安全事件周报（05.10-05.16）-安全客

0x01 事件导览

本周收录安全热点14项，话题集中在勒索软件、网络攻击方面，涉及的组织有：Colonial Pipeline、Microsoft、Apple、QNAP等。勒索软件攻击严重破坏国家基础服务正常运行，基础设施防护是重中之重。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

恶意程序
美国和澳大利亚发布Avaddon勒索软件攻击警告
TeaBot: 新的安卓恶意软件
Colonial在勒索软件攻击后重新开始运营
保险巨头CNA在勒索软件攻击后完成所有系统恢复
化学品分销商向DarkSide勒索软件支付440万美元
爱尔兰医疗服务遭到2000万美元勒索
安盛保险公司遭遇勒索软件攻击
数据安全
勒索软件泄露大都会警察局数据
谈判失败，Babuk勒索软件帮泄露更多警察局的数据
网络攻击
微软：新的恶意软件瞄准航空组织
法国东芝公司遭DarkSide勒索软件组织袭击
QNAP警告称eCh0raix勒索软件攻击和Roon服务器0day
其它事件
美国调用紧急运输规则以保持燃料传输
苹果对受到XcodeGhost攻击的用户保持沉默

0x02 恶意程序

美国和澳大利亚发布Avaddon勒索软件攻击警告

日期: 2021年05月10日
等级: 高
作者: Sergiu Gatlan
标签: FBI, ACSC
行业: 跨行业事件

联邦调查局（FBI）和澳大利亚网络安全中心（ACSC）警告称，正在进行的Avaddon勒索软件活动的目标是美国和世界各地的组织。美国联邦调查局（FBI）发布警报称，Avaddon勒索软件分支机构正试图破坏全球制造业、医疗保健和其他私营部门组织的网络。

详情

US and Australia warn of escalating Avaddon ransomware attacks

TeaBot: 新的安卓恶意软件

日期: 2021年05月10日
等级: 高
作者: Waqas
标签: Europe, Android, TeaBot
行业: 金融业

意大利米兰在线欺诈预防公司Cleafy’s的威胁情报和事件响应（TIR）团队发现了一种新的Android恶意软件TeaBot，恶意软件还处于开发的早期阶段，到目前为止，它已经瞄准了全欧洲的60家银行，主要分布国家为意大利、西班牙、德国、比利时和荷兰等欧洲国家。一旦感染该软件，其会控制目标设备、窃取登录凭据、发送和截获短信，并盗窃银行数据。

IOC

Domain

– kopozkapalo[.]xyz

– sepoloskotop[.]xyz

Hash

– 89e5746d0903777ef68582733c777b9ee53c42dc4d64187398e1131cccfc0599

– 7f5b870ed1f286d8a08a1860d38ef4966d4e9754b2d42bf41d7 511e1856cc990

– 185.215.113[.]31

– 178.32.130[.]170

详情

New Android malware TeaBot found stealing data, intercepting SMS

Colonial在勒索软件攻击后重新开始运营

日期: 2021年05月12日
等级: 高
作者: Scott Ferguson
标签: Colonial Pipeline, DarkSide
行业: 电力、热力、燃气及水生产和供应业
涉及组织: Colonial Pipeline

燃油供应公司ColonialPipeline宣布，在发生DarkSide勒索软件攻击事件后，该公司重新开始运营。在Colonial宣布这一消息后，美国总统拜登签署了一项行政命令，旨在帮助政府加强对此类攻击的防护以及涉及SolarWinds和MicrosoftExchange服务器的攻击的对应措施。Colonial确实指出，要完全恢复供应链运作正常，还需要几天时间。

详情

Colonial Restarts Operations Following Ransomware Attack

保险巨头CNA在勒索软件攻击后完成所有系统恢复

日期: 2021年05月13日
等级: 高
作者: Sergiu Gatlan
标签: Phoenix CryptoLocker, CNA Financial
行业: 租赁和商务服务业
涉及组织: CNA Financial

