安全事件周报(03.01-03.07)

阅读量131844

发布时间 : 2021-03-08 14:00:43

 

0x01事件导览

本周收录安全热点10项,话题集中在恶意软件数据安全方面,涉及的组织有:马来西亚航空公司MicrosoftPolecat等。供应链攻击袭击航空业,多家航空公司客户数据泄露。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

恶意程序
Ursnif特洛伊木马攻击100多家意大利银行
黑客利用搜索引擎优化来传递恶意软件
微软发现三个SolarWinds攻击者使用的新恶意软件
俄罗斯黑客部署新的勒索软件变种
D-Link、物联网设备受到基于Tor的Gafgyt变体的攻击
数据安全
马航披露长达9年的数据泄露事件
数据分析公司Polecat暴露了30TB的数据
SITA数据泄露影响了数百万来自主要航空公司的旅客
网络攻击
加密僵尸网络使用比特币钱包来绕过安全检测
其它事件
Microsoft的紧急安全更新修复了Exchange漏洞

 

0x02恶意程序

Ursnif特洛伊木马攻击100多家意大利银行

日期: 2021年03月03日
等级: 高
作者: Charlie Osborne
标签: Trojan, Ursnif, Bank, Italy
行业: 金融业

Ursnif特洛伊木马最早于2007年被发现,其被追踪到针对意大利至少100家银行的攻击。据Avast称,这些恶意软件的运营商对意大利的目标非常感兴趣,针对这些银行机构的攻击导致了凭证和财务数据的丢失。根据研究人员收集的信息,至少有100家银行成为攻击目标。仅在一个案例中,一个不知名的支付处理器就有1700多套凭证被盗,包括用户名、密码、信用卡、银行和支付信息。

详情

Ursnif Trojan has targeted over 100 Italian banks

黑客利用搜索引擎优化来传递恶意软件

日期: 2021年03月02日
等级: 高
作者: Akshaya Asokan
标签: Trojans, Sophos, Gootloader, Search Engine Optimization
行业: 信息传输、软件和信息技术服务业
涉及组织: google

安全公司Sophos报道称,一种新的恶意软件加载程序名为“Gootloader”,它利用搜索引擎优化技术传播勒索软件、特洛伊木马和其他恶意软件。

Sophos的研究人员表示,该活动在北美、韩国、德国和法国都很活跃。

为了诱骗受害者访问受感染的网站,“Gootloader使用恶意的搜索引擎优化技术来扰乱谷歌搜索结果,”Sophos指出。“这些技术可以有效地避开网络上的检测,直到恶意活动越过行为检测规则。

详情

Hackers Use Search Engine Optimization to Deliver Malware

微软发现三个SolarWinds攻击者使用的新恶意软件

日期: 2021年03月05日
等级: 高
作者: Liam Tung
标签: Microsoft, SolarWinds, Backdoor
行业: 跨行业事件
涉及组织: microsoft

微软目前已经披露了SolarWinds黑客使用的三个新的恶意软件组件:GoldMax、GoldFinder和Sibot。GoldMax被微软视为一个充当指挥与控制(C2)的后门,是用系统编程语言Go编写的。GoldFinder也是用Go编写的,被认为是一个定制的HTTP跟踪工具,它记录数据包到达C2服务器的路由或跳数。Sibot是一种多用途的恶意软件,由微软的visualbasic脚本(VBScript)构建。

详情

Microsoft: We’ve found three more pieces of malware used by the SolarWinds attackers

俄罗斯黑客部署新的勒索软件变种

日期: 2021年03月05日
等级: 高
作者: Akshaya Asokan
标签: RTM, Quoter, Kaspersky
行业: 跨行业事件

据安全公司卡巴斯基称,俄罗斯黑客组织RTM正在部署一个名为“Quoter”的新型勒索软件变种以及一个银行特洛伊木马,作为勒索活动的一部分。据报道,该组织最新的活动始于2020年12月,迄今已针对俄罗斯的10个组织发起攻击。攻击者首先发送恶意电子邮件,在邮件内部填充与业务操作相关的消息,并附上附件。如果受害者打开附件,则会下载特洛伊木马。

详情

Russian Hackers Deploy New Ransomware Variant

D-Link、物联网设备受到基于Tor的Gafgyt变体的攻击

日期: 2021年03月05日
等级: 高
作者: Lindsey O'Donnell
标签: Gafgyt, Tor, IoT
行业: 跨行业事件

研究人员发现了他们所说的Gafgyt僵尸网络家族的第一个变种,与其他Gafgyt变体相比,Gafgyt的最大变化是C2通信基于tor,这增加了检测和阻断的难度。僵尸网络主要通过弱Telnet密码(物联网设备上的常见问题)和三个漏洞进行传播。这些漏洞包括D-Link设备中的远程代码执行漏洞(CVE-2019-16920);Liferayenterpriseportal软件中的远程代码执行漏洞(没有可用的CVE);CitrixApplicationDeliveryController中的漏洞(CVE-2019-19781)。

涉及漏洞

– CVE-2018-10561

– CVE-2019-16920

– CVE-2018-10562

– CVE-2019-19781

详情

D-Link, IoT Devices Under Attack By Tor-Based Gafgyt Variant

相关安全建议

1. 条件允许的情况下,设置主机访问白名单

2. 注重内部员工安全培训

3. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

6. 各主机安装EDR产品,及时检测威胁

 

