安全事件周报 (10.12-10.18)

原创
10/19 14:40
阅读数 93

报告编号:B6-2020-101903

报告来源:360CERT

报告作者:360CERT

更新日期:2020-10-19

0x01 事件导览

本周收录安全事件37项,话题集中在网络攻击勒索软件方面,涉及的组织有:AmazonIntcomexSeyfarth ShawBarnes&Noble等。VPN攻击事件频发,线上工作的安全保障至关重要。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

恶意程序 等级
ESET参与全球运营以破坏Trickbot僵尸网络 ★★★★
“柠檬鸭”加密矿僵尸网络的活动突然激增 ★★★★
IAmTheKing和SlothfulMedia恶意软件家族 ★★★★
NPM nukes NodeJS恶意软件使用Windows,Linux反向shell ★★★★
新型不加密文件的Android勒索软件 ★★★
BazarLoader曾在高价值目标上部署Ryuk勒索软件 ★★★
著名律师事务所Seyfarth Shaw遭到勒索软件攻击 ★★★
新的Emotet攻击使用虚假的Windows Update为诱饵 ★★★
数据安全
迈阿密的科技公司遭受了1TB的客户和业务数据泄露 ★★★★★
2020年卫生数据泄露事件大多数为勒索所致 ★★★★
研究人员发现了据称是北约和土耳其的敏感文件 ★★★
卡丁论坛上发布了300万迪基客户的信用卡详细信息 ★★★
Crytek遭Egregor勒索软件击,育碧数据被泄露 ★★★
网络攻击
黑客利用VPN漏洞访问美国政府选举支持系统 ★★★★
哈克尼遭到黑客网络攻击 ★★★★
挪威称俄罗斯黑客是8月议会袭击的幕后黑手 ★★★★
Clop勒索软件攻击了Software AG ★★★★
随着勒索活动的猖獗,Travelex和其他机构面临DDoS威胁 ★★★★
伊朗国家黑客组织与勒索软件部署有关 ★★★★
严重的Magento代码执行漏洞威胁在线商店 ★★★★
亚马逊优惠日购物者要小心欺诈网站! ★★★
Canva设计平台被黑客用于钓鱼 ★★★
据报道,5万个家庭摄像头被黑客攻击,视频被传到网上 ★★★
Barnes&Noble受到网络攻击,可能暴露了客户数据 ★★★
对伦敦议会的网络攻击仍有“重大影响” ★★★
波多黎各消防局的服务器遭到攻击 ★★★
伊朗黑客组织再次以大学为目标 ★★★
另一个威胁组织加入勒索软件诈骗 ★★★
嘉年华公司勒索软件攻击影响了三家邮轮公司 ★★★
Twitter黑客诱使员工放弃VPN证书 ★★★
其它事件
SonicWall VPN高危漏洞导致DoS、Worming RCE ★★★★★
可以滥用Windows Update来执行恶意文件 ★★★★
微软10月补丁日修复87个漏洞,公开披露6个漏洞 ★★★★
Adobe解决了Adobe Flash Player中的一个严重漏洞 ★★★★
谷歌、英特尔警告基于linux的物联网设备的内核错误 ★★★
Talos专家披露了Allen-Bradley适配器中未修补的DoS漏洞 ★★★
Zoom现在支持端到端加密(E2EE)调用 ★★★

0x02 恶意程序

ESET参与全球运营以破坏Trickbot僵尸网络

日期: 2020年10月12日
等级: 高
来源: WELIVESECURITY
标签: ESET, Microsoft, Trickbot, Botnets

ESET已与微软、Lumen旗下的黑莲花实验室(BlackLotusLabs)、NTTLtd.等合作伙伴展开合作,试图破坏Trickbot僵尸网络。Trickbot是最流行的银行恶意软件家族之一,ESET通过提供技术分析、统计信息、已知的命令、控制服务器域名和IP为该项目做出了贡献。长期以来,Trickbot一直是互联网用户的主要困扰。ESET于2016年底首次检测到Trickbot。在这些年中,Trickbot的漏洞不断地被报道,使其成为目前规模最大,寿命最长的僵尸网络之一。

详情

ESET takes part in global operation to disrupt Trickbot

https://www.welivesecurity.com/2020/10/12/eset-takes-part-global-operation-disrupt-trickbot/

“柠檬鸭”加密矿僵尸网络的活动突然激增

日期: 2020年10月15日
等级: 高
来源: DATABREACHTODAY
标签: Cisco Talos, Lemon Duck, Botnet, Cryptomining, XMR, Monero, Covid-19

CiscoTalos的研究人员警告说,“柠檬鸭”加密矿僵尸网络的活动突然激增。CiscoTalos的一份报告称,可以感染Windows和Linux设备的僵尸网络,旨在通过使用加密恶意软件XMR挖掘monero加密货币。尽管僵尸网络早在2018年12月就已经存在,但研究人员一直在追踪8月以来激增的活动,僵尸网络感染了更多设备,扩大其恶意网络。2020年8月,安全公司Sophos的一份报告指出,加密僵尸网络的运营商已经开始使用以covid-19为主题的电子邮件,诱使受害者打开含有恶意软件的附件。

