報告編號:B6-2020-122101
更新日期:2020-12-21
0x02 惡意程式Symrise在Clop勒索軟體攻擊後停止了生產
日期: 2020年12月20日等級: 高作者: Lawrence Abrams標籤: Symrise, Clop, Ransomware2020年12月,Symrise遭受了一次Clop勒索軟體攻擊,據稱攻擊者竊取了500GB的未加密檔案,並加密了近1000臺裝置。 Symrise 是全球30000多個產品中使用的香料和香料的主要開發商,包括雀巢、可口可樂和聯合利華的產品。2019年,Symrise實現了34億歐元的收入,員工超過10000人。
詳情
Flavors designer Symrise halts production after Clop ransomware attack
https://www.bleepingcomputer.com/news/security/flavors-designer-symrise-halts-production-after-clop-ransomware-attack/
駭客組織濫用Google和Facebook服務部署惡意軟體
日期: 2020年12月14日等級: 高作者: Ionut Ilascu標籤: Molerats, Phishing, Gaza Cybergang, SharpStage, DropBookMolerats 網路駭客組織在最近的魚叉式釣魚活動中一直使用依賴 Dropbox , GoogleDrive 和 Facebook 的新的惡意軟體,透過該惡意軟體能執行命令、儲存被盜的資料。該駭客組織從2012年就開始活躍。Molerats在最近的釣魚攻擊中使用了兩個新的後門, SharpStage 和 DropBook ,以及 MoleNet 。
詳情
Hacking group’s new malware abuses Google and Facebook services
https://www.bleepingcomputer.com/news/security/hacking-group-s-new-malware-abuses-google-and-facebook-services/
勒索軟體攻擊導致密蘇里市賬單延遲
日期: 2020年12月15日等級: 高作者: Lawrence Abrams標籤: The City of Independence, Ransomware, Attack密蘇里州獨立市2020年12月7日遭遇勒索軟體攻擊,迫使他們在攻擊中關閉自己的IT系統。
研究人員表示,他們正在執行完整的系統掃描,並從可用備份中還原被加密的計算機。
還原的過程正在進一步恢復城市的服務,包括髮送公用事業賬單和線上支付等服務。
詳情
Ransomware attack causing billing delays for Missouri city
https://www.bleepingcomputer.com/news/security/ransomware-attack-causing-billing-delays-for-missouri-city/
挪威郵輪公司Hurtigruten遭到勒索軟體襲擊
日期: 2020年12月15日等級: 高作者: Pierluigi Paganini標籤: Hurtigruten, Norwegian, Cruise Company, Ransomware, Cyberattack挪威郵輪公司Hurtigruten的首席數字官在一份宣告中說:“Hurtigruten的整個全球數字基礎設施都受到了勒索軟體的攻擊,這是一次嚴重的攻擊。”
該公司在2020年12月12日晚發現了這次攻擊,該公司的系統被一個勒索軟體感染。
該公司的網站被攻擊後顯示一條訊息,“抱歉,該網站目前無法正常工作”。
詳情
Norwegian cruise company Hurtigruten was hit by a ransomware
https://securityaffairs.co/wordpress/112320/malware/cruise-company-hurtigruten-ransomware.html
Gitpaste-12蠕蟲擴大了攻擊範圍
日期: 2020年12月15日等級: 高作者: Lindsey O'Donnell標籤: GitHub, Monero, Gitpaste-12, Worm, PastebinGitpaste-12 殭屍網路蠕蟲主要針對Web應用程式,IP攝像機和路由器。 Gitpaste-12 是在2020年10月下旬針對基於 Linux 的伺服器和物聯網( IoT )裝置的攻擊中首次發現的,該殭屍網路利用 GitHub 和 Pastebin 儲存惡意元件程式碼,擁有至少12個不同的攻擊模組,幷包括一個針對 Monero 加密貨幣的模組。
詳情
Gitpaste-12 Worm Widens Set of Exploits in New Attacks
https://threatpost.com/gitpaste-12-worm-widens-exploits/162290/
Goontact:新的針對Android和iOS使用者的惡意軟體
日期: 2020年12月16日等級: 高作者: Catalin Cimpanu標籤: Android, iOS, Lookout, Goontact, Malware安全研究人員發現了一種新的具有間諜和監視功能的惡意軟體,目前存在於 Android 和 iOS 系統中。這個名為 Goontact 的惡意軟體能夠從受害者那裡收集資料,例如電話聯絡人、簡訊、照片和位置資訊等。移動安全公司 Lookout 檢測到 Goontact 惡意軟體目前透過第三方站點進行分發,這些第三方站點推廣免費即時訊息傳遞應用程式。
