报告编号：B6-2022-022101

报告来源：360CERT

报告作者：360CERT

更新日期：2022-02-21

0x01   事件导览

本周收录安全热点25项，话题集中在恶意软件、网络攻击方面，涉及的组织有：WordPress、Golang、Magento、LinkedIn等。多个严重漏洞曝光，各厂商注意及时修复。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

据称勒索软件攻击扰乱了斯洛文尼亚Pop电视台的运营

日期: 2022年02月14日
等级: 高
作者: Pierluigi Paganini
标签: cyberattack , POP TV,  SI-CERT, 勒索攻击
行业: 文化、体育和娱乐业

2022年2月8日，一场网络攻击扰乱了斯洛文尼亚最受欢迎的电视频道PopTV的运营。

这次攻击很可能是勒索软件攻击，影响了电视频道的计算机网络，并导致24UR每日新闻节目晚间版取消。斯洛文尼亚通讯社Zurnal24报道说，POP电视受到来自国外的威胁行为者的打击，这些行为者试图向该公司勒索金钱以恢复其系统。

详情

《城市：天际线》游戏模版因隐藏恶意软件被禁

日期: 2022年02月14日
等级: 高
来源: threatpost
标签: Chaos, Holy Water, Harmony
行业: 文化、体育和娱乐业
涉及组织: automatic

《城市：天际线》城市建设游戏的几个流行模组的开发商在发现隐藏在其商品中的恶意软件后已被禁止。

据报道，该模组使用Chaos和HolyWater的手柄，将自动更新程序塞进了几个模组中，使作者能够将恶意软件传递给任何下载它们的人。

它始于去年，当时Chaos推出了Harmony的"重新设计"版本：这是大多数Cities：Skylines模组所依赖的核心框架项目。作者继续同样地重做其他流行的模组，并将他的Harmony重做列为核心下载：换句话说，玩家将被迫下载它以使依赖的模组正常工作。

详情

BlackCat声称Swissport勒索软件攻击，泄露数据

日期: 2022年02月15日
等级: 高
作者: Ax Sharma
标签: BlackCat, swissport, ransomware attack, leaks data
行业: 交通运输、仓储和邮政业
涉及组织: twitter, swissport

blackcat勒索软件组织，又名alphv，声称对最近发生在瑞士机场的网络攻击负责，该网络攻击导致航班延误和服务中断。

这家收入30亿美元的公司名为swissport，在50个国家的310个机场设有业务，提供货物处理、维护、清洁和休息室招待服务。“blackcat”泄露了一组极小的tb级数据，这些数据据说是从最近的勒索软件攻击中获得的。

详情

新的MyloBot恶意软件变体发送勒索邮件，要求2732美元的比特币

日期: 2022年02月15日
等级: 高
作者: Ravie Lakshmanan
标签: Mylobot, Bitcoin
行业: 信息传输、软件和信息技术服务业

一个新版本的mylobot恶意软件被观察到部署恶意负载，用来发送勒索邮件，要求受害者支付2732美元的数字货币。

Mylobot于2018年首次被发现，它具有一系列复杂的反调试功能和传播技术，可以将受感染的机器捆绑到僵尸网络中，更不用说从系统中删除其他竞争恶意软件的踪迹了。

详情

自2020年以来，Trickbot恶意软件针对60家知名公司的客户

日期: 2022年02月16日
等级: 高
作者: Ravie Lakshmanan
标签: TrickBot, C2, Outlook, 勒索软件
行业: 金融业
涉及组织: check point

臭名昭著的TrickBot恶意软件针对的是60家金融和技术公司的客户，包括主要位于美国的加密货币公司，尽管其运营商已经用新的反分析功能更新了僵尸网络。

"TrickBot是一种复杂而通用的恶意软件，具有20多个模块，可以按需下载和执行，"CheckPoint研究人员AliaksandrTrafimchuk和RamanLadutska在发布的一份报告中说。

详情

SquirrelWaffle 在最新的活动中使用了 Typosquatting

日期: 2022年02月16日
等级: 高
来源: heimdalsecurity
标签: SquirrelWaffle, Emotet, Exchange, Typosquatting
行业: 金融业

SquirrelWaffle是一种相对较新的恶意软件加载程序，于2021年9月首次被发现。它的工作原理是劫持电子邮件线程，以最大限度地提高受害者点击恶意链接的可能性，因此它们隐藏在电子邮件响应中，其方式类似于通常由恶意电子邮件或短信传播的高度传染性Emotet病毒的功能。

