网络安全智库｜国内外网络安全最新发展趋势

重要事件回顾，智能纵览网络安全行业发展。 近期国内外网络安全行业发生了哪些重大事件，又呈现出怎样的发展趋势？ 本刊联合中国互联网安全科技情报研究团队将从行业视角出发，带领大家回顾近期国内外行业重大事件，窥探发展趋势。

活动概况：

1、8名“中转搬运工”因使用虚拟货币转账逾1500万元赃款被起诉

2、招商银行征信系统存在漏洞，闪贷被骗走400多万

三、工信部通报下架60款侵害用户权益的APP

4. FBI：黑客窃取了美国政府机构和私人公司的源代码

5. 560GB 育碧《看门狗：军团》源代码泄露

6. 专家：美国大选未发生针对投票站的重大或破坏性网络攻击

8. 数百万瑞典人的信息被泄露给谷歌、Facebook 等

9. Oracle 为 WebLogic Server 发布罕见的带外安全更新

10. 谷歌披露 GitHub Actions 存在严重安全漏洞

11. 黑客利用 Solaris 零日漏洞破坏企业网络

12.暗网有2000万条Bigbasket用户记录

13. 巴西高等选举法院遭受重大网络攻击

14. RansomExx 勒索软件现在也针对 Linux 系统

国内的

8名“转账搬运工”利用虚拟货币转账逾1500万元赃款被起诉

据澎湃新闻2020年11月02日报道，8名小伙利用虚拟货币协助骗子转账，以赚取“福利费”。 短短三四个月，他们就转账超过1500万元。

虹口区检察院通报，2020年3月底，曾某失业在家，为刚出生的孩子的房贷、车贷、奶粉钱发愁。 他恰好在贴吧看到朱某发的一条招收“转运搬运工”的赚钱信息。 出于好奇，我加了对方留下的微信。 曾某从朱某处了解到，所谓“转账转账”，其实就是利用虚拟货币交易，帮助他人转移资金。 在朱某的指导下，曾某安装了APP，注册了账号，加入了“工作群”，开始了“躺着赚钱”的“转转转”工作。

“每天在工作群发布任务，包括不同的USDT币（一种虚拟货币）接收地址和支付宝二维码。 我每天做的事情就是先加支付宝好友，然后去火币网（一个虚拟货币交易平台）用自己的钱在网上购买指定数量的USDT币，然后把USDT币转到指定的收币地址，对方将购买USDT币的钱加上福利费打到我的支付宝上，这就是一笔完整的交易。” 曾某解释说，“每转1万元，给我50元福利费。” 经审查，2020年3月至2020年6月，曾某实际帮助他人转移资金740万余元，并从中非法获利3万余元。

对于转账的来源，曾某坦言知道是“骗钱”：“生活压力太大，只能冒险。”

几乎同一时间，同样失业在家的陈某也加入了这个“工作群”。 得知“钱来得快”后，陈某打电话给老乡朱某、刘某，三人凑了一笔钱。 购买USDT币的启动资金，开始分工合作“转转转”，获得的收益费用由三人平分。 经审查，2020年3月至6月，陈某、朱某、刘某三人实际帮助他人转移资金130余万元，从中非法获利1万余元。

2020年5月底，警方在办理一起电信诈骗案时，破获了这些“中转搬运工”。 案发后，曾某、陈某、朱某、刘某等人迅速被捕归案。 警方循着线索，将朱某、任某等4人抓获。 经审查，2020年4月至今，朱某、任某等4人以同样方式实际帮助他人转移资金678万余元，获利3万余元。

经审查，虹口区检察院认为，曾某、陈某、朱某等8人明知所转移的款项为犯罪所得而转移，其行为违反了《中华人民共和国刑法》第三百一十二条规定。 . 构成隐匿、隐匿犯罪所得罪的，依法追究刑事责任。

招商银行征信系统存在漏洞，闪贷被骗超400万

近日，中国裁判文书网发布一则判决书称，招商银行闪贷因征信系统管理漏洞被施振宇、陈碧莹、林峰等多人利用，导致招行闪贷遭遇骗贷.

