安全事件周报 (03.07-03.13)
2022-03-14 17:15

报告编号:B6-2022-031401

报告来源:360CERT

报告作者:360CERT

更新日期:2022-03-21

0x01   事件导览

本周收录安全热点39项,话题集中在恶意程序网络攻击方面,涉及的组织有:avastKronos沃达丰news corp等。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

0x02   事件目录

恶意程序
YouTube上出现的Valorant游戏社区中的外挂实际是恶意程序RedLine
Android恶意软件Escobar窃取用户谷歌认证器MFA代码
美国财政部:俄罗斯可能使用勒索软件支付绕过制裁
新型恶意软件RURansom Wiper攻击俄罗斯
数据安全
沃达丰调查源代码盗窃指控
Lapsus$正在使用泄露的被盗Nvidia证书来隐藏恶意软件
Clearview AI因收集意大利人的生物识别数据而被罚款2000万欧元
网络攻击
黑客组织GhostSec控制了俄罗斯100 多台打印机
育碧软件确认“网络安全事件”并重置员工密码
俄罗斯国防公司 Rostec在遭受DDoS攻击后关闭网站
乌克兰 IT 军队被信息窃取恶意软件劫持
俄罗斯黑客组织 KILLNET 入侵了 SBU 数据库
卡巴斯基代码疑似被泄露
俄罗斯联邦数字化部报告了在其国家机构网站上网络攻击
Rompetrol 加油站网络受到 Hive 勒索软件的攻击
FBI称Ragnar Locker勒索软件团伙入侵了 52 个美国关键基础设施组织
乌克兰计算机应急响应小组警告称,将有新的网络钓鱼攻击乌克兰公民
乌克兰政府网站因网络攻击而关闭
安全漏洞
HP企业设备固件中发现16个漏洞
许多制造商的医疗设备受到“Access:7”漏洞的影响
Microsoft 2022年3月补丁日
关于新Linux漏洞"Dirty Pipe”的研究分析
安全分析
移动安全正面临巨大威胁
Avast发布勒索软件Prometheus的免费解密软件
分析:如何通过亚马逊自己的扬声器远程操纵Echo设备

0x03   恶意程序

YouTube上出现的Valorant游戏社区中的外挂实际是恶意程序RedLine

日期: 2022-03-12
标签: [信息技术 YouTube Valorant(游戏社区) RedLine 外挂 韩国 美国 文化传播]

韩国安全研究人员发现了一个恶意软件分发活动,该活动使用 YouTube 上的 Valorant游戏社区中的外挂诱饵诱骗玩家下载信息窃取程序 RedLine。此次活动针对的是 Valorant 的游戏社区,这是一款适用于 Windows 的免费第一人称射击游戏,在视频描述中提供了一个下载自动瞄准机器人的链接。尝试下载视频描述中的文件的用户将被带到 anonfiles 页面,从中他们将获得一个 RAR 存档,其中包含一个名为“Cheat installer.exe”的可执行文件。该文件实际上是 RedLine 窃取程序的副本,它是部署最广泛的 密码窃取恶意软件感染之一。

详情

https://t.co/0NsFdZ26Fc

Android恶意软件Escobar窃取用户谷歌认证器MFA代码

日期: 2022-03-12
标签: [Android 美国 信息技术 谷歌(Google) Escobar(Aberebot)]

Android银行木马Aberebot以“Escobar”的名义再次出现,并且还新增窃取 Google Authenticator 多因素身份验证代码、使用 VNC 控制受感染的 Android 设备、录制音频和拍照的功能。该木马的主要目标是窃取足够的信息,以允许黑客接管受害者的银行账户、抽取可用余额并执行未经授权的交易。Aberebot于2021 年夏天首次出现,因此新版本的出现表明该恶意软件仍然在积极开发中。

详情

https://t.co/W8mefWD6TX

美国财政部:俄罗斯可能使用勒索软件支付绕过制裁

日期: 2022-03-09
标签: [美国财政部金融犯罪执法网络(FinCEN) 俄乌战争 俄罗斯 乌克兰 美国 金融业]

