安全事件周报 (08.30-09.05)

原创
09/06 15:15
阅读数 14


赶紧点击上方话题进行订阅吧!

报告编号:B6-2021-090601

报告来源:360CERT

报告作者:360CERT

更新日期:2021-09-06


1
 事件导览



本周收录安全热点19项,话题集中在网络攻击数据安全方面,涉及的组织有:MicrosoftBilaxy曼谷航空Confluence等。多个新冠相关机构遭遇信息泄露。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。


2
 事件目录



恶意程序
BazaLoader 恶意软件隐藏在虚假的 DMCA 和 DDoS 投诉中
曼谷航空高管为数据泄露道歉
卡巴斯基实验室报告了能自动窃取资金的 Android 木马程序
警惕“Windows 11 Alpha”附件
数据安全
印度尼西亚政府的新冠病毒检测程序泄漏130万用户信息
富士通称暗网上出售的被盗数据与客户有关
泄露的包含 Guntrader 客户详细信息的数据文件已被共享
DuPage 医疗集团患者的数据被泄露
70 万法国人的 Covid 测试结果在线泄露
网络攻击
美国政府警告组织修补被大规模利用的 Confluence 漏洞
对瑞士城市的勒索软件攻击暴露了公民的数据
微软警告滥用开放重定向链接的凭据网络钓鱼攻击
攻击者试图利用最近修补的 Atlassian Confluence CVE-2021-26084 RCE
Autodesk 透露它是俄罗斯 SolarWinds 黑客的目标
加密货币交易所 Bilaxy 受到攻击,黑客窃取了 ERC20 钱包代币
据报道,新西兰的主要 IPS 遭受大规模 DDoS 攻击
其它事件
蓝牙 BrakTooth 漏洞可能影响数十亿台设备
Microsoft Exchange ProxyToken 漏洞可能允许黑客窃取用户电子邮件

3
 恶意程序



BazaLoader 恶意软件隐藏在虚假的 DMCA 和 DDoS 投诉中

日期: 2021年08月30日
等级: 高
来源: heimdalsecurity
标签: bazaloader, Malware, DDoS, fake messages
行业: 信息传输、软件和信息技术服务业
涉及组织: google, microsoft

bazaloader恶意软件开发人员想出了一个新主意,试图欺骗受害者打开恶意文档。

恶意软件bazaloader的攻击者目前正在向网站所有者发送虚假信息,告知他们的网站正在遭受分布式拒绝服务(ddos)攻击,这些信息包括一个法律警告和一个保存在谷歌驱动器文件夹中的文件。

详情

BazaLoader Malware Hides in False DMCA and DDoS Complaints

https://heimdalsecurity.com/blog/bazaloader-malware-hides-in-false-dmca-and-ddos-complaints/

曼谷航空高管为数据泄露道歉

日期: 2021年08月30日
等级: 高
作者: Doug Olenick
标签: Bangkok Airways, Data Breach, LockBit
行业: 交通运输、仓储和邮政业

曼谷航空公司(BangkokAirways)表示就数据泄露事件道歉。

最初的入侵发生在8月23日,到目前为止,调查发现攻击者可能已经访问了一些个人数据。

根据暗网威胁情报公司DarkTracer的一条推特消息,LockBit勒索软件团伙声称他们从航空公司获取了200GB的数据,如果他们的要求得不到满足,他们将会把部分数据公开。

详情

Bangkok Airways Execs Apologize for Data Breach

https://www.databreachtoday.com/bangkok-airways-execs-apologize-for-data-breach-a-17403

卡巴斯基实验室报告了能自动窃取资金的 Android 木马程序

日期: 2021年09月02日
等级: 高
来源: ehackingnews
标签: Android Malware, Hacking Mobile, Mobile Security, Mobile Virus
行业: 金融业

卡巴斯基实验室的移动威胁首席研究员viktorchebyshev在接受俄罗斯报纸izvestia采访时谈到了自动与银行应用程序交互的安卓木马程序。

在渗透进智能手机后,木马会激励用户打开特定信用机构的应用程序并登录。

然后恶意软件会自动点击必要的“按钮”进行汇款。这种情况发生得如此之快,以至于受害者没有时间通过视觉迹象来怀疑任何事情。

详情

Kaspersky Lab has reported about Android viruses designed to steal money automatically

https://www.ehackingnews.com/2021/09/kaspersky-lab-has-reported-about.html

警惕“Windows 11 Alpha”附件

日期: 2021年09月04日
等级: 高
作者: Ionut Ilascu
标签: Windows 11 , Microsoft Word, fin7, malware
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft, amd, intel