总部位于美国的领先保险公司CNAFinancial在2021年3月下旬遭到PhoenixCryptoLocker勒索软件攻击并中断在线服务和业务运营后，已全面恢复系统。攻击者在3月21日在CNA网络上部署勒索软件有效载荷后，对超过15000台设备进行了加密。。根据保险信息研究所提供的统计数据，CNA提供包括网络保险单在内的多种保险产品，是美国第六大商业保险公司。

详情

Insurance giant CNA fully restores systems after ransomware attack

化学品分销商向DarkSide勒索软件支付440万美元

日期: 2021年05月13日
等级: 高
作者: Lawrence Abrams
标签: Brenntag, Bitcoin, DarkSide
行业: 制造业
涉及组织: Brenntag

化学品分销公司Brenntag以比特币形式向黑暗勒索软件团伙支付了440万美元的赎金，以获得加密文件的解密器，并防止攻击者公开泄露的被盗数据。Brenntag是一家全球领先的化学品分销公司，总部位于德国，在全球670多个工厂拥有17000多名员工。

详情

Chemical distributor pays $4.4 million to DarkSide ransomware

爱尔兰医疗服务遭到2000万美元勒索

日期: 2021年05月15日
等级: 高
作者: Lawrence Abrams
标签: Ireland, HSE, Conti
行业: 卫生和社会工作

爱尔兰公共资助的医疗保健系统健康服务执行局（HSE）在遭遇Conti勒索软件攻击后，关闭了所有的IT系统。爱尔兰国家卫生局说：“我们已经采取预防措施，关闭了我们所有的IT系统，以保护它们免受这次攻击，并让我们与自己的安全伙伴有充分事件评估局势。同时，我们拒绝向Conti勒索软件团伙支付2000万美元的赎金”

详情

Ireland’s Health Services hit with $20 million ransomware demand

安盛保险公司遭遇勒索软件攻击

日期: 2021年05月16日
等级: 高
作者: Ax Sharma
标签: AXA, Avaddon
行业: 租赁和商务服务业
涉及组织: AXA

保险巨头AXA总部设在泰国、马来西亚、香港和菲律宾的分支机构遭受Avaddon勒索网络攻击。Avaddon勒索软件集团在他们的泄密网站上声称，他们从AXA的亚洲业务中窃取了3TB的敏感数据。该组织称，Avaddon获得的泄露数据包括客户医疗报告（暴露其性健康诊断）、身份证复印件、银行账户对账单、索赔表、付款记录、合同等。

详情

Insurer AXA hit by ransomware after dropping support for ransom payments

0x03 数据安全

勒索软件泄露大都会警察局数据

日期: 2021年05月11日
等级: 高
作者: Sergiu Gatlan
标签: Babuk Locker, MPD, DC Police
行业: 政府机关、社会保障和社会组织
涉及组织: MPD

BabukLocker泄露了属于大都会警察局（也称为MPD或DC警察）的数据，公布的文件包括来自华盛顿特区警察个人档案的150MB数据。勒索软件团伙声称，这些数据被泄露是因为华盛顿警方愿意支付的金额与BabukLocker的勒索要求不符。勒索团队说，如果华盛顿警方不愿意满足他们的要求，所有数据都将被泄露。

详情

Ransomware gang leaks data from Metropolitan Police Department

谈判失败，Babuk勒索软件帮泄露更多警察局的数据

日期: 2021年05月12日
等级: 高
作者: Deeba Ahmed
标签: Babuk, Columbia’s Metropolitan Police Department
行业: 政府机关、社会保障和社会组织
涉及组织: MPD

在谈判失败后，Babuk勒索软件帮派泄露了DC警察更多的数据，最新泄露的数据包含价值26GB的记录。黑客发布警告说，如果再不支付赎金，他们将公布整个250GB的数据库。数据库包括情报简报、调查报告、纪律处分和逮捕数据。

