安全事件周报（01.2501.31）

0x01事件导览

本周收录安全热点12项，话题集中在恶意程序、数据泄露方面，涉及的组织有：Perl、Linux、Google。恶意软件应对策略初见成效，顶级勒索厂商陆续被关停。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02恶意程序

恶意软件Emotet被警方破坏

日期: 2021年01月27日
等级: 高
作者: Danny Palmer
标签: Europol, FBI, National Crime Agency, Emotet, Disrupted
行业: 跨行业事件

在进行了为期两年的全球执法行动之后，世界上最多产，最危险的恶意软件僵尸网络已被关闭。 欧洲刑警组织，联邦调查局，英国国家犯罪局等采取了协调一致的行动，调查人员控制了Emotet的基础设施。 Emotet最初于2014年成为银行木马，但后来演变为网络犯罪分子使用的最强大的恶意软件之一。

详情

Emotet: The world’s most dangerous malware botnet was just disrupted by a major police operation

Perl.com网站域名被盗，现在解析的IP地址指向恶意软件

日期: 2021年01月29日
等级: 高
作者: Lawrence Abrams
标签: Perl, Domain Stolen
行业: 跨行业事件
涉及组织: perl, google

域名perl.com网站被盗，指向与恶意软件活动相关的IP地址。Perl.com网站是Perl基金会拥有的一个网站，自1997年以来一直用于发布有关Perl编程语言的新闻和文章。1月27日，PerlNOC网站发布perl.com网站域被劫持的消息，正将用户指向另一个IP地址。这个perl.com网站该网站最初托管在IP地址151.101.2.132，但由于被劫持，解析目标变成了谷歌云IP地址35.186.238[.]101。

IOC

Ip

– 35.186.238.101

详情

Perl.com domain stolen, now using IP address tied to malware

美国指控NetWalker勒索软件附属公司并没收赎金

日期: 2021年01月27日
等级: 高
作者: Ionut Ilascu
标签: Netwalker, Canadian, U.S. Justice Department, Ransom, Dark Web
行业: 信息传输、软件和信息技术服务业
涉及组织: netwalker

美国司法部2021年1月27日宣布中断了Netwalker勒索软件的运作，并起诉了一名涉嫌参与文件加密勒索攻击的加拿大公民。 美国和保加利亚的执法部门在暗网上查获了Netwalker网站，这些网站上泄露了那些拒绝支付赎金的受害者的数据。 除了没收暗网网站以外，美国司法部表示，加蒂诺的加拿大公民塞巴斯蒂安·瓦肖恩·德斯贾尔丁斯丁(SebastienVachon-Desjardins)被指控与Netwalker勒索软件攻击有关。

详情

US charges NetWalker ransomware affiliate, seizes ransom payments

针对云应用的加密劫持恶意软件获得了新的升级、蠕虫功能

日期: 2021年01月28日
等级: 高
作者: Derek B. Johnson
标签: Monero, Rocke Group, Cloud, Pro-Ocean
行业: 信息传输、软件和信息技术服务业
涉及组织: cisco, redis, oracle

Pro-Ocean在2018年和2019年一直被用于从受感染的Linux机器上非法开采Monero币。Pro-Ocean由四个模块组成，每个模块的设计都是为了进一步实现不同的目标：隐藏恶意软件、挖掘Monero、感染更多的应用程序以及搜索和禁用消耗CPU的其他进程，以便恶意软件能够更有效地挖掘。它利用apacheactivemq、oracleweblogic、Redis和其他云应用程序中已知的、存在多年的漏洞，在云环境中部署一个隐藏的XMRigminer。该软件还可以更新和定制，以攻击其他云应用程序。近几年被研究人员曝光后，该软件进行了更新，最新版本的恶意软件还使用了一些新的模糊层进行隐藏。

详情

Cryptojacking malware targeting cloud apps gets new upgrades, worming capability

Fonix Crypter勒索软件发布主解密密钥

日期: 2021年01月30日
等级: 高
作者: Catalin Cimpanu
标签: FonixCrypter, Twitter
行业: 跨行业事件
涉及组织: twitter

FonixCrypter勒索软件背后的网络犯罪组织在Twitter上宣布，他们已经删除了勒索软件的源代码，并计划停止他们的勒索运营。FonixCrypter团伙还发布了一个包含解密工具、操作说明和勒索软件主解密密钥的软件包。以前受感染的用户可以使用这些文件免费解密和恢复他们的文件，而无需支付解密密钥的费用。

详情

FonixCrypter ransomware gang releases master decryption key

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 各主机安装EDR产品，及时检测威胁

3. 不盲目信任云端文件及链接

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x03数据安全

VIPGames泄密案曝光2300万玩家记录

日期: 2021年01月26日
等级: 高
作者: Becky Bracken
标签: VIPGames, Leak, Cloud Misconfiguration, Personal Data
行业: 信息传输、软件和信息技术服务业
涉及组织: wizcase, amazon, twitter, google, elasticsearch

VIPGames.com是一个免费平台，共有56款经典棋牌游戏，暴露了成千上万用户的个人数据。WizCase的一份最新报告显示，由于云计算配置不当，总共有超过66000名用户的2300万条数据被曝光。 该网站未受保护的服务器泄露的数据超过30GB的数据，包括用户名、电子邮件、IP地址、散列密码、Facebook、Twitter和谷歌ID、赌注，甚至是被禁止进入该平台的玩家的数据。

详情

23M Gamer Records Exposed in VIPGames Leak

网上有出售1.76亿巴基斯坦手机用户的数据库

日期: 2021年01月27日
等级: 高
作者: Waqas
标签: Pakistani, Mobile Phone Users, Database, Sold Online
行业: 信息传输、软件和信息技术服务业
涉及组织: facebook