详情

'Lemon Duck' Cryptominer Activity Spikes

https://www.databreachtoday.com/lemon-duck-cryptominer-activity-spikes-a-15186

IAmTheKing和SlothfulMedia恶意软件家族

日期: 2020年10月15日
等级: 高
来源: SECURELIST
标签: CISA, SlothfulMedia, IAmTheKing, Malware, Securelist, DHS CISA

2020年10月1日,DHS-CISA机构发布了一个名为SlothfulMedia的恶意软件家族的信息。2018年6月,securelist基于未知家族的恶意软件样本中发现的恶意软件字符串,发布了有关名为IAmTheKing的新活动集群的第一份报告。随着时间的推移,securelist发现了这一攻击者使用的三种不同的恶意软件,其中之一是SlothfulMedia。这篇博客文章的目的是介绍所有这些攻击,并提供securelist能够收集到的关于攻击者兴趣的数据。

详情

IAmTheKing and the SlothfulMedia malware family

https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/

NPM nukes NodeJS恶意软件使用Windows,Linux反向shell

日期: 2020年10月16日
等级: 高
来源: BLEEPINGCOMPUTER
标签: NPM, NodeJS, Malware, Malicious Packages, Sonatype

最近,NPM删除了其存储库上的多个包,这些包建立了与远程服务器的连接,并泄露了用户数据。

这4个软件包在过去的几个月里已经收集了超过1000总下载,直到2020年10月15日被NPM删除。

尽管NPM发现并删除了恶意程序包,但我能够深入到Sonatype的自动恶意软件检测系统档案中,以获得它们的源代码副本,因为它已经存在于NPM下载中。

详情

NPM nukes NodeJS malware opening Windows, Linux reverse shells

https://www.bleepingcomputer.com/news/security/npm-nukes-nodejs-malware-opening-windows-linux-reverse-shells/

新型不加密文件的Android勒索软件

日期: 2020年10月12日
等级: 中
来源: GBHACKERS
标签: Microsoft, Android, Ransomware, Unencrypted

微软检测到具有新攻击技术和行为的新Android勒索软件,这体现了移动勒索软件的发展。

大部分勒索软件是用来加密文件的,但这个新的勒索软件不会加密文件,相反,它会通过显示一个警告屏幕来阻止访问设备。

Android勒索软件使用一个特殊的权限系统警报窗口,在其他应用程序的顶部显示勒索通知,点击任何按钮就可以解除。

这个权限是用来通知用户的系统警报或错误,但是Android威胁滥用它来获得对显示器的访问。

详情

New Sophisticated Android Ransomware that Doesn't Encrypt Files

https://gbhackers.com/new-android-ransomware/

BazarLoader曾在高价值目标上部署Ryuk勒索软件

日期: 2020年10月12日
等级: 中
作者: Lawrence Abrams
标签: TrickBot, BazarLoader, Ryuk, Active Directory, Ransomware

在部署Ryuk勒索软件之前,黑客团伙越来越多地使用新型的BazarLoader木马瞄准高价值目标。多年来,TrickBot帮派一直使用其木马来入侵企业网络,方法是下载用于特定行为(例如窃取密码,传播到其他计算机甚至窃取域的ActiveDirectory数据库)的不同软件模块。随着时间的流逝,这些模块已经得到了大量的分析,安全解决方案变得更加擅长检测这些模块。英特尔高级安全研究人员在一份新报告中解释说,攻击者现在不再使用众所周知的TrickBot特洛伊木马烧死受害者,而是选择使用BazarBackdoor作为攻击高价值企业目标的首选工具。

详情

BazarLoader used to deploy Ryuk ransomware on high-value targets

https://www.bleepingcomputer.com/news/security/bazarloader-used-to-deploy-ryuk-ransomware-on-high-value-targets/

著名律师事务所Seyfarth Shaw遭到勒索软件攻击

日期: 2020年10月13日
等级: 中
来源: SECURITYAFFAIRS
标签: Seyfarth Shaw, Law Firm, Ransomware, Attack

全球领先的法律公司之一SeyfarthShaw宣布,它受到了恶意软件的攻击,很可能是勒索软件的攻击。SeyfarthShawLLP是一家国际AmLaw百强律师事务所,总部位于美国伊利诺斯州芝加哥,其客户包括财富500强中的300多家公司,其业务几乎反映了经济的各个行业和部门。SeyfarthShaw公司宣称自己受到了恶意软件的攻击,媒体立即报道了勒索软件的感染,该公司随后证实了此事。

根据该公司发布的一份声明,这次攻击发生在2020年10月10日。

详情

Leading Law firm Seyfarth Shaw discloses ransomware attack

https://securityaffairs.co/wordpress/109435/malware/seyfarth-shaw-ransomware-attack.html

新的Emotet攻击使用虚假的Windows Update为诱饵

日期: 2020年10月15日
等级: 中
作者: ,Catalin Cimpanu
标签: Emotet, Botnet, Malspam, MaaS, Windows Update, lures

