安全事件周报（05.3106.06）

0x01   事件导览

本周收录安全热点13项，话题集中在恶意软件、漏洞信息方面，涉及的组织有：JBS Foods、VMware、HUAWEI、瑞典卫生局等。勒索软件重创食品加工行业，APT式特定目标勒索如何防护是重中之重。对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   恶意程序

食品巨头JBS Foods遭受勒索软件攻击后停产

日期: 2021年05月31日
等级: 高
作者: Sergiu Gatlan
标签: JBS Foods, Meat
行业: 制造业

JBS目前是全球最大的牛肉和家禽生产商，也是全球第二大猪肉生产商，在美国、澳大利亚、加拿大、英国等地都有业务。在一次网络攻击后，该公司不得不在全球多个地点停产。这起事件影响了包括美国、澳大利亚和加拿大在内的全球多家JBS生产设施。

详情

Food giant JBS Foods shuts down production after cyberattack

美国：JBS遭受勒索软件攻击背后可能是俄罗斯攻击者

日期: 2021年06月01日
等级: 高
作者: Sergiu Gatlan
标签: White House, JBS, Russia
行业: 制造业
涉及组织: JBS

白宫证实，世界最大的牛肉生产商JBS遭到勒索软件袭击，袭击者可能来自俄罗斯。虽然该公司已经发表了一份官方声明，称其北美和澳大利亚的一些IT系统受到网络攻击的影响，但并未称之为勒索软件攻击。不过白宫首席副新闻秘书皮埃尔对记者说，总部设在巴西的JBS证实收到了可能来自俄罗斯的袭击者的赎金要求。联邦调查局已经开始调查这一事件，美国政府已经开始与俄罗斯政府联系。

详情

US: Russian threat actors likely behind JBS ransomware attack

Android恶意软件窃取银行信息

日期: 2021年06月01日
等级: 高
作者: Danny Palmer
标签: Android, TeaBot, Anatsa
行业: 信息传输、软件和信息技术服务业

TeaBot（也称为Anatsa）能够完全远程控制Android设备，允许网络犯罪分子借助键盘记录和窃取身份验证码来窃取银行信息和其他敏感信息。该恶意软件于去年12月首次出现，至今仍然在传播。TeaBot还试图通过伪装成流行应用程序诱骗受害者下载恶意软件。

详情

This Android trojan malware is using fake apps to infect smartphones, steal bank details

FBI将JBS遭受的勒索软件攻击归咎于REvil

日期: 2021年06月03日
等级: 高
作者: Chris Duckett
标签: JBS, REvil, FBI
行业: 制造业
涉及组织: JBS

美国联邦调查局（FBI）发表简短声明，将最近发生的JBS遭受勒索软件事件归咎于REvil。作为打击网络威胁的主要联邦调查机构，打击网络犯罪是联邦调查局的最高优先事项之一。目前已经将JBS的攻击归咎于REvil和Sodinokibi，并正在努力将攻击者绳之以法。

详情

FBI attributes JBS ransomware attack to REvil

马萨诸塞州最大的渡轮服务遭遇勒索软件攻击

日期: 2021年06月03日
等级: 高
作者: Sergiu Gatlan
标签: Steamship Authority, Attack
行业: 交通运输、仓储和邮政业

马萨诸塞州最大的渡轮服务公司轮船管理局（SteamshipAuthority）遭到勒索软件攻击，导致售票和预订中断。在发布的最新消息中，轮船管理局表示，他们仍在努力恢复服务。

详情

Massachusetts’ largest ferry service hit by ransomware attack

俄罗斯黑客利用新的SkinnyBoy恶意软件入侵敏感组织

日期: 2021年06月03日
等级: 高
作者: Ionut Ilascu
标签: SkinnyBoy, Fancy Bear
行业: 政府机关、社会保障和社会组织

安全研究人员发现了一个名为SkinnyBoy的新恶意软件，该软件用于俄语黑客组织APT28的鱼叉式网络钓鱼活动。在早些时候，这个名为“花式熊”（FancyBear）的恐怖分子在针对军方和政府机构的攻击中使用了SkinnyBoy。SkinnyBoy用于攻击的中间阶段，用于收集有关受害者的信息，并从指挥与控制（C2）服务器检索下一个有效负载。

详情

New SkinnyBoy malware used by Russian hackers to breach sensitive orgs

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

0x03   网络攻击

研究人员发现了针对韩国政府的黑客行动

日期: 2021年06月02日
等级: 高
作者: The Hacker News
标签: North Korean, Android, Kimsuky
行业: 政府机关、社会保障和社会组织

一名自2012年以来活跃的朝鲜攻击者一直在幕后策划一场新的间谍活动，目标是与韩国相关的高级政府官员，通过安装安卓和Windows后门以收集敏感信息。网络安全公司Malwarebytes追踪这一活动并定位到一名叫Kimsuky的攻击者，其攻击目标包括韩国互联网与安全局（KISA）、外交部、斯里兰卡驻斯里兰卡大使馆大使、国际原子能机构（IAEA）核安全官员、韩国驻香港总领事馆副总干事、国立首尔大学和大信证券。