詳情
New Goontact spyware discovered targeting Android and iOS users
https://www.zdnet.com/article/new-goontact-spyware-discovered-targeting-android-and-ios-users/
Ryuk,Egregor勒索軟體攻擊利用SystemBC後門
日期: 2020年12月16日等級: 高作者: Lindsey O'Donnell標籤: SystemBC, Tor, Ransomware, C2商品惡意軟體後門 SystemBC 現已發展到可以自動化利用,並使用匿名化的Tor平臺,一旦勒索軟體被執行,勒索軟體參與者就會使用後門在受害者系統上建立一個持久的連線。這使得網路犯罪攻擊者更容易部署後門,並且能夠隱藏命令和控制(C2)伺服器通訊的地址。SystemBC是一種代理和遠端管理工具,於2019年首次被發現。
詳情
Ryuk, Egregor Ransomware Attacks Leverage SystemBC Backdoor
https://threatpost.com/ryuk-egregor-ransomware-systembc-backdoor/162333/
安裝量超過三百萬次的惡意擴充套件仍在應用商店中
日期: 2020年12月16日等級: 高作者: Sergiu Gatlan標籤: Edge, Microsoft, Malicious Extensions, Phishing Sites, RedirectChrome和Edge瀏覽器的惡意擴充套件程式安裝量超過300萬,其中大多數仍可在 ChromeWebStore 和 MicrosoftEdge 附加元件門戶上安裝,它們能夠竊取使用者的資訊並將其重定向到釣魚網站。Avast威脅情報研究人員發現惡意軟體擴充套件被設計成看起來像 Instagram 、 Facebook 、 Vimeo 和其他知名線上平臺的附加元件。雖然 Avast 在2020年11月就發現了這些擴充套件,但他們估計這些擴充套件可能已經存在多年,因為一些 Chrome 應用商店的評論者稱,從2018年12月開始,連結就被劫持。
詳情
Malicious Chrome, Edge extensions with 3M installs still in stores
https://www.bleepingcomputer.com/news/security/malicious-chrome-edge-extensions-with-3m-installs-still-in-stores/
DoppelPaymer勒索軟體正騷擾拒絕付款的受害者
日期: 2020年12月16日等級: 高作者: Catalin Cimpanu標籤: DoppelPaymer, FBI, Ransomware, Ransom美國聯邦調查局說,它們已經監測到 DoppelPaymer 勒索軟體團伙採取了匿名電話的方式,透過恐嚇強迫受害者支付贖金,勒索團伙對受害者公司的其員工甚至親屬的威脅不斷升級。美國聯邦調查局稱, Doppelpaymer 是最早的勒索軟體變體之一。美國聯邦調查局建議受害者保護他們的網路,以防止被入侵,在被攻擊後,建議受害者通知當局,並儘量避免支付贖金,因為這會激勵攻擊者進行新的入侵,使他們輕鬆獲利。
詳情
FBI says DoppelPaymer ransomware gang is harassing victims who refuse to pay
https://www.zdnet.com/article/fbi-says-doppelpaymer-ransomware-gang-is-harassing-victims-who-refuse-to-pay/
Agenttela惡意軟體更新了資料收集功能
日期: 2020年12月16日等級: 高作者: Prajeet Nair標籤: AgentTesla, Cofense, Information Stealing, Credentials據安全公司 Cofense 釋出的一份報告稱, AgentTesla 資訊竊取軟體的升級版本擁有額外的資料收集功能,包括鎖定更多瀏覽器和電子郵件客戶端的能力。 AgentTesla 最初是在2014年被安全研究人員發現的。研究人員在8月份發現,該惡意軟體現在可以從vpn、網路瀏覽器、FTP檔案和電子郵件客戶端竊取憑證。
詳情
AgentTesla Malware Has Updated Data Harvesting Capabilities
https://www.databreachtoday.com/agenttesla-malware-has-updated-data-harvesting-capabilities-a-15617
伊朗國家駭客與Pay2Key勒索軟體有關聯
日期: 2020年12月17日等級: 高作者: Sergiu Gatlan標籤: Fox Kitten, Pay2Key, Israel, Ransomware伊朗國家駭客 FoxKitten 與 Pay2Key 勒索軟體聯絡在一起,該組織最近開始針對以色列和巴西的組織。威脅情報公司 ClearSky 表示,他們表示大機率的情況下, Pay2Key 是由伊朗 APT 團體 FoxKitten 運營的,該組織於2020年11月至12月開始了新一波的攻擊,涉及數十家以色列公司。
詳情
