近日,360公司(股票代码:601360.SH,以下简称“360”)网络安全响应中心“360CERT”)《网络安全九月报》(以下简称“九月月报”),通过梳理9月份安全漏洞分析、网络安全重大事件、勒索病毒攻击情况、移动安全数据分析、样本分析等,帮助相关人员掌握网络安全领域的最新发展趋势。
安全漏洞
2021年9月,360CERT共有13个漏洞,其中1个严重,9个高危,3个中危。主要漏洞类型包括⾝绕过验证、堆栈溢出、服务器端请求伪造等。所涉及的制造商主要是Apache 、Cisco、QNAP、Windows、 VMware等。
在九月报收录的13个漏洞中,重点介绍了5个严重高危漏洞事件,包括VMware vCenter Server多个高危漏洞,2021-09 补丁日: 微软多个漏洞安全更新2021-09 补丁日: Chrome微软官方发布了多个漏洞的安全更新MSHTML组件在野0day漏洞、Confluence OGNL 注入漏洞。
安全事件
本月360CERT共有211起安全事件,主题集中在数据泄露、恶意程序、网络攻击等方面。Microsoft 、Google 、Intel 、Cisco、Apple、FBI、instagram等等。所涉及的行业主要包括IT服务业、金融业、制造业、政府机构和社会组织、医疗业、交通运输业等IT服务业安全事件的比例仍远远超过其他行业,从9月份报告中梳理的关键事件回顾中可以看出,13起事件中有7起为IT发生在服务业。
APT作为网络安全领域不容忽视的主要网络安全威胁,该事件在9月份仍然活跃。9月份的报告重点关注了17个具有代表性的APT并收录事件APT简要说明了事件。九月报中,收录了两起关于事件的事件APT-C-56(透明部落)预警——APT-C-56最近最新的攻击分析(透明部落)涉嫌关联Gorgon Group攻击和疑似APT-C-56透明部落攻击预警。
透明部落(Transparent Tribe)别名APT36、ProjectM、C-Major,是⼀南亚背景APT该组织长期以来一直针对周边国家和地区(特别是印度)的政治和军事进行有针对性的攻击了自己的独家木马CrimsonRAT,也被发现广泛传播USB蠕虫。TransparentTribe也曾经对Donot模仿恶意文档的宏代码,两者高度相似。透明部落曾模仿响尾蛇组织进行攻击。⼀攻击和信息窥探印度的政府、公共部门和各行各业,包括但不限于医疗、电力、金融和制造业。
最近,360高级威胁研究分析中心在日常情报挖掘中发现并捕获了透明部落攻击印度的文档,最终释放了恶意文档CrimsonRAT。与此同时,360高级威胁研究分析中心也被监控为疑似Gorgon Group利用Netwire该组织由涉嫌巴基斯坦或与巴基斯坦有其他联系的成员组成。此外,360高级威胁研究所在日常情报挖掘中发现并捕获了许多涉嫌透明部落攻击印度的文件,最终发布了恶意文件NetWireRAT。
对此,《九月报》还根据当月情况,从网络防护、系统防护、数据安全、安全管理等方面提出了相应的安全建议。
恶意程序
9月月报显示,2021年9月,全球新增活跃勒索病毒家族有:AtomSilo 、 BlackByte 、 Groove 、Sodinokibi(REvil) 等 勒索 软件 。AtomSilo网站和数据泄露BlackMatter高度相似,两者可能关系密切;Groove勒索软件由Babuk开发核心成员之一,创建了一个名字RAMP暗网论坛;近两个月消失的Sodinokibi(REvil)本月正式回归。
根据本月勒索病毒受害者勒索病毒家族的感染数据分析,phobos家族占比18.95排名第一,其次是占比17.32%的BeijingCrypt,Stop家族以14.05本月%排名第三BeijingCrypt从8月份开始,勒索感染量大幅增加。4.06%上升到本月17.32%。在本月底,该家族出现新的变种,将被加密文件后缀修改为“.520”。
面对勒索病毒的严重威胁,360安全大脑为企业用户提供有针对性的安全建议,建议企业用户进行安全规划建设,包括安全规划、安全管理和人员管理;此外,企业用户还应完善勒索病毒攻击后的处理过程,及时完善攻击后的保护措施,避免进一步扩大损失;最重要的是,不建议为勒索病毒支付赎金。