攻击者最近部署了一个恶意软件活动,该活动使用Windows11主题来引诱收件人激活放置在MicrosoftWord文档中的恶意代码。

安全研究人员认为,该活动背后的对手可能是专门窃取支付卡数据的fin7网络犯罪集团,也称为carbanak和navigator。

详情

Watch out for new malware campaign’s 'Windows 11 Alpha' attachment

https://www.bleepingcomputer.com/news/security/watch-out-for-new-malware-campaign-s-windows-11-alpha-attachment/

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 各主机安装EDR产品,及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理


4
 数据安全



印度尼西亚政府的新冠病毒检测程序泄漏130万用户信息

日期: 2021年09月01日
等级: 高
作者: Deeba Ahmed
标签: breach, COVID-19, ElasticSearch, Indonesia, LEAKS, Privacy
行业: 卫生和社会工作
涉及组织: elasticsearch, whatsapp

根据印度尼西亚卫生部官员AnasMa’ruf的说法,该国的COVID-19测试和追踪应用程序存在固有的安全漏洞,大约130万人的个人信息和健康状况因此而暴露。

详情

Indonesian Govt’s COVID-19 test, trace app leak impacting 1.3m users

https://www.hackread.com/indonesian-govts-covid-19-test-trace-app-data-leak/

富士通称暗网上出售的被盗数据与客户有关

日期: 2021年08月30日
等级: 高
作者: Jonathan Greig
标签: Fujitsu, dark web, customers data
行业: 信息传输、软件和信息技术服务业
涉及组织: twitter, Fujitsu

日本科技巨头富士通的数据被一个名为marketo的组织在暗网上出售,但该公司表示,这些信息似乎与客户,而不是与他们的系统有关。

marketo表示,有4GB的被盗数据并正在出售。

他们提供了数据样本,并声称他们拥有机密的客户信息、公司数据、预算数据、报告和其他公司文件。

详情

Fujitsu says stolen data being sold on dark web 'related to customers'

https://www.zdnet.com/article/fujitsu-says-stolen-data-being-sold-on-dark-web-related-to-customers/

泄露的包含 Guntrader 客户详细信息的数据文件已被共享

日期: 2021年09月01日
等级: 高
来源: heimdalsecurity
标签: guntrader, guns, Data breach
行业: 批发和零售业
涉及组织: google

Guntrader,被称为枪支销售之家。最近,超过111,000名英国枪支拥有者的姓名和属于guntrader客户的家庭地址(包含在一个与谷歌地球兼容的csv文件中)在网上泄露,该文件将家庭住宅定位为可能的枪支存放位置。

详情

The Leaked Data File Containing Details About the Guntrader Customers Has Been Shared

https://heimdalsecurity.com/blog/the-leaked-data-file-containing-details-about-the-guntrader-customers-has-been-shared/

DuPage 医疗集团患者的数据被泄露

日期: 2021年09月01日
等级: 高
来源: heimdalsecurity
标签: DuPage, Medical Group, Cyberattack, Data Breach
行业: 卫生和社会工作

DuPage医疗集团提供者目前正在通知他们的患者(超过60万名),他们的姓名、地址、出生日期、治疗日期等敏感信息可能已被泄露。

根据该组织的新闻稿,DuPage医疗集团在7月份遭受了网络攻击,在7月12日至7月13日期间,杜帕奇医疗集团的网络被未经授权攻击者访问,导致其网络系统中断了近一周。

详情

Patients at DuPage Medical Group May Have Had Their Data Compromised Following a Cyberattack

https://heimdalsecurity.com/blog/patients-at-dupage-medical-group-may-have-had-their-data-compromised-following-a-cyberattack/

70 万法国人的 Covid 测试结果在线泄露

日期: 2021年09月02日
等级: 高
来源: heimdalsecurity
标签: francetest, Covid, French
行业: 卫生和社会工作
涉及组织: wordpress

francetest是一家专门从事将在法国药店进行的Covid测试的数据传输到si-dep平台的公司,该公司卷入了一起事件,该事件导致700,000个Covid测试结果被暴露在网上。此外,相关的姓名、出生日期、地址和电子邮件地址、电话和社会安全号码等敏感信息也被泄露。

