报告编号：B6-2021-111501

报告来源：360CERT

报告作者：360CERT

更新日期：2021-11-15

0x01   事件导览

本周收录安全热点34项，话题集中在恶意软件、网络攻击方面，涉及的组织有：俄亥俄州医院、BlackBerry、Robinhood、Linux、FBI等。多个严重漏洞曝光，各厂商注意及时修复。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意程序

APT组织利用CVE-2021-40539缺陷瞄准关键部门

日期: 2021年11月08日
等级: 高
作者: Pierluigi Paganini
标签: adselfservice plus, CVE-2021-40539
行业: 跨行业事件

2021年9月16日，美国网络安全和基础设施安全局(CISA)发布警报警告，高级持续威胁(APT)组织正在大肆利用自助密码管理和单点登录解决方案中新发现的漏洞，称为ManageEngineADSelfServicePlus。

早在9月17日，攻击者就利用在美国租用的基础设施扫描互联网上数百个易受攻击的组织。随后，利用尝试于9月22日开始，并可能持续到10月初。在那个窗口期间，攻击者成功地攻陷了技术、国防、医疗保健、能源和教育行业的至少九个全球实体。

涉及漏洞

cve-2021-40539

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-40539

详情

Lazarus黑客团伙用木马程序IDA Pro攻击研究人员

日期: 2021年11月10日
等级: 高
作者: Lawrence Abrams
标签: Lazarus, IDA Pro
行业: 信息传输、软件和信息技术服务业
涉及组织: google

一个被称为“Lazarus”的北朝鲜政府支持的黑客团伙再次试图攻击安全研究人员，这次他们使用的是广受欢迎的IDApro逆向工程应用程序的木马盗版版本。

IDApro是一个将可执行文件转换成汇编语言的应用程序，允许安全研究人员和程序员分析程序的工作方式并发现潜在的错误。

然而，由于IDApro是一个昂贵的应用程序，一些研究人员下载盗版破解版本而不是购买它。

详情

BotenaGo僵尸网络以数百万物联网设备为目标，利用33个漏洞攻击

日期: 2021年11月11日
等级: 高
作者: Bill Toulas
标签: botenago, golang, IoT
行业: 信息传输、软件和信息技术服务业
涉及组织: microsoft

新型BotenaGo恶意僵尸网络已经被发现，它使用了30多个漏洞来攻击数以百万计的路由器和物联网设备。

Botenago是用golang(go)编写的，近年来goang(go)越来越流行，恶意软件作者喜欢它，因为它使有效负载更难检测和逆向工程。

以BotenaGo为例，virustotal上的62个av引擎中只有6个将样本标记为恶意样本，有些将其识别为mirai。

涉及漏洞

cve-2015-2051

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2051

cve-2020-9377

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-9377

cve-2016-11021

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-11021

cve-2016-1555

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-1555

cve-2017-6077

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2017-6077

cve-2016-6277

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-6277

cve-2017-6334

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2017-6334

cve-2019-19824

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2019-19824

cve-2017-18368

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2017-18368

cve-2020-9054

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-9054

cve-2020-10987

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-10987

cve-2014-2321

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2014-2321

cve-2020-8958

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-8958

cve-2020-10173

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-10173

详情

BlackBerry发现与3个不同黑客集团有联系的初始访问代理

日期: 2021年11月08日
等级: 高
作者: Ravie Lakshmanan
标签: zebra2104, BlackBerry
行业: 信息传输、软件和信息技术服务业
涉及组织: BlackBerry

一个以前没有记录的初始访问代理被发现为三个不同的攻击者提供入口点，从经济动机的勒索软件攻击到网络钓鱼活动。

黑莓的研究和情报团队将这个实体命名为“zebra2104”，该组织负责为mountlocker和Phobos等勒索软件集团提供数字手段。

详情

REvil勒索软件疑犯在全球警方打击行动中被捕

日期: 2021年11月08日
等级: 高
作者: Mathew J. Schwartz
标签: revil, Ransomware
行业: 信息传输、软件和信息技术服务业
涉及组织: fbi

