报告编号：B6-2021-050601

报告来源：360CERT

报告作者：360CERT

更新日期：2021-05-06

1 事件导览

本周收录安全热点13项，话题集中在恶意软件、数据泄露方面，涉及的组织有：Reverb、Apple、PHP SRC等。黑客利用近期漏洞大肆攻击，各厂商注意防护对此，360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测，使用360城市级网络安全监测服务QUAKE进行资产测绘，做好资产自查以及预防工作，以免遭受黑客攻击。

恶意程序
RotaJakiro: Linux秘密后门
FluBot间谍软件遍布欧洲
黑客利用SonicWall 0Day漏洞部署FiveHands勒索软件
卡巴斯基发现了具有后门功能的中情局恶意软件
云托管提供商瑞士云遭遇勒索软件攻击
数据安全
黑客曝光2.5亿美国户口记录
Reverb泄露音乐家个人信息
150万条与政府有关的电子邮件记录遭遇泄露
网络攻击
黑客利用0day漏洞攻击MacOS计算机
First Horizon银行在线帐户被黑客窃取客户资金
其它事件
一个新的PHP Composer漏洞可能导致广泛的供应链攻击
Apple修补了macOS Gatekeeper被绕过的漏洞
F5 BIG-IP易受Kerberos KDC欺骗漏洞攻击

2 恶意程序

RotaJakiro: Linux秘密后门

 日期: 2021年04月29日 等级: 高 作者: Netlab 标签: Linux, Backdoor, RotaJakiro 行业: 信息传输、软件和信息技术服务业 涉及组织: Linux 

360NETLAB的BotMon系统标记了具有0VT检测的可疑ELF文件（MD5=64f6cfe44ba08b0babdd3904233c4857），该文件与TCP443（HTTPS）上的4个域通信，但流量不是TLS/SSL。仔细查看该样本，发现它是针对LinuxX64系统的后门程序，该家族已经存在至少3年了，根据它的行为将其命名为RotaJakiro。RotaJakiro使用多种加密算法非常注意隐藏其踪迹，包括使用AES算法对样本中的资源信息进行加密，C2通信使用的组合AES、XOR、ROTATEencryption和ZLIBcompression。

详情

RotaJakiro: A long live secret backdoor with 0 VT detection

https://blog.netlab.360.com/stealth_rotajakiro_backdoor_en/

FluBot间谍软件遍布欧洲

 日期: 2021年04月28日 等级: 高 作者: Doug Olenick 标签: Proofpoint, Europe 行业: 跨行业事件 

Proofpoint的研究人员称，警方逮捕了四名涉嫌参与这一活动的嫌疑人，但之后FluBotAndroid间谍软件再次在欧洲各地蔓延。这家安全公司报告说，这些恶意软件的运营商正在有条不紊地工作，利用他们控制下的数千台设备发送恶意钓鱼短信，一个接一个地袭击不同的国家。

详情

FluBot Spyware Spreads Across Europe

https://www.databreachtoday.com/flubot-spyware-spreads-across-europe-a-16480

黑客利用SonicWall 0Day漏洞部署FiveHands勒索软件

 日期: 2021年04月30日 等级: 高 作者: The Hacker News 标签: FIVEHANDS, UNC2447, CVE-2021-20016 行业: 金融业 

一个金融黑客组织在SonicWallVPN设备中发现了一个0Day漏洞，该组织利用此漏洞进行攻击，并部署一种名为FIVEHANDS的新型勒索软件。CVE-2021-20016是SonicWallSSLVPNSMA产品系列中的SQL注入漏洞，未经身份验证的攻击者可利用该漏洞获取访问登录凭据（用户名，密码）以及会话信息，从而获取SMA100设备的控制权。

涉及漏洞

- CVE-2021-20016

详情

Hackers Exploit SonicWall Zero-Day Bug in FiveHands Ransomware Attacks

https://thehackernews.com/2021/04/hackers-exploit-sonicwall-zero-day-bug.html

卡巴斯基发现了具有后门功能的中情局恶意软件

 日期: 2021年04月30日 等级: 高 作者: Waqas 标签: Purple Lambert, Kaspersky, CIA 行业: 政府机关、社会保障和社会组织 涉及组织: Kaspersky, CIA 

卡巴斯基实验室的全球研究和分析团队（GReAT）发现了一种新的恶意软件，该公司声称该软件是由美国中央情报局（CIA）开发的。据研究人员称，这些样本是在2014年收集的，因此很可能在2014年部署，最晚可能在2015年就已经开始部署。卡巴斯基研究人员称之为PurpleLambert；该恶意软件具有后门功能，可以被动监听网络流量并搜索“数据包”。此外，恶意软件可以从目标系统中提取基本信息，同时执行从其操作员接收的Payload。