在当今的网络安全领域,Emotet僵尸网络是malspam的最大来源之一。malspam是指发送带有恶意软件附件的电子邮件。malspam是支撑僵尸网络的基础,为Emotet机器提供新的受害者,这是一种租用给其他犯罪集团的“恶意软件即服务”(MaaS)网络犯罪活动。为了防止安全公司把他们的电子邮件标记为“恶意”或“垃圾邮件”,Emotet团队会定期改变这些电子邮件的发送方式以及文件附件的外观。在最近的Emotet活动中发送的文件附件显示一条来自Windows更新服务的消息,告诉用户需要更新Office应用程序。根据Cryptolaemus集团的最新消息,自2020年10月14起,这些Emotet诱饵被大量垃圾邮件发送给世界各地的用户。

详情

New Emotet attacks use fake Windows Update lures

https://www.zdnet.com/article/new-emotet-attacks-use-fake-windows-update-lures/

相关安全建议

1. 移动端不安装未知应用程序、不下载未知文件

2. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

3. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

4. 如果允许,暂时关闭攻击影响的相关业务,积极对相关系统进行安全维护和更新,将损失降到最小

5. 网段之间进行隔离,避免造成大规模感染

6. 如果不慎勒索中招,务必及时隔离受害主机、封禁外链ip域名并及时联系应急人员处理

7. 条件允许的情况下,设置主机访问白名单

8. 减少外网资源和不相关的业务,降低被攻击的风险

9. 各主机安装EDR产品,及时检测威胁

0x03 数据安全

迈阿密的科技公司遭受了1TB的客户和业务数据泄露

日期: 2020年10月13日
等级: 高
来源: CYBERNEWS
标签: Intcomex, Data Leak, Russian, Database, Hacker Forum

位于迈阿密的增值解决方案和技术产品公司Intcomex遭遇重大数据泄露,近1TB的用户数据泄露。泄露的数据包括信用卡、护照和执照扫描、个人数据、工资单、财务文档、客户数据库、员工信息等。部分数据是在俄罗斯一个流行的黑客论坛上免费泄露的,第一部分于2020年9月14日公开,第二部分于2020年9月20日公开。

详情

Miami-based tech company suffers massive 1TB customer and business data leak

https://cybernews.com/security/miami-based-tech-company-suffers-massive-1tb-data-leak/

2020年卫生数据泄露事件大多数为勒索所致

日期: 2020年10月13日
等级: 高
来源: DATABREACHTODAY
标签: Blackbaud, Magellan Health, Ransomware, Data Breach, HIPAA

涉及勒索软件攻击的黑客事件继续占据2020年健康数据泄露的主导地位,Blackbaud和Magellanhealth这两家公司的事件导致了他们客户的大量泄露。

截至2020年10月13日,美国卫生与公众服务部(DepartmentofHealthandHumanServices)的HIPAA泄漏报告工具网站显示,2020年迄今为止最大的健康数据泄露事件中,绝大多数是勒索软件攻击。

在联邦政府公布的2020年迄今为止10起最大的健康数据黑客事件中,有9起与勒索软件事件有关,涉及筹款软件提供商Blackbaud和管理健康公司MagellanHealth。

详情

Health Data Breaches in 2020: Ransomware Incidents Dominate

https://www.databreachtoday.com/health-data-breaches-in-2020-ransomware-incidents-dominate-a-15170

研究人员发现了据称是北约和土耳其的敏感文件

日期: 2020年10月12日
等级: 中
来源: SECURITYAFFAIRS
标签: Cyble, NATO, Turkey, Leaked, Havelsan

来自美国Cyble公司的研究人员最近发现了一个匿名威胁者分享的帖子,他在网上的名字是Spectre123,据说他泄露了北约和Havelsan(土耳其军事/国防制造商)的敏感文件。Cyble分析了泄露的敏感文件,并报告说,这些文件包括工作文件、建议书、合同、3d设计、简历、包含原材料信息的excel表和财务报表。目前尚不清楚这些攻击者是出于网络间谍目的还是黑客行动主义的目的,泄露信息的内容表明这是黑客活动分子的工作,但不能排除这是民族国家行为的结果。

详情

Researchers found alleged sensitive documents of NATO and Turkey

https://securityaffairs.co/wordpress/109386/breaking-news/nato-turkey-data-leak.html

卡丁论坛上发布了300万迪基客户的信用卡详细信息

日期: 2020年10月15日
等级: 中
作者: ,Catalin Cimpanu
标签: Dickey's barkerpit, Joker's Stash, Card, Gemini Advisory

美国最大的烧烤连锁店迪基烧烤坑(Dickey'sbarkerpit)超过300万顾客的信用卡详细信息已被公布在一个名为Joker'sStash的卡片作假市场上。这一发现是由追踪金融欺诈的网络安全公司GeminiAdvisory发现的。这些信用卡数据似乎是在2019年7月至2020年8月期间收集的。支付卡记录大多是针对使用过时磁条技术的卡,以每张卡17美元的中间价出售。

