转载自:360安全应急响应中心
0x01 事件导览
本周收录安全事件23项,话题集中在网络攻击、数据泄漏方面,涉及的厂商有:Intel、Wordpres、Facebook、LG等。近期黑客频繁使用新出漏洞,对网络边界设备和服务实施攻击。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
恶意程序 | 等级 |
NetWalk勒索软件 | ★★★★ |
WastedLocker勒索软件滥用Windows功能逃避检测 | ★★★ |
数据安全 | |
英特尔泄露:20GB的源代码和内部文档 | ★★★★★ |
勒索软件团伙从LG和Xerox泄露了数十GB的内部数据 | ★★★★ |
佳能遭到Maze Ransomware攻击,据称10TB数据被盗 | ★★★★ |
黑客泄露900多个企业VPN服务器的密码 | ★★★ |
英国牙医工会遭到黑客攻击 | ★★★ |
UberEats数据在暗网上泄漏 | ★★★ |
Netwalker勒索软件运营商声称已从Forsee Power公司中窃取了数据 | ★★★ |
ProctorU确认数据泄露 | ★★★ |
黑客攻击 | |
Newsletter 插件漏洞让黑客可以在30万个网站中注入后门 | ★★★★★ |
一下载量超700万的NodeJs模块可以被黑客植入代码 | ★★★★ |
2gether 被黑:120万加密货币被盗,本地代币被用来交换 | ★★★ |
黑客可能已经从Meetup用户那里窃取了PayPal的资金 | ★★★ |
Facebook插件漏洞使黑客劫持WordPress网站的聊天 | ★★★ |
Water Nue网络钓鱼活动的目标是C-Suite公司的Office 365账户 | ★★★ |
黑客滥用相似的域名和网站图标进行信用卡盗窃 | ★★★ |
黑客攻击Reddit并发布支持特朗普的信息 | ★★★ |
其它事件 | |
近50%的智能手机受到高通Snapdragon漏洞的影响 | ★★★★ |
GandCrab勒索软件经销商在白俄罗斯被捕 | ★★★ |
Black Hat:新的EtherOops攻击利用了有故障的以太网电缆 | ★★★ |
自2020年3月以来,NetWalker勒索软件已经赚了2500万美元 | ★★ |
过去12个月中,微软支付了近1400万美元的赏金 | ★★ |
0x02 恶意程序
NetWalk勒索软件
日期: 2020年8月3日
等级: 高
作者: ATR Operational Intelligence Team
标签: Malware, NetWalk, Ransomware, Mailto, RaaS, Advanced Threat Research
NetWalker勒索软件最初被称为Mailto,于2019年8月首次被发现。此后,在2019年和2020年初发现了新的变种,2020年3月发现了一个强劲的上升趋势。NetWalker已经明显发展成为一种更稳定、更健壮的勒索软件服务(RaaS)模式,Macfee的研究表明,恶意软件运营商正在瞄准并吸引更广泛的技术先进和进取的犯罪团体。自2019年以来,NetWalker勒索软件已经达到了大量不同的目标,主要是在西欧国家和美国。自2019年底以来,黑客团伙表示,他们更喜欢大型组织,而不是个人。在COVID-19大流行期间,NetWalker背后的对手明确表示,不会将医院作为攻击目标,他们是否信守诺言还有待观察。
详情
Take a “NetWalk” on the Wild Side
WastedLocker勒索软件滥用Windows功能逃避检测
日期: 2020年8月4日
等级: 中
作者: Lawrence Abrams
标签: Malware, Cache, Ransomware, Windows, WastedLocker
WastedLocker勒索软件正在滥用Windows内存管理功能,以逃避安全软件的检测。在过去的几周里,WastedLocker勒索软件勒索软件已经变得臭名昭著,因为它被归咎于"受制裁的EvilCorp"黑客组织,并曾经攻击Garmin。在BleepingComputer发布之前的一份新报告中,Sophos安全研究人员解释了WastedLocker是如何使用Windows缓存管理器来逃避检测的。为了提高Windows的性能,常用文件或应用程序指定的文件被读取并存储在Windows缓存中,该缓存利用系统内存。为了绕过反勒索软件解决方案的检测,WastedLocker包括一个例行程序,打开一个文件,将它读入Windows缓存管理器,然后关闭原始文件。
