安全事件周报 | 黑客使用谷歌云帐户挖掘加密货币,微软 Exchange 服务器被黑客攻击

来源: 投稿
作者: 360CERT
2021-12-06

报告编号:B6-2021-120602

报告来源:360CERT

报告作者:360CERT

更新日期:2021-12-06

1. 事件导览

本周收录安全热点31项,话题集中在恶意软件网络攻击方面,涉及的组织有:谷歌云日本松下集团MonoX美国国务院等。多个严重漏洞曝光,各厂商注意及时修复。对此,360CERT 建议使用360 安全卫士进行病毒检测、使用360 安全分析响应平台进行威胁流量检测,使用360 城市级网络安全监测服务 QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

2. 事件目录

恶意程序
活动滥用合法的远程管理工具使用假冒的加密货币网站
超过30万安卓用户下载了这些银行特洛伊木马恶意软件应用
EwDoor僵尸网络瞄准美国公司的AT&T网络边缘设备
伊朗Android用户被广泛的Smishing活动欺骗
FBI:Cuba勒索软件攻击了49个美国关键基础设施组织
黑客使用受损的谷歌云帐户挖掘加密货币
Flubot银行木马病毒在芬兰通过短信传播
Yanluowang勒索软件与Thieflock的联系
Emotet现在通过假冒的Adobe Windows应用程序安装包传播
恶意Android应用程序窃取马来西亚银行凭证、MFA代码
Microsoft Exchange服务器被黑客攻击以部署Blackbyte勒索软件
Aberbot-2.0攻击银行应用程序和加密钱包
Sabbath勒索软件的目标是美国和加拿大的关键基础设施
分析TeamTNT如何使用受损的Docker Hub帐户
新的恶意软件隐藏作为合法的Nginx进程在电子商务服务器
新的广告活动传播后门,恶意Chrome扩展
通过GitHub, Netlify发布的Monero挖掘恶意软件漏洞
恶意的KMSPico安装程序窃取加密货币钱包
数据安全
巴基斯坦国家数据库生物特征数据泄露
Quest的Reposource因影响35万名患者的数据泄露而面临患者诉讼
DNA检测服务数据泄露影响210万用户
洛杉矶计划生育协会遭受勒索软件攻击。导致数据泄露
网络攻击
新的Chinotto间谍软件以朝鲜叛逃者、人权活动家为目标
科罗拉多能源公司在网络攻击后丢失了25年的数据,但仍在重建网络
美国国务院雇员的电话被NSO的间谍软件窃听
隐秘的WiRTE黑客瞄准中东政府
松下在遭受黑客攻击后数据泄露
昆士兰政府能源发电机遭勒索软件袭击
MonoX表示因漏洞导致被黑客窃取3100万美元
网络钓鱼攻击者开始利用新冠病毒变种话题
去中心化金融平台badgerdao遭黑客攻击 损失超过1.2亿美元

3. 恶意程序

 

活动滥用合法的远程管理工具使用假冒的加密货币网站

日期: 2021 年 11 月 29 日

等级: 高

作者: Jaromir Horejsi

标签: 事件类型:恶意程序事件, 攻击手法:DLL 加载

行业: 信息传输、软件和信息技术服务业

涉及组织: teamviewer

一段时间以来,trendmicro 一直在跟踪一项涉及滥用众所周知的远程访问工具 (RAT)(即 TeamViewer)的 SpyAgent 恶意软件的活动。

trendmicro 观察到一个新的与加密货币相关的活动,该活动通过名为 SpyAgent 的较新版本的恶意软件滥用称为 Safib 助手的合法俄罗斯 RAT。

这涉及利用 DLL 旁加载漏洞,该漏洞会导致加载恶意 DLL。该 DLL 挂钩并修补 RAT 调用的各种 API 函数。这会导致 RAT 窗口对用户隐藏。

详情

Remote access tools abused to spread malware and steal cryptocurrency

https://www.trendmicro.com/en\\_us/research/21/k/campaign-abusing-rats-uses-fake-websites.html

