商户的细节

日期: 2020年10月04日
等级: 中
来源: SECURITYAFFAIRS
标签: Visa, North American, POS, Hotel, Payment Fraud

美国支付处理商Visa透露,两名北美酒店商户遭到黑客攻击,袭击分别发生在2020年5月和6月。犯罪分子将目标对准了商户的销售点(POS)终端,试图获取和过滤支付卡数据。经过分析,第一次攻击是由恶意软件变体TinyPOS引起的,第二次攻击是由包括RtPOS、MMon(又名Kaptoxa、BlackPOS)和PwnPOS在内的POS恶意软件家族混合而成的。

详情

Visa shares details for two attacks on North American hospitality merchants

https://securityaffairs.co/wordpress/109072/cyber-crime/visa-hospitality-merchants-hack.html

Egregor勒索软件导致数据泄露事件激增

日期: 2020年10月03日
等级: 低
来源: DATABREACHTODAY
标签: Egregor, Maze, Ransomware, Leak Data

据安全研究人员最近发布的警告称,最近发现的一种名为Egregor的勒索软件变种,在过去几个月里,它似乎已经感染了全球约12家组织。与Maze和Sodinokibi等其他勒索团伙一样,Egregor勒索软件的运营商威胁说,如果三天内勒索要求得不到满足,他们将泄露受害者的数据。

详情

Egregor Ransomware Adds to Data Leak Trend

https://www.databreachtoday.com/egregor-ransomware-adds-to-data-leak-trend-a-15110

相关安全建议

1. 减少外网资源和不相关的业务,降低被攻击的风险

2. 及时对系统及各个服务组件进行版本升级和补丁更新

3. 各主机安装EDR产品,及时检测威胁

4. 严格做好主机的权限控制

5. 及时备份数据并确保数据安全

6. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

7. 网段之间进行隔离,避免造成大规模感染

0x03 数据安全

零售商BrandBQ泄漏了1 TB的客户和承包商数据

日期: 2020年10月01日
等级: 高
来源: HACKREAD
标签: PII, Elasticsearch, Misconfigured, BrandBQ, Database

最近,研究人员报告了2020年6月28日发现的一个新的数据库泄漏,原因是Elasticsearch服务器配置错误。研究人员将这个数据库归属于BrandBQ,一家波兰在线时尚零售公司。该公司APP仅安卓系统就有超过50万次的下载,加上iOS的安装,受影响的用户数量是巨大的,估计多达670万人。暴露的数据量超过1TB,记录数量为10亿条,包括公司客户的一系列个人识别信息(PII),如全名、电子邮件地址、电话号码和无卡号的支付详情。

目前Elasticsearch在全球均有分布,具体分布如下图,数据来自于360 QUAKE

详情

Fashion retailer BrandBQ exposes 1 TB of customers, contractors data

https://www.hackread.com/fashion-retailer-brandbq-expose-customers-data/

Netwalker勒索软件运营商泄露了盗取的K-Electric数据

日期: 2020年10月01日
等级: 高
来源: SECURITYAFFAIRS
标签: Pakistan, Netwalker, K-Electric, Leak Data, Ransom Leaks

9月初,巴基斯坦最大的私营电力公司K-Electric(KE)遭遇Netwalker勒索软件攻击,阻断了计费和在线服务。Netwalker勒索软件运营商要求支付价值385万美元的比特币。与往常一样,如果公司在另外7天内不支付赎金,赎金将增至770万美元。最近,由于K-Electric没有支付赎金,Netwalker勒索软件运营商泄漏了被盗数据。

详情

Netwalker ransomware operators leaked files stolen from K-Electric

https://securityaffairs.co/wordpress/109000/hacking/k-electric-netwalker-data-leak.html

由于勒索软件攻击,拉斯维加斯学生的个人资料被泄露

日期: 2020年09月29日
等级: 中
来源: THREATPOST
标签: Clark County School District, Maze, Las Vegas, Ransomware, Data Leaked, Underground Forum