Iranian nation-state hackers linked to Pay2Key ransomware
https://www.bleepingcomputer.com/news/security/iranian-nation-state-hackers-linked-to-pay2key-ransomware/
勒索軟體偽裝成《賽博朋克2077》手機版
日期: 2020年12月17日等級: 高作者: Lawrence Abrams標籤: Windows, Android, Cyberpunk 2077, CoderWare, Ransomware攻擊者正在為《賽博朋克2077》遊戲分發偽造的 Windows 和 Android 安裝程式,該《賽博朋克2077》會安裝一個自稱為 CoderWare 的勒索軟體。為了誘騙使用者安裝惡意軟體,攻擊者通常將惡意軟體作為遊戲安裝程式、作弊工具和版權軟體的破解程式進行分發。
詳情
Ransomware masquerades as mobile version of Cyberpunk 2077
https://www.bleepingcomputer.com/news/security/ransomware-masquerades-as-mobile-version-of-cyberpunk-2077/
新的Windows木馬程式竊取瀏覽器憑據、Outlook檔案
日期: 2020年12月14日等級: 中作者: Lindsey O'Donnell標籤: Microsoft, Windows, PyMicropsia, Trojan, Information Stealing研究人員發現了一種新的名為 PyMicropsia 的資訊竊取木馬,該木馬是由威脅組織 AridViper 開發的, AridViper 以針對中東的組織為目標而聞名,它的目標是 MicrosoftWindows 系統,該木馬具有大量的資料過濾功能,能夠收集瀏覽器的憑據,竊取Outlook檔案。
詳情
New Windows Trojan Steals Browser Credentials, Outlook Files
https://threatpost.com/windows-trojan-steals-browser-credentials-outlook-files/162223/
Credential Stealer針對美國、加拿大銀行客戶
日期: 2020年12月17日等級: 中來源: TRENDMICRO標籤: AHK, VBA, Credential Stealer, Excel2020年12月中旬,研究人員發現了一個散佈證書竊取程式的活動,這從2020年初就開始了。惡意軟體感染以惡意Excel檔案開始,此檔案包含AHK指令碼編譯器可執行檔案、惡意AHK指令碼檔案和VisualBasicforApplications(VBA)宏。研究人員跟蹤了惡意軟體的命令和控制(C&C)伺服器,並確定這些伺服器來自美國、荷蘭和瑞典。同時,惡意軟體一直針對美國和加拿大的金融機構進行攻擊。
詳情
Credential Stealer Targets US, Canadian Bank Customers
https://www.trendmicro.com/en_us/research/20/l/stealth-credential-stealer-targets-us-canadian-bank-customers.html
相關安全建議1. 在網路邊界部署安全裝置,如防火牆、IDS、郵件閘道器等
2. 減少外網資源和不相關的業務,降低被攻擊的風險
3. 及時對系統及各個服務元件進行版本升級和補丁更新
4. 包括瀏覽器、郵件客戶端、vpn、遠端桌面等在內的個人應用程式,應及時更新到最新版本
5. 注重內部員工安全培訓
6. 主機整合化管理,出現威脅及時斷網
7. 勒索中招後,應及時斷網,並第一時間聯絡安全部門或公司進行應急處理
8. 各主機安裝EDR產品,及時檢測威脅
9. 移動端不安裝未知應用程式、不下載未知檔案
0x03 資料安全美國臨時人力資源機構440GB的資料被洩露
日期: 2020年12月14日等級: 高作者: Edvardas Mikalauskas標籤: Automation Personnel Services, Data Leaked, Ransom, Hacker Forum美國人力資源機構(AutomationPersonnelServices)的440GB檔案在一個駭客論壇上被洩露。
AutomationPersonnelServices公司表示,目前正在進行調查,受影響資料的範圍和性質尚未得到確認。
被洩漏的檔案包含公司的機密資料、使用者資訊、合作伙伴和員工有關的敏感檔案,例如薪資資料以及各種法律檔案。
該歸檔檔案於11月24日被洩露,被洩漏的原因是AutomationPersonnelServices拒絕支付贖金。
詳情
440GB of data from US-based temporary staffing agency leaked on hacker forum
https://cybernews.com/security/440gb-of-data-from-us-based-temporary-staffing-agency-leaked-on-hacker-forum/
世界各地醫院的4500萬次醫療掃描記錄被洩漏
日期: 2020年12月15日等級: 高作者: Gareth Corfield標籤: CybelAngel, Data Leaked, Medical Scans, X-rays整個2020年,有2000臺醫療伺服器處於未授權的狀態,伺服器包含4500萬張X射線影象和其他醫學掃描影象,沒有任何安全保護措施,可以被任意訪問。