0x03数据安全

马航披露长达9年的数据泄露事件

日期: 2021年03月02日
等级: 高
作者: Lawrence Abrams
标签: Malaysia Airlines, Data Breach, Personal Information
行业: 交通运输、仓储和邮政业
涉及组织: malaysia airlines

马来西亚航空公司(MalaysiaAirlines)遭遇了长达9年的数据泄露事件,该事件暴露了其Enrich常客计划中成员的个人信息。

据马来西亚航空公司称,该漏洞发生在一家第三方IT服务提供商处,该提供商通知马航,会员数据在2010年3月至2019年6月期间被曝光。

数据泄露期间曝光的会员信息包括会员姓名、联系方式、出生日期、性别、常客号码。

详情

Malaysia Airlines discloses a nine-year-long data breach

数据分析公司Polecat暴露了30TB的数据

日期: 2021年03月05日
等级: 高
作者: Prajeet Nair
标签: Polecat, ElasticSearch
行业: 信息传输、软件和信息技术服务业
涉及组织: Polecat

英国数据分析公司Polecat的一台未加密服务器暴露了大约30TB的数据,其中包括120亿条与社交媒体相关的记录。包括超过65亿条tweets,近50亿条标记为“社交”的记录(似乎都是tweets),以及超过10亿条不同博客和网站的帖子。曝光的数据包括推文内容、推文ID、作者用户名、浏览/跟帖人数、帖子内容、URL、收获时间、发布者、地区和帖子标题。在服务器暴露的第二天,研究人员发现Meow攻击已经开始扫描该数据库,并删除了接近一半的数据,攻击者留下了一张赎金纸条,要求0.04比特币(当时大约550美元)才能取回数据。

目前ElasticSearch在全球均有分布,具体分布如下图,数据来自于360 QUAKE

详情

Data Analytics Firm Polecat Exposed 30TB of Data

SITA数据泄露影响了数百万来自主要航空公司的旅客

日期: 2021年03月05日
等级: 高
作者: Ionut Ilascu
标签: SITA, Airline, Passenger Service System
行业: 交通运输、仓储和邮政业
涉及组织: SITA

黑客入侵全球信息技术公司SITA的服务器后,全球多家航空公司的乘客数据遭到泄露。近十几家航空公司已经通知乘客,由于黑客侵入了SITA的乘客服务系统(PSS),乘客的一些数据已经被侵入者窃取。乘客服务系统负责处理从机票预订到登机的交易数据和业务。受影响的旅客总数仍不清楚,但至少超过210万。

详情

SITA data breach affects millions of travelers from major airlines

相关安全建议

1. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施

2. 对于托管的云服务器(VPS)或者云数据库,务必做好防火墙策略以及身份认证等相关设置

3. 数据库数据,尤其是密码等敏感信息需进行加密存储

4. 及时备份数据并确保数据安全

5. 及时检查并删除外泄敏感数据

 

0x04网络攻击

加密僵尸网络使用比特币钱包来绕过安全检测

日期: 2021年03月01日
等级: 高
作者: Prajeet Nair
标签: Akamai, Cryptomining Botnet, Blockchain, Remote Code Execution
行业: 金融业
涉及组织: elasticsearch, redis, thinkphp

根据安全公司Akamai的说法,一个加密采矿僵尸网络活动正在使用比特币区块链交易来隐藏命令和控制服务器地址。 最初的感染始于利用HadoopYarn,Elasticsearch(CVE-2015-1427)和ThinkPHP(CVE-2019-9082)中的远程代码执行漏洞。传递的有效负载使易受攻击的计算机下载并执行恶意的Shell脚本。 目前,攻击者在过去三年中从不知情的主机中挖出了30,000美元的门罗币。

涉及漏洞

– CVE-2019-9082

– CVE-2015-1427

详情

Cryptomining Botnet Uses Bitcoin Wallet to Avoid Detection

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

 

0x05其它事件

Microsoft的紧急安全更新修复了Exchange漏洞

日期: 2021年03月02日
等级: 高
作者: Lawrence Abrams
标签: Microsoft, Microsoft Exchange, Security Update, SSRF
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

Microsoft发布了针对MicrosoftExchange的紧急带外安全更新,修复了四个在被积极利用的0day漏洞。 这四个0day漏洞被组合在一起利用,以获得对MicrosoftExchange服务器的访问、窃取电子邮件,并植入更多恶意软件以增加对网络的访问。 CVE-2021-26855是服务端请求伪造漏洞,利用此漏洞的攻击者能够发送任意HTTP请求并通过ExchangeServer进行身份验证。 CVE-2021-26857是序列化漏洞,该漏洞需要管理员权限,利用此漏洞的攻击者可以在Exchange服务器上以SYSTEM身份运行代码。 CVE-2021-26858/CVE-2021-27065是任意文件写入漏洞,攻击者通过Exchange服务器进行身份验证后,可以利用此漏洞将文件写入服务器上的任何路径。该漏洞可以配合CVE-2021-26855SSRF漏洞进行组合攻击。

涉及漏洞

– CVE-2021-27065

– CVE-2021-26855

– CVE-2021-26857

– CVE-2021-26858

详情

Microsoft fixes actively exploited Exchange zero-day bugs, patch now

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

 

0x06产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

 

0x07时间线

2021-03-08 360CERT发布安全事件周报

 

0x08特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

安全事件周报 (03.01-03.07)

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

本文由360CERT安全通告原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/233726

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
360CERT安全通告
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66