转载自 360安全应急响应中心
0x01 事件导览
本周收录安全事件22项,话题集中在勒索、数据泄漏方面,涉及的厂商有:Amazon、Blackbaud、Garmin、阿根廷电信等。大量未做加固的服务器成为病毒的温床,恶意程序持续泛滥,威胁着企业集团和国家单位的数据财产安全。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
热度 | |
勒索程序团伙要求阿根廷ISP提供750万美元赎金 | ★★★★★ |
为门罗币而生:Prometei僵尸网络 | ★★★★★ |
Emotet僵尸网络现在正在大量传播QakBot恶意程序 | ★★★★ |
Garmin疑似遭勒索软件攻击 导致网站、APP及服务中断 | ★★★★ |
Lorien Health Services遭遇恶意程序勒索,受影响个人数量约50000 | ★★★ |
Lazarus黑客部署勒索软件,使用MATA恶意软件窃取数据 | ★★★ |
Chrome浏览器应用商店下架100多个扩展程序 | ★★★ |
英国政府警告勒索软件BEC对体育部门的攻击 | ★★★ |
7家VPN服务泄露了超过2000万用户的数据 | ★★★★ |
云计算提供商Blackbaud在数据泄露后支付了赎金 | ★★★★ |
高校招聘数据库泄漏了近一百万名学生的GPA,SAT分数,ID和其他个人数据 | ★★★★ |
约克大学披露数据泄露,员工和学生记录被盗 | ★★★ |
DNA分析服务GEDmatch遭遇数据泄露事件 暴露了130万份资料 | ★★★ |
在黑客论坛上出现1700万用户记录后,CouchSurfing调查其数据泄露 | ★★★ |
科技独角兽Dave承认影响750万用户的安全漏洞 | ★★★ |
新的“喵”攻击已删除了近4,000个不安全的数据库 | ★★★★★ |
网络钓鱼活动使用Google Cloud Services窃取Office 365登录名 | ★★★★ |
以色列的供水系统再遭受两次网络攻击 | ★★ |
Twilio:有人闯入了我们脆弱的AWS S3仓库 | ★★ |
Coinbase阻止Twitter黑客诈骗约28万美元 | ★★★ |
微软公开了新的双密钥加密 | ★★★ |
美国提供200万美元,用于针对因SEC黑客行为而被指控的乌克兰人 | ★★ |
0x02 恶意程序
勒索程序团伙要求阿根廷ISP提供750万美元赎金
日期: 2020年7月20日
等级: 高
作者: Catalin Cimpanu
标签: Malware, Ransom, Telecom Argentina, ISP
一个勒索程序团伙已经感染了阿根廷电信(该国最大的互联网服务提供商之一)的内部网络,现在正要求提供750万美元的赎金以解锁加密文件。该事件发生在7月18日星期六的周末,被认为是阿根廷最大的黑客事件之一。ISP内的消息人士说,黑客设法获得对内部Domain Admin的控制权后,对该公司的网络造成了广泛破坏,他们传播安装了勒索软件payload到18,000多个终端
详情
为门罗币而生:Prometei僵尸网络
日期: 2020年7月22日
等级: 高
作者: Vanja Svajcer
标签: Malware, Botnet, Prometei, Monero, Cryptomining
在野外发现了一个新的僵尸网络,该僵尸网络利用Microsoft Windows SMB协议在整个系统中横向移动,同时秘密地挖掘加密货币。 在7月22日的一份报告中,思科Talos分析道: 自2020年3月以来,Prometei恶意软件一直在进行机器扫描。 新的僵尸网络值得关注,因为它使用了广泛的模块化系统和多种技术来破坏系统并向最终用户隐藏其存在,以便挖掘出门罗币(XMR)。
详情
Emotet僵尸网络现在正在大量传播QakBot恶意程序
日期: 2020年7月21日
等级: 高
作者: Ionut Ilascu
标签: Malware, Emotet, QakBot, Trojan, TrickBot
追踪Emotet僵尸网络的研究人员注意到,该恶意软件开始以异常高的速度传播QakBot银行木马,从而取代了之前长期使用的TrickBot。上周,Emotet在休息了五个多月后才重获新生。从昨天开始,恶意垃圾邮件操作再次开始在受感染的Windows系统上安装TrickBot。7月21日,当研究人员注意到Emotet下发QakBot时,情况发生了变化。恶意软件中的字符串表示该木马现在是Emotet僵尸网络的首选恶意程序。
详情
Garmin疑似遭勒索软件攻击 导致网站、APP及服务中断
日期: 2020年7月23日
等级: 高
作者: Catalin Cimpanu
标签: Malware, WastedLocker, Garmin, Smartwatch, Ransom
知名运动品牌佳明(Garmin)昨日疑似遭到勒索软件攻击,导致包括网站、移动APP以及 Garmin Connect 在内的诸多服务中断。而且客户无法连接到 Garmin 的呼叫中心,公司团队成员也无法进入聊天、通话或者电子邮件。Garmin的一些员工在网上发表讲话,将这一事件归因于今年早些时候出现的一种新型勒索软件,称为WastedLocker