美国司法部2021年11月8日宣布，一名乌克兰男子被逮捕，一名俄罗斯男子被指控对多个目标发动毁灭性的勒索软件攻击。

两人都被控是“revil”(又名sodinokibi)勒索软件的成员，据称他们的目标包括kaseya软件公司和多个德克萨斯州市政当局。

详情

Hive 勒索软件团伙攻击 MediaMarkt

日期: 2021年11月09日
等级: 高
来源: heimdalsecurity
标签: hive, Ransomware, MediaMarkt
行业: 信息传输、软件和信息技术服务业

Hive勒索软件袭击了德国消费电子产品跨国连锁商店MediaMarkt，最初攻击者要求2.4亿美元的赎金。

由于这一事件，荷兰和德国的IT系统关闭，商店运营中断。

MediaMarkt是一家销售消费电子产品的德国跨国连锁商店，在14个欧洲国家拥有1042家门店。这家电子产品零售巨头拥有约5.3万名员工，收入208亿美元。

详情

泄露的Docker Hub帐户被滥用，被TeamTNT用于挖矿

日期: 2021年11月09日
等级: 高
作者: Trend Micro Research
标签: TeamTNT, Docker Hub
行业: 信息传输、软件和信息技术服务业
涉及组织: docker

2021年10月，trendmicro观察到攻击者针对配置错误的服务器，使用暴露的DockerRESTAPI。

trendmicro识别出DockerHub注册账户被入侵或属于TeamTNT。

这些帐户被用来承载恶意图片，是僵尸网络和恶意软件活动的活跃部分，滥用DockerRESTAPI。

详情

墨西哥出现Dridex银行恶意软件

日期: 2021年11月10日
等级: 高
作者: Jeremy Kirk
标签: Dridex, Mexico, Banking
行业: 金融业
涉及组织: cisa, microsoft

墨西哥网络安全服务公司metabaseq的研究人员发现，一种臭名昭著的银行恶意软件dridex最近在墨西哥出现。

Dridex在2012年左右出现，并根据美国的说法，该恶意软件是相对于另外两种银行恶意软件，Bugat和Cridex上有所改善。

详情

研究人员发现PhoneSpy恶意软件在监视韩国公民

日期: 2021年11月10日
等级: 高
作者: Ravie Lakshmanan
标签: PhoneSpy, Korean
行业: 信息传输、软件和信息技术服务业
涉及组织: google

一项正在进行的移动间谍软件活动已经被发现，他们利用一个由23个恶意安卓应用程序组成的家族来窃取敏感信息，并获得对设备的远程控制。

有一千多名韩国受害者，这个恶意组织发起了这场入侵活动，他们已经获得了他们设备上的所有数据、通信和服务。这家总部位于达拉斯的移动安全公司将这项活动称为“phonespy”。

详情

新型安卓恶意软件的目标是Netflix、Instagram和Twitter用户

日期: 2021年11月10日
等级: 高
作者: Sergiu Gatlan
标签: Android malware, masterfred
行业: 信息传输、软件和信息技术服务业
涉及组织: twitter, google, israel

一种名为masterfred的新型安卓恶意软件利用假登录覆盖窃取netflix、instagram和twitter用户的信用卡信息。

这款新的android银行木马还针对银行客户使用多种语言的自定义假登录覆盖。

详情

TrickBot与Shatak网络钓鱼者合作进行Conti勒索软件攻击

日期: 2021年11月10日
等级: 高
作者: Bill Toulas
标签: TrickBot, Shatak, Conti
行业: 信息传输、软件和信息技术服务业
涉及组织: ibm