详情

700k French Individuals Had Their Covid Test Results Leaked Online

https://heimdalsecurity.com/blog/700k-french-individuals-had-their-covid-test-results-leaked-online/

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施


5
 网络攻击



美国政府警告组织修补被大规模利用的 Confluence 漏洞

日期: 2021年09月03日
等级: 高
作者: Sergiu Gatlan
标签: US govt, Atlassian Confluence, vulnerability
行业: 跨行业事件
涉及组织: cisa

美国网络司令部(uscybercom)2021年9月3日发布了一个罕见的警报,敦促美国组织立即修补一个被大规模利用的AtlassianConfluence严重漏洞,因为攻击者正在对AtlassianConfluencecve-2021-26084进行大规模利用。

涉及漏洞

cve-2021-26084

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-26084

详情

US govt warns orgs to patch massively exploited Confluence bug

https://www.bleepingcomputer.com/news/security/us-govt-warns-orgs-to-patch-massively-exploited-confluence-bug/

对瑞士城市的勒索软件攻击暴露了公民的数据

日期: 2021年08月30日
等级: 高
作者: Mihir Bagwe
标签: Ransomware, Swiss, Citizens' Data, darknet
行业: 政府机关、社会保障和社会组织
涉及组织: cisco

瑞士日内瓦湖附近的罗尔市的官员承认,他们最初对最近一次勒索软件攻击的影响判断错误,但瑞士新闻机构沃森(Watson)报道称,网络犯罪分子在一个暗网勒索网站上发布了大量泄露的机密文件。其后,官员们承认,他们低估了事件的严重性。

详情

Ransomware Attack on Swiss City Exposed Citizens' Data

https://www.databreachtoday.com/ransomware-attack-on-swiss-city-exposed-citizens-data-a-17401

微软警告滥用开放重定向链接的凭据网络钓鱼攻击

日期: 2021年08月31日
等级: 高
作者: Waqas
标签: Captcha, Microsoft, Phishing, security, Windows
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

微软(Microsoft)已就一场新的大规模网络钓鱼(phishing)活动发出警告。

在这场活动中,攻击者正在滥用开放的重定向链接,将用户转移到恶意网站,并窃取微软Office365的证书。

根据微软发布的报告,在这次活动中,攻击者正在使用社会工程技术来冒充流行的生产力工具/服务,以便迫使用户点击恶意链接。

详情

Microsoft warns of credential phishing attack abusing open redirect links

https://www.hackread.com/microsoft-credential-phishing-attack-open-redirect-links/

攻击者试图利用最近修补的 Atlassian Confluence CVE-2021-26084 RCE

日期: 2021年09月02日
等级: 高
作者: Pierluigi Paganini
标签: Atlassian, Confluence, ognl injection, vulnerability
行业: 信息传输、软件和信息技术服务业
涉及组织: Atlassian

Atlassian修补了的Confluence企业协作产品几天后,发现攻击者利用了cve-2021-26084漏洞。

Atlassian发布了安全补丁,以解决影响Confluence企业协作产品的cve-2021-26084漏洞。该漏洞是一个ognl注入,经过身份验证的攻击者可以利用它在受影响的Confluence服务器和数据中心实例上执行任意代码。

涉及漏洞

cve-2021-26084

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-26084

详情

Attackers are attempting to exploit recently patched Atlassian Confluence CVE-2021-26084 RCE

https://securityaffairs.co/wordpress/121760/hacking/confluence-cve-2021-26084-rce.html

Autodesk 透露它是俄罗斯 SolarWinds 黑客的目标

日期: 2021年09月02日
等级: 高
作者: Sergiu Gatlan
标签: SolarWinds, Autodesk, supply chain attack
行业: 信息传输、软件和信息技术服务业
涉及组织: linkedin

Autodesk在发现其一台服务器安装了sunburst恶意软件后门近9个月后,已经证实,它也成为了大规模Solarwindsorion供应链攻击背后的俄罗斯国家黑客的目标。

详情

Autodesk reveals it was targeted by Russian SolarWinds hackers

https://www.bleepingcomputer.com/news/security/autodesk-reveals-it-was-targeted-by-russian-solarwinds-hackers/