详情
WastedLocker ransomware abuses Windows feature to evade detection
相关安全建议
1. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理
2. 及时对系统及各个服务组件进行版本升级和补丁更新
3. 网段之间进行隔离,避免造成大规模感染
4. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
5. 主机集成化管理,出现威胁及时断网
0x03 数据安全
英特尔泄露:20GB的源代码和内部文档
日期: 2020年8月6日
等级: 高
作者: Ionut Ilascu
标签: Data Breach, Leak, Source Code, Intel, Cpu, Bios
2020年8月7日,美国芯片制造商英特尔的机密文件被上传到了一个公共文件共享服务上,据称这些文件是由黑客入侵造成的。秘密信息缓存容量为20GB,来源不明。这是英特尔一系列泄密事件的第一部分。档案中的一些文件包括技术规范和相关的内部芯片组设计,包括KabyLake平台和英特尔管理引擎(ME)。
详情
Intel leak: 20GB of source code, internal docs from alleged breach
勒索软件团伙从LG和Xerox泄露了数十GB的内部数据
日期: 2020年8月4日
等级: 高
作者: Catalin Cimpanu
标签: Data Breach, LG, Xerox, Ransomware, Leak Portal, Maze
在两次勒索失败后,Maze勒索软件的运营商在8月4日公布了企业商业巨头LG和Xerox数十GB的网络内部数据。黑客声称他们泄露了从LG内部网络中窃取的50.2GB数据和25.8GB的Xerox数据。Maze团伙主要以其同名勒索软件串而闻名,他们的运作方式通常是侵入公司网络,先窃取敏感文件,再加密数据,然后要求赎金来解密文件。如果受害者拒绝支付解密文件的费用并决定从备份中恢复,迷宫团伙会在“泄漏网站”上创建条目,并威胁以第二种形式发布受害者的敏感数据,以勒索赎金。然后,给受害者几周时间来考虑其决定,如果受害者在第二次勒索尝试中不肯让步,Maze勒索团队将在其门户网站上发布文件。
详情
Ransomware gang publishes tens of GBs of internal data from LG and Xerox
佳能遭到Maze Ransomware攻击,据称10TB数据被盗
日期: 2020年8月5日
等级: 高
作者: Lawrence Abrams
标签: Data Breach, Ransomware, Canon, Maze, Attack, Malware
佳能已经遭受勒索软件攻击,这影响到许多服务,包括佳能的电子邮件,微软团队,美国网站,和其他内部应用程序。Maze是一款以企业为目标的人工操作勒索软件,它通过网络入侵并偷偷地横向传播,直到获得访问管理员帐户和系统Windows域控制器的权限。BleepingComputer一直在跟踪佳能image.canon云照片和视频存储服务的可疑故障,这一故障导致拥有免费10GB存储功能的用户丢失了数据。
详情
Canon hit by Maze Ransomware attack, 10TB data allegedly stolen
黑客泄露900多个企业VPN服务器的密码
日期: 2020年8月4日
等级: 中
作者: Catalin Cimpanu
标签: Data Breach, Pulse Secure VPN, Leaking, KELA, ZDNet, Bank Security
一名黑客在2020年8月4日发布了一份明文用户名和密码以及900多个PulseSecureVPN企业服务器的IP地址的列表。ZDNet在威胁情报公司KELA的帮助下获得了此列表的副本,并通过网络安全社区中的多个来源验证了其真实性。安全研究人员指出,被攻击的所有PulseSecureVPN服务器运行的固件版本都容易受到CVE-2019-11510漏洞的影响。
详情
Hacker leaks passwords for 900+ enterprise VPN servers
英国牙医工会遭到黑客攻击
日期: 2020年8月4日
等级: 中
作者: Gareth Corfield
标签: Data Breach, British Dental Association, Attack, Bank Account
