三六零CERT - 安全事件周報 (03.07-03.13)－鑽石舞台

趕緊點擊上方話題進行訂閱吧！

報告編號：B6-2022-031401

報告來源：360CERT

報告作者：360CERT

更新日期：2022-03-14

事件導覽

本周收錄安全熱點39項，話題集中在惡意程序、網絡攻擊方面，涉及的組織有：avast、Kronos、沃達豐、news corp等。對此，360CERT建議使用360安全衛士進行病毒檢測、使用360安全分析響應平台進行威脅流量檢測，使用360城市級網絡安全監測服務QUAKE進行資產測繪，做好資產自查以及預防工作，以免遭受黑客攻擊。

事件目錄

惡意程序YouTube上出現的Valorant遊戲社區中的外掛實際是惡意程序RedLineAndroid惡意軟件Escobar竊取用戶谷歌認證器MFA代碼美國財政部：俄羅斯可能使用勒索軟件支付繞過制裁新型惡意軟件RURansom Wiper攻擊俄羅斯數據安全沃達豐調查源代碼盜竊指控Lapsus$正在使用泄露的被盜Nvidia證書來隱藏惡意軟件Clearview AI因收集意大利人的生物識別數據而被罰款2000萬歐元網絡攻擊黑客組織GhostSec控制了俄羅斯100 多台打印機育碧軟件確認「網絡安全事件」並重置員工密碼俄羅斯國防公司 Rostec在遭受DDoS攻擊後關閉網站烏克蘭 IT 軍隊被信息竊取惡意軟件劫持俄羅斯黑客組織 KILLNET 入侵了 SBU 數據庫卡巴斯基代碼疑似被泄露俄羅斯聯邦數字化部報告了在其國家機構網站上網絡攻擊Rompetrol 加油站網絡受到 Hive 勒索軟件的攻擊FBI稱Ragnar Locker勒索軟件團伙入侵了 52 個美國關鍵基礎設施組織烏克蘭計算機應急響應小組警告稱，將有新的網絡釣魚攻擊烏克蘭公民烏克蘭政府網站因網絡攻擊而關閉安全漏洞HP企業設備固件中發現16個漏洞許多製造商的醫療設備受到「Access:7」漏洞的影響Microsoft 2022年3月補丁日關於新Linux漏洞"Dirty Pipe」的研究分析安全分析移動安全正面臨巨大威脅Avast發布勒索軟件Prometheus的免費解密軟件分析：如何通過亞馬遜自己的揚聲器遠程操縱Echo設備

惡意程序

YouTube上出現的Valorant遊戲社區中的外掛實際是惡意程序RedLine日期: 2022-03-12標籤: [信息技術 YouTube Valorant（遊戲社區） RedLine 外掛韓國美國文化傳播]

韓國安全研究人員發現了一個惡意軟件分發活動，該活動使用 YouTube 上的 Valorant遊戲社區中的外掛誘餌誘騙玩家下載信息竊取程序 RedLine。此次活動針對的是 Valorant 的遊戲社區，這是一款適用於 Windows 的免費第一人稱射擊遊戲，在視頻描述中提供了一個下載自動瞄準機器人的鏈接。嘗試下載視頻描述中的文件的用戶將被帶到 anonfiles 頁面，從中他們將獲得一個 RAR 存檔，其中包含一個名為「Cheat installer.exe」的可執行文件。該文件實際上是 RedLine 竊取程序的副本，它是部署最廣泛的密碼竊取惡意軟件感染之一。

詳情

https://t.co/0NsFdZ26Fc

Android惡意軟件Escobar竊取用戶谷歌認證器MFA代碼日期: 2022-03-12標籤: [Android 美國信息技術谷歌（Google） Escobar（Aberebot）]