超过 30 万安卓用户下载了这些银行特洛伊木马恶意软件应用

日期: 2021 年 11 月 30 日

等级: 高

作者: Danny Palmer

标签: 事件类型:恶意程序事件

行业: 信息传输、软件和信息技术服务业

涉及组织: google, whatsapp

超过 30 万安卓智能手机用户在成为绕过谷歌 Play 应用商店检测的恶意软件的受害者后,下载了被证明是银行特洛伊木马的软件。四种不同形式的恶意软件通过通常下载的应用程序的恶意版本,包括文档扫描仪、二维码阅读器、健身监视器和加密货币应用程序,向受害者交付。这四个恶意软件分别是:Anatsa、Alien、Hydra 和 Ermac。这些应用程序通常附带一些功能,这些功能都是为了避免用户产生怀疑而发布的。在每种情况下,应用程序的恶意意图都是隐藏的,只有在安装应用程序后,才会开始交付恶意软件,从而使他们能够绕过 PlayStore 检测。

详情

Over 300,000 Android users have downloaded these banking trojan malware apps, say security researchers

https://www.zdnet.com/article/over-300000-android-users-have-downloaded-these-banking-trojan-malware-apps-say-security-researchers/

EwDoor 僵尸网络瞄准美国公司的 AT&T 网络边缘设备

日期: 2021 年 11 月 30 日

等级: 高

作者: Sergiu Gatlan

标签: 事件类型:恶意程序事件,

涉及组织:360 netlab, 恶意程序:EwDoor

行业: 信息传输、软件和信息技术服务业

2021 年 10 月 27 日,360netlab 的 BotMon 系统发现有攻击者正通过 CVE-2017-6079 漏洞攻击 EdgewaterNetworks 设备,其 payload 里有比较罕见的 mount 文件系统指令,这引起了 360netlab 的兴趣,经过分析,360netlab 确认这是一个全新的僵尸网络家族,基于其针对 Edgewater 产商、并且有 Backdoor 的功能,360netlab 将它命名为 EwDoor。

涉及漏洞

cve-2017-6079

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2017-6079

详情

EwDoor botnet targets AT&T network edge devices at US firms

https://blog.netlab.360.com/warning-ewdoor-botnet-is-attacking-att-customers\\_cn/

伊朗 Android 用户被广泛的 Smishing 活动欺骗

日期: 2021 年 12 月 01 日

等级: 高

来源: threatpost

标签: 事件类型:恶意程序事件, 攻击手法:钓鱼攻击

行业: 信息传输、软件和信息技术服务业

涉及组织: check point

攻击者冒充伊朗政府发起了一场广泛的短信钓鱼活动,在数千名 Android 用户的设备上安装恶意软件,窃取他们的信用卡数据,并从他们的金融账户中抽取资金,以此欺骗他们。

CheckPointResearch 的研究人员估计,这场通过发送所谓的 “假短信”(smishing) 诱使受害者访问恶意网站的活动,已经危及了数万台设备。

详情

Widespread ‘Smishing’ Campaign Defrauds Iranian Android Users

https://threatpost.com/smishing-campaign-iranian-android-users/176679/

FBI:Cuba 勒索软件攻击了 49 个美国关键基础设施组织

日期: 2021 年 12 月 03 日

等级: 高

作者: Sergiu Gatlan

标签: 事件类型:恶意程序事件, 攻击者:cuba ransomware gang

行业: 跨行业事件

涉及组织: microsoft, fbi

美国联邦调查局 (FBI) 透露,Cuba 勒索软件团伙已经破坏了至少 49 个组织的网络,这些组织来自美国重要的基础设施部门。

联邦执法机构表示:“联邦调查局已确认,截至 2021 年 11 月初,Cuba 勒索软件背后的黑客已危及 5 个关键基础设施部门的至少 49 个实体,包括但不限于金融、政府、医疗保健、制造业和信息技术部门。”

联邦调查局还补充说,这个勒索软件集团自开始攻击目标以来已经赚了超过 4000 万美元。

详情

FBI: Cuba ransomware breached 49 US critical infrastructure orgs

https://www.bleepingcomputer.com/news/security/fbi-cuba-ransomware-breached-49-us-critical-infrastructure-orgs/

