报告编号:B6-2021-041201
报告来源:360CERT
报告作者:360CERT
更新日期:2021-04-12
本周收录安全热点15项,话题集中在恶意软件、数据泄露方面,涉及的组织有:Linkedin、Facebook、Cisco、华为等。多个社交应用遭遇数据泄露,恶意软件再出新招。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
| 恶意程序 |
|---|
| EtterSilent为黑客提供廉价工具 |
| 新的可运行Android恶意软件冒充Netflix劫持WhatsApp会话 |
| 勒索软件瞄准易受攻击的VPN设备 |
| Gigaset Android更新服务器遭黑客攻击,在用户设备上安装恶意软件 |
| Joker恶意软件感染超过50万台华为Android设备 |
| 新的蠕虫Android恶意软件通过WhatsApp消息传播 |
| 数据安全 |
| 医疗网络钓鱼事件导致重大数据泄露 |
| Facebook将5.33亿用户的数据泄露归咎于爬虫而非黑客攻击 |
| PHP疑似用户数据库泄漏 |
| 5亿LinkedIn用户数据在暗网销售 |
| 网络攻击 |
| 黑客通过Linkedin进行钓鱼攻击 |
| 欧盟委员会和其他机构遭到重大网络攻击 |
| 其它事件 |
| 在VMWare数据中心安全产品中发现严重的身份验证绕过错误 |
| Rockwell FactoryTalk AssetCenter存在严重漏洞 |
| 0day漏洞仍在影响思科SOHO路由器 |
EtterSilent为黑客提供廉价工具
日期: 2021年04月06日
等级: 高
作者: Derek B. Johnson
标签: EtterSilent, Macro
行业: 跨行业事件
新的恶意文档生成器EtterSilent具有两种形式:一种版本利用MicrosoftOffice中的一个旧的远程执行代码漏洞,另一种版本使用基于宏的漏洞,并被设计为看起来像DocuSign(DocuSign是一种流行的软件程序,允许个人或企业以电子方式进行签署文件)。EtterSilent的宏版本非常受欢迎,有两个因素,第一:初始成本约为9美元,对于基于宏的漏洞利用的独特构建而言,这十分便宜。第二个原因是恶意软件的作者花费大量的时间来构建复杂的混淆技术,这能让黑客更容易隐藏自己。
详情
EtterSilent gives criminal hackers a dirt cheap tool that's hard to detect
https://www.scmagazine.com/home/security-news/ransomware/hackers-rush-to-new-doc-builder-that-uses-macro-exploit-posing-as-docusign/
新的可运行Android恶意软件冒充Netflix劫持WhatsApp会话
日期: 2021年04月07日
等级: 高
作者: Charlie Osborne
标签: Android, Google Play, Netflix
行业: 信息传输、软件和信息技术服务业
涉及组织: google, whatsapp
在googleplay上的一个应用程序中发现了Android恶意软件的一个新变种,它通过承诺免费订阅Netflix来吸引用户。CheckPointResearch(CPR)表示,在Android应用程序的官方存储库googleplay商店中发现了这种“易受攻击”的移动恶意软件。这一被称为“FlixOnline”的恶意软件将自己伪装成合法的Netflix应用程序,似乎将重点放在了WhatsApp消息传递应用程序上。
详情
New wormable Android malware poses as Netflix to hijack WhatsApp sessions
https://www.zdnet.com/article/new-android-malware-poses-as-netflix-to-hijack-whatsapp-sessions/
勒索软件瞄准易受攻击的VPN设备
日期: 2021年04月08日
等级: 高
作者: Danny Palmer
标签: VPN
行业: 信息传输、软件和信息技术服务业
网络犯罪分子利用VPN服务器的安全漏洞,用一种新形式的勒索软件对网络进行加密,并可能在此过程中扰乱了工业设施。为了帮助保护网络免受勒索软件的攻击,建议使用相关的安全更新修补FortigateVPN服务器,以防止已知的漏洞被利用。还建议将VPN访问限制为那些出于操作原因需要它的人,并且关闭不需要暴露于开放web的端口。研究人员还建议,主要系统是离线备份的,因此,如果网络成为勒索软件攻击的受害者,就可以恢复,而无需向犯罪分子付费。
涉及漏洞
- CVE-2018-13379
详情
Ransomware crooks are targeting vulnerable VPN devices in their attacks
