报告编号:B6-2021-070501
报告来源:360CERT
报告作者:360CERT
更新日期:2021-07-05
事件导览
本周收录安全热点12项,话题集中在网络攻击、数据安全方面,涉及的组织有:微软、爱尔兰卫生局、LinkedIn、WordPress等。多个卫生机构遭遇数据泄露。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
| 恶意程序 |
|---|
| Wolfe眼科诊所遭勒索软件攻击暴露了50万患者的数据 |
| 全球警方关闭黑客常用的VPN服务 |
| 攻击者通过鱼叉式网络钓鱼活动瞄准航空公司 |
| 数据安全 |
|---|
| LinkedIn 遭遇数据泄露 |
| 至少120万俄罗斯用户的登录名和密码在网上被泄露 |
| VirusTotal被勒令披露HSE数据下载者的私人信息 |
| 网络攻击 |
|---|
| 微软再次遭遇依赖劫持攻击 |
| 爱尔兰卫生遭勒索软件攻击损失的费用超过6亿美元 |
| 太阳风攻击对公司造成的损失平均为1200万美元 |
| SolarWinds黑客在丹麦央行藏匿数月 |
| 其它事件 |
|---|
| CVE-2021-1675 RCE漏洞的PoC开始在网上流传 |
| WordPress插件漏洞能造成代码执行 |
恶意程序
Wolfe眼科诊所遭勒索软件攻击暴露了50万患者的数据
日期: 2021年06月28日
等级: 高
作者: ANTONIA DIN
标签: Eye Clinic, Wolfe, Ransomware
行业: 卫生和社会工作
涉及组织: fbi, wolfe
2021年2月,Wolfe眼科诊所遭受了一次勒索软件攻击,导致近50万名当前和以前的患者的私人信息被窃取,例如姓名、邮寄地址、出生日期和社会安全号码。
攻击者要求Wolfe眼科支付赎金,但Wolfe眼科拒绝支付。
即使这次网络攻击发生在2月份,但直到5月28日人们才意识到事件的复杂性和全面性。
详情
Ransomware Attack on Wolfe Eye Clinic Exposes Data of 500k Patients
https://heimdalsecurity.com/blog/ransomware-attack-on-wolfe-eye-clinic-exposes-data-of-500k-patients/
全球警方关闭黑客常用的VPN服务
日期: 2021年06月30日
等级: 高
作者: Amer Owaida
标签: Doublevpn, Vpn
行业: 信息传输、软件和信息技术服务业
doublevpn是一种虚拟专用网络(vpn)服务,主要在俄语和英语地下黑客和网络犯罪论坛上推广,通过隐藏各种类型的黑客以及勒索软件运营商的身份和位置来提供匿名攻击路径。来自欧洲、美国和加拿大的执法机构联手关闭并没收了doublevpn的基础设施。
详情
Global police shut down VPN service favored by cybercriminals
https://www.welivesecurity.com/2021/06/30/global-police-vpn-service-cybercriminals/
攻击者通过鱼叉式网络钓鱼活动瞄准航空公司
日期: 2021年06月30日
等级: 高
来源: ehackingnews
标签: Aviation Firms, Cyber Attacks, Phishing email, Spear Phishing Campaign
行业: 交通运输、仓储和邮政业
涉及组织: google
Fortinet的研究人员发现了一个针对航空业的鱼叉式网络钓鱼活动,AsyncRAT通过恶意下载链接来进行分发。
AsyncRAT,也称为远程访问工具(RAT),是一种开源的、合法的远程管理工具,它被用来收集浏览器数据、窃取凭证、网络摄像头数据、屏幕截图以及有关系统和网络的基本细节。
攻击者针对多家航空公司发送钓鱼电子邮件,这些邮件被伪装成来自联邦航空管理局,这些邮件使用了一个伪造的发件人地址以模仿联邦当局。
IOC
Ip
- 192.145.239.18
详情
Threat Actors Target Aviation Firms Via Spear Phishing Campaign
https://www.ehackingnews.com/2021/06/threat-actors-target-aviation-firms-via.html
相关安全建议
1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
3. 及时对系统及各个服务组件进行版本升级和补丁更新
4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
5. 各主机安装EDR产品,及时检测威胁
6. 注重内部员工安全培训
7. 不轻信网络消息,不浏览不良网站、不随意打开邮件附件,不随意运行可执行程序
8. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理
数据安全
LinkedIn 遭遇数据泄露
日期: 2021年06月29日
等级: 高
作者: heimdalsecurity
标签: Linkedin
行业: 信息传输、软件和信息技术服务业
涉及组织: linkedin