详情

Card details for 3 million Dickey's customers posted on carding forum

https://www.zdnet.com/article/card-details-for-3-million-dickeys-customers-posted-on-carding-forum/

Crytek遭Egregor勒索软件击,育碧数据被泄露

日期: 2020年10月15日
等级: 中
作者: ,Lawrence Abrams
标签: Crytek, Ubisoft, Egregor, Ransomware, Data leaked

Egregor勒索软件团伙对游戏开发商Crytek发起了一场勒索软件攻击,并泄露了他们声称从育碧网络窃取的文件。育碧和Crytek都是著名的游戏开发商,公司总部分别位于法国和德国。Egregor勒索软件游戏发布了包含未加密文件的档案,声称这些档案是在不相关的攻击中从UbisoftCrytek窃取的。

详情

Crytek hit by Egregor ransomware, Ubisoft data leaked

https://www.bleepingcomputer.com/news/security/crytek-hit-by-egregor-ransomware-ubisoft-data-leaked/

相关安全建议

1. 及时检查并删除外泄敏感数据

2. 严格控制数据访问权限

3. 敏感数据建议存放到http无权限访问的目录

4. 及时备份数据并确保数据安全

5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施

6. 条件允许的情况下,设置主机访问白名单

0x04 网络攻击

黑客利用VPN漏洞访问美国政府选举支持系统

日期: 2020年10月12日
等级: 高
作者: Sergiu Gatlan
标签: US, VPN, Elections, Govt, Vulnerability, Zerologon

黑客通过将VPN漏洞和最近的WindowsCVE-2020-1472安全漏洞结合在一起,攻击并获得了对美国选举支持系统的访问权。美国网络安全和基础设施安全局(CISA)表示,高级持续威胁(APT)参与者经常使用这种漏洞组合策略,来攻击联邦和SLTT(州、地方、部落和领土)政府网络,以及选举组织和基础设施。

详情

Hackers used VPN flaws to access US govt elections support systems

https://www.bleepingcomputer.com/news/security/hackers-used-vpn-flaws-to-access-us-govt-elections-support-systems/

哈克尼遭到黑客网络攻击

日期: 2020年10月13日
等级: 高
作者: Gareth Corfield
标签: Hackney Council, the National Cyber Security Centre, Cyberattack, London

位于伦敦东部的哈克尼委员会(HackneyCouncil)宣布已受到了“网络攻击”,但当局和国家网络安全中心(NCSC)的官员对实际发生的事情仍然守口如瓶。当地市长菲利普·格兰维尔(PhilipGlanville)于2020年10月13日在议会网站上发表声明说:“哈克尼委员会一直是网络攻击的目标,这正影响哈克尼的许多服务和IT系统。”令公众担忧的是,该委员会和NCSC似乎都无法控制上述“网络攻击”。

详情

Hackers hack Hackney: Local government cries 'cyberattack' while UK infosec officials rush to figure out what happened

https://www.theregister.com/2020/10/13/hackney_council_hacked_hackers_cyberhack/

挪威称俄罗斯黑客是8月议会袭击的幕后黑手

日期: 2020年10月13日
等级: 高
作者: Sergiu Gatlan
标签: Norway, Russia, Cyberattack, Parliament

挪威外交部长伊恩·埃里克森·瑟里德在2020年10月13日说,俄罗斯是2020年8月挪威议会遭到网络攻击的幕后黑手。瑟里德在2020年10月13日早些时候发布的新闻稿中说:“8月24日,挪威议会宣布他们的电子邮件系统出现数据泄露”,此前的简报也包括国防部长弗兰克·巴克克·詹森。“根据政府拥有的信息基础,他们认为俄罗斯是这一活动的幕后黑手。”瑟里德还说:“这是一个严重的事件,影响到挪威最重要的民主制度。”

详情

Norway says Russian hackers were behind August Parliament attack

https://www.bleepingcomputer.com/news/security/norway-says-russian-hackers-were-behind-august-parliament-attack/

Clop勒索软件攻击了Software AG

日期: 2020年10月13日
等级: 高
来源: THREATPOST
标签: Software AG, Cloud, Ransomware, Clop, Data Leak

Clop和该组织的标志性恶意软件再次发动攻击,这次攻击的目标是德国软件集团公司(softwareAG`)。据报道,到目前为止,该公司并没有支付2300万美元的巨额赎金。2020年10月11日,该公司证实,这些攻击者正在公布公司数据。

10月初,网络攻击者成功侵入了该公司的系统。该公司在10月5日发布了一份声明,公开承认了这次攻击,并补充说,“尽管为其客户提供的服务(包括基于云的服务)不受影响,但是,SoftwareAG已按照受控方式关闭了内部系统,遵守公司的内部安全规定”。