黑客使用受损的谷歌云帐户挖掘加密货币

日期: 2021 年 11 月 29 日

等级: 高

作者: Ravie Lakshmanan

标签: 涉及厂商:Google Cloud, 事件类型:恶意程序事件

行业: 信息传输、软件和信息技术服务业

涉及组织: google, samsung, youtube, github

攻击者正在利用不安全的谷歌云平台 (gcp) 实例下载加密货币挖掘软件到受威胁的系统,并滥用其基础设施安装勒索软件,进行网络钓鱼活动,甚至为 YouTube 视频产生流量以操纵浏览量。

在最近被攻破的 50 个 GCP 实例中,86% 被用于进行加密货币挖掘,在某些情况下,在成功攻破后的 22 秒内,而 10% 的实例被用于扫描互联网上其他可公开访问的主机,以识别易受攻击的系统,8% 的实例被用来打击其他实体。大约 6% 的 GCP 实例被用于承载恶意软件。

详情

Hackers Using Compromised Google Cloud Accounts to Mine Cryptocurrency

https://thehackernews.com/2021/11/hackers-using-compromised-google-cloud.html

Flubot 银行木马病毒在芬兰通过短信传播

日期: 2021 年 11 月 30 日

等级: 高

来源: threatpost

标签: 事件类型:恶意程序事件, 恶意程序:Flubot

行业: 信息传输、软件和信息技术服务业

涉及组织: intel

Flubot 银行木马病毒正在芬兰蔓延,通过 Android 手机传播,发送了数百万条恶意短信。

芬兰交通和通讯局的国家网络安全中心 (ncscfi) 发布了一份关于恶意软件风暴的严重警告,称该病毒通过数十种信息变体传播。

一旦安装完毕,Flubot 就会着手获取许可、窃取银行信息和凭证、盗取存储在设备上的密码,并将各种个人信息储存起来。

详情

Finland Faces Blizzard of Flubot-Spreading Text Messages

https://threatpost.com/finland-flubot-text-messages/176649/

Yanluowang 勒索软件与 Thieflock 的联系

日期: 2021 年 11 月 30 日

等级: 高

来源: threatpost

标签: 事件类型:恶意程序事件, 恶意程序:Yanluowang, 恶意程序:Thieflock

行业: 金融业

研究人员发现,此前与 Thieflock 勒索软件操作有关的一个威胁行为者,现在可能正在使用新兴的盐洛旺勒索软件,对美国企业进行一系列攻击。

研究人员发现了 Thieflock 和 Yanluowang 之间的联系,在观察到后者被用于针对一家大型组织后,他们于去年 10 月披露了后者。

他们认为,自 8 月以来,有黑客一直在利用 Yanluowang 攻击美国的主要金融公司。

详情

Yanluowang Ransomware Tied to Thieflock Threat Actor

https://threatpost.com/yanluowang-ransomware-thieflock-threat-actor/176640/

Emotet 现在通过假冒的 Adobe Windows 应用程序安装包传播

日期: 2021 年 12 月 01 日

等级: 高

作者: Lawrence Abrams

标签: 事件类型:恶意程序事件, 恶意程序:Emotet

行业: 信息传输、软件和信息技术服务业

涉及组织: google, microsoft, adobe

emotet 恶意软件现在通过伪装成 adobePDF 软件的恶意 Windows 应用程序安装包传播。

Emotet 是一种通过钓鱼邮件和恶意附件传播的臭名昭著的恶意软件感染。

一旦安装,它将窃取受害者的电子邮件为其他垃圾邮件活动,并部署恶意软件,如狡诈机器人和 qbot,这通常导致勒索软件攻击。

详情

Emotet now spreads via fake Adobe Windows App Installer packages

https://www.bleepingcomputer.com/news/security/emotet-now-spreads-via-fake-adobe-windows-app-installer-packages/