其中,洩漏的資料包括患者的姓名,出生日期,地址,身高,體重,診斷的個人健康資訊等。
研究人員稱,不僅敏感的個人資訊被洩漏,而且惡意攻擊者還訪問了這些伺服器並且在伺服器上安裝了惡意軟體。
詳情
45 million medical scans from hospitals all over the world left exposed online for anyone to view – some servers were laced with malware • The Register
https://www.theregister.com/2020/12/15/dicom_45_million_medical_scans_unsecured/
電力供應商People's Energy被黑,洩露25萬客戶資訊
日期: 2020年12月17日等級: 高作者: Paul Kunert標籤: People’s Energy, Steal Data可再生電力和天然氣供應商人民能源公司(People’sEnergy)告訴其25萬多名客戶,其IT系統漏洞被攻擊者利用,客戶資訊已被洩漏。這些資料包括會員姓名、家庭住址、電子郵件地址、電話號碼、出生日期、人們的能源賬戶號碼、電價詳情和電錶識別號。
詳情
Ethical power supplier People's Energy hacked, 250,000 customers' personal info accessed
https://www.theregister.com/2020/12/17/peoples_energy_hacked/
Azure Blob暴露CRM50萬的客戶機密文件
日期: 2020年12月18日等級: 高作者: Gareth Corfield標籤: Azure Blob, Unsecured Database一家商業應用開發商的 MicrosoftAzureBlob 未做安全認證,導致超過50萬的客戶機密和敏感檔案暴露於公共網際網路中。洩漏的資訊包括職業健康評估,倫敦勞埃德(LloydsofLondon)承保的美國公司的保險索賠檔案,以及大律師對申請晉升的初級同事的私人意見,以及聯邦快遞的運輸安全檔案,食品公司Huel,投資管理公司的內部投訴以及無數其他檔案。
詳情
Unsecured Azure blob exposed 500,000+ highly confidential docs from UK firm's CRM customers
https://www.theregister.com/2020/12/18/probase_unsecured_azure_blob/
相關安全建議1. 強烈建議資料庫等服務放置在外網無法訪問的位置,若必須放在公網,務必實施嚴格的訪問控制措施
2. 對於託管的雲伺服器(VPS)或者雲資料庫,務必做好防火牆策略以及身份認證等相關設定
3. 管控內部員工資料使用規範,謹防資料洩露並及時做相關處理
4. 及時備份資料並確保資料安全
5. 發生資料洩漏事件後,及時進行密碼更改等相關安全措施
0x04 網路攻擊FireEye確認SolarWinds供應鏈攻擊
日期: 2020年12月14日等級: 高作者: Catalin Cimpanu標籤: SolarWinds, Orion, US, FireEye, Malware美國安全公司FireEye2020年12月14日表示,駭客已經破壞了軟體提供商SolarWinds ,然後在其 Orion 軟體部署了帶有惡意軟體的更新程式,以感染多家美國公司和政府網路。 FireEye 的報告是在 美國財政部 和 美國商務部國家電信與資訊管理局 (NTIA)遭到入侵之後釋出的。此次 SolarWindows 供應鏈攻擊也是駭客入侵 FireEye`網路的手段。
詳情
FireEye confirms SolarWinds supply chain attack
https://www.zdnet.com/article/fireeye-confirms-solarwinds-supply-chain-attack/
SignSight行動:針對東南亞認證機構的供應鏈攻擊
日期: 2020年12月17日等級: 高作者: IgnacioSanmillan標籤: SignSight, Southeast Asia, Supply‑chain Attack, Backdoor在 AbleDesktop 軟體的供應鏈攻擊發生幾周之後,越南政府認證局(VGCA)的網站上就發生了另一起類似的攻擊,攻擊者修改了兩個可以從該網站下載的軟體安裝程式,並添加了後門程式。 ESET 的研究人員於2020年12月上旬發現了這種新的供應鏈攻擊,並通知了受感染的組織和 VNCERT 。VGCA表示,他們已經意識到了這次攻擊,並通知了下載該木馬軟體的使用者。
詳情
Operation SignSight: Supply‑chain attack against a certification authority in Southeast Asia
https://www.welivesecurity.com/2020/12/17/operation-signsight-supply-chain-attack-southeast-asia/
駭客使用移動模擬器竊取數百萬美元
