报告编号：B6-2021-102501

报告来源：360CERT

报告作者：360CERT

更新日期：2021-10-25

0x01   事件导览

本周收录安全热点29项，话题集中在恶意软件、网络攻击方面，涉及的组织有：Thingiverse、TikTok、Twitter、Thingiverse等。勒索软件大肆攻击国家关键设施。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

抖音可能成为黑客对儿童发动攻击的有力工具

日期: 2021年10月18日
等级: 高
来源: 
标签: 抖音, 儿童, 游戏
行业: 信息传输、软件和信息技术服务业
涉及组织: tiktok

最近，TikTok中的游戏陷入恶意广告活动。黑客的恶意软件伪装成TikTok上FakeAmongUs和Steam版本的游戏，即使是TikTok上最新的游戏玩家也会受到攻击。

相关研究报告称，“我们有时会在tiktok上看到游戏官方厂商的账户提供许多与你在其他平台上看到的相同的承诺，如免费游戏，免费道具，免费物品等。一切都是免费的，没有任何附加条件。”、“抖音可能成为黑客对儿童发动攻击的有力工具。”

Akamai在6月份报告称，2020年针对游戏行业的网络应用攻击增加了340%。父母应该教会儿童具有足够的安全意识，以避免这类型的诈骗。

详情

针对医疗行业顶级勒索软件团伙的分析

日期: 2021年10月18日
等级: 高
作者: Marianne Kolbasuk McGee
标签: 医疗行业, 勒索团伙, conti, sodinokibi, hive
行业: 卫生和社会工作
涉及组织: fbi, 美国卫生与公众服务部

美国卫生与公众服务部发布报告，称医疗行业是目前美国乃至全球遭受勒索最多的目标。勒索软件攻击持续威胁着美国以及全球的医疗保健行业，部分原因是许多医疗机构高度依赖传统系统和缺乏网络安全资源。报告指出，除美国外，受勒索软件事件影响最大的国家包括法国、巴西、泰国、澳大利亚和意大利。在美国，第三季度针对医疗保健行业的进行勒索的团伙前几依次是conti、revil/sodinokibi和hive。在全球范围内，第三季度影响医疗保健机构的头号勒索团伙依次为:conti;avaddon;revil/sodinokibi;clop;pysa;astro;doppel/paymer;hive;lockbit;和raganork。

详情

Twitter上出现针对网络安全研究人员的攻击

日期: 2021年10月19日
等级: 高
来源: 
标签: twitter, linkedin, 网络安全社区
行业: 信息传输、软件和信息技术服务业
涉及组织: twitter, google

twitter暂停了两个黑客在朝鲜网络间谍活动中使用的恶意账户，相关账户是@lagal1990和@shiftrows13，他们的攻击目标正是网络安全研究人员，用来欺骗他们的诱饵不是别的，正是研究和漏洞。谷歌威胁分析小组首先发现这类攻击。黑客在Twitter上建立了一个研究博客和多个twitter主页，与受害者进行互动，并使用这些twitter个人资料发布他们的博客链接，发布他们声称的攻击视频。谷歌威胁分析小组认为这一活动的幕后主使是北朝鲜的一个政府支持的实体，他们还使用了许多手段来针对安全研究人员。这些黑客不仅通过twitter，还通过linkedin、keybase、discord或telegram，将安全研究社区作为这次恶意活动的目标。

详情

流行的NPM库被劫持安装密码窃取者和挖矿软件

日期: 2021年10月23日
等级: 高
作者: Lawrence Abrams
标签: NPM, hijacked, miners, password-stealers
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

黑客劫持了流行的UA-Parser-JSNPM库，每周有数百万下载，以在供应链攻击中使用加密器和密码窃取特洛伊木马的Linux和Windows设备。

UA-Parser-JS库用于解析浏览器的用户代理以标识访问者的浏览器，引擎，操作系统，CPU和设备类型/模型。

这个库非常受欢迎，每周有数百万次的下载，到目前为止这个月有超过2400万次的下载。

此外，该库被用于超过1000个其他项目，包括那些由facebook，微软，亚马逊，instagram，谷歌，slack,mozilla,discord,elastic,intuit,reddit，和许多更知名的公司

详情

辛克莱电视台因周末勒索软件袭击而瘫痪

日期: 2021年10月18日
等级: 高
作者: Sergiu Gatlan
标签: Sinclair Broadcast Group, ransomware attack
行业: 信息传输、软件和信息技术服务业
涉及组织: facebook