据报道,克拉克县学区(包括拉斯维加斯)学生的个人信息在一个地下论坛上出现,研究人员称,这是Maze勒索软件袭击的连锁反应。9月初,美联社报道说,由于勒索软件的攻击,该区在开学第一周就瘫痪了,可能泄漏了雇员的个人信息,包括姓名和社会保险号码。克拉克县学区(CCSD)很快通过Facebook上的一篇帖子证实了这一报道,并指出,8月27日,学校开始上网三天后,发现学校的许多档案无法访问——尽管在线学习平台没有受到影响。当时学校说“一些私人信息可能已经被访问。”

详情

Las Vegas Students' Personal Data Leaked, Post-Ransomware Attack

https://threatpost.com/las-vegas-students-data-leaked-ransomware/159645/

相关安全建议

1. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施

2. 严格控制数据访问权限

3. 条件允许的情况下,设置主机访问白名单

4. 及时备份数据并确保数据安全

5. 敏感数据建议存放到http无权限访问的目录

6. 对于托管的云服务器(VPS)或者云数据库,务必做好防火墙策略以及身份认证等相关设置

0x04 网络攻击

BEC诈骗活动造成巨额损失

日期: 2020年10月01日
等级: 高
来源: DATABREACHTODAY
标签: Mitiga, Business Email Compromis, BEC, Compromis

据事件应对公司migrate称,最近破获的一个针对高管微软office365账户的商业电子邮件泄露诈骗案(BusinessEmailCompromis,简称BEC)迄今已在全球范围内打击了150多家机构,并为诈骗者净赚约1500万美元。在过去的几年里,BEC诈骗案对欺诈者来说越来越有利可图。美国联邦调查局(FBI)互联网犯罪投诉中心2020年2月发布的年度网络犯罪报告发现,BEC计划在2019年造成了约17亿美元的损失。

详情

Millions Stolen in BEC Scam Campaign

https://www.databreachtoday.com/millions-stolen-in-bec-scam-campaign-a-15095

鱼叉式网络钓鱼活动使用Buer和Bazar进行攻击

日期: 2020年09月29日
等级: 高
来源: ZSCALER
标签: Zscaler ThreatLabZ, Phishing, Emails, SendGrid, TrickBot, Bazar

在过去的几周里,许多企业用户收到了钓鱼邮件,声称他们已经被公司解雇了。这些电子邮件包含一个谷歌文档链接,可以链接到Bazar的后门(来自TrickBot团伙)。有趣的是,这次运动也使用了Buer加载器,ZscalerThreatLabZ表示这是第一次看到这两种恶意软件一起使用。在这次电子邮件攻击中,攻击者没有使用附件,而是使用了一些看似合法的谷歌文档链接,而这些文档本身就包含了谷歌驱动器上,或者在某些情况下,托管在其他地方的恶意文件的链接。在之前的一些钓鱼电子邮件活动中,攻击者利用SendGrid分发电子邮件,将谷歌驱动器链接隐藏在SendGridURL后面的文档中,以此绕过传统防御。

详情

Spear Phishing Campaign Delivers Buer and Bazar

https://www.zscaler.com/blogs/security-research/spear-phishing-campaign-delivers-buer-and-bazar-malware

两个主要的航班跟踪服务受到严重的网络攻击

日期: 2020年10月01日
等级: 高
来源: HACKREAD
标签: Flightradar24, PlaneFinder, Service Disrupted, Cyber Attack

两个最受欢迎的飞行跟踪网站Flightradar24和PlaneFinder在连续遭受多次网络攻击后,其服务中断。这似乎是一场针对实时航班跟踪服务提供商的组织严密的黑客攻击活动。Flightradar24在两天内遭到三次袭击,而探月者则遭到多次袭击。PlaneFinder在Twitter上证实了这一消息,并要求其用户在试图解决问题时保持耐心。Flightradar24和PlaneFinder允许用户实时监控全球所有主要机场的空中交通。这两个平台都深受全球航空爱好者和旅客的欢迎。