日期: 2020年12月17日等級: 高作者: Akshaya Asokan標籤: IBM, Mobile Emulators, Spoof Banking, Hacking GroupIBMTrusteer 報告說,一個駭客組織正在使用移動模擬器來欺騙銀行客戶的移動裝置,並從美國和歐洲的銀行中竊取了數百萬美元。 IBMSecurity 的執行安全顧問 LimorKessem 說,儘管已經通知了受到駭客攻擊的銀行,但第二波攻擊可能已經開始。開發人員通常使用移動模擬器來測試各種裝置型別上的應用程式和功能。在IBM調查的案例中,攻擊者使用了20個移動模擬器,欺騙了超過1.6萬部裝置。
詳情
Hackers Use Mobile Emulators to Steal Millions
https://www.databreachtoday.com/hackers-use-mobile-emulators-to-steal-millions-a-15623
網路釣魚活動使用Outlook遷移郵件
日期: 2020年12月14日等級: 高作者: Akshaya Asokan標籤: Microsoft, Outlook, Abnormal Security, PhishingAbnormalSecurity 的研究人員表示,一場旨在獲取 Office365 證書的釣魚活動使用微軟 Outlook 遷移資訊。報告稱,這些被設計成看起來像是來自受害者組織IT部門的釣魚郵件稱,收件人必須更新到最新版本的 MicrosoftOutlook 。當受害者點選網路釣魚郵件中的連結時,他們將被重定向到一個惡意域,該域顯示一箇舊版本的 Outlook 登入頁面,該頁面能竊取使用者名稱和密碼等憑據。
詳情
Phishing Campaign Uses Outlook Migration Message
https://www.databreachtoday.com/phishing-campaign-uses-outlook-migration-message-a-15587
Subway三明治忠誠卡使用者遭釣魚詐騙
日期: 2020年12月15日等級: 高作者: Becky Bracken標籤: Subway, Sophos, Loyalty Card, Phishing, U.K., IrelandSubway三明治的忠誠卡會員是最近網路犯罪的受害者之一。 Sophos 的研究人員發現,網路釣魚攻擊的目標是英國和愛爾蘭的 Subway 忠誠卡會員,目的是誘騙他們下載惡意軟體。此次釣魚攻擊的手段是讓受害者改變他們 Excel 安全設定,允許惡意行為者執行宏並向受害者的裝置傳送惡意軟體。該程式碼從隱藏的檔案表建立 URL ,然後 URL 抓取惡意軟體。
詳情
Subway Sandwich Loyalty-Card Users Suffer Ham-Handed Phishing Scam
https://threatpost.com/subway-loyalty-card-phishing-scam/162308/
用於加密貨幣供應鏈攻擊的惡意RubyGems軟體包
日期: 2020年12月16日等級: 高作者: Lawrence Abrams標籤: RubyGems, Supply Chain Attack, Packages, Ruby, GEM新的惡意軟體包RubyGems正在利用供應鏈攻擊,並從毫無防備的使用者那裡竊取加密貨幣。RubyGems是Ruby程式語言的軟體包管理器,允許開發人員下載其他人開發的程式碼並將其整合到他們的程式中。由於任何人都可以將 Gem 上傳到 RubyGems 儲存庫,因此攻擊者可以將惡意軟體包上傳到儲存庫。
詳情
Malicious RubyGems packages used in cryptocurrency supply chain attack
https://www.bleepingcomputer.com/news/security/malicious-rubygems-packages-used-in-cryptocurrency-supply-chain-attack/
美國核武器局在SolarWinds攻擊中遭到駭客入侵
日期: 2020年12月17日等級: 高作者: Tara Seals標籤: NNSA, FERC, SolarWinds美國能源部及其負責維持美國核儲備的國家核安全域性(NNSA)遭受到SolarWinds供應鏈攻擊。美國能源部官方訊息人士稱,他們的部門受到了攻擊者的滲透,包括對國家核安全域性(NNSA)、聯邦能源管理委員會(FERC)、華盛頓和新墨西哥州的桑迪亞和洛斯阿拉莫斯國家實驗室,以及能源部裡士蘭辦事處。
詳情
Nuclear Weapons Agency Hacked in Widening Cyberattack – Report
https://threatpost.com/nuclear-weapons-agency-hacked-cyberattack/162387/
詐騙利用移動裝置模擬器從網上銀行賬戶盜取數百萬美元
日期: 2020年12月20日等級: 高作者: Pierluigi Paganini標籤: Fraud Operation, Online Bank, Mobile Device EmulatorsIBMTrusteer的研究人員發現了一個大規模的欺詐行為,罪犯利用移動裝置模擬器網路,在幾天內從網上銀行賬戶盜取數百萬美元。這些網路犯罪分子使用了大約20個移動裝置模擬器來模擬16000多個客戶的手機,這些客戶的移動銀行賬戶已經被洩露。據專家稱,這是有史以來規模最大的銀行欺詐行動之一。
詳情
A massive fraud operation used mobile device emulators to steal millions from online bank accounts