Sophos的分析师MatthewEverts和StephenMcNally在最近的一篇博客文章中写道，在大多数情况下，SquirrelWaffle攻击在漏洞最终被修补时结束，从而消除了攻击者通过服务器发送电子邮件的能力。

Sophos快速反应发现，SquirrelWaffle恶意垃圾邮件活动正在对未打补丁的服务器造成严重破坏，允许攻击者使用相同的易受攻击的服务器从被盗的电子邮件线程中虹吸信息，并使用他们获得的信息发起金融欺诈攻击。

详情

狡猾的黑客正在利用NFT炒作劫持你的电脑和网络摄像头

日期: 2022年02月17日
等级: 高
来源: zdnet
标签: BitRAT, RAT, Excel
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

网络犯罪分子正在利用NFT的普及，旨在诱骗受害者下载能够劫持其PC的特洛伊木马恶意软件，同时窃取用户名和密码。

Fortinet的网络安全研究人员发现了一个被描述为"外观奇特的Excel电子表格"，据称其中包含有关NFT的信息-但该文件的真正目的是帮助传递BitRAT恶意软件。

详情

黑客溜进微软团队聊天室传播恶意软件

日期: 2022年02月17日
等级: 高
作者: Ionut Ilascu
标签: Microsoft Teams chats, user centric
行业: 信息传输、软件和信息技术服务业
涉及组织: check point, microsoft

安全研究人员警告说，一些攻击者正在侵入微软团队的帐户，潜入聊天，并将恶意的可执行文件传播给对话中的参与者。

每个月有超过2.7亿的用户依赖微软的团队，尽管没有针对恶意文件的保护措施，但他们中的许多人隐含地信任这个平台。

该公司在今天的一份报告中说，攻击开始于1月份，攻击者在聊天中插入一个名为“usercentric”的可执行文件，以诱使用户运行它。

详情

FreeCryptoScam——种新的加密货币骗局，导致安装后门和信息窃取

日期: 2022年02月17日
等级: 高
作者: Stuti Chaturvedi,Aditya Sharma
标签: DCRAT, FreeCryptoScam, Backdoors, Stealers
行业: 信息传输、软件和信息技术服务业

2022年1月，threatlabz的研究团队确定了一个加密骗局，被称为“FreeCryptoscam”。

在这个骗局中，攻击者通过提供免费加密货币的报价来定向加密用户。当受害者下载有效载荷时，它会导致在受害者的系统上安装多个恶意软件有效载荷，允许威胁演员在后门和/或窃取用户信息。在这个广告系列中，正在下载的darkcrystalrat（“DCRAT”），进一步导致Redline和TVRAT正在下载并执行到受害者的系统上。

攻击方式

- File and Directory Permissions Modification

- Data from Local System

- Credentials from Password Stores

- Deobfuscate/Decode Files or Information

- Process Injection

- Input Capture

- System Information Discovery

- File and Directory Discovery

- Drive-by Compromise

详情

新Golang僵尸网络清空Windows用户的加密货币钱包

日期: 2022年02月18日
等级: 高
作者: Sergiu Gatlan
标签: kraken, Golang, botnet, cryptocurrency wallets
行业: 信息传输、软件和信息技术服务业

一种新的基于golang的僵尸网络正在积极开发中，它的运营商每次部署一个新的命令和控制(c2)服务器，就会捕获数百台Windows设备。这种以前不为人知的僵尸网络最早于2021年10月被zerofox的研究人员发现，并将其命名为“海怪”(kraken)，它利用烟雾加载程序后门和恶意软件下载程序传播到新的Windows系统。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

香港海逸酒店数据泄露影响120万

日期: 2022年02月15日
等级: 高
作者: Mihir Bagwe
标签: PCPD , ISMG , Hotel , 数据泄露
行业: 住宿和餐饮业
涉及组织: apple, facebook

香港个人资料私隐专员公署已开始调查海逸酒店管理部于2月9日向其报告的一宗资料泄露事件。PCPD办公室援引酒店集团的报告，告诉信息安全媒体集团，似乎约有120万家海逸连锁酒店的客户受到影响。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

大规模Bot攻击在4天内产生4亿个请求

日期: 2022年02月18日
等级: 高
作者: Prajeet Nair
标签: botnet, trickbot
行业: 跨行业事件
涉及组织: check point, linkedin, paypal