一个被追踪到的攻击者shatak(ta551)最近与itg23团伙(akatrickbot和wizardspider)合作，在目标系统上部署conti勒索软件。

shatak行动与其他恶意软件开发商合作，发起网络钓鱼活动，下载并感染受害者的恶意软件。

IBMx-force的研究人员发现，shatak和trickbot于2021年7月开始合作，效果似乎不错，因为活动一直持续到现在。

详情

谷歌Play上的“Smart TV remote”Android应用程序是恶意软件

日期: 2021年11月11日
等级: 高
作者: Ax Sharma
标签: Google Play, malware, Joker
行业: 信息传输、软件和信息技术服务业
涉及组织: amazon, twitter, google, israel, huawei, automatic

谷歌Play商店的两个Android应用程序被发现含有恶意软件。这两款应用分别被称为“smarttvremote”和“halloweencoloring”，前者已经被下载了至少1000次。

这些应用程序都被恶意软件Joker入侵了。

详情

Magniber 勒索软件团伙正利用IE漏洞进行攻击

日期: 2021年11月11日
等级: 高
作者: Bill Toulas
标签: Magniber, ransomware
行业: 信息传输、软件和信息技术服务业
涉及组织: gitlab, google, microsoft

Magniber勒索软件团伙现在利用两个ie浏览器漏洞和恶意广告来感染用户并加密他们的设备。

这两个Internetexplorer漏洞编号为cve-2021-26411和cve-2021-40444，这两个漏洞的CVSSv3级别评分均为8.8。

第一个是cve-2021-26411，已于2021年3月修复，它是一个由浏览一个专门制作的网站引发的内存损坏漏洞。第二个漏洞cve-2021-40444是在ie渲染引擎中由打开恶意文档触发的远程代码执行。

涉及漏洞

cve-2021-26411

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-26411

cve-2021-40444

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-40444

详情

Abcbot：一种针对Linux的新型蠕虫僵尸网络恶意软件

日期: 2021年11月11日
等级: 高
作者: Ravie Lakshmanan
标签: qihoo 360, Abcbot
行业: 信息传输、软件和信息技术服务业
涉及组织: huawei

奇虎360网络实验室安全团队的研究人员公布了一种名为“Abcbot”的新型僵尸网络的详细信息，该僵尸网络具有蠕虫般的传播特性，可以感染Linux系统，并对目标发起分布式拒绝服务(ddos)攻击。

而最早版本的僵尸网络可以追溯到2021年7月,新变种观察直到10月30日罢工已经配备了额外的更新linuxweb服务器和弱密码易受nday漏洞,包括一个定制的ddos的实现功

详情

macOS 0Day在香港被利用在水坑攻击用户

日期: 2021年11月12日
等级: 高
作者: Pierluigi Paganini
标签: macOS, Hong Kong, hole attacks
行业: 信息传输、软件和信息技术服务业
涉及组织: google, apple

谷歌标签研究人员发现，攻击者利用了macOS的0Day漏洞，在一个水坑活动中向香港用户发送恶意软件。

攻击者利用了macoscatalina中未修补的xnu权限升级漏洞(cve-2021-30869)

此次活动的目标是一家媒体和重要的民主劳动和政治团体的网站。研究人员发现，部署在网站上的攻击者拥有两个iframe，用于向访问者提供ios和macos漏洞。

涉及漏洞

cve-2019-8506

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2019-8506

cve-2021-1789

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-1789

详情

理解 .htaccess 恶意软件

日期: 2021年11月12日
等级: 高
作者: Ashley Sand
标签: .htaccess, Malware
行业: 信息传输、软件和信息技术服务业
涉及组织: twitter, google, wordpress, promo