详情

Kaspersky spots CIA malware with backdoor capabilities

https://www.hackread.com/kaspersky-cia-malware-backdoor-capabilities/

云托管提供商瑞士云遭遇勒索软件攻击

 日期: 2021年05月02日 等级: 高 作者: Pierluigi Paganini 标签: Swiss Cloud, Ransomware 行业: 信息传输、软件和信息技术服务业 

4月27日，这家瑞士云主机提供商遭到勒索软件攻击，导致该公司服务器基础设施瘫痪。该公司目前在HPE和微软专家的帮助下，从备份中恢复操作。

详情

Cloud hosting provider Swiss Cloud suffered a ransomware attack

https://securityaffairs.co/wordpress/117433/cyber-crime/swiss-cloud-ransomware-attack.html

相关安全建议

1. 在网络边界部署安全设备，如防火墙、IDS、邮件网关等

2. 做好资产收集整理工作，关闭不必要且有风险的外网端口和服务，及时发现外网问题

3. 及时对系统及各个服务组件进行版本升级和补丁更新

4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

5. 各主机安装EDR产品，及时检测威胁

6. 注重内部员工安全培训

7. 不轻信网络消息，不浏览不良网站、不随意打开邮件附件，不随意运行可执行程序

8. 勒索中招后，应及时断网，并第一时间联系安全部门或公司进行应急处理

3 数据安全

黑客曝光2.5亿美国户口记录

 日期: 2021年04月26日 等级: 高 作者: Waqas 标签: American, Pompumurin 行业: 跨行业事件 涉及组织: amazon 

2021年4月22日，一名黑客通过Pompumurin泄露了一个数据库，其中包含超过2.5亿美国公民和居民的个人及户口数据。这个数据库包含价值263GB的记录，包括1255个CSV子文件，每个文件有20万个列表。尽管目前还不清楚是谁收集或拥有这些数据，但据消息人士透露，泄漏源来自亚马逊网络服务器上托管的开放apachesolr。

目前Apache Solr在全球均有分布，具体分布如下图，数据来自于360 QUAKE

详情

Hacker dumps sensitive household records of 250M Americans

https://www.hackread.com/hacker-dumps-household-records-of-americans/

Reverb泄露音乐家个人信息

 日期: 2021年04月26日 等级: 高 作者: Lawrence Abrams 标签: Reverb, Elasticsearch 行业: 文化、体育和娱乐业 涉及组织: elasticsearch, Reverb 

Reverb是最大的在线市场，致力于销售乐器和设备。Reverb遭遇数据泄露，一个未加密数据库的曝光。数据库服务器为Elasticsearch，其中包含560多万条记录。每个记录都包含Reverb.com上特定列表的信息，包括全名、电子邮件地址、电话号码、邮寄地址、PayPal电子邮件和列表、订单信息。

目前Elasticsearch在全球均有分布，具体分布如下图，数据来自于360 QUAKE

详情

Reverb discloses data breach exposing musicians' personal info

https://www.bleepingcomputer.com/news/security/reverb-discloses-data-breach-exposing-musicians-personal-info/

150万条与政府有关的电子邮件记录遭遇泄露

 日期: 2021年04月26日 等级: 高 作者: The Hacker News 标签: Password, Government 行业: 政府机关、社会保障和社会组织 涉及组织: government 

此次泄漏包括1502909个密码与来自世界各地的政府域的电子邮件地址，仅美国政府就有625,505个密码，其次是英国（205099），澳大利亚（136025），巴西（68535），加拿大（50726）。这一发现来自于对一个名为“COMB21”的100GB海量数据集的分析，这个数据集是对许多漏洞的汇总，早些时候在一个网络犯罪论坛上免费发布，它汇集了多年来发生在不同公司和组织的多起泄密事件的数据。

详情

3.2 Billion Leaked Passwords Contain 1.5 Million Records with Government Emails

https://thehackernews.com/2021/04/32-billion-leaked-passwords-contain-15.html

相关安全建议

1. 及时备份数据并确保数据安全

2. 合理设置服务器端各种文件的访问权限

3. 严格控制数据访问权限

4. 及时检查并删除外泄敏感数据

5. 发生数据泄漏事件后，及时进行密码更改等相关安全措施

6. 强烈建议数据库等服务放置在外网无法访问的位置，若必须放在公网，务必实施严格的访问控制措施

4 网络攻击

黑客利用0day漏洞攻击MacOS计算机

 日期: 2021年04月27日 等级: 高 作者: The Hacker News 标签: Apple, macOS 行业: 信息传输、软件和信息技术服务业 涉及组织: apple 

苹果发布了macOS操作系统的更新，以解决一个被广泛利用的0day漏洞，该漏洞可能绕过所有安全保护，从而允许未经批准的软件在Macos上运行。macOS的漏洞被识别为CVE-2021-30657。