https://www.zdnet.com/article/ransomware-crooks-are-targeting-vulnerable-vpn-devices-in-their-attacks/
Gigaset Android更新服务器遭黑客攻击,在用户设备上安装恶意软件
日期: 2021年04月09日
等级: 高
作者: The Hacker News
标签: GS180, GS270, GS370, Android
行业: 信息传输、软件和信息技术服务业
Gigaset透露,在其Android设备中发现的一个恶意软件感染是由于外部更新服务提供商的一台服务器遭到破坏所致。影响较老的智能手机型号-GS100,GS160,GS170,GS180,GS270(plus)和GS370(plus)系列。通过预安装的系统更新应用程序下载,和安装多个不需要的应用程序,该恶意软件得以长存。
详情
Gigaset Android Update Server Hacked to Install Malware on Users' Devices
https://thehackernews.com/2021/04/gigaset-android-update-server-hacked-to.html
Joker恶意软件感染超过50万台华为Android设备
日期: 2021年04月10日
等级: 高
作者: Ionut Ilascu
标签: Android, Joker, Huawei
行业: 信息传输、软件和信息技术服务业
涉及组织: huawei
超过50万华为用户从华为公司官方Android应用商店下载了感染了Joker恶意软件的应用程序,这些应用程序订阅了高级移动服务。为让用户毫不知情,受感染的应用程序请求访问通知,这允许他们拦截订阅服务通过短信发送的确认码。
详情
Joker malware infects over 500,000 Huawei Android devices
https://www.bleepingcomputer.com/news/security/joker-malware-infects-over-500-000-huawei-android-devices/
新的蠕虫Android恶意软件通过WhatsApp消息传播
日期: 2021年04月11日
等级: 高
作者: BALAJI N
标签: Android, Netflix, CPR, FlixOneline
行业: 信息传输、软件和信息技术服务业
CheckPointResearch(CPR)团队最近发现了一种新的Android恶意软件,它诱骗用户,承诺免费向他们提供Netflixpremium订阅。这个恶意应用FlixOneline的设计基本上是为了监视所有者的WhatsApp通知。这样,他们就可以使用通过远程命令和控制服务器接收到的内容,自动回复所有者的传入消息。这种方法允许攻击者传播钓鱼网站进行钓鱼攻击,传播其他恶意软件或恶意文件,传播虚假新闻等等。
详情
New Wormable Android Malware Spreads Through WhatsApp Messages
https://gbhackers.com/new-wormable-android-malware-spreads-through-whatsapp-messages/
相关安全建议
1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
3. 各主机安装EDR产品,及时检测威胁
4. 及时对系统及各个服务组件进行版本升级和补丁更新
5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
6. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理
医疗网络钓鱼事件导致重大数据泄露
日期: 2021年04月05日
等级: 高
作者: Marianne Kolbasuk McGee
标签: Healthcare, Phishing
行业: 卫生和社会工作
随着医疗保健组织成为网络钓鱼事件的受害者,健康数据泄露影响的人数持续上升。总部位于马里兰州贝塞斯达的高级骨科中心遭到数据泄露;在美国中西部,位于伊利诺伊州锡安的癌症治疗中心遭遇攻击;总部位于得克萨斯州艾迪生的BWHomecareHoldings遭到数据泄露。这三个事件影响了10万多人。卫生与公众服务部的HIPAA违规报告工具网站2021年已新增125项重大健康数据违规事件,涉及约940万人。
详情
Healthcare Phishing Incidents Lead to Big Breaches
https://www.databreachtoday.com/healthcare-phishing-incidents-lead-to-big-breaches-a-16339
Facebook将5.33亿用户的数据泄露归咎于爬虫而非黑客攻击
日期: 2021年04月07日
等级: 高
作者: Ax Sharma
标签: Facebook
行业: 信息传输、软件和信息技术服务业
涉及组织: facebook