.htaccess文件因成为攻击者的目标而臭名昭著。利用该文件可以隐藏恶意软件，将搜索引擎重定向到其他站点，隐藏后门，注入内容，修改php.ini值等。

许多网站所有者不知道这个文件，因为它以一个.使它成为一个隐藏文件。

.htaccess恶意软件在服务器上很难精确定位和清理，因为它允许你对web服务器和它的行为进行多次更改。

详情

Windows 10应用程序安装程序被BazarLoader恶意软件滥用

日期: 2021年11月12日
等级: 高
作者: Sergiu Gatlan
标签: trickbot, Windows 10, bazarloader
行业: 信息传输、软件和信息技术服务业
涉及组织: adobe, github

trickbot团伙的操作人员现在正在滥用Windows10应用程序安装程序，将他们的bazarloader恶意软件部署在目标用户的系统上，这些目标用户是一场针对性很强的垃圾邮件活动的受害者。

Bazarloader(又名bazarbackdoor、bazaloader、beerbot、kegtap和team9backdoor)是一种秘密的后门木马，通常用于破坏高价值目标的网络，并向其他网络罪犯出售获取受损资产的途径。

详情

伪造的端到端加密聊天应用程序分发Android Spyware

日期: 2021年11月13日
等级: 高
作者: Bill Toulas
标签: Android Spyware, gravityrat
行业: 信息传输、软件和信息技术服务业
涉及组织: israel

gravityrat远程访问木马再次在野外被发现，这次伪装的端到端加密聊天应用程序称为安全聊天。

这种特殊的rat(远程访问木马)主要针对印度用户，由巴基斯坦的黑客分发。最近这次行动的遥测数据显示，目标范围并没有改变，印度的重点仍然是一些知名人士，比如武装部队的军官。

详情

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x04   数据安全

Black Shadow 泄露以色列患者记录和数据

日期: 2021年11月08日
等级: 高
作者: Marianne Kolbasuk McGee
标签: Black Shadow, Leaks, Israeli
行业: 卫生和社会工作
涉及组织: israel

据报道，在以色列官员警告该国医疗保健部门可能遭遇一波网络攻击后不到一个月，据称与伊朗有关的“BlackShadow”黑客组织泄露了以色列一个医疗中心网络近30万名病人的敏感健康记录。

该公司在以色列经营着近30家医疗诊所。被曝光的数据包括病人的血液测试、治疗、预约、医学成像扫描、结肠镜检查和疫苗接种等信息，以及病人关于预约医疗的函件，以及程序和测试结果的需要。

详情

Costco 在发现信用卡欺诈后披露数据泄露

日期: 2021年11月12日
等级: 高
作者: Sergiu Gatlan
标签: data breach, Costco
行业: 批发和零售业
涉及组织: Costco

Costco批发公司在11月警告顾客，他们的支付卡信息可能被窃取。

Costco是一家经营会员制零售连锁店的美国跨国公司，根据《财富》500强排名，全球第五大零售商和美国第十大公司。

详情

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

0x05   网络攻击

Robinhood遭到数据泄露和敲诈勒索

日期: 2021年11月09日
等级: 高
作者: Jeremy Kirk
标签: robinhood, Data Breach, Extortion Shakedown
行业: 租赁和商务服务业

金融服务公司robinhoodmarkets表示，一名黑客进入了该公司的客户支持系统，窃取了700万人的账户信息，并试图勒索该公司。

Robinhood，位于加利福尼亚州MenloPark，提供委托的股票，资金和加密货币交易。

攻击者获得了500万人的电子邮件地址和200万人的全名。

详情

专家们发现了一个仿冒安全公司Proofpoint的网络钓鱼活动

日期: 2021年11月08日
等级: 高
作者: Pierluigi Paganini
标签: Proofpoint, phishing
行业: 信息传输、软件和信息技术服务业
涉及组织: google, microsoft

网络犯罪分子正在冒充网络安全公司proofpoint欺骗受害者提供微软office365和谷歌gmail证书。

钓鱼邮件声称包含一个通过proofpoint链接发送的安全文件。点击这个链接，受害者就会进入一个醒目的页面，里面有假冒的商标证明，还包含了不同电子邮件提供商的登录链接。攻击包括针对微软和谷歌的专用登录页面欺骗。