详情

Two major flight tracking services hit by crippling cyberattacks

https://www.hackread.com/major-flight-tracking-services-hit-cyberattacks/

物流巨头CMA CGM线下阻止恶意软件攻击

日期: 2020年09月28日
等级: 中
作者: Sergiu Gatlan
标签: French, CMA CGM, Malware, Attack, Ransomware

法国海上运输和物流巨头CMACGM在2020年9月28日披露了一起恶意软件攻击,影响了其网络边缘的一些服务器。这次攻击迫使CMACGM的IT团队切断了对一些应用程序的互联网接入,以阻止恶意软件传播到其他网络设备。

CMACGM在160多个国家(地区)拥有755个办事处,750个仓库和110,000多名员工,并且在200多个航运公司中运营着480多艘船的运输船队。

详情

Logistics giant CMA CGM goes offline to block malware attack

https://www.bleepingcomputer.com/news/security/logistics-giant-cma-cgm-goes-offline-to-block-malware-attack/

环球医疗服务公司受到网络攻击,部分系统瘫痪

日期: 2020年09月28日
等级: 中
来源: SCMAGAZINE
标签: Ryuk, Universal Health Services, Cyberattack, Ransomware

环球医疗服务公司2020年9月27日证实,它的一些医院正在遭受持续的,未指明的网络攻击。该公司在一份公开声明中表示:“该公司实施了标准的IT安全应急流程,并正在努力与该公司的安全合作伙伴恢复IT运营。”与此同时,医院的设备正在使用他们已建立的备份流程,包括离线文件处理方法。继续安全有效地提供病人护理。

详情

UHS confirms hospitals hit by cyberattack, some systems down

https://www.scmagazine.com/home/security-news/uhs-confirms-hospitals-hit-by-cyber-attack-some-systems-down/

瑞士钟表制造商Swatch关闭IT系统,以阻止网络攻击

日期: 2020年09月29日
等级: 中
作者: Lawrence Abrams
标签: Swiss, Swatch Group, Watchmaker, Attack, IT System

斯沃琪集团(SwatchGroup)是一家瑞士钟表制造商,以其常见于百货商店的彩色手表而闻名,其员工超过3.6万人,2019年的收入为96亿美元。不久前,其部分it系统受到了网络攻击。出于安全原因,该集团立即采取行动,关闭了Preventive的部分IT系统,此次事件只影响了部分业务。

详情

Swiss watchmaker Swatch shuts down IT systems to stop cyberattack

https://www.bleepingcomputer.com/news/security/swiss-watchmaker-swatch-shuts-down-it-systems-to-stop-cyberattack/

13岁学生因侵入学校电脑被捕

日期: 2020年10月01日
等级: 中
来源: HACKREAD
标签: Student, Benjamin Franklin Middle School, Juvenile Delinquency, Educational, Hacking System

据《印第安纳州西北时报》报道,一名13岁的本杰明·富兰克林中学的学生因侵入该校电脑系统而被捕。这是一所声誉良好的公立学校,有820名学生,18比1的师生比例。瓦尔帕拉索警察队长乔·哈尔说,调查人员发现他对巴尔帕莱索社区学校在线学习系统进行了破坏,学生将面临重罪指控。临时学校院长迈克尔·贝尔塔声称,这名男孩必须独自学习,他的行为对新冠疫情后下的教育环境造成了重大破坏。

详情

13-year-old student arrested for hacking school computers

https://www.hackread.com/13-year-old-arrested-hacking-school-computers/

一个恶意软件家族使用Facebook广告攻击用户

日期: 2020年10月02日
等级: 中
来源: GBHACKERS
标签: SilentFade, Facebook, Fraud, Abuses Ads Platform