Android銀行木馬Aberebot以「Escobar」的名義再次出現，並且還新增竊取 Google Authenticator 多因素身份驗證代碼、使用 VNC 控制受感染的 Android 設備、錄製音頻和拍照的功能。該木馬的主要目標是竊取足夠的信息，以允許黑客接管受害者的銀行賬戶、抽取可用餘額並執行未經授權的交易。Aberebot於2021 年夏天首次出現，因此新版本的出現表明該惡意軟件仍然在積極開發中。

詳情

https://t.co/W8mefWD6TX

美國財政部：俄羅斯可能使用勒索軟件支付繞過制裁日期: 2022-03-09標籤: [美國財政部金融犯罪執法網絡（FinCEN）俄烏戰爭俄羅斯烏克蘭美國金融業]

美國財政部金融犯罪執法網絡（FinCEN）本周警告美國金融機構，在俄羅斯入侵烏克蘭後，要密切關注逃避制裁和美國施加的限制的企圖。

FinCEN表示：重要的是"識別並快速報告與潛在逃避制裁相關的可疑活動，並進行適當的基於風險的客戶盡職調查，或在必要時加強盡職調查。此外金融機構還需要注意與俄羅斯有關的勒索軟件活動帶來的影響。

詳情

https://t.co/wQYuIODVzm

新型惡意軟件RURansom Wiper攻擊俄羅斯日期: 2022-03-08標籤: [俄羅斯信息技術 RURansom Wiper 俄烏戰爭]

在俄烏戰爭中，出現了針對俄羅斯的新型惡意軟件RURansom Wiper。惡意軟件RURansom Wiper使用 .NET 編程語言編寫，通過以「Россия-Украина_Война-Обновление.doc.exe」文件名將自身複製到所有可移動磁盤和映射的網絡共享中，以蠕蟲病毒的形式傳播。英文文件名讀作「Russia-Ukraine_War-Update.doc.exe」。

詳情

https://t.co/KekUjGXJ5S

相關安全建議

1. 在網絡邊界部署安全設備，如防火牆、IDS、郵件網關等

2. 做好資產收集整理工作，關閉不必要且有風險的外網端口和服務，及時發現外網問題

3. 及時對系統及各個服務組件進行版本升級和補丁更新

4. 包括瀏覽器、郵件客戶端、vpn、遠程桌面等在內的個人應用程序，應及時更新到最新版本

5. 各主機安裝EDR產品，及時檢測威脅

6. 注重內部員工安全培訓

7. 不輕信網絡消息，不瀏覽不良網站、不隨意打開郵件附件，不隨意運行可執行程序

8. 勒索中招後，應及時斷網，並第一時間聯繫安全部門或公司進行應急處理

數據安全

沃達豐調查源代碼盜竊指控日期: 2022-03-12標籤: [信息技術沃達豐（Vodafone ） Lapsus$ 數據泄漏源代碼泄露]

沃達豐在一群黑客聲稱他們從電信公司竊取了一百GB的源代碼後發起了調查。網絡犯罪組織稱自己為"Lapsus$"，聲稱已經獲得了大約200 GB的源代碼文件，代表了大約5000個GitHub存儲庫。根據一封電子郵件中的一份聲明，沃達豐證實它知道這種情況，並且已經開始調查。截至目前，黑客尚未暴露任何沃達豐聲稱被盜的源代碼。

詳情

https://t.co/C9Ai2N147X

Lapsus$正在使用泄露的被盜Nvidia證書來隱藏惡意軟件日期: 2022-03-09標籤: [遠程控制勒索攻擊美國信息技術英偉達（NVIDIA） Lapsus$ Cobalt Strike Beacon Mimikatz]

美國跨國公司英偉達（NVIDIA）遭受了Lapsus$勒索攻擊活動後拒絕支付贖金，Lapsus$後開始在線泄露敏感信息。

在 Lapsus$ 泄露了 NVIDIA 的代碼簽名證書後，網絡安全專家很快發現這些證書正被用於對惡意軟件和威脅行為者使用的其他工具進行簽名。Nvidia證書籤名的某些惡意軟件變體是在惡意軟件掃描服務VirusTotal上發現的。上傳的樣本發現它們被用來簽署黑客工具和惡意軟件，包括Cobalt Strike Beacon，Mimikatz，後門和遠程訪問木馬。

