报告编号：B6-2021-100801

报告来源：360CERT

报告作者：360CERT

更新日期：2021-10-08

0x01   事件导览

本周收录安全热点28项，话题集中在恶意软件、网络攻击方面，涉及的组织有：WhatsApp、Steam、GiantPay、Coinbase等。恶意软件猖獗，各厂商注意防护。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

新安卓恶意软件从378个银行和钱包应用程序中窃取金融数据

日期: 2021年09月27日
等级: 高
作者: Ravie Lakshmanan
标签: blackrock, Android, Malware, ermac, Cerberus
行业: 金融业
涉及组织: google

最新研究显示，blackrock移动恶意软件背后的运营商重新浮出水面，他们推出了一款名为ermac的新型安卓银行木马程序（是Cerberus恶意软件的变体），该软件的目标是波兰的378个银行和钱包应用程序。

详情

当心这个安卓木马从1000多万用户那里窃取了数百万美元

日期: 2021年09月29日
等级: 高
作者: Ravie Lakshmanan
标签: grifhorse, Android, Trojan
行业: 信息传输、软件和信息技术服务业

一项新发现的侵略性移动广告已经感染了来自70多个国家的1000多万用户，这些用户通过看似无害的android应用程序在他们不知情的情况下订阅每月36(约42美元)的高级服务。

Zimperiumzlabs将这种恶意木马称为“grifhorse”。

据报道，澳大利亚、巴西、加拿大、中国、法国、德国、印度、俄罗斯、沙特阿拉伯、西班牙、英国和美国都有受害者。

详情

阿拉巴马州斯普林希尔医疗中心婴儿因网络攻击死亡

日期: 2021年10月01日
等级: 高
作者: Pierluigi Paganini
标签: springhill, Alabama, Springhill Medical Center
行业: 卫生和社会工作

据称，阿拉巴马州斯普林希尔医疗中心遭受勒索软件攻击，其中一名婴儿因在其母亲分娩时保健服务不足，最终死亡。

据《华尔街日报》报道，阿拉巴马州一位名叫泰兰尼·基德的妇女在她的孩子死亡后提起了诉讼，她声称，springhill医疗中心未能对网络攻击做出反应，导致其系统瘫痪，导致女婴死亡。

详情

来自WhatsApp的虚假备份消息向西班牙用户发送恶意软件

日期: 2021年09月27日
等级: 高
来源: ehackingnews
标签: Backups, malware, phishing, Phishing and Spam, Spain, Spanish, WhatsApp
行业: 信息传输、软件和信息技术服务业
涉及组织: whatsapp

西班牙当局发布了一项关于假冒whatsapp欺骗消费者安装木马的网络钓鱼活动的警告。

nopiques(“donotchop”)恶意软件被打包在a.zip文件中，在执行时感染易受攻击的设备。

详情

警惕新型恶意软件BluStealer

日期: 2021年09月27日
等级: 高
来源: heimdalsecurity
标签: BluStealer, Malware
行业: 金融业

网络安全研究人员发现了一种名为“BluStealer”的恶意软件，它可以窃取加密货币和银行信息，进行键盘记录和上传文件。

据专家称，恶意软件是由攻击者通过恶意邮件附件传播的。

详情

新型恶意软件ZE Loader针对网上银行用户

日期: 2021年09月27日
等级: 高
来源: 
标签: Banking Trojan, malware, Online Banking, User Security
行业: 金融业

IBM安全研究人员发现了一种针对网上银行用户的新型覆盖恶意软件。

zeloader是一个恶意的Windows应用程序，它试图通过建立后门连接来获取受害者的财务数据。

与典型的银行木马不同，zeloader采用多种技术来保持隐藏，并在受感染的设备上存储永久资产。

该恶意软件的目标是银行、在线支付处理器和加密货币交易所。

并且该恶意软件能够与受害者的设备实时交互，一旦受害者落入陷阱，攻击者就会得到实时通知，并可以远程控制系统。

详情

Jupyter infostealer通过MSI安装程序传播

日期: 2021年09月27日
等级: 高
作者: Pierluigi Paganini
标签: jupyter infostealer, MSI, .net
行业: 信息传输、软件和信息技术服务业

网络安全研究人员发现了一个新版本的jupyterinfostealer，它是通过msi安装程序进行传播的。

2020年11月，morphisec的研究人员发现，俄国攻击者一直在使用.netinfostealer的一个片段，被跟踪为jupyter，从受害者那里窃取信息。

详情

破解、免费版本的安装软件传播恶意软件

日期: 2021年09月27日
等级: 高
作者: Ryan Maglaque
标签: Fake Installers, Malware
行业: 信息传输、软件和信息技术服务业
涉及组织: google, teamviewer