每一个恶意软件都需要传播感染的媒介,silentfead恶意软件滥用Facebook广告平台攻击用户进行广告欺诈、销售假冒商品、药品和欺诈性产品评论。silentfead恶意软件在2018年最后一周首次被Facebook发现,它利用了Facebook的漏洞,使得攻击者能够向目标用户推送通知。恶意软件通过潜在的不需要的程序(PUP)、流行软件的盗版拷贝,以及可能通过其他恶意软件传播。

详情

A Malware Family that Used Facebook ads to Attack Users

https://gbhackers.com/silentfade-malware-facebook/

钓鱼网页利用验证码欺骗用户,逃避检测

日期: 2020年10月01日
等级: 低
来源: SCMAGAZINE
标签: Phishing, CAPTCHA, Hospitality Industry, reCAPTCHA, Elude Detection

最近有人观察到,针对酒店业的网络攻击者使用了一个钓鱼网页,攻击者一直在其钓鱼网站上使用CAPTCHA来获得两个优势。首先,该机制击败了某些自动安全系统或网页爬虫,基本上过滤了掉它们,而真正的人类输入他们的响应,并前进到最终登陆页面与钓鱼表单。其次,网络钓鱼的受害者可能更容易上当受骗,以为这是网站安全防护增强。用户认为这是一个合法的网站,因为他们的经验认知让他们相信,像这样的检查只出现在良性网站,

详情

Phishing pages leverage CAPTCHAs to fool users, evade detection

https://www.scmagazine.com/home/security-news/phishing/phishing-pages-leverage-captchas-to-fool-users-evade-detection/

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

3. 积极开展外网渗透测试工作,提前发现系统问题

4. 合理设置服务器端各种文件的访问权限

5. 及时对系统及各个服务组件进行版本升级和补丁更新

6. 域名解析使用CDN

7. 注重内部员工安全培训

8. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

0x05 其它事件

超过61%的Exchange服务器易受CVE-2020-0688攻击

日期: 2020年09月30日
等级: 高
来源: SECURITYAFFAIRS
标签: Microsoft Exchange, CVE-2020-0688, .NET, Unserialize, RCE

超过247000台MicrosoftExchange服务器仍然容易受到利用影响ExchangeServer的CVE-2020-0688RCE问题的攻击。CVE-2020-0688漏洞存在于Exchange控制面板(ECP)组件中,问题的根本原因是Exchange服务器无法在安装时正确创建唯一密钥。截至2020年9月21日的研究,61%的目标人口(Exchange2010、2013、2016和2019年)仍然容易受到攻击。

目前Microsoft Exchange在全球均有分布,具体分布如下图,数据来自于360 QUAKE

详情

Over 61% of Exchange servers vulnerable to CVE-2020-0688 attacks

https://securityaffairs.co/wordpress/108946/hacking/vulnerable-exchange-servers.html

东京证券交易所打破有史以来最长的停机纪录

日期: 2020年10月02日
等级: 高
作者: Simon Sharwood
标签: Tokyo, Tokyo’s Stock Exchange, Outage

东京证交所(TSE)10月1日系统停机,这是有史以来最长的一次停业,当然也是非常不受欢迎的一次,因为按照市值衡量,东京证交所是全球第三大证交所。交易所昨日上午发布消息称,“市场数据分布出现技术故障”,市场因此停止所有交易。当天晚些时候,该交易所还关闭了其盘后交易平台ToSTNeT,随后发布警告称,向投资者分发的一些市场数据无效。该交易所在一份声明中解释了中断的原因,声明中说,它经历了“硬件故障”,随后是故障转移失败。声明继续说:“从故障设备到备份设备的切换工作不正常,因此,无法分发市场信息。”

详情

Tokyo Stock Exchange breaks new record. Sadly, not a good one... its longest ever outage

https://www.theregister.com/2020/10/02/tokyo_stock_exchange_outage/

Cisco修复了IOS XR网络操作系统中被主动攻击的问题

日期: 2020年09月30日
等级: 中
来源: SECURITYAFFAIRS
标签: Cisco, IOS XR, DDos, CVE-2020-3566, Router