詳情

https://t.co/ahyAmLf02B

Clearview AI因收集意大利人的生物識別數據而被罰款2000萬歐元日期: 2022-03-09標籤: [意大利信息技術 Clearview AI 生物識別]

意大利隱私擔保人（GPDP）對Clearview AI處以2000萬歐元的罰款，原因是在未經人們同意的情況下在意大利實施了生物識別監控網絡。調查顯示，這家美國面部識別軟件公司維護着一個包含100億張人們面部圖像的數據庫，其中包括意大利人，他們的臉是從公共網站個人資料和在線視頻中提取的。

詳情

https://t.co/VmrFe8f2bL

相關安全建議

1. 及時備份數據並確保數據安全

2. 合理設置服務器端各種文件的訪問權限

3. 嚴格控制數據訪問權限

4. 及時檢查並刪除外泄敏感數據

5. 發生數據泄漏事件後，及時進行密碼更改等相關安全措施

6. 強烈建議數據庫等服務放置在外網無法訪問的位置，若必須放在公網，務必實施嚴格的訪問控制措施

網絡攻擊

黑客組織GhostSec控制了俄羅斯100 多台打印機日期: 2022-03-12標籤: [政府部門信息技術製造業 GhostSec Anonymous 俄羅斯烏克蘭]

作為 Anonymous 黑客組織的一部分，GhostSec 黑客組織已經控制了 100 多台俄羅斯政府和軍用打印機，並在上面打印了有關烏克蘭戰爭的信息 – BIZNES WPROST。

詳情

https://t.co/oNlZfL5Xjn

育碧軟件確認「網絡安全事件」並重置員工密碼日期: 2022-03-12標籤: [文化傳播育碧（Ubisoft） Lapsus$ 網絡攻擊]

視頻遊戲開發商Ubisoft已證實，它遭受了"網絡安全事件"，導致其遊戲，系統和服務中斷，其IT團隊正在調查研究同時該公司對全部員工密碼進行了重置。

該事件的消息是在最近的一波備受矚目的黑客攻擊中傳來的。英偉達於3月1日證實，它遭到黑客攻擊，並表示黑客正在泄露員工憑據和專有信息。三星在3月7日表示，黑客竊取了Galaxy設備的內部公司數據和源代碼。LAPSUS$黑客組織對這兩起違規行為負責。而此次事件幕後黑手也指向LAPSUS$。

詳情

https://t.co/YDulsBpkID

俄羅斯國防公司 Rostec在遭受DDoS攻擊後關閉網站日期: 2022-03-11標籤: [DDoS 俄烏戰爭烏克蘭IT軍隊烏克蘭俄羅斯政府部門信息技術 Rostec（俄羅斯國防公司）]

2022年3月11日，俄羅斯國有航空航天和國防集團 Rostec 表示，其網站因遭受網絡攻擊而被關閉。Rostec 的多個域和資源被指定為烏克蘭 IT 軍隊 Telegram 頻道中分布式拒絕服務 (DDoS) 攻擊的目標。而自二月以來，在俄烏戰爭還未打響前，Rostec的網站就一直受到攻擊。Rostec 稱其網站很快恢復在線，並將這次襲擊歸咎於烏克蘭IT軍隊。

詳情

https://t.co/WeI0SptlOJ

烏克蘭 IT 軍隊被信息竊取惡意軟件劫持日期: 2022-03-11標籤: [俄烏戰爭烏克蘭IT軍隊烏克蘭俄羅斯信息技術思科（Cisco） disBalancer Liberator]