恶意 Android 应用程序窃取马来西亚银行凭证、MFA 代码

日期: 2021 年 12 月 01 日

等级: 高

作者: Bill Toulas

标签: 事件类型:恶意程序事件

行业: 金融业

涉及组织: twitter, google

一款假冒的安卓应用冒充家政服务,从马来西亚八家银行的客户那里窃取网上银行凭证。

该应用通过多个假冒或克隆的网站和社交媒体账户进行推广,以推广恶意软件 apk,即马来西亚清洁服务。

cyble 的研究人员对其进行了分析,并提供了该应用恶意行为的详细信息。

详情

Malicious Android app steals Malaysian bank credentials, MFA codes

https://www.bleepingcomputer.com/news/security/malicious-android-app-steals-malaysian-bank-credentials-mfa-codes/

Microsoft Exchange 服务器被黑客攻击以部署 Blackbyte 勒索软件

日期: 2021 年 12 月 01 日

等级: 高

作者: Bill Toulas

标签: 事件类型:恶意程序事件

行业: 信息传输、软件和信息技术服务业

涉及组织: microsoft

Blackbyte 勒索软件团伙现在利用 proxyshell 漏洞利用 microsoftexchange 破坏企业网络。

Proxyshell 是三个 Microsoftexchange 漏洞集合的名称,当链接在一起时,这些漏洞允许未经身份验证的远程代码在服务器上执行。

涉及漏洞

cve-2021-34473

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34473

cve-2021-34523

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34523

cve-2021-34523

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-34523

详情

Microsoft Exchange servers hacked to deploy BlackByte ransomware

https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-to-deploy-blackbyte-ransomware/

Aberbot-2.0 攻击银行应用程序和加密钱包

日期: 2021 年 12 月 01 日

等级: 高

作者: Soumik Ghosh

标签: 事件类型:恶意程序事件, 恶意程序:aberebot-2

行业: 金融业

涉及组织: google, ibm

Aberbot-2.0 是一款银行恶意软件的新变种,目标是 22 个国家的 213 款银行应用和 9 款加密钱包应用。

这种基于 telegram 的恶意软件名为 aberebot-2.0,是 2021 年 7 月发现的 aberebot 机器人银行木马的新版本。

详情

Report: Aberebot-2.0 Hits Banking Apps and Crypto Wallets

https://www.databreachtoday.com/report-aberebot-20-hits-banking-apps-crypto-wallets-a-18031

Sabbath 勒索软件的目标是美国和加拿大的关键基础设施

日期: 2021 年 12 月 01 日

等级: 高

作者: Pierluigi Paganini

标签: 事件类型:恶意程序事件, 恶意程序:Sabbath

行业: 信息传输、软件和信息技术服务业

一个名为 Sabbath(又名 unc2190) 的新勒索软件组织自 2021 年 6 月以来一直针对美国和加拿大的关键基础设施。

根据下颌研究人员的说法,这群人是 arcane 和 eruptiongangs 的重新命名。

根据 mandiant 公司的警告,该组织以前以 arcane 和 eruptiongangs 的名义开展活动,并在去年被观察到部署了 rollcoast 勒索软件。

详情

Sabbath Ransomware target critical infrastructure in the US and Canada

https://securityaffairs.co/wordpress/125154/cyber-crime/sabbath-ransomware.html

分析 TeamTNT 如何使用受损的 Docker Hub 帐户

日期: 2021 年 12 月 01 日

等级: 高

作者: Nitesh Surana

标签: 事件类型:恶意程序事件, 攻击者:TeamTNT

行业: 信息传输、软件和信息技术服务业

涉及组织: docker

在 11 月初,trendmicro 披露了被入侵的 dockerhub 账户被用于加密货币挖掘,这些活动与 TeamTNT 黑客有关。

虽然这些帐户现在已经被删除,trendmicro 仍然能够调查 TeamTNT 的活动与这些被破坏的帐户。

涉及漏洞

cve-2018-18264

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2018-18264

详情

Analyzing How TeamTNT Used Compromised Docker Hub Accounts

https://www.trendmicro.com/en\\_us/research/21/l/more-tools-in-the-arsenal-how-teamtnt-used-compromised-docker-hu.html