僵尸网络攻击最近影响了多个组织，导致网页抓取和财务信息被盗。其中包括一个大规模的机器人攻击，用于从一个招聘网站抓取数据，以及一个针对60家知名公司的trickbot恶意软件攻击。

根据CybersecurityCompany的研究人员，已经减轻了基于僵尸网络的网络刮攻击，旨在从六个国家/地区从未命名的全球工作列表网站收获用户数据。

详情

威胁行为者从数十名OpenSea用户那里窃取了至少价值170万美元的NFTs

日期: 2022年02月20日
等级: 高
作者: Pierluigi Paganini
标签: OpenSea, NFTs
行业: 金融业
涉及组织: twitter, OpenSea

世界上最大的NFT交易所，opensea在2022年2月20日证实，其中一些用户被网络钓鱼攻击击中，并损失了价值170万美元的宝贵NFT。

欧普亚亚联合创始人兼首席执行官DevinFinzer，他还补充了网络钓鱼攻击，他还补充说，32个用户已经失去了NFTS。

详情

严重 Magento 零日漏洞 CVE-2022-24086 被积极利用

日期: 2022年02月14日
等级: 高
作者: Pierluigi Paganini
标签: Adobe, Magento, 漏洞攻击
行业: 信息传输、软件和信息技术服务业

Adobe推出了安全更新，以解决一个关键的安全漏洞，跟踪为CVE-2022-24086，影响其商业和Magento开源产品，这些产品正在野外被积极利用。

该漏洞是一个"不正确的输入验证"漏洞，具有管理权限的威胁参与者可能会利用该漏洞在易受攻击的系统上实现任意代码执行。

CVE-2022-24086的CVSS得分为9.8分（满分10分），它被归类为预身份验证问题，这意味着它可以在没有凭据的情况下被利用。

涉及漏洞

CVE-2022-24086

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24086

详情

FBI：Blackyte勒索软件破坏了美国的关键基础设施

日期: 2022年02月14日
等级: 高
作者: Sergiu Gatlan
标签: Blackyte, ransomware, US
行业: 政府机关、社会保障和社会组织
涉及组织: microsoft

美国联邦调查局(fbi)透露，在过去三个月里，blackbyte勒索软件组织已经侵入了至少三家美国关键基础设施部门的网络。

这是在2022年2月11日与美国特勤局合作发布的tlp:white联合网络安全咨询中披露的。

详情

运动品牌美津浓遭到勒索软件攻击推迟订单

日期: 2022年02月14日
等级: 高
作者: Lawrence Abrams
标签: mizuno, ransomware, attack
行业: 制造业
涉及组织: mizuno

据知情人士透露，运动设备和运动服装品牌美津浓(mizuno)在受到勒索软件攻击后，受到了电话中断和订单延迟的影响。

美津浓是一家日本运动器材和运动服装公司，在亚洲、欧洲和北美拥有超过3800名员工。该公司销售各种各样的运动设备，但最著名的是他们的高尔夫球杆，跑步运动鞋和棒球装备。

详情

警告多年来一直以航空航天和国防工业为目标的神秘黑客

日期: 2022年02月15日
等级: 高
来源: zdnet
标签: ta2541, defence industries, aerospace
行业: 科学研究和技术服务业
涉及组织: google, microsoft

一个未知的黑客犯罪组织正在用特洛伊恶意软件攻击航空、航空航天、国防、交通和制造业的组织，研究人员表示，这些攻击已经持续了多年。

这种被称为ta2541的网络犯罪活动自2017年以来一直很活跃，并已危及北美、欧洲和中东地区的数百家组织。网络安全研究人员对此进行了详细描述。

详情

乌克兰军事机构，国有银行受到DDoS攻击的打击

日期: 2022年02月15日
等级: 高
作者: Sergiu Gatlan
标签: privatbank, oschadbank, ddos, WAF, SSU, Gamaredon
行业: 金融业
涉及组织: facebook

乌克兰国防部和武装部队以及该国的两家国有银行Privatbank（乌克兰最大的银行）和Oschadbank（国家储蓄银行）正在受到分布式拒绝服务（DDoS）攻击的打击。