8月底,Cisco警告说,攻击者正试图利用一个高严重性内存耗尽拒绝服务(DoS)漏洞(CVE-2020-3566)进行攻击,该漏洞影响在运营商级路由器上运行的CiscoIOSXRNetworkOS。CiscoIOSXRNetworkOS目前运行在多个路由器系列上,包括NCS540&560NCS5500ASR8000ASR9000系列路由器。如果在多播路由下配置了活动接口,则此漏洞会影响运行任何CiscoIOSXR软件版本的任何Cisco设备。这家IT巨头现在发布了免费软件维护升级(SMU)来解决这两个漏洞。

详情

Cisco fixes actively exploited issues in IOS XR Network OS

https://securityaffairs.co/wordpress/108936/hacking/cisco-fixes-ios-xr-flaws.html

耶夫金尼·亚历山德罗维奇·尼库林被判88个月监禁

日期: 2020年09月30日
等级: 中
来源: SECURITYAFFAIRS
标签: Russian, Yevgeniy Aleksandrovich Nikulin, Dropbox, Linkedin, Wordpress

俄罗斯国民叶夫根尼·亚历克桑德罗维奇·尼库林因在2012年入侵LinkedIn、Dropbox和Formspring,在美国被判处88个月监禁。Nikulin在2012年3月3日至3月4日期间首次入侵LinkedIn,黑客先是用恶意软件感染了一名员工的笔记本电脑,然后使用该员工的VPN访问LinkedIn的内部网络。Nikulin利用从Linkedin窃取的数据,对包括Dropbox在内的其他公司的员工发起鱼叉式网络钓鱼攻击。Nikulin窃取的数据在2015年至2016年间的地下网络犯罪中可用,这些数据被多名交易员提供出售。法官命令他向LinkedIn支付100万美元的赔偿金,向Dropbox支付51.4万美元,向Formspring支付2万美元,向WordPress母公司Automatic支付25万美元。

详情

Yevgeniy Aleksandrovich Nikulin sentenced to 88 months in prisonSecurity Affairs

https://securityaffairs.co/wordpress/108960/cyber-crime/russian-hacker-nikulin-sentence.html

两黑客由于侵入NBA,NFL球员的社交媒体账户被指控

日期: 2020年09月30日
等级: 中
作者: Sergiu Gatlan
标签: NFL, NBA, Trevontae Washington, Ronnie Magrehbi, US Department of Justice

美国司法部指控两名男子盗窃了多个美国国家足球联盟(NFL)和美国国家篮球协会(NBA)运动员拥有的电子邮件和社交媒体帐户。2017年12月至2019年4月期间,来自路易斯安那州的TrevontaeWashington和佛罗里达州的RonnieMagrehbi涉嫌泄露并接管了NFL和NBA雇佣的几名职业和半职业足球和篮球运动员的Facebook、Twitter、Instagram和Snapchat社交媒体账户。两人被控一项串谋实施电信诈骗罪(最高可入狱20年,罚款高达25万美元),另一项罪名是串谋犯下电脑诈骗及滥用职权罪(最高入狱5年,罚款高达25万美元)。

详情

Two charged for hacking NBA, NFL players' social media accounts

https://www.bleepingcomputer.com/news/security/two-charged-for-hacking-nba-nfl-players-social-media-accounts/

NVIDIA修复了Windows显示驱动程序中的高危漏洞

日期: 2020年10月01日
等级: 中
作者: Sergiu Gatlan
标签: NVIDIA, Vulnerabilities, GPU, code execution, escalation of privileges

NVIDIA发布了安全更新,以解决WindowsGPU显示驱动程序中可能导致代码执行、权限提升、信息泄露和拒绝服务的高危漏洞。NVIDIA9月修复的所有GPU显示驱动程序漏洞都需要本地用户访问,这意味着攻击者首先需要在系统上站稳脚跟,才能利用这些漏洞。一旦实现,他们可以通过远程植入恶意工具或运行代码来利用这些漏洞。