详情

Researchers Uncover Hacking Operations Targeting Government Entities in South Korea

瑞典卫生局在黑客攻击后关闭 SmiNet

日期: 2021年05月31日
等级: 高
作者: Sergiu Gatlan
标签: The Swedish Public Health Agency, SmiNet, COVID-19
行业: 卫生和社会工作

瑞典公共卫生署（SwedishPublicHealthAgency）关闭了该国传染病数据库SmiNet，SmiNet也被用来存储有关COVID-19感染的电子报告，此前该数据库曾多次遭到黑客攻击。瑞典公共卫生署发现，2021年5月底有人试图入侵SmiNet数据库。因此，该数据库已暂时关闭。

详情

Swedish Health Agency shuts down SmiNet after hacking attempts

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

0x04   其它事件

拜登敦促俄罗斯停止窝藏勒索团伙

日期: 2021年06月03日
等级: 高
作者: Joe Uchill
标签: White House, Biden, Moscow, Russia
行业: 政府机关、社会保障和社会组织

在白宫新闻发布会上，新闻秘书詹·普萨基告诉记者，拜登总统将在即将与俄罗斯总统普京举行的峰会上提到莫斯科对本国勒索软件业的不作为。在其他地方，美国国务卿布林肯（antonyblinken）表示，俄罗斯需要为其境内的犯罪分子承担责任。

详情

Biden presses Russia to stop harboring ransomware gangs

攻击者扫描未修补的VMware vCenter服务器，PoC可用

日期: 2021年06月04日
等级: 高
作者: Sergiu Gatlan
标签: VMware, RCE, vCenter
行业: 信息传输、软件和信息技术服务业
涉及组织: vmware

攻击者正在大肆扫描暴露在互联网上的VMwarevCenter服务器，这些服务器未针对影响所有vCenter的严重远程代码执行（RCE）漏洞进行修补。并且安全研究人员还开发并发布了针对VMwarevCenter漏洞（CVE-2021-21985）的PoC。

涉及漏洞

– CVE-2021-21972

– CVE-2021-21985

攻击方式

– Compromise Application Executable

详情

Attackers scan for unpatched VMware vCenter servers, PoC exploit available

华为USB LTE加密狗易受权限提升攻击

日期: 2021年06月02日
等级: 高
作者: Ax Sharma
标签: USB, Huawei
行业: 信息传输、软件和信息技术服务业
涉及组织: huawei

USB加密狗是一种可以插入笔记本电脑和台式电脑的硬件，很像一个USB驱动器，可以访问互联网。但是，在USB加密狗快速分析华为LTE设备驱动程序的同时，Trustwave研究人员发现了一个不正确权限的案例。Trustwave的安全研究经理martinrakhmanov透露了他对华为的USBLTE加密狗E3372的特权提升漏洞的研究结果。在浏览由加密狗安装在MacOSX机器上的驱动程序文件时，研究人员发现每次插入USB加密狗时都会有一些文件会自动运行，并且这些文件是以完全权限运行的（777）。当攻击者将恶意代码写入文件，具有权限的用户访问后，就会导致本地权限提升。

详情

Huawei USB LTE dongles are vulnerable to privilege escalation attacks

CODESYS工业自动化软件中发现10个严重漏洞

日期: 2021年06月04日
等级: 高
作者: The Hacker News
标签: CODESYS, PLC, CVE
行业: 跨行业事件

网络安全研究人员披露了多达10个影响CODESYS自动化软件的严重漏洞，这些漏洞可被利用在可编程逻辑控制器（PLC）上远程执行代码。安全技术人员说：“要利用这些漏洞，攻击者不需要用户名或密码，有网络接入工业控制器就足够了。”

涉及漏洞

– CVE-2021-30193

– CVE-2021-30189

– CVE-2021-30191

– CVE-2021-30194

– CVE-2021-30188

– CVE-2021-30186

– CVE-2021-30192

– CVE-2021-30195

– CVE-2021-30190

– CVE-2021-30187

详情

10 Critical Flaws Found in CODESYS Industrial Automation Software

谷歌发现改变芯片内存的新漏洞

日期: 2021年06月04日
等级: 高
作者: Prajeet Nair
标签: Google, Rowhammer
行业: 制造业

谷歌的研究人员发现了一种新的Rowhammer技术，称为半双工技术，它利用现代DRAM芯片的设计漏洞来改变内存内容。Rowhammer于2014年首次发现，是一个DRAM漏洞，重复访问一个地址可能会篡改存储在其他地址中的数据。

详情

Google Finds New Exploit That Alters Chip Memory

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

0x05   产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x06   时间线

2021-06-07 360CERT发布安全事件周报

0x07   特制报告下载链接

一直以来，360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务，现360CERT正式推出安全通告特制版报告，以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

安全事件周报 (05.31-06.06)

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ，并附上您的 公司名、姓名、手机号、地区、邮箱地址。