涉及漏洞

- CVE-2021-30661

- CVE-2021-30657

- CVE-2020-7463

- CVE-2021-1825

详情

Hackers Exploit 0-Day Gatekeeper Flaw to Attack MacOS Computers

https://thehackernews.com/2021/04/hackers-exploit-0-day-gatekeeper-flaw.html

First Horizon银行在线帐户被黑客窃取客户资金

 日期: 2021年04月30日 等级: 高 作者: Sergiu Gatlan 标签: First Horizon 行业: 金融业 涉及组织: First Horizon 

银行控股公司FirstHorizonCorporation披露，其部分客户的网上银行账户遭到不明攻击者的入侵。FirstHorizon是一家区域性金融服务公司，拥有840亿美元资产，提供银行、资本市场和财富管理服务。FirstHorizon在2021年4月中旬发现了这起攻击，并表示它只影响了有限数量的客户。调查期间发现，攻击者可能利用先前被盗的凭证和利用第三方软件中的漏洞，侵入客户的网上银行账户。

详情

First Horizon bank online accounts hacked to steal customers’ funds

https://www.bleepingcomputer.com/news/security/first-horizon-bank-online-accounts-hacked-to-steal-customers-funds/

相关安全建议

1. 积极开展外网渗透测试工作，提前发现系统问题

2. 减少外网资源和不相关的业务，降低被攻击的风险

3. 做好产品自动告警措施

4. 及时对系统及各个服务组件进行版本升级和补丁更新

5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6. 注重内部员工安全培训

5 其它事件

一个新的PHP Composer漏洞可能导致广泛的供应链攻击

 日期: 2021年04月30日 等级: 高 作者: Ravie Lakshmanan 标签: PHP, Composer, URL 行业: 信息传输、软件和信息技术服务业 涉及组织: php 

PHP的软件包管理器Composer的维护者已发布了一个更新程序，以解决一个严重漏洞，该漏洞可能允许攻击者执行任意命令并将每个PHP软件包安装上后门，从而导致供应链攻击。该漏洞源于处理程序包源下载URL的方式，可能触发远程命令执行。

涉及漏洞

- CVE-2021-29472

详情

A New PHP Composer Bug Could Enable Widespread Supply-Chain Attacks

https://thehackernews.com/2021/04/a-new-php-composer-bug-could-enable.html

Apple修补了macOS Gatekeeper被绕过的漏洞

 日期: 2021年04月28日 等级: 高 作者: Charlie Osborne 标签: Apple, Mac 行业: 信息传输、软件和信息技术服务业 涉及组织: apple 

苹果发布了一系列的安全补丁，解决了一些问题，包括一个被广泛利用的0day漏洞和一个权限绕过漏洞。安全补丁已经发布，即macOSBigSur11.3。其中一个最值得注意的修复是CedricOwens发现的漏洞。该漏洞被追踪为CVE-2021–30657，攻击者可绕过Gatekeeper（苹果用于代码签名和验证的内置保护机制）。

涉及漏洞

- CVE-2021-30657

- CVE-2021-1810

详情

Apple patches macOS Gatekeeper bypass vulnerability exploited in the wild

https://www.zdnet.com/article/apple-patches-macos-gatekeeper-bypass-vulnerability-exploited-in-the-wild/

F5 BIG-IP易受Kerberos KDC欺骗漏洞攻击

 日期: 2021年04月28日 等级: 高 作者: The Hacker News 标签: KDC, F5, Kerberos 行业: 信息传输、软件和信息技术服务业 

Kerberos密钥分发中心（KDC）安全功能中存在一个新的绕过漏洞（CVE-2021-23008），影响F5大型IP应用程序交付服务。Silverfort研究人员YaronKassner和RotemZach在一份报告中说：“KDC欺骗漏洞允许攻击者绕过Kerberos身份验证到大型IP访问策略管理器（APM），绕过安全策略，获得对敏感工作负载的不受限制的访问。”

涉及漏洞

- CVE-2020-3125

- CVE-2021-23008

- CVE-2020-2002

- CVE-2019-4545

详情

F5 BIG-IP Found Vulnerable to Kerberos KDC Spoofing Vulnerability

https://thehackernews.com/2021/04/f5-big-ip-found-vulnerable-to-kerberos.html

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序，应及时更新到最新版本

6 产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件，360cert建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

7 时间线

2021-05-03 360CERT发布安全事件周报

8 特制报告下载链接

一直以来，360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务，现360CERT正式推出安全通告特制版报告，以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。

安全事件周报 (04.26-05.02)

http://pub-shbt.s3.360.cn/cert-public-file/【360CERT】安全事件周报_04月26日-05月02日.pdf

若有订阅意向与定制需求请扫描下方二维码进行信息填写，或发送邮件至g-cert-report#360.cn ，并附上您的 公司名、姓名、手机号、地区、邮箱地址。