LinkedIn遭遇大规模数据泄露,据报道,此次事件泄漏了7亿用户的数据,占LinkedIn用户总数的92%以上。暴露的记录包括电子邮件地址全名、电话号码、实际地址、地理位置记录、LinkedIn用户名和个人资料URL、个人和专业经验/背景、性别以及其他社交媒体帐户和用户名。密码不包含在泄露数据中。
详情
LinkedIn Data of 700 Million People Leaked
https://securityaffairs.co/wordpress/119513/data-breach/new-linkedin-breach-exposes-data-of-700-million-users.html
至少120万俄罗斯用户的登录名和密码在网上被泄露
日期: 2021年06月30日
等级: 高
来源: ehackingnews
标签: Data Breach, Database Leaked, Hacking News, Russia, Russian Cyber Security
行业: 信息传输、软件和信息技术服务业
Bi.Zone是一家战略性的数字风险管理公司,帮助超过一百万俄罗斯人检查他们的凭据。Bi.Zone透露,由于数据泄露,120多万俄罗斯人的登录和密码信息可以免费获得。此数据不仅可以在暗网上提供,也可以在普通的因特网上获得。
IOC
Domain
- bi.zone
详情
Logins and passwords of at least 1.2 million Russians have been leaked online
https://www.ehackingnews.com/2021/06/logins-and-passwords-of-at-least-12.html
VirusTotal被勒令披露HSE数据下载者的私人信息
日期: 2021年07月01日
等级: 高
作者: Lawrence Abrams
标签: HSE, Virustotal
行业: 卫生和社会工作
5月,爱尔兰的公共医疗保健系统HSE成为持续勒索软件攻击的目标在设备加密后,这导致了IT系统的大规模中断。作为这次攻击的一部分,conti声称窃取了700GB的数据,据称这些数据包括患者和员工信息、合同、财务报表、工资单等。对此,爱尔兰法院已命令virustotal提供在勒索软件攻击期间下载或上传从爱尔兰国家医疗保健服务窃取的机密数据的订户的信息。
详情
VirusTotal ordered to reveal private info of stolen HSE data downloaders
https://www.bleepingcomputer.com/news/security/virustotal-ordered-to-reveal-private-info-of-stolen-hse-data-downloaders/
相关安全建议
1. 及时备份数据并确保数据安全
2. 合理设置服务器端各种文件的访问权限
3. 严格控制数据访问权限
4. 及时检查并删除外泄敏感数据
5. 发生数据泄漏事件后,及时进行密码更改等相关安全措施
6. 强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施
网络攻击
微软再次遭遇依赖劫持攻击
日期: 2021年06月29日
等级: 高
作者: Ax Sharma
标签: Microsoft, Dependency Hijacking, Dependency Confusion
行业: 制造业
涉及组织: twitter, microsoft, amd, intel
此前,一名研究人员利用一种名为“依赖包混淆”的攻击手段,入侵了包括微软在内的35家大型科技公司。
研究人员通过测试收到来自微软服务器的ping-back,这进一步证实了研究人员对其依赖劫持攻击成功击中微软服务器的怀疑,研究人员联系了微软。
从微软服务器返回的一些数据包括系统用户名、应用程序开发环境的路径、各种ID等。
IOC
Name
- https://51.141.173.203
- 1.16.3/x64
Ip
- 13.66.137.90
- 51.141.173.203
- 21.0.0.2
详情
Microsoft successfully hit by dependency hijacking again
https://www.bleepingcomputer.com/news/security/microsoft-successfully-hit-by-dependency-hijacking-again/
爱尔兰卫生遭勒索软件攻击损失的费用超过6亿美元
日期: 2021年06月29日
等级: 高
来源: heimdalsecurity
标签: Ransomware, Ireland Health Service, Attack
行业: 卫生和社会工作
涉及组织: twitter
爱尔兰卫生服务执行局在遭受勒索软件攻击六周多后仍受到严重干扰。
健康与安全中心总干事保罗·里德预测,勒索软件攻击损失的费用将超过6亿美元。成本估计包括1.2亿美元的当前恢复必需品,如雇用外部技术领导支持恢复工作。
剩余的成本估计将支付替换和改进受赎金软件影响的系统,以及对外部网络安全援助的支付。
详情
Expenses from Ransomware Attack Against Ireland Health Service Executive Exceed $600M
https://heimdalsecurity.com/blog/expenses-from-ransomware-attack-against-ireland-health-service-executive-exceed-600m/