详情

Software AG Data Released After Clop Ransomware Strike - Report

https://threatpost.com/software-ag-data-clop-ransomware/160042/

随着勒索活动的猖獗,Travelex和其他机构面临DDoS威胁

日期: 2020年10月14日
等级: 高
来源: THREATPOST
标签: Travelex, DDoS, BTC, Email, Orgs

世界各地的公司不断收到勒索电子邮件,威胁在其网络上发动分布式拒绝服务(DDoS)攻击,除非他们支付赎金,据报道,英国外汇公司Travelex是最近备受关注的威胁接收者之一。研究人员说,自8月中旬以来,已经有几家公司收到电子邮件,警告称他们的公司网络将在大约一周内受到DDoS攻击。研究人员说,最初的赎金要求定为20BTC(在撰写本文时约合23万美元),网络犯罪分子威胁说,如果没有支付赎金,每天的赎金将增加10BTC。

详情

Travelex, Other Orgs Face DDoS Threats as Extortion Campaign Rages On

https://threatpost.com/travelex-ddos-extortion-campaign/160110/

伊朗国家黑客组织与勒索软件部署有关

日期: 2020年10月15日
等级: 高
作者: ,Catalin Cimpanu
标签: Thanos, Iranian, Ransomware, MuddyWater, Phishing

安全研究人员说,他们发现了将最近的袭击和Thanos勒索软件和伊朗国家资助的黑客组织联系起来的线索。ClearSky和Profero的安全研究人员在调查几家以色列知名组织的安全事件时表示,他们将这次入侵与MuddyWater联系了起来,后者是一个由伊朗政府支持的黑客组织。MuddyWater将使用带有恶意ExcelPDF文件的钓鱼邮件,这些邮件打开后将从黑客的服务器下载并安装恶意软件。在第二种情况下,MuddyWater将扫描Internet上未打补丁的MicrosoftExchange电子邮件服务器,利用CVE-2020-0688漏洞,在服务器上安装WebShell,然后下载并安装以前看到的相同恶意软件。

详情

Iranian state hacker group linked to ransomware deployments

https://www.zdnet.com/article/iranian-state-hacker-group-linked-to-ransomware-deployments/

严重的Magento代码执行漏洞威胁在线商店

日期: 2020年10月15日
等级: 高
来源: THREATPOST
标签: Magento, Adobe, Magecart, Vulnerability, Code Execution

Adobe电子商务平台Magento经常成为Magecart威胁组织等攻击者的攻击目标。Magento的两个严重漏洞可能使受影响的系统能够任意执行代码。从亚马逊优惠日(AmazonPrimeDay)到11月的BlackFriday,零售业将在未来几个月内迎来繁荣。这将给Adobe带来压力,迫使其迅速修补流行的Magento开源平台上的漏洞。其中最严重的漏洞包括允许任意代码执行的漏洞。该问题源于使用“allowlist”方法检查文件扩展名时应用程序未验证完整文件名。这可能使攻击者可以绕过验证并上传恶意文件。

详情

Critical Magento Holes Open Online Shops to Code Execution

https://threatpost.com/critical-magento-holes-online-shops-code-execution/160181/

亚马逊优惠日购物者要小心欺诈网站!

日期: 2020年10月13日
等级: 中
来源: GBHACKERS
标签: Amazon, Phishing, Fraudulent Sites, Prime day

AmazonPrimeDay交易将于2020年10月14日开始,然而攻击者使用Amazon品牌和徽标进行了网络钓鱼和欺诈活动。

最近几天,使用亚马逊品牌和标志的欺诈网站注册数量激增,据研究人员在过去30天里的研究数据显示,注册的包含“亚马逊”一词的域名比2020年9月增加了21%。

安全研究人员称,8月份亚马逊新的钓鱼和欺诈网站急剧增加,9月份又增加了2.5倍。攻击者试图复制亚马逊网站的页眉和页脚布局、字体和尺寸来欺骗购物者。黑客试图引诱受害者,他们窃取最敏感的数据,如信用卡信息、姓名、生日、电子邮件和实际地址以及其他详细信息。

详情

Amazon Prime Day shoppers Beware!- Attackers Creating Fraudulent Sites

https://gbhackers.com/amazon-prime-day-scams/

Canva设计平台被黑客用于钓鱼

日期: 2020年10月14日
等级: 中
作者: Lawrence Abrams
标签: Canva, Platform, Phishing, HTML

免费的图形设计网站Canva被攻击者滥用,以创建和托管复杂的网络钓鱼登陆页面。Canva是一个图形设计平台,它允许用户创建海报、信头、节日贺卡和其他数字媒体,然后可以下载为图像,通过可点击的链接以HTML格式共享或打印。作为其服务的一部分,设计师可以生成可共享的url,以便朋友和同事可以在canva.com上查看他们的作品。当共享设计时,点击链接的用户将看到一个完整的页面,并能够与任何嵌入的链接或表单交互。

在网络安全公司Cofense的一份新报告中,攻击者越来越多地使用Canva来创建托管的HTML登录页,然后用于将钓鱼受害者重定向到伪造的登录表单。

详情

Canva design platform actively abused in credentials phishing

https://www.bleepingcomputer.com/news/security/canva-design-platform-actively-abused-in-credentials-phishing/