众所周知，在网络安全问题上，用户往往是最薄弱的环节。这意味着它们成为攻击的典型输入载体和黑客的常见社会工程目标。企业也可能受到这些个别薄弱环节的影响。员工有时不知道在线威胁，或不熟悉网络安全最佳实践，而攻击者确切地知道如何利用这一安全缺口。

很多用户试图下载非恶意应用程序的破解版本，这些应用程序有有限的免费版本和付费的完整版本，特别是TeamViewer(一个远程连接和参与解决方案应用程序)，VueScanPro(一个扫描驱动程序应用程序)，Movavi视频编辑器(一个多功能视频制作器)，以及用于macOS的AutopanoPro(一款自动图片拼接的应用程序)。

详情

新型恶意软件窃取Steam、Epic游戏商店和EA源帐户

日期: 2021年09月27日
等级: 高
作者: Sergiu Gatlan
标签: Steam, epic, bloodystealer, EA
行业: 信息传输、软件和信息技术服务业
涉及组织: intel, teamviewer, whatsapp

一种新型恶意软件在暗网论坛上出售，被攻击者用来窃取多个游戏平台的账户，包括steam,epicgamesstore和eaorigin。

卡巴斯基安全研究人员在3月份发现了这种新型木马，并给它起了绰号bloodystealer发现它能够收集和窃取大量敏感信息，包括cookie、密码、银行卡以及各种应用程序的会话。

详情

Squirrelwaffle：新型Cobalt Strike加载器

日期: 2021年09月28日
等级: 高
作者: Avinash Kumar,Brett Stone-Gross
标签: SquirreWaffle, cobalt strike
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

zscalerthreatlabz一直在关注一种新出现的恶意软件加载程序SquirreWaffle，该软件被用于传送cobaltstrike。

这项活动从2021年9月中旬开始实施。

squirrelwaffleloader是从交付qakbotbanking特洛伊木马的同一基础设施交付的。

攻击方式

- Deobfuscate/Decode Files or Information

- Office Application Startup

- System Services

- Standard Application Layer Protocol

- Native API

- Command and Scripting Interpreter

- Commonly Used Port

- Gather Victim Host Information

- Process Injection

详情

FormBook 将最新的 0day漏洞（CVE-2021-40444）添加到其存储库中

日期: 2021年09月29日
等级: 高
作者: Aliakbar Zahravi,Kamlapati Choubey,Peter Girnus,William Gamazo Sanchez
标签: FormBook, Vulnerability, CVE-2021-40444
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft, automatic

trendmicro检测到一个新的活动使用了已知formbook恶意软件的最新版本，这是一个自2016年以来一直存在的信息窃取恶意软件。

在过去的几年里，已经有一些关于formbook的分析，包括对macos的扩展支持。

formbook以高度模糊的有效载荷和使用文档cve开发而闻名，更新后的formbook变体使用了最近的office3650day漏洞cve-2021-40444。

涉及漏洞

cve-2021-40444

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-40444

详情

黑客以巴西PIX支付系统为目标，盗取用户的银行账户

日期: 2021年09月29日
等级: 高
作者: Ravie Lakshmanan
标签: android, play store, PIX, pixstealer, malrhino
行业: 金融业
涉及组织: google

在谷歌playstore上新发现的两个恶意android应用程序被用来攻击巴西即时支付系统的用户，可能试图引诱受害者将他们的全部账户余额欺骗性地转移到另一个由网络罪犯控制的银行账户。

“攻击者分发了两种不同的银行恶意软件，分别叫做pixstealer和malrhino，通过两个不同的恶意应用程序来进行攻击。

详情

专家首次观察到FinFisher感染涉及使用UEFI引导套件

日期: 2021年09月29日
等级: 高
作者: Pierluigi Paganini
标签: finfisher, windows uefi, windows
行业: 信息传输、软件和信息技术服务业

专家们发现了finfisher监视间谍软件的一个新变种finspy，它能够劫持并替换Windowsuefi(统一可扩展固件接口)引导程序来感染windows机器。

详情

GriftHorse恶意软件感染1000万部手机并窃取数百万美元

日期: 2021年09月29日
等级: 高
作者: Sergiu Gatlan
标签: Android
行业: 信息传输、软件和信息技术服务业
涉及组织: google

一场大规模的GriftHorse恶意软件活动已经感染了70多个国家的1000多万台安卓设备，并可能在受害者不知情的情况下订阅付费服务，从而从受害者手中偷走数亿美元，目前该活动已经活跃了大约五个月。