美国财政部金融犯罪执法网络(FinCEN)本周警告美国金融机构,在俄罗斯入侵乌克兰后,要密切关注逃避制裁和美国施加的限制的企图。

FinCEN表示:重要的是"识别并快速报告与潜在逃避制裁相关的可疑活动,并进行适当的基于风险的客户尽职调查,或在必要时加强尽职调查。此外金融机构还需要注意与俄罗斯有关的勒索软件活动带来的影响。

详情

https://t.co/wQYuIODVzm

新型恶意软件RURansom Wiper攻击俄罗斯

日期: 2022-03-08
标签: [俄罗斯 信息技术 RURansom Wiper 俄乌战争]

在俄乌战争中,出现了针对俄罗斯的新型恶意软件RURansom Wiper。恶意软件RURansom Wiper使用 .NET 编程语言编写,通过以“Россия-Украина_Война-Обновление.doc.exe”文件名将自身复制到所有可移动磁盘和映射的网络共享中,以蠕虫病毒的形式传播。英文文件名读作“Russia-Ukraine_War-Update.doc.exe”。

详情

https://t.co/KekUjGXJ5S

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

5. 各主机安装EDR产品,及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序

8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

沃达丰调查源代码盗窃指控

日期: 2022-03-12
标签: [信息技术 沃达丰(Vodafone ) Lapsus$ 数据泄漏 源代码泄露]

沃达丰在一群黑客声称他们从电信公司窃取了一百GB的源代码后发起了调查。网络犯罪组织称自己为"Lapsus$",声称已经获得了大约200 GB的源代码文件,代表了大约5000个GitHub存储库。根据一封电子邮件中的一份声明,沃达丰证实它知道这种情况,并且已经开始调查。截至目前,黑客尚未暴露任何沃达丰声称被盗的源代码。

详情

https://t.co/C9Ai2N147X

Lapsus$正在使用泄露的被盗Nvidia证书来隐藏恶意软件

日期: 2022-03-09
标签: [远程控制 勒索攻击 美国 信息技术 英伟达(NVIDIA) Lapsus$ Cobalt Strike Beacon Mimikatz]

美国跨国公司英伟达(NVIDIA)遭受了Lapsus$勒索攻击活动后拒绝支付赎金,Lapsus$后开始在线泄露敏感信息。

在 Lapsus$ 泄露了 NVIDIA 的代码签名证书后,网络安全专家很快发现这些证书正被用于对恶意软件和威胁行为者使用的其他工具进行签名。Nvidia证书签名的某些恶意软件变体是在恶意软件扫描服务VirusTotal上发现的。上传的样本发现它们被用来签署黑客工具和恶意软件,包括Cobalt Strike Beacon,Mimikatz,后门和远程访问木马。

详情

https://t.co/ahyAmLf02B

Clearview AI因收集意大利人的生物识别数据而被罚款2000万欧元

日期: 2022-03-09
标签: [意大利 信息技术 Clearview AI 生物识别]

意大利隐私担保人(GPDP)对Clearview AI处以2000万欧元的罚款,原因是在未经人们同意的情况下在意大利实施了生物识别监控网络。调查显示,这家美国面部识别软件公司维护着一个包含100亿张人们面部图像的数据库,其中包括意大利人,他们的脸是从公共网站个人资料和在线视频中提取的。

详情

https://t.co/VmrFe8f2bL

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施

0x05   网络攻击

黑客组织GhostSec控制了俄罗斯100 多台打印机

日期: 2022-03-12
标签: [政府部门 信息技术 制造业 GhostSec Anonymous 俄罗斯 乌克兰]

作为 Anonymous 黑客组织的一部分,GhostSec 黑客组织已经控制了 100 多台俄罗斯政府和军用打印机,并在上面打印了有关乌克兰战争的信息 – BIZNES WPROST。

详情

https://t.co/oNlZfL5Xjn

育碧软件确认“网络安全事件”并重置员工密码

日期: 2022-03-12
标签: [文化传播 育碧(Ubisoft) Lapsus$ 网络攻击]

视频游戏开发商Ubisoft已证实,它遭受了"网络安全事件",导致其游戏,系统和服务中断,其IT团队正在调查研究同时该公司对全部员工密码进行了重置。

该事件的消息是在最近的一波备受瞩目的黑客攻击中传来的。英伟达于3月1日证实,它遭到黑客攻击,并表示黑客正在泄露员工凭据和专有信息。三星在3月7日表示,黑客窃取了Galaxy设备的内部公司数据和源代码。LAPSUS$黑客组织对这两起违规行为负责。而此次事件幕后黑手也指向LAPSUS$。