详情

NVIDIA fixes high severity flaws in Windows display driver

https://www.bleepingcomputer.com/news/security/nvidia-fixes-high-severity-flaws-in-windows-display-driver/

GitHub启动代码扫描工具以查找安全漏洞

日期: 2020年10月01日
等级: 中
来源: GBHACKERS
标签: GitHub, Semmle, CodeQL, Code Scanning Tool

GitHub推出了一个新的代码扫描工具,帮助开发人员在应用程序投入生产之前检测漏洞。这个工具最初是在5月份的GitHub卫星会议上宣布的,那时它只GitHubbeta测试人员使用。现在GitHub代码扫描工具开放给所有用户,使它成为一个公共存储库。新工具来源于2019年收购的Semmle,Semmle是一个代码分析平台,它帮助开发人员编写查询,以识别大型代码库中的代码模式,并搜索漏洞及其变体。

详情

GitHub Launches Code Scanning Tool to Find Security Vulnerabilities

https://gbhackers.com/github-code-scanning-tool/

卫星激增扩展了网络能力,但也带来了新的安全考虑

日期: 2020年10月02日
等级: 中
来源: SCMAGAZINE
标签: Satellite, Space, Universe, New Security Considerations

近年来,随着低成本、低地球轨道卫星的推出,卫星的潜在使用案例激增,价格甚至对爱好者也有吸引力。新的卫星生态系统也带来了新的安全考虑,例如,人们有兴趣使用卫星代替光纤将远程位置连接到网络。争论的焦点是从太空获取数据的新布局,围绕卫星安全的担忧主要集中在卫星之间的无线电通信可能被拦截。

详情

Satellite boom expands network capabilities, but brings new security considerations

https://www.scmagazine.com/home/security-news/satellite-boom-expands-network-capabilities-but-brings-new-security-considerations/

HP设备管理器漏洞使Windows系统面临黑客攻击

日期: 2020年10月04日
等级: 中
来源: SECURITYAFFAIRS
标签: Windows, HP, CVE-2020-6925, CVE-2020-6926, CVE-2020-6927

惠普发布了一份安全公告,其中包括三个严重漏洞的详细信息,这些漏洞分别为:

这些漏洞都会影响到HP设备管理器,攻击者可以将这三个问题串联起来,在目标设备上获得系统权限,并接管系统。

详情

HP Device Manager flaws expose Windows systems to hack

https://securityaffairs.co/wordpress/109052/security/hp-device-manager-flaws.html

FBI,CISA警告针对11月大选的DDoS攻击

日期: 2020年10月01日
等级: 低
来源: DATABREACHTODAY
标签: FBI, U.S.A, CISA, November Election, DDos

FBI,CISA警告称,黑客可能在11月试图对美国选举基础设施实施分布式拒绝服务攻击,此类攻击DDoS攻击可能会减慢访问与选举有关的公共网站的进程,并阻碍访问投票信息或投票结果的过程,但这种攻击不会阻止选民投票。

详情

FBI, CISA Warn of DDoS Attacks Targeting November Election

https://www.databreachtoday.com/fbi-cisa-warn-ddos-attacks-targeting-november-election-a-15099

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

3. 注重内部员工安全培训

0x06 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对事件相关组件进行监测,请用户联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

0x07 时间线

2020-10-05 360CERT发布安全事件周报

推荐阅读:

1、DPDK 多个高危漏洞通告

2、CVE-2020-9496:Apache Ofbiz 反序列化漏洞分析

3、安全通告特制版即将发布

长按下方二维码关注360CERT!谢谢你的关注!

注:360CERT官方网站提供 《安全事件周报 (09.28-10.04)》 完整详情,点击阅读原文

本文分享自微信公众号 - 三六零CERT(CERT-360)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部