详情

Hydra Android特洛伊木马攻击目标是欧洲银行的客户

日期: 2021年10月01日
等级: 高
作者: Pierluigi Paganini
标签: Hydra, banking trojan
行业: 金融业
涉及组织: google, teamviewer

专家警告称，有一种针对欧洲电子银行平台用户的恶意软件正在使用Hydra银行木马（Hydra是一款至少从2019年初就开始活跃的银行木马）。

据恶意软件搜寻团队和cyble的恶意软件研究人员称，此次攻击主要针对德国第二大银行德国商业银行的客户。

详情

Android flubot恶意软件通过伪造安全更新自行安装

日期: 2021年10月02日
等级: 高
作者: Deeba Ahmed
标签: Android, GriftHorse, Malware, New Zealand, security, Flubot
行业: 信息传输、软件和信息技术服务业

新西兰计算机应急小组(CertNZ)发布了新的警告，涉及以窃取密码的恶意软件“Flubot”的传播和感染。

据有关部门表示，这些攻击者试图通过显示虚假的安全警告信息，让用户相信他们的设备已感染Flubot恶意软件。

详情

黑客冒充国际特赦组织传播恶意软件

日期: 2021年10月02日
等级: 高
作者: Prajeet Nair
标签: Amnesty International, Malware
行业: 信息传输、软件和信息技术服务业
涉及组织: cisco, apple

CiscoTalos的研究人员称，有黑客正在冒充国际特赦组织(AmnestyInternational)建立一个虚假网站，传播恶意软件，声称这是一种防病毒工具，以保护NSO集团的Pegasus工具。而实际上下载的是Sarwent恶意软件，该恶意软件包含了远程访问工具的一般功能，会变成受害者机器的后门。

详情

新发现的与SolarWinds攻击恶意软件相关的“Tomiris”后门

日期: 2021年10月02日
等级: 高
来源: ehackingnews
标签: APT actors, malware, Microsoft, SolarWinds Hack, Sunshuttle, United States, Tomiris
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

卡巴斯基安全研究人员发现了一个新的后门，可能是由去年solarwinds供应链攻击背后的先进持续威胁(apt)设计的。

这种名为tomiris的新恶意软件最早是在2021年6月从可追溯至2021年2月的样本中识别出来的，一个月后，FireEye发现了复杂的第二阶段后门，并与nobelium有关。nobelium还被命名为monikersunc2452,solarstorm,stellarparticle,darkhalo,ironritual。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

儿童童话应用Farfaria暴露了290万用户的数据

日期: 2021年09月29日
等级: 高
来源: ehackingnews
标签: Data Breach, Exposed Data, Kids App, User Privacy, User Security
行业: 信息传输、软件和信息技术服务业
涉及组织: mongodb

comparitech的网络安全研究人员发现了一个配置错误的mongodb数据库，其中包含未经任何密码或安全认证就泄露给公众的数据库，暴露的数据属于FARFARI（一家位于旧金山的CA公司，通过Android和iOS应用程序提供儿童服务的童话）。

暴露的数据库有38GB的数据，其中包括290万用户的联系信息和登录凭证，如电子邮件地址、认证令牌、加密密码、登录号码和时间轴，和社交媒体代币。

详情

黑客组织anonymous泄露大量EPIK主机数据

日期: 2021年10月01日
等级: 高
来源: hackread
标签: epik, anonymous, leaks
行业: 信息传输、软件和信息技术服务业

据黑客组织anonymous称，最新的epik数据泄露涉及可启动磁盘映像、API令牌、超过500,000个私钥等，都是明文格式。

黑客组织anonymous公布了从有争议的亲右翼网络托管平台epik窃取的第二部分数据。据报道，此次泄露的公司数据有180GB，此次泄露的数据更大。

详情

Neiman Marcus数据泄露导致支付卡数据曝光

日期: 2021年10月01日
等级: 高
作者: Pierluigi Paganini
标签: Neiman Marcus, data breach
行业: 批发和零售业
涉及组织: Neiman Marcus

奢侈品零售公司NeimanMarcus集团宣布，该公司遭遇数据泄露，影响了客户信息。

针对NeimanMarcus的攻击发生在2020年5月，攻击者可以访问客户信息，包括支付卡数据。

暴露的个人信息包括姓名和联系信息、用户名、密码以及与在线账户相关的安全问题的答案。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

针对VMware vCenter CVE-2021-22005漏洞的有效POC已被发现

日期: 2021年09月29日
等级: 高
来源: ehackingnews
标签: Remote Code Execution, Reverse Shell, Vulnerabilities and Exploits, Working Exploit
行业: 信息传输、软件和信息技术服务业