据报道,5万个家庭摄像头被黑客攻击,视频被传到网上

日期: 2020年10月14日
等级: 中
来源: WELIVESECURITY
标签: ESET, Home Cameras , Singapore, Private Video

一个黑客团队声称,他们已经攻破了5万多个家庭安全摄像头,并将其中一些视频上传到了网上。虽然相当一部分视频似乎来自新加坡,但泰国、韩国和加拿大的人们似乎也受到了侵犯。一些视频的长度从一到二十分钟不等,展示了不同年龄段的人在不同的姿势或不同的脱衣阶段,已经被上传到色情网站。报道这一消息的新报纸援引不具名的黑客组织的话说,他们已经与70多名会员分享了这些视频片段,这些成员支付了150美元终身使用这些赃物。

详情

50,000 home cameras reportedly hacked, footage posted online

https://www.welivesecurity.com/2020/10/14/50000-home-cameras-reportedly-hacked-footage-posted-online/

Barnes&Noble受到网络攻击,可能暴露了客户数据

日期: 2020年10月14日
等级: 中
作者: Lawrence Abrams
标签: Barnes & Noble, Cyberattack, BleepingComputer, Customer Data

Barnes&Noble透露,他们是一次网络攻击的受害者,该攻击可能暴露了客户的数据。Barnes&Noble是美国最大的零售连锁书店,以大型的实体零售书店闻名。在一封2020年10月14日深夜发给客户的电子邮件中,BleepingComputer看到了Barnes&Noble披露,他们在2020年10月10日遭受了一次网络攻击。作为这次攻击的一部分,攻击者获得了公司使用的公司系统的访问权。Barnes&Noble表示,目前还没有披露任何支付细节,但目前还不确定黑客是否访问了其他个人信息。

详情

Barnes & Noble hit by cyberattack that may have exposed customer data

https://www.bleepingcomputer.com/news/security/barnes-and-noble-hit-by-cyberattack-that-may-have-exposed-customer-data/

对伦敦议会的网络攻击仍有“重大影响”

日期: 2020年10月15日
等级: 中
作者: ,Steve Ranger
标签: London, Cyberattack, Council

2020年10月早些时候,北伦敦议会表示,它受到了严重的网络攻击,许多服务和it系统受到影响。这次袭击继续对市政服务产生重大影响,议会要求居民除非绝对必要,否则不要与议会联系。

详情

Cyberattack on London council still having 'significant impact'

https://www.zdnet.com/article/cyber-attack-on-london-council-still-having-significant-impact/

波多黎各消防局的服务器遭到攻击

日期: 2020年10月15日
等级: 中
来源: SECURITYAFFAIRS
标签: Puerto Rico, Firefighting Department, Ransom, Encrypted

据国防部主任阿尔贝托·克鲁兹说,该部应对紧急情况的能力没有受到袭击的影响。国防部收到了一封来自攻击者的电子邮件,通知他们已经加密了服务器,并要求支付赎金才能释放他们。当地警方对此事件展开调查,而该部门决定不支付赎金。

详情

Crooks hit Puerto Rico Firefighting Department Servers

https://securityaffairs.co/wordpress/109551/hacking/puerto-rico-firefighting-department-attack.html

伊朗黑客组织再次以大学为目标

日期: 2020年10月15日
等级: 中
来源: DATABREACHTODAY
标签: Iran, U.S., Malwarebytes, TA407, Cobalt Dickens, Silent Librarian

据安全公司Malwarebytes的研究人员称,一个被怀疑与伊朗政府有关联的黑客组织再次将美国和世界各地的大学作为攻击目标。

“沉默的图书馆员”,也被称为TA407和CobaltDickens,目标是学术机构窃取知识产权和研究文件。Malwarebytes的报告称,黑客组织的活动始于2013年,通常从9月新学年开始。

Malwarebytes报告指出,由于许多学校和大学在2020年秋天提供虚拟课程,黑客组织已经修改了其钓鱼邮件和其他技术,以攻击远程学生和大学工作人员。

详情

Iranian Hacking Group Again Targets Universities

https://www.databreachtoday.com/iranian-hacking-group-again-targets-universities-a-15182

另一个威胁组织加入勒索软件诈骗

日期: 2020年10月15日
等级: 中
来源: DATABREACHTODAY
标签: FireEye Mandiant, FIN11, Clop, Ransomware, Malware

据火眼Mandiant的研究人员称,一个名为“FIN11”的新发现的以经济为动机的威胁集团正在部署Clop勒索软件,从目标那里窃取数据,以进行敲诈。Mandiant威胁情报公司(MandiantThreatIntelligence)的分析师吉纳维耶夫·斯塔克(GenevieveStark)说,FIN11最近增加了活动,并扩展到勒索软件、数据盗窃和勒索活动(参见:更多勒索软件团伙以数据泄露威胁受害者)。斯塔克说:“虽然FIN11没有表现出高度的技术成熟度,但这并没有阻止它们影响到许多跨行业和地理区域的组织。”。多年来,FireEyeMandiant观察到了从FIN11开始的突发性活动,然后是可以持续数月的平静期。例如,在3月至5月期间,该组织似乎停止了所有的计划。但现在,黑客在一周内进行了多达5次的恶意攻击。