新的恶意软件隐藏作为合法的 Nginx 进程在电子商务服务器

日期: 2021 年 12 月 02 日

等级: 高

作者: Ionut Ilascu

标签: 恶意程序:nginrat, 事件类型:恶意程序事件

行业: 批发和零售业

电子商务服务器正受到远程访问恶意软件的攻击,这些恶意软件隐藏在 Nginx 服务器上,使其对安全解决方案几乎不可见。

该威胁的名称为 nginrat,是其目标应用程序及其提供的远程访问能力的组合,并被用于服务器端攻击,从在线商店窃取支付款卡数据。

Nginrat 是在北美和欧洲的电子商务服务器上发现的,该服务器被感染了 cronrat(一种远程访问木马),它将有效负载隐藏在计划在无效日期执行的任务中。

详情

New malware hides as legit nginx process on e-commerce servers

https://www.bleepingcomputer.com/news/security/new-malware-hides-as-legit-nginx-process-on-e-commerce-servers/

新的广告活动传播后门,恶意 Chrome 扩展

日期: 2021 年 12 月 03 日

等级: 高

作者: Ravie Lakshmanan

标签: 事件类型:恶意程序事件, 攻击者:magnat

行业: 信息传输、软件和信息技术服务业

涉及组织: cisco, twitter, google

一系列恶意运动已经利用 Viber,Wechat,Noxplayer 和 battlefield 等流行应用和游戏的伪装,作为诱惑用户下载新的后门和无证的恶意谷歌浏览器扩展,其目标是窃取凭据存储在受妥协的系统中的数据以及维护持久远程访问。

思科塔洛斯将恶意软件的有效载荷归因于一个化名为 “magnat” 的未知攻击者,并指出“这两个家族一直受到其作者不断开发和改进的影响。”

详情

New Malvertising Campaigns Spreading Backdoors, Malicious Chrome Extensions

https://thehackernews.com/2021/12/new-malvertising-campaigns-spreading.html

通过 GitHub, Netlify 发布的 Monero 挖掘恶意软件漏洞

日期: 2021 年 12 月 03 日

等级: 高

作者: Nitesh Surana

行业: 信息传输、软件和信息技术服务业

涉及组织: f5, github

2021 早些时候,ApacheHTTPServerProject 披露了一个被识别为 cve-2021-41773 的安全漏洞,这是 ApacheHTTPServer2.4.49 中的路径遍历和远程代码执行 (RCE) 漏洞。

如果这个漏洞被利用,它允许攻击者将 url 映射到由类似别名的指令配置的目录之外的文件。在某些配置下,CommonGatewayInterface(CGI) 脚本为别名路径启用,攻击者也可以将其用于 RCE。由于最初的修复被认为是不够的,后来报告了该修复的一个绕过,并跟踪为 CVE-2021-42013。然而,当 trendmicro 查看滥用该漏洞的恶意示例时,trendmicro 发现更多的这些漏洞被滥用,以针对产品和包中的不同缺口,恶意挖掘 Monero。

涉及漏洞

cve-2021-41773

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-41773

cve-2021-42013

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-42013

cve-2021-40438

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-40438

cve-2021-26084

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-26084

cve-2021-26085

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-26085

cve-2021-21972

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-21972

cve-2021-21973

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-21973

cve-2021-21985

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-21985

cve-2021-22005

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-22005

cve-2020-5902

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-5902

cve-2020-14882

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-14882

cve-2020-14750

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-14750

cve-2020-14883

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2020-14883

cve-2021-22986

链接: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-22986

详情

Vulnerabilities Exploited for Monero Mining Malware Delivered via GitHub, Netlify

https://www.trendmicro.com/en\\_us/research/21/l/vulnerabilities-exploited-for-monero-mining-malware-delivered-via-gitHub-netlify.html

恶意的 KMSPico 安装程序窃取加密货币钱包

日期: 2021 年 12 月 04 日

等级: 高

作者: Bill Toulas

标签: 事件类型:恶意程序事件

行业: 信息传输、软件和信息技术服务业

涉及组织: google, microsoft

攻击者正在分发修改过的 KMSPico 安装程序,以通过窃取加密货币钱包的恶意软件感染 Windows 设备。

红金丝雀的研究人员发现了这种行为,他们警告说,为了节省授权费用而使用盗版软件是不值得的。

Kmspico 是一个流行的 MicrosoftWindows 和 office 产品激活器,它模拟 Windows 密钥管理服务 (kms) 服务器来欺骗性地激活许可证。根据红金丝雀的说法,许多 it 部门使用 kmspico 而不是合法的微软软件许可证,其规模远远超出人们的预期。