https://securityaffairs.co/wordpress/112487/cyber-crime/massive-fraud-operation.html
微軟稱其系統也遭到SolarWinds供應鏈攻擊破壞
日期: 2020年12月17日等級: 中作者: The Hacker News標籤: SolarWinds, Microsoft, Supply Chain微軟證實其受到了SolarWinds供應鏈攻擊的影響,目前來看,此事件的範圍,複雜程度和影響可能比以前想象的要廣泛得多。路透社還援引知情人士的話稱,微軟淪陷的產品隨後被利用來打擊其他受害者。不過,微軟否認了該攻擊已滲透到其生產系統中,其客戶不會受到影響
詳情
Microsoft Says Its Systems Were Also Breached in Massive SolarWinds Hack
https://thehackernews.com/2020/12/microsoft-says-its-systems-were-also.html
相關安全建議1. 軟硬體提供商要提升自我防護能力,保障供應鏈的安全
2. 做好資產收集整理工作,關閉不必要且有風險的外網埠和服務,及時發現外網問題
3. 主機整合化管理,出現威脅及時斷網
4. 如果允許,暫時關閉攻擊影響的相關業務,積極對相關係統進行安全維護和更新,將損失降到最小
5. 移動端不安裝未知應用程式、不下載未知檔案
0x05 其它事件微軟和科技公司合作攻擊了SolarWinds駭客使用的關鍵域
日期: 2020年12月15日等級: 高作者: Catalin Cimpanu標籤: Microsoft, SolarWinds, ZDNet2020年12月15日,微軟和科技公司聯盟,攻破了SolarWinds駭客事件中起著核心作用的域。該域名是 avsvmcloud.com 。它作為命令和控制(C&C)伺服器,透過公司 Orion 應用程式的木馬更新向大約18,000個 SolarWinds 客戶傳送了惡意軟體。 SolarWindsOrion 在2020年3月至2020年6月之間釋出了從2019.4到2020.2.1的更新版本,其中包含一種名為 SUNBURST (也稱為 Solorigate )的惡意軟體。
詳情
Microsoft and industry partners seize key domain used in SolarWinds hack
https://www.zdnet.com/article/microsoft-and-industry-partners-seize-key-domain-used-in-solarwinds-hack/
Medtronic MyCareLink的漏洞可讓駭客接管植入心臟的裝置
日期: 2020年12月15日等級: 高作者: Pierluigi Paganini標籤: Medtronic, Cardiac Devices, Vulnerability美敦力公司(Medtronic)的 MyCareLinkSmart25000PatientReaderReader 產品存在漏洞,攻擊者可以利用該漏洞控制配對心臟的裝置。MyCareLinkSmart25000PatientReader是Medtronic設計的平臺,可從患者植入的心臟裝置中收集資料並將其傳輸到MedtronicCareLink網路。研究人員發現了三個漏洞,可以利用這些漏洞來修改或偽造從植入的心臟裝置接收到的資料。這些漏洞還可能使遠端攻擊者能夠控制配對的心臟裝置,並在MCL智慧患者讀取器上執行任意程式碼。
詳情
Flaws in Medtronic MyCareLink can allow attackers to take over implanted cardiac devices
https://securityaffairs.co/wordpress/112328/hacking/medtronic-mycarelink-flaws.html
安裝了500萬次的WordPress外掛存在嚴重漏洞
日期: 2020年12月17日等級: 高作者: Ax Sharma標籤: WordPress, Plugin, Contact Form 7, Patch, File Upload VulnerabilityWordPress 外掛背後的團隊披露了一個嚴重的檔案上傳漏洞,併發布了一個補丁。易受攻擊的外掛 ContactForm7 被安裝了超過500萬次,因此對於 WordPress 網站所有者來說,此次緊急更新是必要的。 ContactForm7 外掛披露了一個不受限制的檔案上傳漏洞,攻擊者可以利用該漏洞在上傳檔案時繞過 ContactForm7 的檔名保護措施。
目前 Wordpress 在全球均有分佈,具體分佈如下圖,資料來自於 360 QUAKE
詳情
WordPress plugin with 5 million installs has a critical vulnerability
https://www.bleepingcomputer.com/news/security/wordpress-plugin-with-5-million-installs-has-a-critical-vulnerability/
PoS終端存在任意程式碼執行漏洞
日期: 2020年12月15日等級: 高作者: GURUBARAN S標籤: PoS, Verifone, Ingenico, Vulnerability, Code Execute研究人員發現了兩個最大的銷售點(PoS)供應商 Verifone 和 Ingenico 的嚴重漏洞。受影響的裝置是 VerifoneVX520 , VerifoneMX 系列和 IngenicoTelium2 系列。在使用預設密碼的裝置上,攻擊者能夠透過二進位制漏洞(例如,堆疊溢位和緩衝區溢位)執行任意程式碼。攻擊者能夠利用PoS終端漏洞傳送任意資料包、克隆卡、克隆終端並安裝永續性的惡意軟體。
詳情
Flaws with PoS Terminals Let Attackers Execute Arbitrary Code
https://gbhackers.com/flaws-with-pos-terminals/
Firefox修補了嚴重漏洞,該漏洞同樣影響Chrome
日期: 2020年12月15日等級: 高作者: Tom Spring標籤: Firefox, Mozilla, Patches, VulnerabilityMozilla基金會(MozillaFoundation)2020年12月15日釋出的 Firefox 網路瀏覽器更新修復了一個嚴重漏洞和幾個高危漏洞。除了CVE-2020-16042漏洞,其餘6個高危漏洞被修復。Firefox中的嚴重漏洞在Chrome瀏覽器安全更新中也得到了強調,該漏洞被評為嚴重漏洞。Firefox和Chrome仍未完全公佈CVE-2020-16042的細節,僅將其列為記憶體漏洞。
詳情
Firefox Patches Critical Mystery Bug, Also Impacting Google Chrome
https://threatpost.com/firefox-patches-critical-mystery-bug-also-impacting-google-chrome/162294/
惠普公司披露了伺服器管理軟體中的0day漏洞
日期: 2020年12月16日等級: 高作者: Sergiu Gatlan標籤: Hewlett Packard Enterprise, Windows, Linux, Vulnerability, RCE惠普公司(HewlettPackardEnterprise,HPE)披露了其Windows和Linux的專有HPESystemsInsightManager(SIM)軟體最新版本中的0day漏洞。
儘管此遠端程式碼執行(RCE)漏洞尚未提供安全更新,但HPE已提供Windows的緩解方案,並正在努力修復該漏洞。
詳情
HPE discloses critical zero-day in server management software
https://www.bleepingcomputer.com/news/security/hpe-discloses-critical-zero-day-in-server-management-software/
Bouncy Castle修復了API身份驗證繞過漏洞
日期: 2020年12月17日等級: 高作者: Ax Sharma標籤: Bouncy Castle, Authentication Bypass, Vulnerability, Cryptography APIBouncyCastle 是一個流行的開源密碼庫,該密碼庫中存在嚴重的認證繞過漏洞。CVE-2020-28052漏洞被成功利用後,攻擊者可獲得對使用者帳戶或管理員帳戶的訪問許可權。 BouncyCastle 是 Java 和 C# / .Net 使用的一組加密 Api 。僅 BouncyCastle 的 .NET 版本就被下載了 1600萬 次,這說明了 BouncyCastle 的漏洞嚴重性。
詳情
Bouncy Castle fixes cryptography API authentication bypass flaw
https://www.bleepingcomputer.com/news/security/bouncy-castle-fixes-cryptography-api-authentication-bypass-flaw/
SoReL-20M:一個包含2000萬個惡意軟體樣本的資料集
日期: 2020年12月14日等級: 中作者: The Hacker News標籤: Sophos, ReversingLabs, Dataset, Malware Samples“SoReL-20M”是一個數據集,包含用於2000萬個 Windows.PE 檔案的元資料,標籤和功能。網路安全公司 Sophos 和 ReversingLabs 在2020年12月14日聯合釋出了“SoReL-20M”。這是有史以來第一個生產規模的惡意軟體研究資料集,該資料集將提供給公眾,旨在建立有效的防禦措施並推動整個行業在安全檢測和響應方面的改進。
詳情
SoReL-20M: A Huge Dataset of 20 Million Malware Samples Released Online
https://thehackernews.com/2020/12/sorel-20m-huge-dataset-of-20-million.html
嚴重的Golang XML解析器漏洞可以繞過SAML身份驗證
日期: 2020年12月14日等級: 中作者: Ax Sharma標籤: Mattermost, Golang, Vulnerability, SAML, XML2020年12月14日, Mattermost 與 Golang 協作,揭示了 Go 語言的 XML 解析器中的3個嚴重漏洞。如果攻擊者成功利用這些漏洞,會影響多個基於Go的SAML實現,能夠繞過SAML的身份驗證。由於這些漏洞,基於Go的 SAML 實現在許多情況下容易被攻擊者篡改,比如透過向正確簽名的 SAML 訊息注入惡意標記,可以偽造正確簽名。
詳情
Critical Golang XML parser bugs can cause SAML authentication bypass
https://www.bleepingcomputer.com/news/security/critical-golang-xml-parser-bugs-can-cause-saml-authentication-bypass/
蘋果修復了iOS和iPadOS中的多個程式碼執行漏洞
日期: 2020年12月15日等級: 中作者: Pierluigi Paganini標籤: Apple, iOS, iPadOS, Code Execution, Security Updates, Vulnerability蘋果釋出了安全更新,以修復其iOS和iPadOS作業系統中的多個嚴重的程式碼執行漏洞。蘋果在安全更新中釋出了iOS14.3和iPadOS14.3版本,以解決11個安全漏洞,包括程式碼執行漏洞等。攻擊者能夠利用這些嚴重的漏洞,透過惡意字型檔案在 iPhone 和 iPad 上執行惡意程式碼。這些漏洞的編號包含 CVE-2020-27943 和 CVE-2020-27944 等。
詳情
Apple addressed multiple code execution flaws in iOS and iPadOS
https://securityaffairs.co/wordpress/112304/security/ios-ipados-flaws.html
研究人員把RAM變成WiFi卡,從未聯網的系統中竊取資料
日期: 2020年12月15日等級: 中作者: Catalin Cimpanu標籤: RAM, WiFi, Air-gapped Systems, AIR-FI以色列一所大學的學者2020年12月15日發表了一項新的研究,詳細介紹了一項技術,該技術可以將RAM卡轉換成臨時的WIFI發射器,並在沒有WiFi的,未聯網的計算機內傳輸敏感資料。該技術名為AIR-FI,是以色列內蓋夫本古裡安大學研發部負責人 MordechaiGuri 發現的。在過去的五年裡,Guri領導了數十個研究專案,透過非常規的方法從未聯網的系統中竊取資料。
詳情
Academics turn RAM into WiFi cards to steal data from air-gapped systems
https://www.zdnet.com/article/academics-turn-ram-into-wifi-cards-to-steal-data-from-air-gapped-systems/
Facebook因欺詐性VPN行為被ACCC告上法庭
日期: 2020年12月16日等級: 中作者: Chris Duckett標籤: ACCC, Facebook, Onavo Protect VPN, Court澳大利亞競爭與消費者委員會(ACCC)已在澳大利亞聯邦法院對 Facebook 及其兩家子公司提起訴訟,指控這些公司在推廣 OnavoProtectVPN 應用程式時具有虛假,誤導或欺騙性行為。ACCC聲稱,在2016年2月1日至2017年10月之間, Facebook 及其子公司 FacebookIsraelLtd 和`Onavo,出於商業利益而收集並使用了大量使用者資料。
詳情
Facebook dragged to court by ACCC over deceptive VPN conduct allegations
https://www.zdnet.com/article/facebook-dragged-to-court-by-accc-over-deceptive-vpn-conduct-allegations/
美國航空監管機構釋出了安全更新
日期: 2020年12月16日等級: 中作者: Gareth Corfield標籤: Boeing, FAA, Software Updates波音747客機、波音787客機和波音777客機的軟體更新修復了一些漏洞,這些漏洞影響了飛行的安全性,並導致美國聯邦航空局(FAA)向飛行員釋出警告。
波音777和波音787自動油門系統的安全更新改變了系統的執行方式。
詳情
US aviation regulator issues safety bulletins over flaws in software updates for Boeing 747, 777, 787 airliners • The Register
https://www.theregister.com/2020/12/16/boeing_software_updates_faa_warning/
相關安全建議1. 及時對系統及各個服務元件進行版本升級和補丁更新
2. 包括瀏覽器、郵件客戶端、vpn、遠端桌面等在內的個人應用程式,應及時更新到最新版本
3. 受到網路攻擊之後,積極進行攻擊痕跡、遺留檔案資訊等證據收集
0x06 產品側解決方案360城市級網路安全監測服務
360安全分析響應平臺
360安全大腦的安全分析響應平臺透過網路流量檢測、多感測器資料融合關聯分析手段,對網路攻擊進行實時檢測和阻斷,請使用者聯絡相關產品區域負責人或(shaoyulong#360.cn)獲取對應產品。
360安全衛士
針對以上安全事件,360cert建議廣大使用者使用360安全衛士定期對裝置進行安全檢測,以做好資產自查以及防護工作。
安全事件週報 (12.14-12.20)
若有訂閱意向與定製需求請傳送郵件至 g-cert-report#360.cn ,並附上您的 公司名、姓名、手機號、地區、郵箱地址。