親烏克蘭的行為者應當警惕下載 DDoS 工具來攻擊俄羅斯，因為他們可能被信息竊取惡意軟件所困。Cisco檢測到 Telegram 上提供 DDoS 工具的帖子實際上加載了惡意軟件。一個名為「Liberator」的工具是由一個自稱為「disBalancer」的組織提供的，旨在對不知情用戶進行信息竊取。在這種情況下，惡意軟件會轉儲各種憑證和大量與加密貨幣相關的信息，包括錢包和元掩碼信息，這些信息通常與不可替代令牌 (NFT) 相關聯。由於這一惡意活動的幕後黑客組織自去年 11 月以來就一直在散布信息竊取程序，所以此次活動背後的黑客不是原來的黑客組織，而是那些希望從烏克蘭戰爭中快速賺錢的黑客。

詳情

https://t.co/5SzCg4wsS3

俄羅斯黑客組織 KILLNET 入侵了 SBU 數據庫日期: 2022-03-11標籤: [SBU Killnet 數據庫俄烏戰爭俄羅斯政府部門]

2022年3月11日，俄羅斯黑客組織KILLNET對49497人的SBU完整檔案數據庫進行了黑客攻擊，有關頓巴斯特別行動的秘密文件、影響囚犯的方法（包括酷刑）以及有關烏克蘭納粹組織的信息被暴露。

詳情

https://t.co/FYKepq4W3e

卡巴斯基代碼疑似被泄露日期: 2022-03-09標籤: [美國信息技術政府部門美國國家安全局（NSA）卡巴斯基（Kaspersky） The Shadow Brokers]

2022年3月9日，黑客@Nb65Lead在Twitter上稱來自其生產、質量保證和暫存服務器的卡巴斯基代碼被泄露。@UID_猜測此次攻擊背後的黑客團隊是The Shadow Brokers，這可能和美國國家安全局（NSA）相關。因為卡巴斯基曾獲取到了NSA的秘密並將其泄露給了俄羅斯情報部門。

詳情

https://t.co/XT32Y7Wblk

俄羅斯聯邦數字化部報告了在其國家機構網站上網絡攻擊日期: 2022-03-09標籤: [俄羅斯聯邦數字化部網絡攻擊俄烏戰爭俄羅斯莫斯科政府部門]

2022年3月9日，俄羅斯聯邦數字化部報告了破壞網站服務的黑客行為，該服務目前已集成到許多國家機構的網站上，可以在一小時內恢復服務的工作。

在這次攻擊中，黑客入侵了從外部資源上傳應用程序到國家機構網站。破壞小部件後，黑客能夠在網站頁面上發布不正確的內容。統計部強調，這一事件很快就被本地化了，並指出目前在國家機構的網站上正在進行持續的網絡攻擊。

詳情

https://t.co/coR5mKkKDW

Rompetrol 加油站網絡受到 Hive 勒索軟件的攻擊日期: 2022-03-07標籤: [羅馬尼亞國家網絡安全局 (DNSC) Hive 勒索攻擊羅馬尼亞能源業 Rompetrol KMG]

2022年3月6日21:00（當地時間）左右檢測到羅馬尼亞的 Rompetrol 加油站網絡遭到勒索軟件Hive 的攻擊。2022年3月7日，羅馬尼亞的石油供應商 Rompetrol 承認受到了此次攻擊。Rompetrol 是羅馬尼亞最大的煉油廠 Petromidia Navodari 的運營商，該煉油廠的年加工能力超過 500 萬噸，是KMG 的子公司。Hive 勒索軟件團伙是此次攻擊的幕後黑手，並且還要求 Rompetrol 支付 200 萬美元的贖金，以接收解密器並且不泄露據稱被盜的數據。目前，羅馬尼亞國家網絡安全局 (DNSC)已經參與調查。

詳情

https://t.co/c6I5DEGPCS

FBI稱Ragnar Locker勒索軟件團伙入侵了 52 個美國關鍵基礎設施組織日期: 2022-03-07標籤: [政府部門能源業金融業美國聯邦調查局 (FBI) 勒索攻擊美國信息技術製造業 Ragnar Locker]