乌克兰的网络警察还报告说，银行客户收到短信，声称银行ATM机已关闭，并补充说它们是"信息攻击的一部分，与现实不符"。

乌克兰国防部的网站在袭击发生后已被删除，其"网站可能受到DDoS的攻击：每秒记录的请求数量过多。

"从2022年2月15日下午开始，对乌克兰的一些信息资源进行了强大的DDOS攻击，"乌克兰国家特殊通信和信息保护局补充说

详情

美国称俄罗斯国家黑客入侵了已被批准的国防承包商

日期: 2022年02月16日
等级: 高
作者: Sergiu Gatlan
标签: CDC, DoD, APT, FBI, NSA, CISA
行业: 政府机关、社会保障和社会组织
涉及组织: cisa

自2020年1月以来，俄罗斯支持的黑客一直在瞄准并损害美国批准的国防承包商（CDC），以获取和窃取敏感信息，从而深入了解美国的国防和情报计划和能力。

CDC是获得国防部（DoD）许可的私人实体，可以访问机密信息以竞标合同或支持DoD计划。

他们可以访问与各个领域的国防部和情报界计划相关的信息，包括：指挥、控制、通信和作战系统;情报、监视、侦察和瞄准;武器和导弹发展;车辆和飞机设计;和软件开发、数据分析、计算机和物流。

详情

红十字会：国家黑客利用Zoho漏洞入侵了我们的网络

日期: 2022年02月16日
等级: 高
作者: Sergiu Gatlan
标签: Zoho, APT, CVE, APT舆情
行业: 卫生和社会工作
涉及组织: fbi

2月16日，红十字国际委员会表示，上个月披露的针对其服务器的黑客攻击是由国家支持的黑客组织协调的针对性攻击。

在事件期间，攻击者在"重建家庭联系"计划中访问了超过515000人的个人信息（姓名，位置和联系信息），该计划帮助因战争，灾难和移民而离散的家庭团聚。

涉及漏洞

cve-2021-40539

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-40539

详情

报告：LinkedIn网络钓鱼诈骗自2月1日以来增加了232%

日期: 2022年02月17日
等级: 高
来源: zdnet
标签: Egress, Outlook , LinkedIn
行业: 信息传输、软件和信息技术服务业
涉及组织: linkedin

根据网络安全公司Egress的数据，自2月初以来，冒充LinkedIn电子邮件的网络钓鱼攻击增长了232%。

该公司发布了一份关于网络犯罪分子的报告，他们使用显示名称欺骗和风格化的HTML模板，对受害者进行社交工程，让他们点击Outlook365中的网络钓鱼链接，然后将其凭据输入到欺诈性网站中。

详情

伊朗有关的TunnelVision APT正在积极利用Log4j漏洞

日期: 2022年02月18日
等级: 高
作者: Pierluigi Paganini
标签: vmware horizon, Iran, TunnelVision APT
行业: 跨行业事件
涉及组织: microsoft, github

sentinelone的研究人员观察到，潜在的破坏性伊朗链接的apt组tunnelvision正在积极利用log4j漏洞，在未打补丁的vmwarehorizon服务器上部署勒索软件。

Tunnelvision的TTPS与与伊朗有关的phosphorus、charmingkitten和nemesiskitten重叠。tunnelvision集团在其活动中大量利用了1day漏洞。

详情

警告：热门电子烟商店被黑客窃取信用卡

日期: 2022年02月18日
等级: 高
作者: Ax Sharma
标签: element vape, magecart
行业: 批发和零售业
涉及组织: twitter, reddit, element vape

elementvape，一家著名的电子烟和电子烟配件在线销售商，在其网站上提供信用卡扫描服务，遭到黑客攻击。

elementvape遍布美国和加拿大，在零售店和网上商店销售电子烟、电子烟设备、电子烟液和CBD产品。

电子烟网站正在从第三方网站加载一个恶意javascript文件，该文件似乎包含了一个信用卡窃贼。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   其它事件

超过300万个网站使用的WordPress备份插件中发现的严重缺陷

日期: 2022年02月18日
等级: 高
作者: Ravie Lakshmanan
标签: wordpress, updraftplus, Backup Plugin
行业: 信息传输、软件和信息技术服务业
涉及组织: wordpress

wordpress发布的补丁包含updraftplus中的一个“严重”安全漏洞。updraftplus是一个wordpress插件，安装量超过300万次，可以使用易受攻击站点上的帐户将其武器化以下载站点的私有数据。

涉及漏洞

cve-2022-0633

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2022-0633

详情

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x07   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x08   时间线

2022-02-21 360CERT发布安全事件周报