辛克莱广播集团(SinclairBroadcastGroup)已证实，它在2021年10月17日遭到了勒索软件的攻击。

辛克莱还表示，攻击者还从该公司的网络中窃取了数据。

辛克莱广播集团(SinclairBroadcastGroup)是一家《财富》500强媒体公司(2020年年收入为59亿美元)，也是一家领先的地方体育和新闻提供商，拥有多个全国性网络。

详情

REvil勒索软件的Tor站点被劫持

日期: 2021年10月18日
等级: 高
来源: heimdalsecurity
标签: REvil, Tor, Hijacked
行业: 信息传输、软件和信息技术服务业

Revil/sodinokibi是一种高度升级的勒索软件，它使用特殊的社会工程手段，如果受害者在一定天数内不支付赎金，它将威胁要加倍赎金。

Revil勒索软件已成为世界上分布最广泛的第四大勒索软件，主要针对美国和欧洲的公司。

据称，一名不知名的黑客接管了Revil勒索软件的tor支付网关和数据泄露博客后，Revil似乎再次被关闭。

详情

TeamTNT在Docker Hub上部署恶意Docker映像

日期: 2021年10月18日
等级: 高
作者: Pierluigi Paganini
标签: teamtnt, docker, Image
行业: 信息传输、软件和信息技术服务业
涉及组织: docker

uptycs威胁研究小组最近确定了一个活动，其中teamtnt组织部署了一个恶意容器image(托管在docker中心)与嵌入式脚本下载zgrab扫描仪和masscanner渗透测试工具，分别用于横幅抓取和端口扫描。

利用恶意docker图像中的扫描工具，攻击者试图扫描受害者子网中的更多目标，并执行进一步的恶意活动。

详情

PurpleFox添加了使用WebSocket的新后门

日期: 2021年10月19日
等级: 高
作者: Abdelrhman Sharshar,Jay Yaneza,Sherif Magdy
标签: purplefox, foxsocket
行业: 信息传输、软件和信息技术服务业

2021年9月，趋势微管理的XDR(mdr)团队调查了与purplefox有关的可疑活动。

trendmicro的发现了更新的purplefox武器库，其中包括一个额外的漏洞(cve-2021-1732)和优化的rootkit功能在他们的攻击中利用。

trendmicro还发现在入侵过程中植入了一个用.net编写的新后门，trendmicro认为这与Purplefox高度相关。

这个后门，trendmicro称之为foxsocket，利用websockets与它的命令和控制(c&c)服务器进行通信，与常规的http流量相比，产生了更强大和更安全的通信方式。

涉及漏洞

cve-2021-1732

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-1732

cve-2020-1054

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-1054

cve-2019-0808

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2019-0808

cve-2019-1458

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2019-1458

详情

新的karma勒索团伙可能是以前的勒索团伙改头换面的结果

日期: 2021年10月19日
等级: 高
作者: Bill Toulas
标签: karma, 勒索团伙, nemty
行业: 制造业

sentinellabs的安全研究人员发现，有证据表明，karma勒索团伙从最初的jsworm演变成nemty，后来又变成了nefilim、fusion、milihpen，以及最近的gangbang。

研究人员对2021年6月相同数量的勒索软件攻击的8个样本进行分析，发现这些样本都与2021年1月左右出现的gangbang和milihpen变种的代码明显相似。历史上，nemty主要针对工程和制造业的中国公司，利用杠杆暴露rdp并利用了VPN漏洞，以渗透到脆弱的网络中。

详情

勒索软件新的商业模式

日期: 2021年10月19日
等级: 高
作者: Mihir Bagwe
标签: XingLocker, Trend Micro
行业: 信息传输、软件和信息技术服务业
涉及组织: Trend Micro

网络安全公司趋势科技(TrendMicro)的研究人员观察到，勒索软件运营商采用了一种新的基于特许经营的商业模式，摆脱了传统的“勒索软件即服务”模式。

这一白色标签操作是由趋势科技团队发现的，当时他们正在调查在过去几个月里非常活跃的XingLocker勒索软件运营商的操作。

详情

CISA称BlackMatter 勒索软件集团是最近攻击农业公司的幕后黑手

日期: 2021年10月20日
等级: 高
作者: Jonathan Greig
标签: BlackMatter, agriculture companies, ransomware
行业: 农、林、牧、渔业
涉及组织: cisa, fbi