一旦点击嵌入在邮件中的电子邮件链接，受害者就会被重定向到一个带有proofpoint品牌标识的醒目页面。

详情

黑客利用谷歌广告进行凭证窃取和消费账户余额

日期: 2021年11月08日
等级: 高
来源: heimdalsecurity
标签: Google Ads
行业: 信息传输、软件和信息技术服务业
涉及组织: check point, google

有黑客正在利用谷歌广告，用伪造的钱包来攻击受害者，窃取凭证并耗尽余额。

到目前为止，这些网络骗子已经窃取了50多万美元，而且还在继续增加。

详情

WooCommerce Skimmer伪造结账页面

日期: 2021年11月08日
等级: 高
作者: Ben Martin
标签: WooCommerce Skimmer
行业: 信息传输、软件和信息技术服务业
涉及组织: wordpress

最近，sucuri的一个客户报告说，在他们的网站上出现了一个虚假的结帐页面。当他们试图进入账户页面时，浏览器中出现了一个不熟悉的提示，要求提供信用卡账单信息。

当导航到报告的支付网关所在的页面时，定位感染非常容易。使用出色的FireFox插件NoScript，可以发现虚假域名试图在页面上加载JavaScript

详情

Sitecore XP RCE漏洞现已被大肆利用

日期: 2021年11月08日
等级: 高
作者: Bill Toulas
标签: sitecore xp, RCE, exploited
行业: 信息传输、软件和信息技术服务业
涉及组织: gitlab, microsoft

澳大利亚网络安全中心(acsc)正在警告网络管理员cve-2021-42237被大肆利用，这是sitecore体验平台(sitecorexp)的一个远程代码执行漏洞，现已有补丁。

Sitecorexp是一个企业级的内容管理系统与数据分析(cms)使用的知名公司，包括美国运通，宜家，嘉年华邮轮公司，欧莱雅，和沃尔沃。

涉及漏洞

cve-2021-42237

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-42237

详情

Clop团伙利用勒索软件攻击中的SolarWinds Serv-U漏洞

日期: 2021年11月09日
等级: 高
作者: Bill Toulas
标签: Clop, Serv-U, SolarWinds
行业: 信息传输、软件和信息技术服务业
涉及组织: ncc

Clop勒索软件团伙，也被追踪为ta505和fin11，正在利用solarwindsserver-u漏洞，入侵公司网络并最终加密其设备。

server-u托管文件传输和server-u安全FTP远程代码执行漏洞(编号为为cve-2021-35211)允许远程攻击者以较高的权限在受攻击的服务器上执行命令。

该公司还警告说，这个漏洞只会影响启用了SSH功能的客户，SSH功能通常用于进一步保护到FTP服务器的连接。

涉及漏洞

cve-2021-35211

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-35211

详情

伊朗黑客 Lyceum 瞄准电信，ISPS

日期: 2021年11月09日
等级: 高
作者: Charlie Osborne
标签: Iranian, telecoms, ISPs
行业: 跨行业事件
涉及组织: intel, whatsapp

Lyceum也被称为hexane,siamesekitten或spirlin，自2017年以来一直很活跃。

高级持续威胁组织(apt)过去一直与袭击中东石油和天然气公司的活动有关，现在似乎已将其重点扩大到技术部门。

2021年7月和10月，Lyceum在跨越以色列，摩洛哥，突尼斯和沙特阿拉伯袭击ISP和电信组织的袭击。

详情

Medatixx遭到勒索软件攻击，客户需要尽快更改密码

日期: 2021年11月10日
等级: 高
来源: heimdalsecurity
标签: Medatixx, Ransomware
行业: 卫生和社会工作

德国医疗软件公司Medatixx在遭受勒索软件攻击后，导致整个运营瘫痪，该公司建议用户重新设置应用程序密码。

该公司的服务被超过2.1万家医疗机构使用。此外，Medatixx还为实践软件提供了额外的解决方案，包括在线预约和视频咨询时间，以及实践it和实践管理软件服务。

详情

HPE称黑客使用被盗的访问密钥入侵了Aruba Central

日期: 2021年11月10日
等级: 高
作者: Lawrence Abrams
标签: Aruba Central, access key, HPE
行业: 信息传输、软件和信息技术服务业