详情

Malicious KMSPico installers steal your cryptocurrency wallets

https://www.bleepingcomputer.com/news/security/malicious-kmspico-installers-steal-your-cryptocurrency-wallets/

相关安全建议

  1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
  2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
  3. 及时对系统及各个服务组件进行版本升级和补丁更新
  4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
  5. 各主机安装 EDR 产品,及时检测威胁
  6. 注重内部员工安全培训
  7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序
  8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

4. 数据安全

巴基斯坦国家数据库生物特征数据泄露

日期: 2021 年 11 月 29 日

等级: 高

作者: Soumik Ghosh

标签: 事件类型:数据泄露事件

行业: 卫生和社会工作

据巴基斯坦日报《黎明报》报道,该国国家数据库和注册局 (NationalDatabaseandRegistrationAuthority) 的生物识别数据已遭泄露。

曙光号最初报道说,美国国家数据库和注册管理局 (简称 NADRA) 的生物特征数据遭到了黑客攻击。但佩尔韦兹后来澄清说,这些数据被泄露了,但没有被黑。

详情

Pakistan’s National Database Biometric Data Compromised

https://www.databreachtoday.com/pakistans-national-database-biometric-data-compromised-a-18009

Quest 的 Reposource 因影响 35 万名患者的数据泄露而面临患者诉讼

日期: 2021 年 11 月 30 日

等级: 高

作者: Jessica Davis

标签: 事件类型:数据泄露事件

行业: 卫生和社会工作

Quest 生育诊断公司通知约 35 万名患者,他们的数据可能被勒索软件访问或获取。

在告知 35 万名患者他们受保护的健康信息可能被盗一个月后,再生生育诊断被一名患者起诉,称其存在安全隐患。再生资源是一个临床实验室的生育专家和一个附属的探索诊断。

详情

Quest’s ReproSource faces patient lawsuit over data breach impacting 350K patients

https://www.scmagazine.com/analysis/breach/quests-reprosource-faces-patient-lawsuit-over-data-breach-impacting-350k-patients

DNA 检测服务数据泄露影响 210 万用户

日期: 2021 年 12 月 01 日

等级: 高

作者: Waqas

标签: 事件类型:数据泄露事件

行业: 卫生和社会工作

DNA 诊断中心表示,黑客试图获取其包括支付款卡在内的用户的高度敏感信息和个人信息。

位于俄亥俄州的 DNA 测试服务 DNA 诊断中心(DDC)的 Fairfield 披露了一种数据泄露,其中敏感的个人和财务数据超过 210 万(2,102,436)客户 / 用户被黑客偷走了。

详情

DNA testing service data breach impacting 2.1 million users

https://www.hackread.com/dna-testing-service-data-breach-users-impacted/

洛杉矶计划生育协会遭受勒索软件攻击。导致数据泄露

日期: 2021 年 12 月 02 日

等级: 高

来源: heimdalsecurity

标签: 事件类型:数据泄露事件

行业: 卫生和社会工作

洛杉矶一家医疗服务提供商计划生育协会 la(缩写为 ppla) 透露,在去年 10 月遭到勒索软件攻击后,该公司的数据遭到了泄露。

这一事件导致了近 40 万名患者的个人数据暴露。该公司于 11 月 4 日发现,被盗的资料中包括出生资料、诊断或程序等临床资料、地址、保险资料等个人信息,从而确定了被盗资料的性质。

详情

Planned Parenthood LA Impacted by Ransomware Attack that Led to Data Breach

https://heimdalsecurity.com/blog/planned-parenthood-la-data-breach-due-to-ransomware-attack/

相关安全建议

  1. 及时备份数据并确保数据安全
  2. 合理设置服务器端各种文件的访问权限
  3. 严格控制数据访问权限
  4. 及时检查并删除外泄敏感数据
  5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施
  6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施