详情

https://t.co/YDulsBpkID

俄罗斯国防公司 Rostec在遭受DDoS攻击后关闭网站

日期: 2022-03-11
标签: [DDoS 俄乌战争 乌克兰IT军队 乌克兰 俄罗斯 政府部门 信息技术 Rostec(俄罗斯国防公司)]

2022年3月11日,俄罗斯国有航空航天和国防集团 Rostec 表示,其网站因遭受网络攻击而被关闭。Rostec 的多个域和资源被指定为乌克兰 IT 军队 Telegram 频道中分布式拒绝服务 (DDoS) 攻击的目标。而自二月以来,在俄乌战争还未打响前,Rostec的网站就一直受到攻击。Rostec 称其网站很快恢复在线,并将这次袭击归咎于乌克兰IT军队。

详情

https://t.co/WeI0SptlOJ

乌克兰 IT 军队被信息窃取恶意软件劫持

日期: 2022-03-11
标签: [俄乌战争 乌克兰IT军队 乌克兰 俄罗斯 信息技术 思科(Cisco) disBalancer Liberator]

亲乌克兰的行为者应当警惕下载 DDoS 工具来攻击俄罗斯,因为他们可能被信息窃取恶意软件所困。Cisco检测到 Telegram 上提供 DDoS 工具的帖子实际上加载了恶意软件。一个名为“Liberator”的工具是由一个自称为“disBalancer”的组织提供的,旨在对不知情用户进行信息窃取。在这种情况下,恶意软件会转储各种凭证和大量与加密货币相关的信息,包括钱包和元掩码信息,这些信息通常与不可替代令牌 (NFT) 相关联。由于这一恶意活动的幕后黑客组织自去年 11 月以来就一直在散布信息窃取程序,所以此次活动背后的黑客不是原来的黑客组织,而是那些希望从乌克兰战争中快速赚钱的黑客 。

详情

https://t.co/5SzCg4wsS3

俄罗斯黑客组织 KILLNET 入侵了 SBU 数据库

日期: 2022-03-11
标签: [SBU Killnet 数据库 俄乌战争 俄罗斯 政府部门]

2022年3月11日,俄罗斯黑客组织KILLNET对49497人的SBU完整档案数据库进行了黑客攻击,有关顿巴斯特别行动的秘密文件、影响囚犯的方法(包括酷刑)以及有关乌克兰纳粹组织的信息被暴露。

详情

https://t.co/FYKepq4W3e

卡巴斯基代码疑似被泄露

日期: 2022-03-09
标签: [美国 信息技术 政府部门 美国国家安全局(NSA) 卡巴斯基(Kaspersky) The Shadow Brokers]

2022年3月9日,黑客@Nb65Lead在Twitter上称来自其生产、质量保证和暂存服务器的卡巴斯基代码被泄露。@UID_猜测此次攻击背后的黑客团队是The Shadow Brokers,这可能和美国国家安全局(NSA)相关。因为卡巴斯基曾获取到了NSA的秘密并将其泄露给了俄罗斯情报部门。

详情

https://t.co/XT32Y7Wblk

俄罗斯联邦数字化部报告了在其国家机构网站上网络攻击

日期: 2022-03-09
标签: [俄罗斯联邦数字化部 网络攻击 俄乌战争 俄罗斯 莫斯科 政府部门]

2022年3月9日,俄罗斯联邦数字化部报告了破坏网站服务的黑客行为,该服务目前已集成到许多国家机构的网站上,可以在一小时内恢复服务的工作。

在这次攻击中,黑客入侵了从外部资源上传应用程序到国家机构网站。破坏小部件后,黑客能够在网站页面上发布不正确的内容。统计部强调,这一事件很快就被本地化了,并指出目前在国家机构的网站上正在进行持续的网络攻击。