CISA、FBI和国家安全局正式表示，最近两家农业公司遭受的攻击中，BlackMatter勒索软件集团参与了其中，这证实了一些安全研究人员的评估，他们说，该团伙是9月份新合作社(NewCooperative)和水晶谷(CrystalValley)事件的幕后黑手。

9月20日，爱荷华州农场服务提供商NewCooperative遭到勒索软件攻击，BlackMatter要求590万美元赎金。两天后，总部位于明尼苏达州的水晶谷遭到袭击。这两次袭击都发生在农民收获开始增加之际。

详情

在Windows、Linux和macOS设备上运行Cryptominer时发现恶意NPM包

日期: 2021年10月21日
等级: 高
作者: Ravie Lakshmanan
标签: npm, Packages
行业: 信息传输、软件和信息技术服务业

上传到官方npm包存储库的三个javascript库已被揭露为加密挖掘恶意软件，再次证明开源软件包存储库如何成为对windows、macos和linux系统执行一系列攻击的有利可图的目标。

有问题的恶意包okhsa,klow和klown是由同一个开发人员发布的，并错误地声称是基于javascript的用户代理字符串解析器，旨在从“用户代理”HTTP报头中提取硬件细节。但导入它们的受害者不知道，作者在库中隐藏了加密货币挖掘恶意软件。

详情

RAT恶意软件通过网络和种子在韩国传播

日期: 2021年10月21日
等级: 高
作者: Bill Toulas
标签: RAT malware, Korea
行业: 信息传输、软件和信息技术服务业

一项针对韩国的恶意软件分发活动正在将RAT（远程访问木马）伪装成通过网络硬盘和种子共享的成人游戏。

攻击者使用易于获取的恶意软件，例如njRAT和UDPRAT，将它们包装在一个看起来像游戏或其他程序的包中，然后将它们上传到webhards。

WebHard是韩国流行的在线存储服务，主要是为了方便直接下载。

详情

Evil Corp 要求新的勒索软件Macaw Locker攻击获利4000万美元

日期: 2021年10月21日
等级: 高
作者: Lawrence Abrams
标签: evil corp, macaw locker
行业: 信息传输、软件和信息技术服务业

EvilCorp推出了一款名为“MacawLocker”的新勒索软件，以逃避美国禁止受害者支付赎金的制裁。

EvilCorp黑客组织，也被称为indrikspider和dridexgang，自2007年以来一直参与网络犯罪活动，但主要是作为其他组织的附属组织。随着时间的推移，该组织开始专注于自己的攻击，创建并分发一种名为dridex的银行木马，用于网络钓鱼攻击。

详情

UpdateAgent恶意软件变体模拟合法的macOS软件

日期: 2021年10月22日
等级: 高
作者: Waqas
标签: Adware, Apple, Macbook, macOS, Malware, security
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft, automatic

微软安全情报公司(MicrosoftsecurityIntelligence)的IT安全研究人员发现了一种针对Mac设备的UpdateAgent(又名WizardUpdate)恶意软件的新变体。

UpdateAgent最初是在2020年11月发现的，目标是macOS。

该恶意软件的另一个恶意功能包括滥用公共云基础设施来承载额外的负载。例如，在感染病毒后，UpdateAgent会安装名为Adload的新广告软件。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

Thingiverse漏洞：5万台3D打印机面临被劫持风险

日期: 2021年10月18日
等级: 高
作者: Jeremy Kirk
标签: Printers, Hijacking, Thingiverse
行业: 制造业
涉及组织: amazon

MakerBot的一名前员工称，影响该公司Thingiverse3D打印存储库网站的数据泄露远比该公司承认的严重。

至少有200多万人的用户名被泄露，这次泄露可能会影响到他们。

这些数据还包括OAuth令牌，直到最近，这些令牌还可以用于远程访问MakerBot第五代打印机和后来的型号。这些打印机有摄像头，所以也可以查看打印机的视频。

详情

数据分析公司披露了200万Instagram和TikTok用户的数据

日期: 2021年10月21日
等级: 高
作者: Deeba Ahmed
标签: Data, ElasticSearch, IGBlade, Instagram, Kim Kardashian, security, Social Media, TikTok
行业: 信息传输、软件和信息技术服务业
涉及组织: elasticsearch, instagram, youtube, tiktok