详情
Lorien Health Services遭遇恶意程序勒索,受影响个人数量约50000
日期: 2020年7月20日
等级: 中
作者: Ionut Ilascu
标签: Malware, Lorien Health Services, Ransom, Data Breach, Netwalker
马里兰州的Lorien Health Services宣布,其于六月初成为勒索软件事件的受害者。事故期间数据被盗,接着终端文件被加密。Netwalker勒索软件运营商宣布对此次攻击负责,他们在Lorien拒绝支付赎金要求后泄露了信息。根据发送给卫生和公共服务部长的信息显示,受影响的个人数量为47,754。
详情
Lazarus黑客部署勒索软件,使用MATA恶意软件窃取数据
日期: 2020年7月22日
等级: 中
作者: Sergiu Gatlan
标签: Lazarus, MATA, Malware, North Korea
自2018年4月以来,一个名为MATA的恶意软件框架已与朝鲜支持的黑客组织Lazarus链接,该组织针对多个国家/地区的公司实体实施攻击以用于勒索软件部署和数据盗窃。 卡巴斯基实验室全球研究与分析团队(GReAT)的安全研究人员发现MATA时关于被攻击国家提到了波兰,德国,土耳其,韩国,日本和印度。 Lazarus(也被美国情报机构称为HIDDEN COBRA,被Microsoft称为Zinc)使用MATA入侵并感染了从事各种行业活动的公司的机器,包括但不限于软件开发公司,互联网服务提供商和电子商务公司。
详情
Chrome浏览器应用商店下架100多个扩展程序
日期: 2020年7月22日
等级: 中
作者: Ravie Lakshmanan
标签: Malware, Google, Chrome, Browser Extensions, Sensitive data
最近在Chrome网上应用店中,Google被删除了106个扩展,原因是监测到这些扩展非法收集敏感用户数据,这是针对石油,天然气,金融和医疗保健部门的“大规模全球监视运动”的一部分。 Awake Security 于上周晚些时候披露了调查结果,称恶意浏览器插件与一个互联网域名注册商GalComm绑定在一起。但是,尚不清楚谁是间谍软件背后的力量。 Awake Security表示:“该活动和涉及到的Chrome扩展程序执行了一些操作,例如为受害设备拍摄屏幕快照,加载恶意软件,读取剪贴板以及积极收集令牌和用户输入。”
详情
英国政府警告勒索软件BEC对体育部门的攻击
日期: 2020年7月23日
等级: 中
作者: Sergiu Gatlan
标签: Malware, NCSC, BEC, Phishing, Ransom, Sports
英国国家网络安全中心(NCSC)7月23日强调了针对体育组织和球队(包括英超足球俱乐部)的勒索软件攻击,网络钓鱼活动以及商业电子邮件和解(BEC)欺诈计划带来的日益增加的风险。 根据该机构委托进行的Ipsos MORI调查得出的数据,至少70%的体育组织在去年经历了违规或网络事件,其中30%在此期间记录了5次以上的事件,“比英国企业的平均水平高出一倍。” 在这些事件中,大约30%的平均财务损失也达到了10,000英镑(12,700美元),据报道,单笔损失最大的是超过400万英镑(近5,100,000美元)。
详情
相关安全建议
1. 建议加大口令强度,对内部计算机、网络服务、个人账号都使用强口令
2. 及时对系统及各个服务组件进行版本升级和补丁更新
3. 注重内部员工安全培训,不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序
4. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
5. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
6. 如果不慎勒索中招,务必及时隔离受害主机、封禁外链ip域名并及时联系应急人员处理
0x03 数据安全
7家VPN服务泄露了超过2000万用户的数据
日期: 2020年7月20日
等级: 高
作者: Amer Owaida
标签: Data Breach, VPN, User Data, Elasticsearch, Databases, Unsecured Server
vpnMentor的研究人员表示:七家声称不保留其用户在线活动日志的虚拟专用网(VPN)提供商最近暴露了1.2 TB的专用用户数据,在由服务共享的服务器上发现的数据包括可能多达2000万个VPN用户的个人身份信息(PII)。 UFO VPN,FAST VPN,FREE VPN,SUPER VPN,Flash VPN,Secure VPN和Rabbit VPN都与事件有关。该报告表明,所有这些基于香港的服务都具有共享的开发人员和应用程序,并被指定为是白标签解决方案,且以不同品牌重新用于其他公司。该假设基于共享相同Elasticsearch服务器,托管在相同资产上的服务,以及这些服务共享单个收款人的事实。
信息化办公室
2020年7月27日