详情

https://t.co/coR5mKkKDW

Rompetrol 加油站网络受到 Hive 勒索软件的攻击

日期: 2022-03-07
标签: [罗马尼亚国家网络安全局 (DNSC) Hive 勒索攻击 罗马尼亚 能源业 Rompetrol KMG]

2022年3月6日21:00(当地时间)左右检测到罗马尼亚的 Rompetrol 加油站网络遭到勒索软件Hive 的攻击。2022年3月7日,罗马尼亚的石油供应商 Rompetrol 承认受到了此次攻击。Rompetrol 是罗马尼亚最大的炼油厂 Petromidia Navodari 的运营商,该炼油厂的年加工能力超过 500 万吨,是KMG 的子公司。Hive 勒索软件团伙是此次攻击的幕后黑手,并且还要求 Rompetrol 支付 200 万美元的赎金,以接收解密器并且不泄露据称被盗的数据。目前,罗马尼亚国家网络安全局 (DNSC)已经参与调查。

详情

https://t.co/c6I5DEGPCS

FBI称Ragnar Locker勒索软件团伙入侵了 52 个美国关键基础设施组织

日期: 2022-03-07
标签: [政府部门 能源业 金融业 美国联邦调查局 (FBI) 勒索攻击 美国 信息技术 制造业 Ragnar Locker]

2022年3月7日,美国联邦调查局 (FBI) 表示,截至 2022 年 1 月,FBI 已在 10 个关键基础设施领域确定至少 52 个实体受 RagnarLocker 勒索软件影响,包括关键制造业、能源、金融服务、政府和信息技术领域的实体。FBI还表示不鼓励向 Ragnar Locker 支付赎金,因为受害者无法保证支付将防止被盗数据泄露或未来的攻击。相反,赎金支付将进一步激励勒索软件团伙瞄准更多受害者,并激励其他网络犯罪活动加入并发起他们自己的勒索软件攻击。

详情

https://t.co/8l2EE55mDq

乌克兰计算机应急响应小组警告称,将有新的网络钓鱼攻击乌克兰公民

日期: 2022-03-07
标签: [信息技术 乌克兰计算机应急响应小组(CERT-UA) 邮件钓鱼 俄乌战争 乌克兰 俄罗斯 印度]

乌克兰计算机应急响应小组(CERT-UA)警告称,将有新的网络钓鱼攻击使用印度实体泄露的电子邮件帐户攻击乌克兰公民,目的是破坏他们的收件箱并窃取敏感信息。这些电子邮件的主题为“Увага”(意为“注意”),并声称来自名为 Ukr.net 的国内电子邮件服务,而实际上,发件人的电子邮件地址是“muthuprakash.b@” tvsrubber[.]com。”该机构表示:“所有这些邮箱都已被入侵,并被俄罗斯联邦的特殊服务部门用来对乌克兰公民进行网络攻击。”

详情

https://t.co/g7xy7554pN

乌克兰政府网站因网络攻击而关闭

日期: 2022-03-07
标签: [乌克兰 俄罗斯 政府部门 RaHDit 俄乌战争]

2022年3月7日,乌克兰国家当局的网站已经停止工作。目前,无法访问乌克兰总统的网站以及 gov.ua 域上的资源。 消息人士称,原因是俄罗斯黑客组织 RaHDit 发起的大规模网络攻击。此次攻击共有 755 个 gov.ua 域的乌克兰当局网站下线。

详情

https://t.co/SntjIeQqn9

相关安全建议

1. 积极开展外网渗透测试工作,提前发现系统问题

2. 减少外网资源和不相关的业务,降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

6. 注重内部员工安全培训

0x06   安全漏洞

HP企业设备固件中发现16个漏洞

日期: 2022-03-09
标签: [制造业 信息技术 惠普(HP)]

固件安全公司 Binarly 发现了十多个潜在的严重漏洞,这些漏洞影响 HP 和其他供应商的设备上的 UEFI 固件,进而影响了惠普制造的各种企业产品,包括台式机、笔记本电脑、销售点和边缘计算设备。这些漏洞共分配了16个cve编号,包含 UEFI 运行时驱动程序执行环境 (DXE) 和系统管理模式 (SMM) 组件的堆栈溢出、堆溢出和内存损坏错误。HP还表示,利用这些漏洞可导致拒绝服务 (DoS) 和信息泄露。

