明朝万达 2021年网络安全月报（3月）

　　近日，明朝万达安元实验室发布了2021年第三期《安全通告》，该份报告收录了今年3月最新的网络安全前沿新闻和最新漏洞追踪，其中重点内容包括：

　　网络安全前沿新闻

　　¤ Ursnif特洛伊木马攻击100多家意大利银行

　　Ursnif特洛伊木马最早于2007年被发现，其被追踪到针对意大利至少100家银行的攻击。

　　据Avast称，这些恶意软件的运营商对意大利的目标非常感兴趣，针对这些银行机构的攻击导致了凭证和财务数据的丢失。

　　根据研究人员收集的信息，至少有100家银行成为攻击目标。仅在一个案例中，一个不知名的支付处理器就有1700多套凭证被盗，包括用户名、密码、信用卡、银行和支付信息。

　　¤ 俄罗斯黑客部署新的勒索软件变种

　　据安全公司卡巴斯基称，俄罗斯黑客组织RTM正在部署一个名为“Quoter”的新型勒索软件变种以及一个银行特洛伊木马，作为勒索活动的一部分。

　　据报道，该组织最新的活动始于2020年12月，迄今已针对俄罗斯的10个组织发起攻击。攻击者首先发送恶意电子邮件，在邮件内部填充与业务操作相关的消息，并附上附件。如果受害者打开附件，则会下载特洛伊木马。

　　¤ 马航披露长达9年的数据泄露事件

　　马来西亚航空公司（MalaysiaAirlines）遭遇了长达9年的数据泄露事件，该事件暴露了其Enrich常客计划中成员的个人信息。

　　据马来西亚航空公司称，该漏洞发生在一家第三方IT服务提供商处，该提供商通知马航，会员数据在2010年3月至2019年6月期间被曝光。

　　数据泄露期间曝光的会员信息包括会员姓名、联系方式、出生日期、性别、常客号码。

　　¤ 数据分析公司Polecat暴露了30TB的数据

　　英国数据分析公司Polecat的一台未加密服务器暴露了大约30TB的数据，其中包括120亿条与社交媒体相关的记录。包括超过65亿条tweets，近50亿条标记为“社交”的记录（似乎都是tweets），以及超过10亿条不同博客和网站的帖子。曝光的数据包括推文内容、推文ID、作者用户名、浏览/跟帖人数、帖子内容、URL、收获时间、发布者、地区和帖子标题。在服务器暴露的第二天，研究人员发现Meow攻击已经开始扫描该数据库，并删除了接近一半的数据，攻击者留下了一张赎金纸条，要求0.04比特币（当时大约550美元）才能取回数据。

　　目前ElasticSearch在全球均有分布，具体分布如下图

　　¤ Ryuk勒索软件袭击了700个西班牙政府劳工局办公室

　　SEPE是西班牙政府的劳工机构，在遭到勒索软件攻击之后，该系统被关闭，此次攻击袭击了西班牙700多家代理商。

　　该机构网站上的一份声明称:“目前，正在努力尽快恢复优先服务，其中包括国家公共就业服务门户，然后逐步向公民、公司、福利和就业办公室提供其他服务。”SEPE主管GeradoGuitérrez证实，事件发生后，该机构的网络系统被Ryuk勒索软件运营商加密。

　　¤ 新的ZHtrap僵尸网络恶意软件部署蜜罐来寻找更多的目标

　　新的僵尸网络正在将受感染的路由器、dvr和UPnP网络设备转化为蜜罐，帮助它找到其他感染目标。

　　这个被安全研究人员称为ZHtrap的恶意软件基于Mirai的源代码构建，并支持x86、ARM、MIPS和其他CPU架构。僵尸网络的主要功能包括DDoS攻击和扫描更易受感染的设备。但是，它还具有后门功能，允许操作员下载和执行其他恶意有效负载。ZHtrap使用了类似蜜罐的技术，以此来进行IP收集。

　　¤ Metamorfo银行木马滥用AutoHotKey

　　Metamorfo银行特洛伊木马正在滥用AutoHotKey（AHK）和AHK编译器来逃避检测并窃取用户信息。

　　AHK是一种Windows脚本语言，最初是为创建快捷键而开发的。据科芬斯网络钓鱼防御中心（PDC）称，该恶意软件以西班牙语用户为目标，使用两封单独的电子邮件作为初始感染媒介。一个是所谓的下载受密码保护的文件的请求；另一个是关于未决法律文件的精心伪造的通知，带有下载.ZIP文件的链接。在这两种情况下，恶意代码都包含在最终下载到受害计算机的.ZIP文件中。

　　相关安全建议

　　1. 及时对系统及各个服务组件进行版本升级和补丁更新；

　　2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本；

　　3. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题；

　　4. 减少外网资源和不相关的业务，降低被攻击的风险；

　　5. 条件允许的情况下，设置主机访问白名单；

　　6. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理。

　　¤ 电脑巨头宏遭5000万美元勒索软件攻击

　　电子业巨头宏（Acer）遭到了一次REvil勒索软件攻击，攻击者要求获得迄今为止已知的最大赎金5000万美元。

　　这个勒索软件团伙在他们的数据泄露网站上宣布，他们进入了宏的系统，并分享了一些据称被盗文件的图片作为证据。这些泄露的图像是用于包括财务电子表格、银行余额和银行通信的文档。

　　¤ Android特洛伊木马冒充Clubhouse应用

　　ESET恶意软件研究人员卢卡斯斯特凡科（LukasStefanko）发现，网络犯罪分子正试图利用Clubhouse的流行，发布恶意软件，目的是窃取用户的登录信息，用于各种在线服务。