一名网络犯罪分子正在出售一个据称包含超过1.76亿巴基斯坦公民个人信息的数据库。

显然，该数据库是一个属于该国不同电信公司的数据汇总，一同出售。

目前，巴基斯坦的一些主要电信公司包括Zong，Warid，Ufone，Telenor和Jazz（以前称为Mobilink＆Warid）。

该数据库不是从任何特定的电信公司窃取的。这可能是非法数据回收技术的结果，也可能是政府官员/电信部门内部人士出售的。

详情

Database of 176 million Pakistani mobile phone users sold online

荷兰COVID-19患者数据在地下出售

日期: 2021年01月25日
等级: 高
作者: Catalin Cimpanu
标签: Dutch, Data Sold, Criminal Underground, Dutch Health Ministry
行业: 卫生和社会工作

荷兰警方2021年1月22日逮捕了两名犯罪人员，原因是他们涉嫌向地下犯罪团伙出售荷兰卫生部的COVID-19系统的数据。

据称，这些数据已经在网上销售了数月，价格从每人30欧元到50欧元不等。

买家会收到详细的数据信息，例如家庭住址，电子邮件，电话号码，出生日期和BSN标识符（荷兰社会保险号）。

详情

Dutch COVID-19 patient data sold on the criminal underground

BuyUcoin加密货币交易所的数据在网上泄露

日期: 2021年01月25日
等级: 高
作者: Charlie Osborne
标签: BuyUcoin, ShinyHunters, Cryptocurrency, Leaked
行业: 金融业
涉及组织: buyucoin, whatsapp

据报道，BuyUcoin加密货币交易所的数据泄露导致用户信息在地下被泄露。 据称，用户的姓名、电子邮件地址、电话号码、加密货币交易记录和银行详细信息可能已被泄露，多达32万名用户受到影响， 据称该数据是ShinyHunters泄露的，ShinyHunters以出售失窃的公司数据库为名。

详情

Data of BuyUcoin cryptocurrency exchange traders allegedly leaked online

相关安全建议

1. 及时备份数据并确保数据安全

2. 条件允许的情况下，设置主机访问白名单

3. 合理设置服务器端各种文件的访问权限

0x04网络攻击

朝鲜黑客通过社交媒体锁定安全研究人员

日期: 2021年01月26日
等级: 高
作者: Catalin Cimpanu
标签: Google, North Korean, Social Media, Security Researchers, Visual Studio
行业: 跨行业事件
涉及组织: google

Google在2021年1月26日表示，一个朝鲜政府黑客组织已将从事漏洞研究的网络安全社区作为攻击目标。 在2021年1月26日发布的一份报告中，Google表示，朝鲜黑客利用Twitter、LinkedIn、Telegram、Discord和Keybase等社交网络上的多个个人资料，利用虚假的角色接触安全研究人员。 在建立初步沟通后，参与者询问目标研究人员是否想一起进行漏洞研究，然后向研究人员提供VisualStudio项目。VisualStudio项目包含将恶意软件安装在目标研究人员的操作系统上的恶意代码。 该恶意软件充当后门，与远程命令和控制服务器联系并等待命令。

详情

Google: North Korean hackers have targeted security researchers via social media

Volatile Cedar 黑客组织瞄准全球的电信、主机和ISP

日期: 2021年01月29日
等级: 高
作者: The Hacker News
标签: Hezbollah, Telecoms, ISP, APT
行业: 信息传输、软件和信息技术服务业

一个APT组织用新版远程访问木马（RAT）对其恶意软件库进行了重组，以打入全球公司并提取有价值的信息。以色列网络安全公司ClearSky研究小组发表的一份新报告说，自2020年初以来，该公司发现至少250个面向公众的网络服务器遭到黑客攻击。这些黑客袭击了位于美国、英国、埃及、约旦、黎巴嫩、沙特阿拉伯、以色列和巴勒斯坦权力机构的众多公司，其中大多数代表电信运营商的受害者（Etisalat,Mobily,Vodafone）、互联网服务提供商（SAUNID、TE数据），以及托管和基础设施服务提供商（SecuredServersLLC，iomart）。

涉及漏洞

– CVE-2012-3152

– CVE-2019-3396

– CVE-2019-11581

详情

Hezbollah Hacker Group Targeted Telecoms, Hosting, ISPs Worldwide

相关安全建议

1. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

2. 积极开展外网渗透测试工作，提前发现系统问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 注重内部员工安全培训

0x05其它事件

Linux SUDO漏洞允许本地用户获得root权限

日期: 2021年01月26日
等级: 高
作者: Sergiu Gatlan
标签: Sudo, CVE-2021-3156, Buffer Overflow
行业: 信息传输、软件和信息技术服务业
涉及组织: qualys

Sudo是一个Unix程序，它使系统管理员能够向sudoers文件中列出的普通用户提供有限的root权限，同时保留他们的活动日志。

在sudo解析命令行参数的方式中发现了基于堆的缓冲区溢出。

任何本地用户（普通用户和系统用户，sudoer和非sudoers）都可以利用此漏洞，而无需进行身份验证，攻击者不需要知道用户的密码。

成功利用此漏洞可以获得root权限。

涉及漏洞

– CVE-2019-14287

– CVE-2021-3156

详情

New Linux SUDO flaw lets local users gain root privileges

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x06产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x07时间线

2021-02-01 360CERT发布安全事件周报

0x08特制报告下载链接

一直以来，360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务，现360CERT正式推出安全通告特制版报告，以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

安全事件周报 (01.25-01.31)

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ，并附上您的 公司名、姓名、手机号、地区、邮箱地址。