Facebook目前已发布公开声明,澄清了最近数据泄露的原因,并解决了一些与之相关的问题。一个黑客论坛上出现了大约5.33亿个Facebook个人资料的信息。从BleepingComputer看到的Facebook数据样本来看,有用户的手机号码、FacebookID、姓名以及与之相关的成员性别。该公司表示,被曝光的信息并非来自于对一个不安全系统的黑客攻击,而是在2019年9月之前从公开资料中获取的。
详情
Facebook attributes 533 million users' data leak to "scraping" not hacking
https://www.bleepingcomputer.com/news/security/facebook-attributes-533-million-users-data-leak-to-scraping-not-hacking/
PHP疑似用户数据库泄漏
日期: 2021年04月07日
等级: 高
作者: Tim Anderson
标签: PHP
行业: 信息传输、软件和信息技术服务业
涉及组织: php
PHP维护人员nikitapopov发布了一个关于源代码如何被破坏和恶意代码如何被插入的更新——这是因为用户数据库泄漏,而不是服务器本身的问题。PHP代码库遭到了破坏,因为它被插入了一些恶意代码,如果保留这些代码,就可以在运行它的任何web服务器上打开后门。
详情
Update on PHP source code compromise: User database leak suspected • The Register
https://www.theregister.com/2021/04/07/update_on_php_source_code/
5亿LinkedIn用户数据在暗网销售
日期: 2021年04月08日
等级: 高
作者: Pierluigi Paganini
标签: LinkedIn, Data leak
行业: 信息传输、软件和信息技术服务业
涉及组织: linkedin
在Facebook大规模数据泄露成为头条新闻几天后,5亿LinkedIn用户在暗网上被出售,卖家泄露了200万条记录作为证据。一份据称是从5亿LinkedIn个人资料中获取的数据档案已在一个热门黑客论坛上出售。这些被泄露的文件中包含了据称被窃取数据的用户的信息,包括他们的全名、电子邮件地址、电话号码、工作场所信息等。
详情
Scraped data of 500 million LinkedIn users being sold online, 2 million records leaked as proof
https://securityaffairs.co/wordpress/116528/security/linkedin-500m-users-dark-web.html
相关安全建议
1. 注重内部员工安全培训
2. 合理设置服务器端各种文件的访问权限
3. 及时备份数据并确保数据安全
4. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施
黑客通过Linkedin进行钓鱼攻击
日期: 2021年04月05日
等级: 高
作者: Becky Bracken
标签: Golden Chickens, LinkedIn, Phishing
行业: 信息传输、软件和信息技术服务业
涉及组织: linkedin
eSentire安全厂商的TRU团队称其发现了某黑客组织通过在LinkedIn上伪造就业招聘,从而针对医疗保健行业的专业人员发起的网络攻击活动。
攻击者在招聘描述中放置恶意zip压缩文件来分发后门木马。一旦受害者点击打开,就会在受害者毫不知情的情况下安装无文件后门——more_eggs,这个后门可以下载其他恶意插件,并使攻击者获得对受害机器的访问权限,诸如发送、接收、启动及删除文件。
详情
LinkedIn Spear-Phishing Campaign Targets Job Hunters
https://threatpost.com/linkedin-spear-phishing-job-hunters/165240/
欧盟委员会和其他机构遭到重大网络攻击
日期: 2021年04月07日
等级: 高
作者: Pierluigi Paganini
标签: the European Commission
行业: 信息传输、软件和信息技术服务业
涉及组织: the European Commission, EMA, EBA
除了欧盟委员会,欧盟的许多其他组织也在3月成为网络攻击的目标。欧盟委员会的一位发言人证实,欧盟委员会和其他欧盟组织在3月份遭遇了一次网络攻击。当局没有透露袭击这些机构的威胁的任何细节,也没有透露背后的攻击者信息。
详情
European Commission and other institutions were hit by a major cyber-attack
https://securityaffairs.co/wordpress/116441/hacking/european-commission-institutions-cyberattack.html
相关安全建议
1. 积极开展外网渗透测试工作,提前发现系统问题
2. 及时对系统及各个服务组件进行版本升级和补丁更新
3. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
4. 注重内部员工安全培训
在VMWare数据中心安全产品中发现严重的身份验证绕过错误
日期: 2021年04月07日
等级: 高
作者: The Hacker News
标签: VMware
行业: 信息传输、软件和信息技术服务业
涉及组织: vmware
攻击者可以利用VMwareCarbonBlackCloudWorkloadappliance中的一个严重漏洞,绕过身份验证并控制易受攻击的系统,该漏洞编号为CVE-2021-21982,在CVSS评分9.1,影响1.0.1之前的所有产品版本。
涉及漏洞
- CVE-2021-21983
- CVE-2021-21975
- CVE-2021-21982
详情
Critical Auth Bypass Bug Found in VMWare Data Centre Security Product
https://thehackernews.com/2021/04/critical-auth-bypass-bug-found-in.html
Rockwell FactoryTalk AssetCenter存在严重漏洞
日期: 2021年04月06日
等级: 高
作者: Pierluigi Paganini
标签: Rockwell Automation, FactoryTalk AssetCenter
行业: 制造业
涉及组织: Rockwell
罗克韦尔自动化公司最近发布了v11版本,解决了其FactoryTalkAssetCenter产品中的九个严重漏洞。未经验证的攻击者成功利用这些漏洞后,可执行任意命令执行、SQL注入或远程代码执行。FactoryTalkAssetCentre为客户提供了集中式工具,用于在整个工厂内保护、管理、版本控制、跟踪和报告与自动化相关的资产信息。
涉及漏洞
- CVE-2021-27462
- CVE-2021-27466
- CVE-2021-27470
- CVE-2021-27474
- CVE-2021-27476
- CVE-2021-27472
- CVE-2021-27468
- CVE-2021-27464
- CVE-2021-27460
详情
Experts found critical flaws in Rockwell FactoryTalk AssetCentre
https://securityaffairs.co/wordpress/116391/ics-scada/rockwell-factorytalk-assetcentre-flaws.html
0day漏洞仍在影响思科SOHO路由器
日期: 2021年04月08日
等级: 高
作者: Tom Spring
标签: Cisco, SOHO
行业: 制造业
涉及组织: cisco
思科系统公司表示,不会修复其三款SOHO路由器中发现的严重漏洞。该漏洞十分严重,允许未经验证的远程用户劫持目标设备,并在受影响的系统中获得提升的权限。思科称,思科的三款路由器型号(RV110W、RV130和RV215W)和一款VPN防火墙设备(RV130W)的使用年限不一,已经到了“生命尽头”,不会进行修补。思科建议顾客更换设备。该漏洞是由于对基于网络的管理界面中用户提供的输入进行了不正确的验证所致。攻击者可以通过向目标设备发送精心编制的HTTP请求来攻击此漏洞。成功利用此漏洞可使攻击者以根用户身份,在受影响设备的底层操作系统上执行任意代码。
涉及漏洞
- CVE-2021-1137
- CVE-2021-1479
- CVE-2019-1663
- CVE-2021-1480
详情
Zero-Day Bug Impacts Problem-Plagued Cisco SOHO Routers
https://threatpost.com/zero-day-bug-soho-routers/165321/
相关安全建议
1. 及时对系统及各个服务组件进行版本升级和补丁更新
2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
360城市级网络安全监测服务
360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
2021-04-12 360CERT发布安全事件周报
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。
安全事件周报 (04.05-4.11)
http://pub-shbt.s3.360.cn/cert-public-file/【360CERT】安全事件周报_04月05日-4月11日.pdf
若有订阅意向与定制需求请扫描下方二维码进行信息填写,或发送邮件至g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。
https://cert.360.cn/
进入官网查看更多资讯