　　该恶意软件包伪装成Android版的仅限邀请函的音频聊天应用程序，由一家具有正版会所网站外观和感觉的网站提供。该恶意程序可以盗取受害者至少458个在线服务的登录数据。目标名单包括知名金融和购物应用程序、加密货币交易所，以及社交媒体和消息平台。

　　相关安全建议

　　1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等；

　　2. 及时对系统及各个服务组件进行版本升级和补丁更新；

　　3. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本；

　　4. 各主机安装EDR产品，及时检测威胁；

　　5. 严格做好主机的权限控制；

　　6. 注重内部员工安全培训。

　　¤ Office 365网络钓鱼攻击的目标是财务主管

　　根据area1security的报告，一种新的网络钓鱼骗局正在兴起，目标是保险和金融服务行业的高管获取他们的microsoft365证书，并发起商业电子邮件泄露（BEC）攻击。

　　这些新的、复杂的攻击针对C-suite高管、他们的助理和财务部门，可以绕过电子邮件安全和office365防御。研究人员补充说，他们截获的大多数攻击都试图破坏金融部门，袭击始于2020年12月，一直持续到2021年2月。

　　研究人员的报告中说：“通过针对这些公司的财务部门，攻击者可能通过发票和账单获取第三方的敏感数据，这通常被称为BEC（商业电子邮件泄露）攻击。”

　　相关安全建议

　　1. 及时对系统及各个服务组件进行版本升级和补丁更新；

　　2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本；

　　3. 积极开展外网渗透测试工作，提前发现系统问题；

　　4. 注重内部员工安全培训。

　　网络安全最新漏洞追踪

　　Microsoft的紧急安全更新修复了Exchange漏洞

　　Microsoft发布了针对MicrosoftExchange的紧急带外安全更新，修复了四个在被积极利用的0day漏洞。

　　这四个0day漏洞被组合在一起利用，以获得对MicrosoftExchange服务器的访问、窃取电子邮件，并植入更多恶意软件以增加对网络的访问。

　　CVE-2021-26855是服务端请求伪造漏洞，利用此漏洞的攻击者能够发送任意HTTP请求并通过ExchangeServer进行身份验证。

　　CVE-2021-26857是序列化漏洞，该漏洞需要管理员权限，利用此漏洞的攻击者可以在Exchange服务器上以SYSTEM身份运行代码。

　　CVE-2021-26858/CVE-2021-27065是任意文件写入漏洞，攻击者通过Exchange服务器进行身份验证后，可以利用此漏洞将文件写入服务器上的任何路径。该漏洞可以配合CVE-2021-26855SSRF漏洞进行组合攻击。

　　涉及漏洞

　　 CVE-2021-27065

　　 CVE-2021-26855

　　 CVE-2021-26857

　　 CVE-2021-26858

　　相关安全建议

　　1. 及时对系统及各个服务组件进行版本升级和补丁更新；

　　2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本。

　　至少有10个APT组织利用Microsoft Exchange漏洞进行攻击

　　据斯洛伐克安全公司ESET的研究人员称，在过去三个月里，至少有10个APT（高级持续性威胁）组织利用未修补的MicrosoftExchange漏洞攻击了数千家公司。

　　ESET的研究人员公布了每一次攻击的细节，并指出了APT所涉及的组织，或者指出了一个未知的团伙进行了这次攻击。

　　ESET说，在1月5日微软收到漏洞通知之前，几个APT组织就已经开始攻击了。

　　涉及漏洞

　　 CVE-2021-27065

　　 CVE-2021-26855

　　 CVE-2021-26857

　　 CVE-2021-26858

　　网络攻击者利用严重的WordPress插件漏洞

　　用于WordPress的Elementor插件的Plus插件有一个严重的安全漏洞，攻击者可以利用该漏洞快速、轻松地远程接管网站。

　　研究人员称，该漏洞目前有在被利用。根据开发者的说法，这个插件有超过30000个安装。

　　该漏洞（CVE-2021-24175）是Elementor的PlusAddons的注册表单函数中存在的特权升级和身份验证绕过问题。

　　它的CVSS评分为9.8，漏洞危害等级为严重。

　　涉及漏洞

　　 CVE-2021-24175

　　目前wordpress在全球均有分布，具体分布如下图

　　严重的安全漏洞会导致智能电表离线

　　施耐德电气智能电表中存在严重的安全漏洞，攻击者可利用该漏洞获得远程代码执行（RCE）路径，或重新启动电表，从而在设备上造成拒绝服务（DoS）情况。

　　施耐德电气的PowerLogicION/PM智能电表产品线与其他智能电表一样，既可供消费者在家中使用，也可供部署这些电表的公用事业公司使用，以便对客户的服务进行监控和计费。它们也被工业公司、数据中心和医疗保健公司使用。

　　涉及漏洞

　　 CVE-2021-22714

　　 CVE-2021-22713

　　相关安全建议

　　1. 及时对系统及各个服务组件进行版本升级和补丁更新；

　　2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本；

　　3. 及时备份数据并确保数据安全。

　　新的Mirai变种和ZHtrap僵尸网络恶意软件出现

　　网络安全研究人员3月14日披露了新一轮持续的攻击，这些攻击利用多个漏洞在受感染的系统上部署Mirai变体。

　　在成功利用后，攻击者试图下载恶意的shell脚本，其中包含进一步的感染行为，例如下载和执行Mirai变体和暴力破解程序。

　　涉及漏洞

　　 CVE-2020-25506

　　 CVE-2021-22502

　　 CVE-2021-27562

　　 CVE-2021-27561

　　 CVE-2020-26919

　　 CVE-2019-19356

　　 CVE-2014-8361

　　【您可至“明朝万达”获取《安全通告》第三期全文】