5. 网络攻击

新的 Chinotto 间谍软件以朝鲜叛逃者、人权活动家为目标

日期: 2021 年 11 月 29 日

等级: 高

作者: Ravie Lakshmanan

标签: 事件类型:网络攻击事件, 攻击者:apt37

行业: 政府机关、社会保障和社会组织

涉及组织: tencent, microsoft, huawei, facebook

朝鲜叛逃者、报道朝鲜相关新闻的记者和在韩国的实体正被国家支持的 apt 组织攻击。

卡巴斯基将此次入侵归因于一个被追踪到的朝鲜黑客组织,该组织名为 scarcruft,也被称为 apt37,reapergroup,inkysquid 和 ricochetchollima。

该组织使用了三种具有类似功能的恶意软件: powershell 版本,Windows 可执行程序和 android 应用程序。

详情

New Chinotto Spyware Targets North Korean Defectors, Human Rights Activists

https://thehackernews.com/2021/11/new-chinotto-spyware-targets-north.html

科罗拉多能源公司在网络攻击后丢失了 25 年的数据,但仍在重建网络

日期: 2021 年 12 月 02 日

等级: 高

作者: Jonathan Greig

标签: 事件类型:网络攻击事件

行业: 电力、热力、燃气及水生产和供应业

涉及组织: wordpress

科罗拉多州的德尔塔 - 蒙特罗斯电力协会 (dmea) 仍在努力从 11 月毁灭性的网络攻击中恢复,该攻击导致其 90% 的内部系统瘫痪,并导致 25 年的历史数据丢失。

该公司说,它从 11 月 7 日开始注意到问题,网络攻击最终导致其大部分内部网络服务瘫痪。此次攻击影响了该公司所有的支持系统、支付处理工具、计费平台和其他提供给客户的工具。

详情

Colorado energy company loses 25 years of data after cyberattack while still rebuilding network

https://www.zdnet.com/article/colorado-energy-company-loses-25-years-of-data-after-cyberattack-still-rebuilding-network/

美国国务院雇员的电话被 NSO 的间谍软件窃听

日期: 2021 年 12 月 03 日

等级: 高

作者: Sergiu Gatlan

标签: 事件类型:网络攻击事件, 恶意程序:pegasus

行业: 政府机关、社会保障和社会组织

涉及组织: apple

苹果公司 (Apple) 警告美国国务院 (departmentofstate) 雇员称,他们的 iphone 遭到了不明身份攻击者的黑客攻击,攻击者利用一项名为 forceentry 的 ios 漏洞,部署了以色列监控公司 NSO 集团开发的飞马 (pegasus) 间谍软件。

根据路透社 12 月 3 日引用的匿名消息来源,这些攻击针对的是美国官员 (据《华盛顿邮报》报道,至少有 11 起),他们的基地在东非国家乌干达,或者是与乌干达有关的事务,并且发生在最近几个月。

详情

US State Dept employees’ phones hacked using NSO spyware

https://www.bleepingcomputer.com/news/security/us-state-dept-employees-phones-hacked-using-nso-spyware/

隐秘的 WiRTE 黑客瞄准中东政府

日期: 2021 年 11 月 29 日

等级: 高

作者: Bill Toulas

标签: 事件类型:网络攻击事件

行业: 政府机关、社会保障和社会组织

涉及组织: cloudflare

一个名为 “WiRTE” 的秘密黑客组织至少从 2019 年起就与针对政府的攻击活动有关,他们使用恶意的 excel4.0 宏进行攻击。

主要的目标范围包括在中东的公共和私人实体,但也有其他地区。

卡巴斯基分析了这次行动、工具和方法,认为该组织有支持巴勒斯坦的动机,并被怀疑是 gazacybergang 的一部分。

详情

Stealthy WIRTE hackers target governments in the Middle East

https://www.bleepingcomputer.com/news/security/stealthy-wirte-hackers-target-governments-in-the-middle-east/