据报道,入侵英国牙科协会(BDA)服务器的黑客可能盗走了该协会成员的银行账号和分类代码。工会的服务器在7月底被攻破,7月30日,BDA的工作人员摸不着头脑,致使其网站瘫痪。行业新闻网站DentistryOnline报道称,BDA首席执行官马丁•伍德罗(MartinWoodrow)表示:“当我们试图恢复服务时,很明显黑客侵入了我们的系统。”牙科在线报道称,黑客可能已经访问了BDA会员的姓名,联系方式,交易历史,直接借记详细信息(包括帐号和分类代码),通信日志以及BDA所存案件的记录。除了其工会职能外,BDA还为其成员提供弥偿保险,这意味着BDA拥有有关牙科疏忽纠纷的一些数据。
详情
British Dental Association have been hacked
UberEats数据在暗网上泄漏
日期: 2020年8月4日
等级: 中
作者: Pierluigi Paganini
标签: Data Breach, UberEats, Leaked, DarkWeb, Cyble
来自威胁情报公司Cyble的安全研究人员发现了暗网上美国在线订餐和外卖平台UberEats的用户记录。优步外卖是优步于2014年推出的美国在线订餐和送餐平台。在暗网和深网监控过程中,网络研究团队遇到了威胁因素,该因素泄露了UberEATS的用户记录。这些泄漏的数据威胁到了UberEATS外卖司机、外卖合作伙伴和客户。
详情
UberEats data leaked on the dark web
Netwalker勒索软件运营商声称已从Forsee Power公司中窃取了数据
日期: 2020年8月6日
等级: 中
作者: Pierluigi Paganini
标签: Data Breach, Netwalker, Ransomware, Forsee Power, Leak, Malware
Netwalker勒索软件运营商的受害者名单中又增加了一家新公司,即ForseePower,该公司可为任何移动应用提供先进的锂离子电池系统。集团总部位于法国和美国,是欧洲、亚洲和北美市场的领导者之一,年收入约6500万美元,拥有200多名员工。最近,Cyble威胁研究集团接收到了另一份来自Netwalker集团的披露,该集团宣布从ForseePower窃取了敏感数据。Netwalker勒索软件运营商在他们的博客上发布了一条消息,宣布了这次攻击,并分享了一些截图,作为安全漏洞的证据。
详情
Netwalker ransomware operators claim to have stolen data from Forsee Power
ProctorU确认数据泄露
日期: 2020年8月9日
等级: 中
作者: Lawrence Abrams
标签: Data Breach, ProctorU, Cheating
在线考试监考解决方案ProctorU证实了一名攻击者在一个黑客论坛上发布了被盗的用户记录数据库,导致了数据泄露。ProctorU是公司和大学用来监督在线考试作弊的监考服务。通过安装的软件、网络摄像头和电脑的麦克风,ProctorU将监控考生的作弊行为。如果有作弊嫌疑,监考官可以要求学生出示装有摄像头的房间或桌子,以确保不会发生作弊行为。
详情
ProctorU confirms data breach after database leaked online
相关安全建议
1. 及时备份数据并确保数据安全
2. 合理设置服务器端各种文件的访问权限
3. 明确每个服务功能的角色访问权限
4. 严格控制数据访问权限
5. 及时检查并删除外泄敏感数据
6. 发生数据泄漏事件后,及时进行密码更改等相关安全措施
0x04 黑客攻击
Newsletter 插件漏洞让黑客可以在30万个网站中注入后门
日期: 2020年8月3日
等级: 高
作者: Sergiu Gatlan
标签: Attack, WordPress, Newsletter, XSS, PHP, Web Shell
WordPress网站的拥有者建议使用Newsletter插件的用户更新到最新版本,以阻止攻击。攻击者能够利用漏洞,注入后门,创建管理员,并可能接管他们的网站。WordPressNewsletter插件中具有此漏洞,该插件提供了在WordPress博客上使用可视化创建响应新闻和电子邮件营销活动所需的工具。自从将Newsletter添加到WordPress的官方插件存储库后,其下载量已超过1200万次,现已安装在300,000多个站点上。
信息化办公室
2020年08月10日