针对vmwarevcenter中的cve-2021-22005远程代码执行漏洞的一个完全有效的POC已经被公开，并且正在野进行攻击。

和早期开始流行的版本不同，这种变体可用于在易受攻击的系统上反弹shell，允许远程攻击者启动他们喜欢的代码。

该漏洞无需认证，允许入侵者上传文件到vcenter服务器分析服务。

涉及漏洞

cve-2021-22005

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-22005

详情

JVCKenwood遭受勒索软件攻击

日期: 2021年10月01日
等级: 高
来源: heimdalsecurity
标签: conti, jvckenwood, Ransomware Attack
行业: 信息传输、软件和信息技术服务业
涉及组织: jvckenwood

总部设在日本的jvckenwood组织最近透露，他们遭受了由conti勒索软件组织实施的勒索软件攻击。

conti访问并窃取了约2tb属于JVCKenwood的信息。

该公司发现，黑客将窃取的数据发送到JVCKenwood作为证据，其中包括员工的个人信息。

勒索软件攻击者要求支付700万美元赎金，以不公布被盗信息并提供解密器。

详情

SolarWinds攻击者利用FoggyWeb后门攻击Active Directory服务器

日期: 2021年09月28日
等级: 高
来源: threatpost
标签: Solarwinds, FoggyWeb
行业: 跨行业事件
涉及组织: microsoft

研究人员发现，solarwinds供应链攻击背后的攻击者已利用新的恶意软件窃取数据，并在受害者的网络上进行持久化权限维持。研究人员称：Nobelium正在采用多种策略来获得ADFS服务器的管理员权限。一旦服务器被攻破，攻击者就会部署FoggyWeb恶意软件，获取攻陷ADFS服务器的配置数据库、解密的令牌签名证书和令牌解密证书。

详情

复杂网络攻击袭击GiantPay

日期: 2021年09月29日
等级: 高
来源: heimdalsecurity
标签: Giantpay, Cyberattack
行业: 租赁和商务服务业

最近证实，英国伞形工资单企业Giantpay是一起复杂网络攻击的受害者。

GiantPay的网络攻击发生在9月22日，这起网络攻击迫使Giantpay关闭了其网络，包括:电子邮件系统、电话系统、IT基础设施。

详情

Forward Air Corporation最近披露了一起勒索软件攻击后的数据盗窃事件

日期: 2021年09月30日
等级: 高
来源: heimdalsecurity
标签: hades, Ransomware Attack
行业: 信息传输、软件和信息技术服务业
涉及组织: twitter

总部位于田纳西州的forwardair公司披露了2020年发生的勒索软件事件后的数据泄露事件。在攻击过程中，黑客盗取了该组织职员的机密信息。

此次攻击是在2020年12月15日被公开的，尽管该组织从未透露过有关事件的任何信息，但可能是由hades勒索软件团伙策划的。

详情

黑客利用2FA漏洞从6000名Coinbase用户处窃取密码

日期: 2021年10月02日
等级: 高
作者: Waqas
标签: 2FA, breach, CoinBase, Cryptocurrency, security, Vulnerability
行业: 金融业

CoinbaseGlobalInc.向受到网络攻击影响的客户发送了一封违约通知信，该公司被广泛使用的加密货币交易所。根据这封信，黑客成功窃取了至少6000名Coinbase客户的账户。

而黑客攻击发生在2021年3月至5月20日之间，未经授权的第三方发现并利用了Coinbase短信账户恢复过程中的一个漏洞，并能够访问这些账户。这起事件最近才被公开。

详情

勒索软件袭击欧洲主要书商

日期: 2021年10月02日
等级: 高
来源: ehackingnews
标签: Data Breach, European Bookseller, Ransom Attack, Ransomware, Ransomware attack, Shutdown Servers.
行业: 批发和零售业

最近，一个勒索软件攻击了一个领先的图书供应商软件，攻击中断了包括法国、比利时和荷兰在内的欧洲数千家书店的正常功能。被盗数据可能不仅包括个人身份信息，还包括支付细节。

该勒索软件集团的目标是titelive，这家法国公司提供基于云计算的图书销售和库存管理软件。

受到勒索软件攻击的书店包括libris、aquarius、donner、malperthuis和atheneumboekhandels。

此外，巴黎图书馆、gallimard、furetdunordsciencespo、lapro-cure等也在公司网站上被公开。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x07   时间线

2021-10-08 360CERT发布安全事件周报