松下在遭受黑客攻击后数据泄露

日期: 2021 年 11 月 29 日

等级: 高

作者: Sergiu Gatlan

标签: 事件类型:网络攻击事件

行业: 制造业

涉及组织: wordpress, Panasonic

日本跨国企业集团松下 11 月披露了一个安全漏洞,未知的攻击者可以获得访问其网络服务器的权限。

松下公司已经确认其网络在 2021 年 11 月 11 日被第三方非法访问。内部调查的结果是,在入侵过程中,文件服务器上的一些数据被非法访问。

详情

Panasonic discloses data breach after network hack

https://www.bleepingcomputer.com/news/security/panasonic-discloses-data-breach-after-network-hack/

昆士兰政府能源发电机遭勒索软件袭击

日期: 2021 年 11 月 30 日

等级: 高

作者: Chris Duckett

标签: 事件类型:勒索软件事件

行业: 电力、热力、燃气及水生产和供应业

昆士兰州政府所有的能源公司 CSenergy 表示,该公司正在应对发生的勒索软件事件。

该公司表示,该事件没有影响卡利德和科根溪电站的发电,并正在寻求恢复其网络。

针对该事件,澳新银行 Claroty 地区主管拉尼 · 莱菲蒂 (LaniRefiti) 表示,由于基础设施公司无法承受任何中断或停机,关键基础设施越来越多地成为勒索软件团伙的目标。

详情

Queensland government energy generator hit by ransomware

https://www.zdnet.com/article/queensland-government-energy-generator-hit-by-ransomware/

MonoX 表示因漏洞导致被黑客窃取 3100 万美元

日期: 2021 年 12 月 02 日

等级: 高

标签: 受害者组织:monox finance

行业: 金融业

区块链初创公司 MonoX 在 2021 年 12 月 1 日表示,由于软件中用于起草智能合约部分存在漏洞,已经被黑客已经成功窃取了 3100 万美元。

该公司使用一种被称为 monox 的去中心化金融协议,让用户在没有传统交易所的一些要求的情况下交易数字货币代币。

详情

MonoX 宣布因漏洞导致被黑客窃取 3100 万美元

https://www.cnbeta.com/articles/tech/1209969.htm

网络钓鱼攻击者开始利用新冠病毒变种话题

日期: 2021 年 12 月 02 日

等级: 高

作者: Bill Toulas

标签: 攻击手法:钓鱼攻击, 事件类型:网络攻击事件

行业: 信息传输、软件和信息技术服务业

涉及组织: adobe, nhs

网络钓鱼攻击者开始利用 OmicronCOVID-19 变种,现在把它作为他们恶意电子邮件活动的诱饵。

攻击者很擅长利用最新的趋势和热门话题,而增加人们的恐惧是一个很好的方法,利用新冠病毒变种的消息使人们在没有首先考虑它的情况下就急于打开一封电子邮件。

详情

Phishing actors start exploiting the Omicron COVID-19 variant

https://www.bleepingcomputer.com/news/security/phishing-actors-start-exploiting-the-omicron-covid-19-variant/

去中心化金融平台 badgerdao 遭黑客攻击 损失超过 1.2 亿美元

日期: 2021 年 12 月 03 日

等级: 高

标签: 事件类型:网络攻击事件

行业: 金融业

2021 年 12 月 1 日晚间,有黑客从连接到去中心化金融平台 badgerdao 的多个加密货币钱包中窃取了价值 1.2 亿美元的各种代币。

目前 badger 已经和区块链安全和数据分析公司 peckshield 合作调查本次事件。

详情

去中心化金融平台 BadgerDAO 遭黑客攻击 损失超过 1.2 亿美元

https://www.cnbeta.com/articles/tech/1210257.htm

相关安全建议

  1. 积极开展外网渗透测试工作,提前发现系统问题
  2. 减少外网资源和不相关的业务,降低被攻击的风险
  3. 做好产品自动告警措施
  4. 及时对系统及各个服务组件进行版本升级和补丁更新
  5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
  6. 注重内部员工安全培训
展开阅读全文
0 收藏
分享
加载中
最新评论 (1)
阎罗王。。。
2021-12-06 17:32
0
回复
举报
更多评论
2 评论
0 收藏
分享
返回顶部
顶部