详情

https://t.co/tvawvXJFyf

许多制造商的医疗设备受到“Access:7”漏洞的影响

日期: 2022-03-08
标签: [Access:7 供应链 卫生行业 信息技术 金融业 制造业]

据企业安全公司 Forescout 称,许多物联网和医疗设备受到远程管理平台Axeda(被广泛使用)中发现的七个潜在严重供应链漏洞(统称为“Access:7”)的影响。其中3个漏洞可用于远程代码执行,它们被评为“严重”。其他3个漏洞中,2个可用于 DoS 攻击,1个用于获取信息,均已被评为“高严重性”。这些漏洞影响了来自 100 多家制造商的 150 多种设备型号。大多数受影响的供应商位于医疗保健行业 (55%),其次是物联网 (24%)、IT (8%)、金融服务 (5%) 和制造业 (4%)。

详情

https://t.co/46qWegKpiP

Microsoft 2022年3月补丁日

日期: 2022-03-08
标签: [信息技术 微软(Microsoft) 补丁日]

2022年3月8日,是微软 2022 年 3 月补丁日,微软修复了71 个漏洞,以及3个0day漏洞(目前未被积极利用)。下面是本次修复的不同漏洞类型及其数量:

• 提权漏洞25个

• 安全功能绕过漏洞3个

• 个远程代码执行漏洞29个

• 信息披露漏洞6个

• 拒绝服务漏洞4个

• 欺骗漏洞3个

• Edge - Chromium 漏洞21个

详情

https://t.co/Rvbux8DG53

关于新Linux漏洞"Dirty Pipe”的研究分析

日期: 2022-03-07
标签: [信息技术 漏洞分析]

2022年3月7日,安全研究员Max Kellermann披露了"Dirty Pipe"漏洞,并表示它会影响Linux Kernel 5.8及更高版本,在Android设备上也是如此。

该漏洞被跟踪为 CVE-2022-0847,允许非特权用户注入和覆盖只读文件中的数据,包括以 root 用户身份运行的 SUID 进程。

详情

https://t.co/BI09OdXazp

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

0x07   安全分析

移动安全正面临巨大威胁

日期: 2022-03-09
标签: [信息技术]

Zimperium的安全专家Ashish Patel于2022年3月9日表示,如今是黑客制造移动威胁的好时机。随着移动设备在我们的日常生活中变得越来越重要,黑客正在抓住企业攻击面中易受攻击的盲点。移动设备现在在企业 IT 中占据中心位置,60% 的企业端点都是移动设备。此外,80% 的日常工作是在移动设备上完成的。而移动威胁通常来自应用商店,其中许多类型的移动恶意软件隐藏为合法应用。过去一年半,数字化转型蓬勃发展。移动和大规模远程工作可能会成为新冠疫情后工作的嵌入特征。移动设备现在是企业攻击面的基本组成部分。它们远远超出了大多数企业安全控制的范围。然而许多黑客已经意识到这一点,但各企业还没有。

详情

https://t.co/C1t3qGYsxN

Avast发布勒索软件Prometheus的免费解密软件

日期: 2022-03-09
标签: [Avast Prometheus 勒索软件解密]

2022年3月9日,安全研究团队Avast发布了勒索软件Prometheus的免费解密软件。Prometheus 是一种用 C# 编写的勒索软件,试图通过杀死各种进程(如数据包嗅探、调试或检查PE文件的工具)来阻止恶意软件分析,可以完全使用户与他们的计算机隔离。

详情

https://t.co/TynVXfwFiF

分析:如何通过亚马逊自己的扬声器远程操纵Echo设备

日期: 2022-03-08
标签: [亚马逊 信息技术 批发零售 亚马逊(Amazon )]

伦敦大学(University of London)和卡塔尼亚大学(University of Catania)的研究人员介绍了如何将亚马逊Echo设备武器化,以破解自己,其中利用了被称为"Alexa vs. Alexa"的漏洞。文章介绍了如何让Alexa黑客自己以及智能扬声器特别容易受到攻击。

详情

https://t.co/d82QYhDdsN

0x08   产品侧解决方案

若想了解更多信息或有相关业务需求,可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

0x09   时间线

2022-03-14 360CERT发布安全事件周报