Hpe透露，他们的ArubaCentral网络监控平台的数据存储库被泄露，允许攻击者访问收集到的有关被监控设备及其位置的数据。

ArubaCentral是一个云网络解决方案，允许管理员从单个仪表板管理大型网络和组件。

详情

Telnyx遭受DDoS攻击

日期: 2021年11月10日
等级: 高
作者: Lawrence Abrams
标签: Telnyx, DDoS, VoIP
行业: 信息传输、软件和信息技术服务业
涉及组织: cloudflare

Telnyx是最新的被分布式拒绝服务(ddos)攻击的voip电话提供商，从11月9日开始就造成了全球范围的网络中断。

Telnyx是一家通过互联网协议(voip)提供全球互联网电话服务的公司，包括在美洲、欧洲、中东、太平洋和澳大利亚地区。

从美国东部时间11月9日晚上11点开始，Telnyx遭到ddos攻击，导致所有电话服务失败或延迟。

详情

Void Balaur黑客出售被盗邮箱和私人数据

日期: 2021年11月10日
等级: 高
作者: Ionut Ilascu
标签: Void Balaur, sell data
行业: 信息传输、软件和信息技术服务业

一个名为VoidBalaur的雇佣黑客组织在过去5年多的时间里一直在窃取电子邮件和高度敏感的信息，并将其卖给有财务和间谍目的的客户。

trendmicro的安全研究人员分析了voidbalaur的活动后表示，这个黑客团伙的商业模式是窃取企业和个人的最隐私和个人数据，并将其出售给感兴趣的客户。

详情

黑客在昆士兰水供应商的服务器上隐藏九个月未被发现

日期: 2021年11月11日
等级: 高
作者: Bill Toulas
标签: Queensland, water supplier
行业: 电力、热力、燃气及水生产和供应业
涉及组织: Sunwater

黑客在昆士兰一家供水公司的服务器上隐藏了9个月，这表明有必要对关键基础设施进行更好的网络防御。

Sunwater是澳大利亚政府所有的供水供应商，负责运营19座主要水坝、80个泵站和1600英里长的管道。

根据昆士兰州审计署昨日公布的年度财务审计报告，sunwater公司被侵入长达9个月之久，而这些黑客一直未被发现。

详情

俄亥俄州医院因遭受网络攻击转移救护车，取消预约

日期: 2021年11月12日
等级: 高
作者: Jessica Davis
标签: Ohio, hospital
行业: 卫生和社会工作

11月11日早些时候，南俄亥俄医疗中心遭到网络攻击，迫使这家非营利性医疗机构进入电子健康记录(ehr)停机程序。

据somc在社交媒体上发布的消息，持续的停电已迫使官员转移救护车，并取消了一些病人预约。

官员们解释说，一个未经授权的第三方进入了somc的计算机服务器，这似乎是一次有针对性的网络攻击。

详情

美国联邦调查局(FBI)系统被黑客入侵，发送“紧急”邮件警告虚假网络攻击

日期: 2021年11月13日
等级: 高
作者: Ionut Ilascu
标签: FBI, cyberattacks, email
行业: 政府机关、社会保障和社会组织
涉及组织: cisa, fbi

美国联邦调查局(FBI)的电子邮件服务器被黑客入侵，以散布垃圾邮件。成千上万的垃圾邮件在11月13日早上分两波发送，假称联邦调查局警告收件人的网络被破坏，数据被窃取。

这些电子邮件假装是在警告一场复杂的连锁攻击来自一名高级威胁组织成员，他们称其为文尼·特罗亚。特罗亚是暗网情报公司nightlion和shadowbyte的安全研究负责人。

详情

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x06   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x07   时间线

2021-11-15 360CERT发布安全事件周报