太阳风攻击对公司造成的损失平均为1200万美元
日期: 2021年06月29日
等级: 高
来源: heimdalsecurity
标签: Solarwinds, Supply Chain Attack, Ransomware
行业: 跨行业事件
2020年12月,Solarwinds供应链攻击为黑客提供了达到多达18,000个政府实体和财富500强的公司,至少九个联邦机构和100多家公司遭到攻击。
同一份报告还指出,Solarwinds的影响让公司平均损失了年收入的11%。
详情
SolarWinds Attack Cost Impacted Companies an Average of $12 Million
https://heimdalsecurity.com/blog/solarwinds-attack-cost-impacted-companies-an-average-of-12-million/
SolarWinds黑客在丹麦央行藏匿数月
日期: 2021年06月30日
等级: 高
作者: Pierluigi Paganini
标签: Denmark’s central bank, SolarWinds
行业: 金融业
涉及组织: microsoft, solarwinds
俄罗斯黑客攻击了丹麦中央银行(丹麦国家银行)系统,并在其系统中藏匿了数月。
此次安全漏洞是由SolarWinds供应链攻击造成的,该攻击是由NobeliumAPT组织(又名APT29、CozyBear和TheDukes)实施的。
详情
SolarWinds hackers remained hidden in Denmark’s central bank for months
https://securityaffairs.co/wordpress/119527/cyber-warfare-2/denmarks-central-bank-solarwinds-hackers.html
相关安全建议
1. 积极开展外网渗透测试工作,提前发现系统问题
2. 减少外网资源和不相关的业务,降低被攻击的风险
3. 做好产品自动告警措施
4. 及时对系统及各个服务组件进行版本升级和补丁更新
5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
6. 注重内部员工安全培训
其它事件
CVE-2021-1675 RCE漏洞的PoC开始在网上流传
日期: 2021年06月29日
等级: 高
作者: Pierluigi Paganini
标签: Microsoft, Print Spooler, Windows, RCE, PoC
行业: 制造业
涉及组织: github, microsoft
CVE-2021-1675的验证漏洞代码(POC)已被在线发布,该漏洞会影响WindowsPrintSpooler服务,并且可以被攻击者利用危及Windows系统。
Microsoft通过Microsoft2021年6月补丁日发布了修补程序。
该漏洞存在于管理打印进程的PrintSpooler(spoolsv.exe)服务中,影响所有Windows操作系统版本
涉及漏洞
- CVE-2021-1675
详情
PoC exploit for CVE-2021-1675 RCE started circulating online
https://securityaffairs.co/wordpress/119502/hacking/2021-1675-rce-poc.html
WordPress插件漏洞能造成代码执行
日期: 2021年07月01日
等级: 高
作者: DORA TUDOR
标签: Wordpress, Plugin, Profilepress
行业: 信息传输、软件和信息技术服务业
涉及组织: wordpress
5月份,wordfence的研究人员发现了多个被分配到CVSS9.8分的wordpress插件漏洞。
这些漏洞使得攻击者有可能升级其用户权限并上传恶意代码,从而完全接管wordpress站点。
该插件是profilepress,这个插件是为了方便上传wordpress用户的个人资料图片,据wordfence称,它的安装量多达4万个。
涉及漏洞
- CVE-2021-34621
详情
Vulnerabilities Found in a WordPress Plugin Are Posing Remote Code Execution Risks
https://heimdalsecurity.com/blog/vulnerabilities-found-in-a-wordpress-plugin-are-posing-remote-code-execution-risks/
相关安全建议
1. 及时对系统及各个服务组件进行版本升级和补丁更新
2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
时间线
2021-07-05 360CERT发布安全事件周报
特制报告下载链接
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。
sirp_event_week
http://certdl.qihucdn.com/cert-public-file/【360CERT】安全事件周报_06月28日-07月04日/%!s(MISSING).pdf
猜你喜欢: