安全事件周报（11.02-11.08）

2023-11-29 20:00:20 AnQuanKeInfo 来源：ZONE.CI 全球网 0 阅读模式

0x01 事件导览

本周收录安全事件 39 项，话题集中在 网络攻击 、 勒索软件 方面，涉及的组织有：Google 、 Mattel 、 Capcom 、 Marriott 等。社工策略花样百出，勒索软件不停更新迭代。对此，360CERT建议使用 360安全卫士 进行病毒检测、使用 360安全分析响应平台 进行威胁流量检测，使用 360城市级网络安全监测服务QUAKE 进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

恶意程序	等级
日本电子游戏公司Capcom遭遇勒索袭击	★★★★★
Wroba移动银行木马程序针对美国智能手机	★★★★
新的Kimsuky模块使朝鲜间谍软件更加强大	★★★★
玩具制造商美泰遭勒索软件攻击	★★★★
虚假的COVID-19测试结果传播King Engine勒索软件	★★★★
以色列公司被新的Pay2Key勒索软件盯上	★★★★
巴西法院系统在一次大规模勒索软件攻击后关闭	★★★★
僵尸网络Gitpaste-12通过GitHub和Pastebin传播	★★★★
Firestarter恶意软件滥用谷歌Firebase云消息平台	★★★
GEO集团遭遇勒索软件攻击	★★★
QBot特洛伊木马通过恶意选举附件攻击受害者	★★★
Sodinokibi/REvil勒索软件团伙通过网络钓鱼攻击英国房屋行业	★★★
数据安全
万豪因客户数据泄露被英国监管机构罚款1840万英镑	★★★★★
暗网上有2000万bigbarket用户记录	★★★★★
废弃的“数据泄露索引”网站泄露23600个被入侵的数据库	★★★★
Luxottica数据泄露暴露了Lenscrafter和EyeMed的信息	★★★
网络攻击
诈骗者滥用Google云端硬盘发送恶意链接	★★★★
黑客窃取了在线黄金交易商JM的信用卡数据	★★★★
勒索软件的打击将清空Isentia数百万美元	★★★★
黑客利用未修补的VoIP漏洞来危害商业账户	★★★★
美国联邦调查局：黑客窃取了美国政府机构和私人公司的源代码	★★★★
UNC1945在攻击中使用Oracle Solaris 0day漏洞	★★★
Office 365网络钓鱼会反转图像以逃避检测	★★★
美国攻破了一批伪装成新闻机构的伊斯兰革命卫队宣传网站	★★★
攻击者主动利用Rackspace托管电子邮件漏洞	★★★
有攻击者利用RMS和TeamViewer攻击工业企业	★★★
意大利著名公司坎帕里集团受到攻击	★★★
其它事件
Oracle发布远程代码执行漏洞的紧急补丁	★★★★★
未修补的Windows 0day漏洞在野被用于沙盒逃逸	★★★★
Google修复了Chrome中的第二个0day漏洞	★★★★
Adobe警告Windows、MacOS用户Acrobat和Reader存在严重漏洞	★★★★
Maze勒索软件宣布关闭业务	★★★
新的防火墙绕过攻击允许黑客访问任何TCP/UDP服务	★★★
俄罗斯程序员因网络犯罪在美国被判8年监禁	★★★
恶意npm库因后门功能被删除	★★★
Win10功能升级后证书丢失?微软表示:我们正在努力修复	★★★
自动化供应商SaltStack修补漏洞	★★★
苹果修复了Google团队发现的三个0day漏洞	★★★
美国和巴西当局查获2400万美元的加密货币	★★

0x02 恶意程序

日本电子游戏公司Capcom遭遇勒索袭击

日期: 2020年11月04日
等级: 高
作者: Pierluigi Paganini
标签: Japanese, Capcom, Ragnar Locker, Ransomware, Data Leaked

日本游戏开发商 Capcom 承认遭遇勒索攻击。该公司已经开发了多个数百万销售的游戏专营权，包括街头斗士，ResidentEvil，DevilMayCry，DeadRising，SengokuBasara，Ghost’nGoblins，MonsterHunter等。该公司发布的关于网络问题的公告称，在2020年11月2日上午遭受了网络攻击，针对该事件，游戏开发商关闭了部分公司网络，以防止恶意软件传播。勒索软件团伙声称在运行了 RagnarLocker 样本之后窃取了1TB的文件，包括会计文件、银行报表、机密预算和收入文件、税务文件-知识产权、专有商业信息、客户和员工个人信息等敏感数据。

详情

Japanese video game firm Capcom hit by a cyberattack

Wroba移动银行木马程序针对美国智能手机

日期: 2020年11月02日
等级: 高
作者: Steve Zurier
标签: Kaspersky, Wroba, Banking Trojan, Mobile, Asia

卡巴斯基的威胁监测系统检测到针对美国智能手机用户的新一波Wroba木马活动。直到2020年10月29日，Wroba移动银行木马的攻击主要限于亚洲。根据卡巴斯基向媒体公布的细节，美国新浪潮于10月29日被发现，目标用户遍及美国康涅狄格州、路易斯安那州和威斯康星州。这些攻击同时涉及iOS和Android设备。这些网络攻击者试图通过通知用户包裹到达并发送短信“您的包裹已经寄出”来吸引用户。接下来，该短信把他们带到一个恶意网站，该网站显示一个警告，说用户的浏览器已过期，需要更新。一旦用户点击“确定”，恶意应用就会下载。恶意应用程序安装到用户的移动设备上后，Wroba可以发送短信、打开网页、从与金融交易相关的文件夹中获取文件、窃取联系人名单、拨打指定号码并显示虚假的钓鱼网页，以窃取受害者的凭证。

详情

Wroba mobile banking trojan targets US smartphones

新的Kimsuky模块使朝鲜间谍软件更加强大

日期: 2020年11月03日
等级: 高
作者: The Hacker News
标签: US, Kimsuky, South Korean, Cybereason, BabyShark, APT

一周前，美国政府就朝鲜国家资助的黑客操作的“全球情报收集任务”发表了一份咨询意见，对这个威胁组织的间谍软件能力有了新的发现。该APT被称为“Kimsuky”（又名BlackBanshee或Thallium），据信最早将于2012年投入使用。现在它已与多达三个迄今未记录在案的恶意软件相关联，其中包括一个信息窃取者，一种配备了恶意软件反分析功能的工具。功能，以及新的服务器基础结构，与旧的间谍框架有很大的重叠。 Cybereason 研究人员昨日分析称：“该组织在全球有着丰富而臭名昭著的攻击性网络行动历史，包括针对韩国智库的行动，但在过去几年里，他们将攻击目标扩大到包括美国、俄罗斯和欧洲多个国家在内的国家。

详情

New Kimsuky Module Makes North Korean Spyware More Powerful

玩具制造商美泰遭勒索软件攻击

日期: 2020年11月03日
等级: 高
作者: Lawrence Abrams
标签: Mattel, Toy Maker, Randomware, US SEC, Trickbot

玩具业巨头美泰（Mattel）披露，他们在7月份遭遇勒索软件攻击，影响了其部分业务功能，但并未导致数据被盗。美泰是全球第二大玩具制造商，拥有24000名员工，2019年营收57亿美元。美泰以其广受欢迎的品牌而闻名，包括芭比娃娃、热车轮、费希尔·普莱斯、美国女孩以及托马斯和朋友。美泰相信它已经控制了攻击，尽管一些业务功能暂时受到了影响，但美泰坚信能够恢复其关键业务。

详情

Leading toy maker Mattel hit by ransomware

虚假的COVID-19测试结果传播King Engine勒索软件

日期: 2020年11月04日
等级: 高
作者: GURUBARAN S
标签: Hentai OniChan, King Engine, COVID-19, Phishing, Quimera

在以冠状病毒为主题的网络钓鱼活动中，将下放名为 KingEngine 的 HentaiOniChan 勒索软件的新版本，并将会索取巨额赎金。一旦目标的文件被加密，就会向受影响的受害者提供赎金单，其中包括支付赎金的方式、支付的价格50BTC（524725英镑-584299欧元-676000美元）、比特币地址、时间轴和联系电子邮件地址。为确保不落入这些恐吓策略，建议不要下载或打开匿名用户的文件。

详情

Fake COVID-19 Test Results Drop King Engine Ransomware

以色列公司被新的Pay2Key勒索软件盯上

日期: 2020年11月06日
等级: 高
作者: Catalin Cimpanu
标签: Israel, Pay2Key, Ransomware

来自以色列的几家公司和大公司被入侵，他们的系统被一种新的勒索软件Pay2Key加密，这似乎是针对以色列网络的攻击。第一次袭击发生在10月底，但现在袭击数量有所增加，同时仍被控制在以色列境内。以色列网络安全公司CheckPoint在2020年11月6日发布的安全警报中说：“随着时间的流逝，越来越多的报道的勒索软件攻击与新的Pay2Key勒索软件有关。” 据该公司称，攻击通常发生在午夜之后，那时公司的IT员工较少。 CheckPoint团队的一些侦查人员还将勒索软件与今年早些时候注册的Pay2Key名称相同的Keybase账户联系起来，但目前还不清楚是谁开发了勒索软件，以及只针对以色列公司的原因。

详情

Israeli companies targeted with new Pay2Key ransomware

巴西法院系统在一次大规模勒索软件攻击后关闭

日期: 2020年11月06日
等级: 高
作者: Pierluigi Paganini
标签: Brazil, Superior Court of Justice, Ransomware, Attack, Court

2020年11月3日，巴西高级法院在审判期间遭遇勒索软件攻击，该攻击迫使法院信息技术网络暂时关闭。该攻击于11月3日被发现，IT人员关闭了法院的网络，以防止恶意软件传播。根据公告，该机构将恢复其系统，法庭活动预计将于11月9日恢复。在法院网络安全恢复(可能在11月9日)之前，所有虚拟和视频会议的审判都将暂停或取消。由于受到攻击，巴西几个联邦政府机构的网站目前也处于离线状态。据当地媒体报道，巴西总统博尔索纳罗宣布，当局已查明袭击背后的攻击者。勒索软件攻击发生两天后，高等法院系统仍处于离线状态。

详情

Brazil’s court system shut down after a massive ransomware attack

僵尸网络Gitpaste-12通过GitHub和Pastebin传播

日期: 2020年11月06日
等级: 高
作者: Ax Sharma
标签: GitHub, Pastebin, Gitpaste-12, Botnet, Reverse Shell

新发现的蠕虫和僵尸网络Gitpaste-12存在于GitHub上，并使用Pastebin来托管恶意代码。这款高级恶意软件配备了reverseshell和加密挖掘能力，并利用了超过12个已知的漏洞，因此得名。 JuniperThreatLabs于10月15日左右在GitHub上首次发现了Gitpaste-12。然而，该恶意软件自2020年7月9日起一直存在于GitHub上，直到2020年10月27日关闭。

详情

Reverse shell botnet Gitpaste-12 spreads via GitHub and Pastebin

Firestarter恶意软件滥用谷歌Firebase云消息平台

日期: 2020年11月02日
等级: 中
作者: GURUBARAN S
标签: DoNot, FCM, Android, Firestarter, Firebase, Cloud

Firestarter 恶意软件是由一个名为 DoNot 的APT威胁组织使用的。DoNot使用Firebase云消息(FCM)，这是一个跨平台的消息和通知云解决方案，适用于Android、iOS和web应用程序，目前可以免费使用。这项服务由谷歌的子公司Firebase提供，此前曾被网络攻击者利用过。他们正在Google基础架构中使用合法服务，这使得跨用户网络进行检测变得更加困难。

详情

Firestarter Malware Abuses Google Firebase Cloud Messaging Platform

GEO集团遭遇勒索软件攻击

日期: 2020年11月05日
等级: 中
作者: Catalin Cimpanu
标签: The GEO Group, USA SEC, Ransomware

GEO 集团是一家在美国和其他国家经营私人监狱和非法移民拘留中心的公司，2020年夏天其遭遇了勒索软件的袭击，该公司说：“GEO实施了几项遏制和补救措施，以解决这一事件，恢复其系统，并加强其网络和信息技术系统的安全。”。GEO表示，它恢复了数据，但没有说明这是否意味着从备份中恢复，还是付钱给勒索软件团伙解密其文件。在提交给美国证券交易委员会（sec）的文件中，GEO集团淡化了这起安全漏洞，并表示其后果不会对其业务、运营或财务业绩产生任何实质性影响。

详情

Company that runs US illegal immigration detention centers discloses ransomware attack

QBot特洛伊木马通过恶意选举附件攻击受害者

日期: 2020年11月05日
等级: 中
作者: GURUBARAN S
标签: QBot, Trojan, U.S. election night, Phishing

QBot恶意软件，也称为Qakbot和Pinkslipbot，是一个自2008年以来活跃的银行特洛伊木马。攻击者正在使用具有更新蠕虫功能的QBot恶意软件来窃取用户的击键、部署后门，并在受损设备上传播恶意软件的有效负载。随着美国大选之夜的结束，由于选举结果的不确定性，攻击者也决定加入其中。研究人员观察得到，一个新的垃圾邮件活动利用对选举过程的怀疑来传递恶意附件。QBotbanking特洛伊木马运营商还返回了以美国选举为主题的网络钓鱼电子邮件，用恶意的选举干扰附件引诱受害者。像Covid大流行或美国大选这样的世界性事件为攻击者制定有效的计划提供了完美的素材，从而导致高感染率。

详情

QBot Trojan Attacks Victims with Malicious Election Attachments

Sodinokibi/REvil勒索软件团伙通过网络钓鱼攻击英国房屋行业

日期: 2020年11月06日
等级: 中
作者: Gareth Corfield
标签: Sodinokibi, Flagship, Norwich, Ransomware, REvil

英国诺里奇的一家社会住房提供商表示，他们受到了Sodinokibi勒索软件的攻击，他们认为这是一次成功的钓鱼攻击。Flagship集团昨晚透露，其系统在11月1日受到网络攻击。 Flagship发布的FAQ文档[PDF]解释说，本地数据中心已被勒索软件感染，损害了一些个人员工和客户数据。据称，这起攻击已经停止，网络安全公司以及警方和国家网络安全中心都在共同关注这一漏洞。

详情

Sodinokibi/REvil ransomware gang pwns British housing biz via suspected phishing attack

0x03 数据安全

万豪因客户数据泄露被英国监管机构罚款1840万英镑

日期: 2020年11月02日
等级: 高
作者: Charlie Osborne
标签: ICO, Marriott, Starwood, Data Breach, Fined

信息专员办公室(ICO)已经就2014年的数据泄露对万豪开出了1840万美元的罚单，大大降低了原本计划的因COVID-19干扰而开出的罚单。万豪酒店集团(Marriothotelgroup)曾在2014年遭遇数据泄露事件，影响到万豪于2015年收购的喜达屋(Starwood)度假连锁酒店。当时，攻击者能够渗透进喜达屋的系统，并通过一个webshell执行恶意软件，包括远程访问工具和凭证收集软件。攻击者随后进入了用于存储客人预订数据的数据库，这些数据包括姓名、电子邮件地址、电话号码、护照号码、旅行细节和忠诚计划信息。这一事件一直持续到2018年，在四年的时间里，大约3.39亿宾客的信息被盗。总共有700万条与英国客人有关的记录被曝光。

详情

Marriott fined £18.4 million by UK watchdog over customer data breach

暗网上有2000万bigbarket用户记录

日期: 2020年11月07日
等级: 高
作者: Pierluigi Paganini
标签: Bigbasket, India, COVID-19, Dark Web

据网络情报公司Cyble称，杂货电子商务网站Bigbasket据称遭遇了数据泄露，暗网上有超过2000万人的详细信息。档案有15gb大小，包含2000万用户记录，它以超过40000美元的价格出售。 BigBasket由阿里巴巴集团，MiraeAsset-Naver亚洲成长基金和CDC集团共同创立，其上市产品有1000多个品牌的18000多种产品。在新冠肺炎疫情继续在全球蔓延的同时，网络购物对用户来说变得越来越重要，此类事件使数百万用户面临黑客攻击的风险。

详情

20 million Bigbasket user records available on the dark web

废弃的“数据泄露索引”网站泄露23600个被入侵的数据库

日期: 2020年11月04日
等级: 高
作者: Catalin Cimpanu
标签: Telegram, Cit0Day, Hacking Forums, Data Breach Index

在多个黑客论坛和Telegram频道上，已有23000多个被黑客攻击的数据库能被下载。据说数据库集合源自 Cit0Day ，这是一家在黑客论坛上向其他网络罪犯发布广告的私人服务机构。Cit0day的运作方式是收集被黑客入侵的数据库，然后向其他黑客提供用户名、电子邮件、地址甚至明文密码的访问权限，每天或每月收取费用。然后，网络犯罪分子会利用该网站为目标用户识别可能的密码，然后试图在其他知名度更高的网站上盗用他们的账户。

详情

23,600 hacked databases have leaked from a defunct ‘data breach index’ site

Luxottica数据泄露暴露了Lenscrafter和EyeMed的信息

日期: 2020年11月08日
等级: 中
作者: Pierluigi Paganini
标签: Luxottica, LensCrafters, EyeMed, Ransomware

Luxottica公司在9月18日遭遇勒索软件攻击。Luxottica遭受的数据泄露暴露了LensCrafters，TargetOptical和EyeMed患者的个人和健康信息。 LuxotticaGroupS.p.A.是一家意大利眼镜企业集团，也是眼镜行业中全球最大的公司。作为一家垂直整合公司，Luxottica设计，制造，分销和零售其眼镜品牌。这家意大利公司拥有超过8万名员工，2019年创造了94亿欧元的收入。 “我们建议所有可能受影响的个人采取措施保护自己，例如，密切关注健康保险公司和医疗保健提供商的通知，以防意外活动。”该公司在事故发生后设立的网站上发表了一份声明。“如果您的支付卡信息和/或社会保险号码与此事件有关，请在您的信中明确说明。”10月27日，该公司开始通知受影响的用户。

详情

Luxottica data breach exposes info of LensCrafters and EyeMed patients

0x04 网络攻击

诈骗者滥用Google云端硬盘发送恶意链接

日期: 2020年11月02日
等级: 高
作者: Lindsey O&#039;Donnell
标签: Google Drive, Malicious Links, Cloud, Ransomware

诈骗者利用合法的Google云端硬盘协作功能来诱骗用户点击恶意链接。据报道，最近的攻击源于Google云端硬盘的合法协作功能，该功能允许用户创建推送通知或电子邮件，邀请人们共享Google文档。攻击者滥用此功能向移动用户发送Google云端硬盘通知，邀请他们在文档上进行协作，然后文档中包含恶意链接。由于这些通知是通过Google云端硬盘发送的，因此这些通知来自Google的不答复电子邮件地址，它们看起来更加合法。攻击的其他迭代是通过电子邮件发送的（而不是通过通知发送的），并将恶意链接直接包含在电子邮件中。

详情

Scammers Abuse Google Drive to Send Malicious Links

黑客窃取了在线黄金交易商JM的信用卡数据

日期: 2020年11月02日
等级: 高
作者: Pierluigi Paganini
标签: JM Bullion, Credit Card, Malicious Code

美国领先的在线黄金交易商 JMBullion 披露了数据泄露事件，黑客窃取了客户的信用卡信息。 JMBullion已向其客户发出数据安全事故通知，安全漏洞发生在2020年2月18日，当时其员工在其网站上发现了恶意脚本。 2020年7月6日，JMBullion在其网站上收到了可疑活动的警告。在第三方司法鉴定部门的专家的协助下，JMBullion立即开始调查，以评估事件的性质和范围。JMBullion的通知称，经过调查，该网站在2020年2月18日至7月17日期间存在恶意代码，能够捕获在购买时在有限场景下进入网站的客户信息。

详情

Hackers stole credit card data from JM Bullion online bullion dealer

勒索软件的打击将清空Isentia数百万美元

日期: 2020年11月03日
等级: 高
作者: Tara Seals
标签: Isentia, Media Communications , Ransomware, Malware

媒体通信巨头Isentia报道称，在最近的勒索软件攻击事件后，其金库将被清空多达600万美元（850万澳元）。该公司是一家媒体情报和数据分析公司，总部设在澳大利亚，业务遍及东南亚。它以其Mediaportal平台而闻名，该平台汇集了客户品牌的新闻，并被全球公关和营销团队使用。根据其网站，客户包括各种主要客户，包括澳大利亚政府、新加坡电信、三星和迪斯尼公司。Isentia表示，由于系统被攻击而导致的修复成本和业务损失将对其2021财年的利润产生重大影响，预计总额将达到700万至850万澳元。

详情

Media Comms Giant Says Ransomware Hit Will Cost Millions

黑客利用未修补的VoIP漏洞来危害商业账户

日期: 2020年11月05日
等级: 高
作者: Danny Palmer
标签: VoIP, CVE-2019-19006, vulnerability

在过去的一年中，一场黑客运动在全球范围内破坏了超过1,000家公司中的VoIP（互联网协议语音）电话系统，这场黑客运动旨在通过出售受侵害的帐户来获利。虽然主要目的似乎是拨打攻击者拥有的付费电话号码，或出售他人可以免费使用的电话号码和通话计划，但访问VoIP系统可以使网络犯罪分子能够进行其他攻击，包括监听私人电话，加密挖矿，甚至使用受损的系统来作为攻击的跳板。据CheckPoint的网络安全研究人员详细介绍，一个黑客组织利用这个漏洞，危害了20多个国家近1200个组织的VoIP网络，其中一半以上的受害者在英国。政府、军事、保险、金融和制造业等行业据信已成为这场运动的受害者。

详情

Hackers are exploiting unpatched VoIP flaws to compromise business accounts

美国联邦调查局：黑客窃取了美国政府机构和私人公司的源代码

日期: 2020年11月07日
等级: 高
作者: Catalin Cimpanu
标签: SonarQube, US, Source Code

美国联邦调查局（FederalBureauofInvestigation）发出安全警报警告，攻击者正在滥用配置错误的SonarQube应用程序，从美国政府机构和私人企业访问和窃取源代码存储库。美国联邦调查局(FBI)在2020年10月发出并于2020年11月2日在其网站上公布的一份警告中表示，至少从2020年4月开始就发生了入侵事件。 SonarQube应用程序安装在web服务器上，并连接到源代码托管系统，如BitBucket、GitHub或GitLab帐户或AzureDevOps系统。但是联邦调查局说，一些公司没有保护这些系统，在他们的默认配置（端口9000）上运行，并带有默认的管理员凭据（admin/admin）。

详情

FBI: Hackers stole source code from US government agencies and private companies

UNC1945在攻击中使用Oracle Solaris 0day漏洞

日期: 2020年11月04日
等级: 中
作者: Pierluigi Paganini
标签: UNC1945, Oracle, Solaris, CVE-2020-14871

一个被追踪为 UNC1945 的攻击团体已经针对OracleSolaris操作系统进行了长达两年的攻击。攻击者还利用最近解决的OracleSolaris零日漏洞（CVE-2020-14871）对电信公司进行了攻击，并利用第三方网络针对特定的金融和专业咨询行业。FireEye发表的报告中写道：“UNC1945针对的是OracleSolaris操作系统，针对Windows和Linux操作系统使用了多种工具和实用程序，加载和操作了自定义虚拟机，并采用了一些技术来逃避检测。”

详情

UNC1945, a sophisticated threat actor used Oracle Solaris Zero-Day exploit

Office 365网络钓鱼会反转图像以逃避检测

日期: 2020年11月04日
等级: 中
作者: Sergiu Gatlan
标签: Office 365, Phishing, Evade Detection, Inverts Images

一个前所未有的office365网络钓鱼活动已经反转了作为登录页面背景的图像，以避免被标记为恶意。WMCGlobal解释说：“由于图像识别软件正在改进，并且越来越精确，这项新技术旨在通过反转图像的颜色来欺骗扫描引擎，从而导致图像哈希值与原始值不同。”这种技术可能会妨碍软件对该图像进行标记的能力。值得一提的是，据WMCGlobal的分析师称，这种图像反转策略是在一个积极使用的office365凭证仿冒工具中观察到的。

详情

Sneaky Office 365 phishing inverts images to evade detection

美国攻破了一批伪装成新闻机构的伊斯兰革命卫队宣传网站

日期: 2020年11月05日
等级: 中
作者: Campbell Kwan
标签: USA, Iran, IRGC, Seize

美国宣布，已查获伊朗伊斯兰革命卫队（IRGC）27个域名，这些域名被伊朗伊斯兰革命卫队（IRGC）用来传播全球秘密影响力活动。根据司法部（DoJ）的数据，在27个域名中，有四个域名 rpfront.com ， ahtribune.com ， awdnews.com 和 criticalstudies.org 被查封，因为它们违反了《外国代理人注册法》。与此同时，其余23个域名被查封，因为它们的目标受众是世界其他地区的用户。这些域名是由美国司法部通过与谷歌、Facebook、Twitter和联邦调查局（FBI）的持续合作确定的。

详情

US seizes another crop of Iranian propaganda domains masked as news outlets

攻击者主动利用Rackspace托管电子邮件漏洞

日期: 2020年11月05日
等级: 中
作者: Mathew J. Schwartz
标签: Rackspace, SMTP, SPF , DNS

作为商业电子邮件泄露诈骗的一部分，攻击者一直在积极利用Rackspace托管电子邮件服务中的一个漏洞，发送带有合法和有效域名的钓鱼电子邮件。所有使用Rackspace托管电子邮件服务的组织似乎都很容易被这种方式滥用其电子邮件域。该漏洞是Rackspace的SMTP服务器-emailsrvr.com-授权用户与客户特别授权这些SMTP服务器代表其通过DNS条目发送电子邮件的结果。

详情

Rackspace Hosted Email Flaw Actively Exploited by Attackers

有攻击者利用RMS和TeamViewer攻击工业企业

日期: 2020年11月05日
等级: 中
作者: Kaspersky Lab ICS CERT
标签: RMS, TeamViewer, C&C, Phishing, Industrial Enterprises

从2018年到2020年初秋，有攻击者发送带有恶意软件的钓鱼电子邮件，来攻击利用社会工程技术和合法文件，攻击对象是那些仍然使用远程管理工具的公司。在新版恶意软件中，攻击者更改了感染新系统后使用的通知通道：他们使用RMS远程管理实用程序云基础设施的web界面，而不是恶意软件命令和控制服务器。在持续的攻击过程中，网络罪犯使用间谍软件和Mimikatz实用程序窃取身份验证凭证，这些凭证随后被用来感染企业网络上的其他系统。

详情

Attacks on industrial enterprises using RMS and TeamViewer: new data

意大利著名公司坎帕里集团受到攻击

日期: 2020年11月06日
等级: 中
作者: Pierluigi Paganini
标签: Campari Group, Italian, RagnarLocker, Campary, Ransomware

意大利饮料巨头金巴利集团(CampariGroup)遭遇勒索软件攻击，迫使该公司关闭了很大一部分IT网络。这家意大利公司自1860年开始蓬勃发展，生产烈酒，葡萄酒和汽水。这次攻击发生在2020年11月1日，Campary的系统被RagnarLocker勒索软件感染。 CampariGroup告知，大概是在2020年11月1日，它已成为恶意软件攻击（计算机病毒）的目标，并迅速予以识别。集团的IT部门在IT安全专家的支持下，立即采取行动，限制了恶意软件在数据和系统中的传播。因此，该公司已实施IT服务的临时暂停，因为某些系统已被隔离开来，以便在安全条件下进行卫生和逐步重启，以及时恢复正常运行。

详情

Prominent Italian firms under attack, Campari is the last one

0x05 其它事件

Oracle发布远程代码执行漏洞的紧急补丁

日期: 2020年11月03日
等级: 高
作者: GURUBARAN S
标签: Oracle, CVE-2020-14750, WebLogic, Critical Patch Update, Vulnerability

IT巨头 Oracle 在2020年11月1日发布了一个安全警告， CVE-2020-14750 ，针对OracleWebLogic 服务器上的一个远程代码执行漏洞。 OracleWebLogicServer 是一个JavaEE 应用服务器。最新版本是WebLogicServer14c(14.1.1)，发布于2020年3月30日。安全警报针对CVE-2020-14882漏洞提出建议，该漏洞于2020年10月解决，补丁更新，无需任何认证即可远程利用。Oracle强烈建议用户尽早应用这些更新。

目前 Oracle Weblogic 在全球均有分布，具体分布如下图，数据来自于 360 QUAKE

详情

Oracle Issues Emergency Patch for Remote Code Execution Vulnerability

未修补的Windows 0day漏洞在野被用于沙盒逃逸

日期: 2020年11月02日
等级: 高
作者: Tara Seals
标签: Google, Windows, Sandbox Escape, Local Privilege Escalation, CVE-2020-17087

一个严重的Windows驱动程序漏洞正在被肆无忌惮地利用。它允许本地权限提升和沙盒逃逸。据研究人员称，由于网络攻击者已经在利用这一安全漏洞，谷歌项目在报告7天后就披露了这一安全漏洞。该漏洞（CVE-2020-17087）与Windows内核密码驱动程序（cng.sys）处理输入/输出控制（IOCTL）的方式有关，这是特定于设备的输入/输出操作和其他操作的系统调用其他不能由常规系统调用表示的操作。通过巧尽心思构建的请求，攻击者可以触发基于池的缓冲区溢出，从而导致系统崩溃。

详情

Unpatched Windows Zero-Day Exploited in the Wild for Sandbox Escape

Google修复了Chrome中的第二个0day漏洞

日期: 2020年11月03日
等级: 高
作者: Pierluigi Paganini
标签: Google, Chrome, Windows, Linux, RCE, Mac, Vulnerability

谷歌发布了针对Windows、Mac和Linux的Chrome86.0.4240.183，解决了10个安全漏洞，包括远程代码执行(RCE)0day漏洞(CVE-2020-16009)，这些漏洞被网络上的攻击者利用。 V8是谷歌的开源和基于C++的高性能WebSimuleScript和JavaScript引擎。这个0day漏洞是由谷歌 ProjectZero 的谷歌白帽黑客 SamuelGro 黑客和谷歌威胁分析小组的ClementLecigne 于2020年10月29日发现的。ChromeZeroday是一个沙盒逃逸问题，它允许攻击者逃离Chrome的安全容器并在底层操作系统上运行代码。

详情

Google fixes the second zero-day in Chrome in 2 weeks actively exploited

Adobe警告Windows、MacOS用户Acrobat和Reader存在严重漏洞

日期: 2020年11月03日
等级: 高
作者: Lindsey O&#039;Donnell
标签: Adobe, Windows, macOS, Acrobat, Reader, Vulnerability, Patches

Adobe已经修复了其Acrobat和Reader系列应用软件服务的Windows和macOS版本中与四个CVE相关的严重漏洞。攻击者可以利用这些漏洞在受影响的产品上执行任意代码。这些严重漏洞包括基于堆的缓冲区溢出（CVE-2020-24435）、越界写入故障（CVE-2020-24436）和两个释放后使用漏洞（CVE-2020-24430和CVE-2020-24437）。这些漏洞是Adobe定期计划的补丁的一部分，这些补丁总体上修补了与14个CVE相关的关键、重要和中等严重性漏洞。

详情

Adobe Warns Windows, MacOS Users of Critical Acrobat and Reader Flaws

Maze勒索软件宣布关闭业务

日期: 2020年11月02日
等级: 中
作者: Lawrence Abrams
标签: Maze, BleepingComputer, Shuts Down, Cartel, Ransomware

勒索软件团伙Maze于2020年11月2日宣布，他们已经正式关闭勒索软件业务，不再在他们的网站上泄露新公司的数据。 BleepingComputer报告称，勒索软件团队Maze从9月中旬开始停止加密新的受害者，清理他们的数据泄露网站，并敲诈最终受害者。2020年11月2日，勒索软件团队Maze发布了一份题为“项目已关闭”的新闻稿，声明他们已关闭，任何其他使用其名称的勒索软件操作都是骗局。

详情

Maze ransomware shuts down operations, denies creating cartel

新的防火墙绕过攻击允许黑客访问任何TCP/UDP服务

日期: 2020年11月02日
等级: 中
作者: The Hacker News
标签: NAT Slipstreaming, TCP/UDP, Bypass, Firewall

一项新的研究显示了一种技术，允许攻击者绕过防火墙保护，远程访问受攻击机器上的任何TCP/UDP服务。这种方法被称为 NATSlipstreaming ，它包括向目标发送一个到恶意站点(或装载恶意广告的合法站点)的链接，当访问该站点时，最终触发网关打开受害者的任何TCP/UDP端口，从而绕过基于浏览器的端口限制。安全研究员SamyKamkar在2020年11月1日揭露了这一发现。

详情

New NAT/Firewall Bypass Attack Lets Hackers Access Any TCP/UDP Service

俄罗斯程序员因网络犯罪在美国被判8年监禁

日期: 2020年11月02日
等级: 中
作者: Kieren McCarthy
标签: Russian, America, Aleksandr Brovko, Jailed, BotNet

一名俄罗斯程序员在美国被判8年监禁，原因是他参与了大规模网络犯罪，侵入并窃取了受害者的银行账户。现年36岁的亚历山大·布罗夫科（AleksandrBrovko）于2019年在捷克共和国被捕，并因对俄罗斯黑客圈的漫长调查而被引渡到美国。 2020年2月，他在美国认罪，共谋实施电信欺诈和银行欺诈，作为Brovko与当局达成的认罪协议的一部分，第二项共谋实施接入设备欺诈的指控被撤销。

详情

Russian jailed for eight years in the US for writing code that sifted botnet logs for web banking creds for fraudsters

恶意npm库因后门功能被删除

日期: 2020年11月03日
等级: 中
作者: Pierluigi Paganini
标签: JavaScript, npm, twilio-npm, Repository

npm安全团队已经从其存储库中删除了一个名为“twilionpm”的恶意JavaScript库，因为其中包含恶意代码。npm安全团队已经从其存储库中删除了一个名为“twilionpm”的恶意JavaScript库，因为它包含在程序员计算机上建立后门的代码。Npm是任何编程语言中最大的包存储库。安全公司Sonatype的研究员axsharma发现了这个被污染的JavaScript库。这个假的Twilio库最近被上传到npm存储库中，被下载了370多次，并通过npm（NodePackageManager）命令行实用程序自动导入JavaScript项目。

详情

Malicious npm library removed from the repository due to backdoor capabilities

Win10功能升级后证书丢失?微软表示:我们正在努力修复

日期: 2020年11月03日
等级: 中
作者: Liam Tung
标签: Microsoft, Windows 10, Bug, Certificates, Upgrade

有报道称，当电脑用户升级到新版本的操作系统时，Windows10会丢失系统和用户证书，微软对此予以证实。一周前，有用户报告称，升级到更高版本的windows10时发生了被遗忘的证书故障，Borncity当时报告说。用户报告升级到多个版本的Windows10时证书丢失。微软现在已经确认，从Windows10版本1809升级到更高版本时，系统和用户证书可能会丢失。不过，该公司指出，在升级时，丢失证书的问题有几个先决条件。微软解释说：“只有当设备已经安装了2020年9月16日或更高版本发布的任何最新累计更新（LCU），然后从媒体或没有集成2020年10月13日发布的LCU或更高版本的安装源继续更新到更高版本的Windows10时，设备才会受到影响。”

详情

Windows 10 bug: Certificates lost after feature upgrade? We’re working on fix, says Microsoft

自动化供应商SaltStack修补漏洞

日期: 2020年11月04日
等级: 中
作者: Simon Sharwood
标签: SaltStack, CVE-2020-16846, CVE-2020-17490, CVE-2020-25592

自动化供应商SaltStack透露了三个漏洞，其中两个很可能被评为严重，它们的CVE编号是CVE-2020-16846、CVE-2020-17490和CVE-2020-25592。SaltStack说，这些漏洞应该在用户的待办事项列表中排在首位。另外，SaltStack正在单独处理这个问题。新的母公司VMware尚未发布安全建议。

详情

Automation vendor SaltStack warns of stop-watching-the-election-and-patch-now bugs

苹果修复了Google团队发现的三个0day漏洞

日期: 2020年11月06日
等级: 中
作者: Steve Zurier
标签: Apple, iOS, Google, Project Zero, Vulnerability, Patches

苹果2020年10月5日发布了iOS补丁，针对谷歌的projectzero安全团队发现的三个零日漏洞。研究人员表示，这三个漏洞都被用作攻击链的一部分，攻击者可以利用这些漏洞危害iOS设备，并有可能让他们的设备攻击它们，接管摄像头或麦克风，在用户输入个人或工作凭据时共享位置数据和记录击键记录。虽然苹果和谷歌都没有透露有多少目标被击中，但为了安全起见，他们建议iOS用户运行iOS14.2的补丁。

详情

Apple patches three zero-day vulnerabilities found by Google’s Project Zero team

美国和巴西当局查获2400万美元的加密货币

日期: 2020年11月05日
等级: 低
作者: Charlie Osborne
标签: US, Brazilian, Operation Egypto, Seize, Cryptocurrency

美国和巴西当局查获了2400万美元的加密货币，这些货币与一个据称欺骗数万投资者的网络计划有关。美国司法部表示，这些公司本来打算投资虚拟资产。然而，只有一小部分资金用于此目的，而其余资金则流入了涉嫌欺诈者的口袋。应巴西政府要求，美国执法部门参与了巴西联邦调查涉嫌诈骗的“埃及行动”。根据《刑事事项司法协助条约》进行的合作努力，追查了嫌疑人马科斯·安东尼奥·法贡德斯，他被控未经合法授权经营金融机构、欺诈性管理金融机构、挪用公款、洗钱，违反证券法。

详情

US, Brazilian law enforcement seize $24 million in cryptocurrency generated through online fraud