详情

Another Threat Group Joins Ransomware Extortion Racket

https://www.databreachtoday.com/another-threat-group-joins-ransomware-extortion-racket-a-15183

嘉年华公司勒索软件攻击影响了三家邮轮公司

日期: 2020年10月15日
等级: 中
来源: THREATPOST
标签: Carnival Corp, Ransomware, Cruise Lines, Attack

据有关官员证实,8月15日,美国嘉年华公司(CarnivalCorp.)遭遇勒索软件攻击,黑客侵入了三家邮轮品牌以及该公司赌场业务的客人、员工和船员的个人信息。

该公司最近在最新情况中表示,嘉年华邮轮公司、荷兰美洲邮轮公司和Seabourn是受袭击影响的品牌,嘉年华仍在调查中。嘉年华一直在与网络安全顾问合作,以恢复其文件,并认为“滥用数据的可能性很小”。

嘉年华在事件发生两天后,也就是8月17日,就已经透露自己成了勒索软件攻击的目标。当时,该公司承认黑客侵入并加密了某品牌的部分信息技术系统,以及从该公司下载的数据文件。

详情

Carnival Corp. Ransomware Attack Affects Three Cruise Lines

https://threatpost.com/carnival-corp-ransomware-attack-cruise/160134/

Twitter黑客诱使员工放弃VPN证书

日期: 2020年10月16日
等级: 中
来源: SCMAGAZINE
标签: Twitter, VPN, Phishing, IT

2020年7月入侵Twitter的攻击者假装从Twitter的IT部门打电话询问VPN问题,然后说服员工在一个看起来与真实VPN登录站点完全相同的网站上输入他们的证书。纽约金融服务部(NYDFS)的一份报告发现,黑客们的说法是可信和成功的,因为Twitter的员工都在使用VPN连接工作,经常会遇到需要IT支持的VPN问题。Twitter黑客似乎还进行了研究,以确定Twitter员工的基本职能和职务,以便他们可以更好地模仿Twitter的IT部门。

详情

Twitter hackers lured employees to give up VPN Credentials

https://www.scmagazine.com/home/security-news/twitter-hackers-lured-employees-to-give-up-vpn-credentials/

相关安全建议

1. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

2. 注重内部员工安全培训

3. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

4. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

5. 如果允许,暂时关闭攻击影响的相关业务,积极对相关系统进行安全维护和更新,将损失降到最小

6. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

7. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

8. 积极开展外网渗透测试工作,提前发现系统问题

9. 做好文件(尤其是新修改的文件)检测

10. 统一web页面报错信息,避免暴露敏感信息

11. 合理设置服务器端各种文件的访问权限

0x05 其它事件

SonicWall VPN高危漏洞导致DoS、Worming RCE

日期: 2020年10月14日
等级: 高
来源: THREATPOST
标签: RCE, Vulnerability, SonicWall VPN, SSLVPN, Buffer Overflow

SonicWallVPN中的一个高危安全漏洞可用于使设备崩溃并阻止用户连接到公司资源。研究人员说,它还可以打开远程代码执行(RCE)的大门。该漏洞(CVE-2020-5135)是SonicWallNetworkSecurityAppliance(NSA中基于堆栈的缓冲区溢出。据Tripwire的研究人员发现,该漏洞存在于用于产品管理和sslvpn远程访问的HTTP/HTTPS服务中。

目前SonicWall VPN在全球均有分布,具体分布如下图,数据来自于360 QUAKE

详情

Critical SonicWall VPN Portal Bug Allows DoS, Worming RCE

https://threatpost.com/critical-sonicwall-vpn-bug/160108/

可以滥用Windows Update来执行恶意文件

日期: 2020年10月12日
等级: 高
作者: Sergiu Gatlan
标签: Windows Update, Command, LoLBins, WDAC, UAC, Bypass

WindowsUpdate客户端被添加到攻击者的远程二进制文件(LoLBins)列表,该列表可用于在Windows系统上执行恶意代码。LoLBins是微软签署的可执行文件(预安装或下载),可以被攻击者滥用,在下载、安装或执行恶意代码时逃避检测。

它们还可以被攻击者用来绕过Windows用户帐户控制(UAC)或Windows防御应用程序控制(WDAC),并在已经受损的系统上获得持久性。

详情

Windows Update can be abused to execute malicious files

https://www.bleepingcomputer.com/news/security/windows-update-can-be-abused-to-execute-malicious-files/

微软10月补丁日修复87个漏洞,公开披露6个漏洞

日期: 2020年10月13日
等级: 高
作者: Lawrence Abrams
标签: Microsoft, Patch Tuesday, Adobe, Windows, Vulnerabilities