详情

Babuk ransomware gang leaks DC police data as negotiations fail

0x04 网络攻击

微软：新的恶意软件瞄准航空组织

日期: 2021年05月12日
等级: 高
作者: Sergiu Gatlan
标签: Microsoft, RAT, Aerospace, Travel
行业: 跨行业事件

微软警告称，针对航空航天和旅游组织的“鱼叉”网络钓鱼活动正在进行中，这些组织使用新的隐蔽恶意软件加载程序部署了多个远程访问特洛伊木马（RAT）。攻击者的最终目的是利用遥控、键盘记录和密码窃取功能从受感染的设备中获取和过滤数据。

攻击方式

– Process Injection

详情

Microsoft: Threat actors target aviation orgs with new malware

法国东芝公司遭DarkSide勒索软件组织袭击

日期: 2021年05月14日
等级: 高
作者: Charlie Osborne
标签: French, Toshiba, DarkSide
行业: 制造业
涉及组织: Toshiba

法国东芝公司已经成为DarkSide勒索软件攻击的最新受害者。东芝公司表示受到一次网络攻击，该攻击已波及欧洲一些地区。在发现攻击后，东芝公司关闭了日本、欧洲及其子公司之间的网络，以防止损害的蔓延，同时实施恢复协议和数据备份。该公司表示，已经对损害程度展开调查，并已派出第三方网络取证专家协助。

详情

Toshiba unit struck by DarkSide ransomware group

QNAP警告称eCh0raix勒索软件攻击和Roon服务器0day

日期: 2021年05月14日
等级: 高
作者: Sergiu Gatlan
标签: QNAP, Roon Server, NAS
行业: 制造业
涉及组织: QNAP

QNAP警告客户，RoonServer0day漏洞和eCh0raix勒索软件攻击正在被积极利用，目标是他们的网络连接存储（NAS）设备。QNAP敦促客户立即行动，通过以下方式保护其数据免受潜在的eCh0raix攻击：

-为管理员帐户使用更强大的密码

-更改NAS密码

-启用IP访问保护

-更改系统端口号。

详情

QNAP warns of eCh0raix ransomware attacks, Roon Server zero-day

0x05 其它事件

美国调用紧急运输规则以保持燃料传输

日期: 2021年05月10日
等级: 高
作者: Liam Tung
标签: FMCSA, USDOT, Ransomware
行业: 电力、热力、燃气及水生产和供应业
涉及组织: Colonial Pipeline

针对ColonialPipeline的勒索软件攻击事件影响美国东海岸45%的燃料，美国交通部（USDOT）已经动用了紧急权力——涉及限制道路燃料运输的法律的临时豁免，并允许司机工作更长时间。豁免适用于向阿拉巴马州、阿肯色州、哥伦比亚特区、特拉华州、佛罗里达州、乔治亚州、肯塔基州、路易斯安那州、马里兰州、密西西比州、新泽西州、纽约州、北卡罗来纳州、宾夕法尼亚州、南卡罗来纳州、田纳西州、德克萨斯州和弗吉尼亚州运输汽油、柴油、喷气燃料和其他精炼石油产品的车辆，以便更方便地通过公路运输燃料。

详情

Pipeline ransomware attack: US invokes emergency transport rules to keep fuel flowing

苹果对受到XcodeGhost攻击的用户保持沉默

日期: 2021年05月10日
等级: 高
作者: Deeba Ahmed
标签: iOS, XcodeGhost, Apple
行业: 信息传输、软件和信息技术服务业

据报道，近1.28亿iOS用户下载了包含XcodeGhost恶意软件的应用程序，但苹果没有告知受害者此次攻击。2021年3月，Hackread.com报告了一次supplycheck攻击，其中XcodeSpy恶意软件被用于针对使用Xcode集成开发环境的开发人员，2015年还使用了类似的恶意软件。它的代号为XcodeGhost，允许攻击者使用从第三方网站下载的Xcode的恶意版本在合法应用程序中插入恶意代码。

详情

Apple kept mum about XcodeGhost malware attack against 128M users