加密货币交易所 Bilaxy 受到攻击,黑客窃取了 ERC20 钱包代币

日期: 2021年09月05日
等级: 高
来源: ehackingnews
标签: Bilaxy, cryptocurrency, Cyber Attacks. Machine learning, Tokens
行业: 金融业

2021年8月29日,总部位于香港的加密货币交易所bilaxy遭到入侵,其系统中的一个热钱包被入侵,导致295个价值超过2100万美元的erc-20代币被交易到一个钱包。

详情

Cryptocurrency Exchange Bilaxy Under Attack, Hacker Stole ERC20 Wallet Tokens

https://www.ehackingnews.com/2021/09/cryptocurrency-exchange-bilaxy-under.html

据报道,新西兰的主要 IPS 遭受大规模 DDoS 攻击

日期: 2021年09月05日
等级: 高
作者: Pierluigi Paganini
标签: New Zealand, vocus isp, ddos
行业: 信息传输、软件和信息技术服务业
涉及组织: vocus isp

vocus是新西兰第三大互联网运营商,在澳大利亚和新西兰提供零售、批发和企业电信服务。2021年9月3日,vocusisp遭受了大规模的DDoS攻击,使该国部分地区与互联网隔离。

详情

Major IPS in New Zealand hit by massive DDoS, Internet outages reported

https://securityaffairs.co/wordpress/121856/hacking/new-zealand-ddos.html

相关安全建议

1. 积极开展外网渗透测试工作,提前发现系统问题

2. 减少外网资源和不相关的业务,降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

6. 注重内部员工安全培训


6
 其它事件



蓝牙 BrakTooth 漏洞可能影响数十亿台设备

日期: 2021年09月02日
等级: 高
作者: Ionut Ilascu
标签: braktooth, Bluetooth, vulnerabilities
行业: 制造业
涉及组织: microsoft, intel

统称为braktooth的漏洞正在影响来自十多个供应商的片上系统(soc)电路上实现的蓝牙堆栈。

这一系列问题影响了从消费电子产品到工业设备的各种设备。

漏洞类型包括拒绝服务攻击、设备死锁状态、任意代码执行。

涉及漏洞

cve-2021-28139

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-28139

cve-2021-34144

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34144

cve-2021-28136

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-28136

cve-2021-28135

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-28135

cve-2021-28155

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-28155

cve-2021-31717

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-31717

cve-2021-31609

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-31609

cve-2021-31612

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-31612

cve-2021-34150

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34150

cve-2021-31613

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-31613

cve-2021-31611

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-31611

cve-2021-31785

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-31785

cve-2021-31786

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-31786

cve-2021-31610

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-31610

cve-2021-34149

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34149

cve-2021-34146

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34146

cve-2021-34143

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34143

cve-2021-34145

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34145

cve-2021-34148

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34148

cve-2021-34147

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34147

详情

Bluetooth BrakTooth bugs could affect billions of devices

https://www.bleepingcomputer.com/news/security/bluetooth-braktooth-bugs-could-affect-billions-of-devices/

Microsoft Exchange ProxyToken 漏洞可能允许黑客窃取用户电子邮件

日期: 2021年08月31日
等级: 高
来源: heimdalsecurity
标签: Microsoft, Exchange, ProxyToken, Emails
行业: 制造业
涉及组织: microsoft

微软Exchange服务器中的一个严重漏洞称为proxytoken,该漏洞不需要身份验证即可从目标帐户访问电子邮件,攻击者可以通过在Exchange控制面板(ecp)应用程序构造特殊请求,成功利用该漏洞后,黑客能够以这种方式从受害者的收件箱中窃取消息。

详情

A Microsoft Exchange ProxyToken Bug May Allow Hackers to Steal User Emails

https://heimdalsecurity.com/blog/a-microsoft-exchange-proxytoken-bug-may-allow-hackers-to-steal-user-emails/

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本


7
 产品侧解决方案



若想了解更多信息或有相关业务需求,可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。


8
 时间线



2021-09-06 360CERT发布安全事件周报




往期推荐
01

【通告更新】CVE-2021-26084:Confluence OGNL 注入漏洞通告

02

CVE-2021-26084:Confluence OGNL 注入漏洞通告

03

2021-08: XStream 多个高危漏洞通告


360CERT

https://cert.360.cn/

进入官网查看更多资讯

长按扫码关注我们


点击在看,进行分享

本文分享自微信公众号 - 三六零CERT(CERT-360)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部