由阿努拉格·森(anuragsen)领导的网络安全团队发现了社交媒体分析网站igblade.com的一个不安全搜索服务器。

该服务器存储了数百万社交媒体用户的数据。这些数据来自tiktok和instagram。

据报道，至少有260万用户的资料被泄露，相当于超过3.6GB的数据。

详情

黑客为5000万莫斯科司机提供销售数据

日期: 2021年10月24日
等级: 高
作者: Pierluigi Paganini
标签: Moscow drivers, sale data
行业: 交通运输、仓储和邮政业

有黑客正在黑客论坛上以仅800美元的价格出售一个包含5000万份莫斯科司机记录的数据库。

改黑客声称已经从当地警方内部获得了数据，他们公布了数据库记录的样本，其中包括汽车的型号，它的注册和vin号，注册日期，引擎功率，车主的名字，出生日期，和电话号码。

被盗数据从2006年到2019年，当地媒体已经证实了它们的真实性。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

通过群发电子邮件运动传播的 FlawedGrace 的新变种

日期: 2021年10月19日
等级: 高
作者: Ravie Lakshmanan
标签: TA505, Email, FlawedGrace
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft, ncc

网络安全研究人员2021年10月19日披露了一起由一个多产的网络犯罪团伙发起的大规模电子邮件攻击，该团伙影响了多个行业，其中一个针对特定地区的行动主要是针对德国和奥地利。

企业安全公司Proofpoint将恶意软件活动与TA505紧密联系在一起。

该组织至少从2014年开始就活跃在网络犯罪领域，是臭名昭著的Dridex银行木马以及FlawedAmmyy、FlawedGrace、Neutrino僵尸网络和Locky勒索软件等一系列恶意工具的幕后操控者。

详情

Twitter将涉嫌窃取4500万阿根廷人数据的黑客账户关闭

日期: 2021年10月20日
等级: 高
作者: Jonathan Greig
标签: Argentinians, stole
行业: 信息传输、软件和信息技术服务业
涉及组织: twitter

Twitter已经暂停了一名黑客的账户，据称这名黑客窃取了阿根廷数据库中包含该国4500万公民身份和信息的所有数据。

一个名为@aniballeaks的攻击者表示，他们成功侵入了阿根廷国家个人登记系统(也被称为renaper或registronacionaldelaspersonas)，并在一个网络犯罪论坛上出售这些数据。

泄露的数据包括姓名、家庭住址、生日、trámite号码、公民号码、带照片的身份证、劳动身份证号码、身份证发放和有效期。

详情

跟踪CVE-2021-26084和其他基于服务器的漏洞利用

日期: 2021年10月18日
等级: 高
作者: Ashish Verma,Yash Verma
标签: ognl, vulnerabilities, confluence
行业: 信息传输、软件和信息技术服务业

漏洞是威胁的切入点，即使是相对较新的漏洞也会有大量针对它们的攻击活动。

本文研究了恶意软件是如何攻击服务器漏洞的。研究了atlassianconfluence服务器webworkognl注入漏洞cve-2021-26084，以及三个oracleweblogic服务器漏洞cve-2020-14882、cve-2020-14750和cve-2020-14883。

涉及漏洞

cve-2021-26048

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-26048

cve-2021-26084

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-26084

cve-2020-14750

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-14750

cve-2020-14882

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-14882

cve-2020-14883

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-14883

详情

国家支持的黑客组织利用定制恶意软件入侵电信公司

日期: 2021年10月18日
等级: 高
作者: Bill Toulas
标签: harvester, malware, telcos
行业: 跨行业事件
涉及组织: microsoft

一个以前不为人知的由国家资助的黑客组织正在部署一种新的恶意软件，以针对南亚的电信提供商和IT公司进行攻击。

赛门铁克的研究人员发现了这个组织，并命名为harvester，他们的目标是在高度有针对性的间谍活动中收集情报，重点是电信和政府实体。

详情

宏碁在一周内被同一个黑客攻击了两次

日期: 2021年10月20日
等级: 高
来源: heimdalsecurity
标签: Demoden, Acer
行业: 信息传输、软件和信息技术服务业

被确认为desorden的攻击者声称，他们侵入了宏碁印度公司的电脑，窃取了包括客户信息在内的数据。

宏碁在一份新闻稿中回应称，这次攻击只影响到他们在印度的售后支持系统。

desorden向记者们透露，10月15日，他们侵入宏碁公司的系统，窃取了员工和产品信息的信件。

desorden还向记者们提供了宏碁台湾门户网站的内部图片，以及宏碁员工登录密码的CSV文件。

详情

政治主题攻击者使用旧的 MS Office 漏洞传播多个 RAT

日期: 2021年10月20日
等级: 高
作者: Bill Toulas
标签: CVE-2017-11882, MS Office, RATs
行业: 信息传输、软件和信息技术服务业
涉及组织: twitter, google, microsoft, facebook, github