2022年3月7日，美國聯邦調查局 (FBI) 表示，截至 2022 年 1 月，FBI 已在 10 個關鍵基礎設施領域確定至少 52 個實體受 RagnarLocker 勒索軟件影響，包括關鍵製造業、能源、金融服務、政府和信息技術領域的實體。FBI還表示不鼓勵向 Ragnar Locker 支付贖金，因為受害者無法保證支付將防止被盜數據泄露或未來的攻擊。相反，贖金支付將進一步激勵勒索軟件團伙瞄準更多受害者，並激勵其他網絡犯罪活動加入並發起他們自己的勒索軟件攻擊。

詳情

https://t.co/8l2EE55mDq

烏克蘭計算機應急響應小組警告稱，將有新的網絡釣魚攻擊烏克蘭公民日期: 2022-03-07標籤: [信息技術烏克蘭計算機應急響應小組（CERT-UA）郵件釣魚俄烏戰爭烏克蘭俄羅斯印度]

烏克蘭計算機應急響應小組（CERT-UA）警告稱，將有新的網絡釣魚攻擊使用印度實體泄露的電子郵件帳戶攻擊烏克蘭公民，目的是破壞他們的收件箱並竊取敏感信息。這些電子郵件的主題為「Увага」（意為「注意」），並聲稱來自名為 Ukr.net 的國內電子郵件服務，而實際上，發件人的電子郵件地址是「muthuprakash.b@」 tvsrubber[.]com。」該機構表示：「所有這些郵箱都已被入侵，並被俄羅斯聯邦的特殊服務部門用來對烏克蘭公民進行網絡攻擊。」

詳情

https://t.co/g7xy7554pN

烏克蘭政府網站因網絡攻擊而關閉日期: 2022-03-07標籤: [烏克蘭俄羅斯政府部門 RaHDit 俄烏戰爭]

2022年3月7日，烏克蘭國家當局的網站已經停止工作。目前，無法訪問烏克蘭總統的網站以及 gov.ua 域上的資源。消息人士稱，原因是俄羅斯黑客組織 RaHDit 發起的大規模網絡攻擊。此次攻擊共有 755 個 gov.ua 域的烏克蘭當局網站下線。

詳情

https://t.co/SntjIeQqn9

相關安全建議

1. 積極開展外網滲透測試工作，提前發現系統問題

2. 減少外網資源和不相關的業務，降低被攻擊的風險

3. 做好產品自動告警措施

4. 及時對系統及各個服務組件進行版本升級和補丁更新

5. 包括瀏覽器、郵件客戶端、vpn、遠程桌面等在內的個人應用程序，應及時更新到最新版本

6. 注重內部員工安全培訓

安全漏洞

HP企業設備固件中發現16個漏洞日期: 2022-03-09標籤: [製造業信息技術惠普（HP）]

固件安全公司 Binarly 發現了十多個潛在的嚴重漏洞，這些漏洞影響 HP 和其他供應商的設備上的 UEFI 固件，進而影響了惠普製造的各種企業產品，包括台式機、筆記本電腦、銷售點和邊緣計算設備。這些漏洞共分配了16個cve編號，包含 UEFI 運行時驅動程序執行環境 (DXE) 和系統管理模式 (SMM) 組件的堆棧溢出、堆溢出和內存損壞錯誤。HP還表示，利用這些漏洞可導致拒絕服務 (DoS) 和信息泄露。

詳情

https://t.co/tvawvXJFyf

許多製造商的醫療設備受到「Access:7」漏洞的影響日期: 2022-03-08標籤: [Access:7 供應鏈衛生行業信息技術金融業製造業]

據企業安全公司 Forescout 稱，許多物聯網和醫療設備受到遠程管理平台Axeda（被廣泛使用）中發現的七個潛在嚴重供應鏈漏洞（統稱為「Access:7」）的影響。其中3個漏洞可用於遠程代碼執行，它們被評為「嚴重」。其他3個漏洞中，2個可用於 DoS 攻擊，1個用於獲取信息，均已被評為「高嚴重性」。這些漏洞影響了來自 100 多家製造商的 150 多種設備型號。大多數受影響的供應商位於醫療保健行業 (55%)，其次是物聯網 (24%)、IT (8%)、金融服務 (5%) 和製造業 (4%)。