随着微软2020年10月补丁日安全更新发布,微软发布了其产品中87个漏洞的修复程序,并发布了关于2020年10月13日AdobeFlashPlayer更新的建议。在2020年10月13日修复的87个漏洞中,12个被列为严重漏洞,74个被列为重要漏洞,1个被列为中等漏洞。

详情

Microsoft October Patch Tuesday fixes 87 bugs, six publicly disclosed

https://www.bleepingcomputer.com/news/security/microsoft-october-patch-tuesday-fixes-87-bugs-six-publicly-disclosed/

Adobe解决了Adobe Flash Player中的一个严重漏洞

日期: 2020年10月13日
等级: 高
来源: SECURITYAFFAIRS
标签: Adobe, Adobe Flash Player, Remote Code Execution, Vulnerability

Adobe发布了一个安全更新来解决AdobeFlashPlayer(CVE-2020-9746)中一个严重的远程代码执行漏洞,该漏洞可能会被攻击者通过欺骗受害者访问一个网站来利用。攻击者在HTTP响应中插入恶意字符串后,不知情的用户访问网站,即可触发此漏洞。

详情

Adobe addresses a critical security flaw in Adobe Flash Player

https://securityaffairs.co/wordpress/109448/hacking/adobe-flash-player-critical-flaw.html

谷歌、英特尔警告基于linux的物联网设备的内核错误

日期: 2020年10月14日
等级: 中
来源: THREATPOST
标签: Google, Intel, BlueZ, IoT, Linux, BleedingTooth, Vulnerability

Google和Intel警告BlueZ存在严重漏洞,BlueZ是一个Linux蓝牙协议栈,为基于Linux的物联网(IoT)设备提供核心蓝牙层和协议支持。根据Google的说法,该漏洞影响到支持BlueZ的5.9版之前的Linux内核版本的用户。BlueZ是一个在GNU通用公共许可证(GPL)下发布的开源项目,它的特点是BlueZ内核,从2.4.6版起就成为正式Linux内核的一部分。谷歌称之为“BleedingTooth”,改漏洞可由本地未经验证的攻击者通过精心编制的输入进行“Zero-Click”攻击。这允许攻击者在受影响设备上升级权限。

详情

Google, Intel Warn on 'Zero-Click' Kernel Bug in Linux-Based IoT Devices

https://threatpost.com/google-intel-kernel-bug-linux-iot/160067/

Talos专家披露了Allen-Bradley适配器中未修补的DoS漏洞

日期: 2020年10月14日
等级: 中
来源: SECURITYAFFAIRS
标签: Cisco Talos, Rockwell Automation, DoS, Vulnerabilities, Buffer Overflow

CiscoTalos的一名研究人员公布了,罗克韦尔自动化公司生产的工业自动化产品中,几个可远程利用的拒绝服务(DoS)漏洞的技术细节。受该漏洞影响的产品是Allen-Bradley1794-AENTFlexI/OseriesB适配器,问题存在于以太网、IP请求路径端口/数据、逻辑段功能中。CiscoTalos研究人员发现了五个严重程度高的缓冲区溢出漏洞,这些漏洞影响运行4.003及更早版本的AllenBradley设备。

详情

Talos experts disclosed unpatched DoS flaws in Allen-Bradley adapter

https://securityaffairs.co/wordpress/109480/ics-scada/allen-bradley-adapter-dos-flaws.html

Zoom现在支持端到端加密(E2EE)调用

日期: 2020年10月15日
等级: 中
来源: SECURITYAFFAIRS
标签: Video, Zoom, E2EE, Encrypted

视频会议平台Zoom宣布了端到端加密(E2EE)的实现,并于2020年10月19日开始提供。有了E2EE,用户将能够生成单独的加密密钥,并使用它们来保护语音或视频通话,加密保护它们不被窃听。用户使用公钥加密将密钥分发给其他会议参与者。软件将在本地存储密钥,不会与公司服务器共享。这种设计选择旨在确保变焦本身不能窃听通信。想要保护与E2EE的通信的用户必须更新他们的客户端,并从他们的帐户启用对E2EE调用的支持。

详情

Zoom now supports end-to-end encrypted (E2EE) calls

https://securityaffairs.co/wordpress/109523/security/zoom-e2ee-calls.html

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

0x06 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对事件相关组件进行监测,请用户联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

0x07 时间线

2020-10-19 360CERT发布安全事件周报

0x08 特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。

http://pub-shbt.s3.360.cn/cert-public-file/【360CERT】安全事件周报10.12-10.18.pdf

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

推荐阅读:

1、CVE-2020-5135:SonicOS缓冲区溢出漏洞通告

2、[更新1.0:PoC公开]CVE-2020-16898: Windows TCP/IP远程执行代码漏洞通告

3、Shiro & Nexus Repository Manger 2/3 权限验证绕过漏洞通告

长按下方二维码关注360CERT!谢谢你的关注!

注:360CERT官方网站提供 《安全事件周报 (10.12-10.18)》 完整详情,点击阅读原文

本文分享自微信公众号 - 三六零CERT(CERT-360)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部