一个动机不明的新攻击者通过利用CVE-2017-11882运行犯罪软件活动，提供多个Windows和AndroidRAT。

这个4年前的MicrosoftOffice公式编辑器漏洞已在2017年11月的补丁中得到解决，但它似乎仍然可以利用，尤其是在此活动的目标所在的印度和阿富汗。

涉及漏洞

cve-2017-11882

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2017-11882

详情

牙科联盟报告供应商漏洞影响17万

日期: 2021年10月21日
等级: 高
作者: Marianne Kolbasuk McGee
标签: Dental Alliance, Breach
行业: 卫生和社会工作

在一份声明中，PDA表示，为PDA业务提供管理和技术支持服务的附属供应商北美牙科管理公司(NorthAmericanDentalManagement)在3月31日和4月1日遭遇了电子邮件钓鱼和证书收集攻击。

PDA说，这一事件可能暴露了患者的信息，包括姓名、邮寄地址、电子邮件地址、电话号码、牙科信息、保险信息、社会保险号和财务账号。

详情

FIN7建立虚假的Pentesting公司网站招聘人才

日期: 2021年10月22日
等级: 高
作者: Mihir Bagwe
标签: FIN7, Pentesting Company
行业: 信息传输、软件和信息技术服务业
涉及组织: google

据反欺诈情报公司GeminiAdvisory称，FIN7是一个以财务为动机的威胁组织，已经针对美国零售、餐饮和酒店业开展了大约6年的活动。

该组织建立了一个伪装成Pentesting公司的网站，以招聘人才。

报告称，该威胁组织在俄罗斯就业门户网站上发布了一家名为BastionSecure的虚假公司的招聘广告。

这一骗局的目的是吸引安全研究人员，他们可以帮助该组织进行渗透测试相关活动，从而使勒索软件攻击成为可能。

详情

SCUF游戏商店遭黑客攻击，盗取32000名顾客的信用卡信息

日期: 2021年10月22日
等级: 高
作者: Sergiu Gatlan
标签: SCUF Gaming store, magecart
行业: 信息传输、软件和信息技术服务业
涉及组织: paypal

SCUFGaming为PC和控制台制作高性能和定制的游戏控制器，由专业和休闲游戏玩家使用。

攻击者将基于javascript的脚本，注入被称为信用卡略读器(又名magecart脚本)的网络商店，使他们能够获取并窃取客户的支付和个人信息。

攻击者随后在黑客或卡片论坛上把它卖给其他人，或在各种金融或身份盗窃欺诈计划中使用它。因此，恶意脚本就被部署到scuf游戏的在线商店中。

详情

新的MultiloginBot网络钓鱼活动

日期: 2021年10月22日
等级: 高
作者: Stuti Chaturvedi,Amandeep Kumar
标签: MultiloginBot, Phishing
行业: 信息传输、软件和信息技术服务业

multilogin是一种应用程序，旨在使同时登录单个网站或平台上的多个帐户变得更容易。

最近，zscalerthreatlabz遇到了一个实时网络钓鱼活动，该活动通过诱骗用户下载恶意安装程序，以真正的多登录用户为目标。

恶意程序托管在新注册的网站“multiloginuk.com”和“multiloginus.com”（注册日期为2021年9月2日）上，这两个网站与合法网站“multilogin.com”相似。

攻击者十分仔细地匹配每个细节，从网站布局到用于下载应用程序的url模式，以冒充合法网站。

攻击方式

- Exfiltration Over Web Service

- Archive Collected Data

- Boot or Logon Autostart Execution

- Credentials from Password Stores

- Command and Scripting Interpreter

- Compromise Infrastructure

- Data from Local System

- Email Collection

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x07   时间线

2021-10-25 360CERT发布安全事件周报