詳情

https://t.co/46qWegKpiP

Microsoft 2022年3月補丁日日期: 2022-03-08標籤: [信息技術微軟（Microsoft）補丁日]

2022年3月8日，是微軟 2022 年 3 月補丁日，微軟修復了71 個漏洞，以及3個0day漏洞（目前未被積極利用）。下面是本次修復的不同漏洞類型及其數量：

• 提權漏洞25個

• 安全功能繞過漏洞3個

• 個遠程代碼執行漏洞29個

• 信息披露漏洞6個

• 拒絕服務漏洞4個

• 欺騙漏洞3個

• Edge - Chromium 漏洞21個

詳情

https://t.co/Rvbux8DG53

關於新Linux漏洞"Dirty Pipe」的研究分析日期: 2022-03-07標籤: [信息技術漏洞分析]

2022年3月7日，安全研究員Max Kellermann披露了"Dirty Pipe"漏洞，並表示它會影響Linux Kernel 5.8及更高版本，在Android設備上也是如此。

該漏洞被跟蹤為 CVE-2022-0847，允許非特權用戶注入和覆蓋只讀文件中的數據，包括以 root 用戶身份運行的 SUID 進程。

詳情

https://t.co/BI09OdXazp

相關安全建議

1. 及時對系統及各個服務組件進行版本升級和補丁更新

2. 包括瀏覽器、郵件客戶端、vpn、遠程桌面等在內的個人應用程序，應及時更新到最新版本

安全分析

移動安全正面臨巨大威脅日期: 2022-03-09標籤: [信息技術]

Zimperium的安全專家Ashish Patel於2022年3月9日表示，如今是黑客製造移動威脅的好時機。隨着移動設備在我們的日常生活中變得越來越重要，黑客正在抓住企業攻擊面中易受攻擊的盲點。移動設備現在在企業 IT 中占據中心位置，60% 的企業端點都是移動設備。此外，80% 的日常工作是在移動設備上完成的。而移動威脅通常來自應用商店，其中許多類型的移動惡意軟件隱藏為合法應用。過去一年半，數字化轉型蓬勃發展。移動和大規模遠程工作可能會成為新冠疫情後工作的嵌入特徵。移動設備現在是企業攻擊面的基本組成部分。它們遠遠超出了大多數企業安全控制的範圍。然而許多黑客已經意識到這一點，但各企業還沒有。

詳情

https://t.co/C1t3qGYsxN

Avast發布勒索軟件Prometheus的免費解密軟件日期: 2022-03-09標籤: [Avast Prometheus 勒索軟件解密]

2022年3月9日，安全研究團隊Avast發布了勒索軟件Prometheus的免費解密軟件。Prometheus 是一種用 C# 編寫的勒索軟件，試圖通過殺死各種進程（如數據包嗅探、調試或檢查PE文件的工具）來阻止惡意軟件分析，可以完全使用戶與他們的計算機隔離。

詳情

https://t.co/TynVXfwFiF

分析：如何通過亞馬遜自己的揚聲器遠程操縱Echo設備日期: 2022-03-08標籤: [亞馬遜信息技術批發零售亞馬遜（Amazon ）]

倫敦大學（University of London）和卡塔尼亞大學（University of Catania）的研究人員介紹了如何將亞馬遜Echo設備武器化，以破解自己，其中利用了被稱為"Alexa vs. Alexa"的漏洞。文章介紹了如何讓Alexa黑客自己以及智能揚聲器特別容易受到攻擊。

詳情

https://t.co/d82QYhDdsN

產品側解決方案

若想了解更多信息或有相關業務需求，可移步至http://360.net