2019年10月起，施振宇、陈碧莹、林峰等人开始通过伪造客户专业信息、伪造支付宝等方式，向招商局宁波分公司及其支行提供虚假社保证明。 贷款人办理闪贷业务，并向其收取手续费。

招商银行征信系统的漏洞，间接为这些不合格人员申请闪贷业务提供了便利，也让石振宇、陈碧莹、林峰等人找到了可乘之机。 半年时间里，三人帮助20多家贷款人骗取贷款415万余元。

工信部通知下架60款侵犯用户权益的APP

10月26日，工信部向社会公示了131家侵犯用户权益的APP企业名单。 截至目前，经第三方检测机构核实复查，仍有60款APP未按照工信部要求完成整改（名单见附件）。 根据《网络安全法》和《移动智能终端应用软件预置、发布管理暂行规定》（工信部新官〔2016〕407号）等法律法规文件，工信部组织对上述APP下架。 .

相关应用商店应在本通知发布后立即组织下架被列入名单的应用软件。 未来，工信部还将严厉查处一些未严格落实管理主体责任的应用商店和移动应用分发平台，以及违规收集用户个人信息的SDK企业。

外国的

FBI：黑客从美国政府机构和私人公司窃取源代码

根据 ZDNet 2020 年 11 月 7 日的报道，FBI 已发布安全警报警告称，威胁行为者正在滥用配置错误的 SonarQube 应用程序来访问和窃取美国政府机构和私营企业的源代码存储库。

FBI 在上个月的警报中表示，入侵至少从 2020 年 4 月开始就一直在进行，并于本周在其网站上公布。

该警报特别警告 SonarQube 的所有者，SonarQube 是一种基于 Web 的应用程序，公司已将其集成到他们的软件构建链中，以测试源代码并在将代码和应用程​​序推出到生产中间之前发现安全漏洞。

SonarQube 应用程序安装在 Web 服务器上，并连接到源代码托管系统，例如 BitBucket、GitHub 或 GitLab 帐户或 Azure DevOps 系统。

FBI 官员说，威胁行为者滥用这些错误配置来获得对 SonarQube 实例的访问权限，进入连接的源代码存储库，然后访问和窃取专有或私有/敏感应用程序。

虽然网络安全行业经常警告在没有密码的情况下在线暴露 MongoDB 或 Elasticsearch 数据库的危险，但一些安全研究人员一直在警告将在线 SonarQube 应用程序暴露给默认凭据的危险。

为防止此类泄漏，FBI 警报列出了公司可以采取的一系列步骤来保护其 SonarQube 服务器，首先是更改应用程序的默认配置和凭据，然后使用防火墙来防止未经授权的用户未经授权访问该站点。 应用。

560GB 的育碧《看门狗：军团》源代码泄露

据外媒DSOGaming报道，获取源代码可以在游戏中创建和启用模组，但更重要的是，育碧担心有人会破坏《看门狗：军团》的反盗版措施，并可能泄露公司正在开发未来产品。 育碧发言人在发给外媒 Eurogamer 的一份声明中表示：“我们已获悉该组织的要求，目前正在调查一起潜在的数据安全事件”。

Egregor 之前已经发布了有关 Crytek 正在进行的项目的详细信息，包括 Crysis Next、Crysis VR、新的 Ryse 游戏，以及揭示 Crysis 2 和 Crysis 3 大师的源代码。

专家：美国选举投票站未发生重大或破坏性网络攻击

据cnBeta.COM 2020年11月05日报道，美国部分地区的投票站已经关闭。 网络安全官员和专家表示，目前还没有发生任何重大或破坏性的网络攻击事件。 不过，这并不意味着选举日会一帆风顺。 内华达州和得克萨斯州的一些投票机经历了短暂的中断后很快恢复正常，而佐治亚州和俄亥俄州的选民在洗手液泄漏到机器后不得不投纸质选票。

负责监督美国选举安全的国土安全部网络安全和基础设施安全局 (CISA) 表示，选举日进展顺利，没有发现任何障碍。 在周二晚上与记者的通话中，一位 CISA 高管表示：“今天的互联网与通常的周二没有区别。” 但他也承认，“我们还没有走出困境[指的是最终投票结果的报告]”，许多州目前处于僵持状态。

中央情报局局长克里斯托弗·克雷布斯在一份声明中说，“没有证据表明任何外国对手有能力阻止美国人投票或改变投票记录。” Cloudflare 发布的数据显示，选举日当天针对政府选举网站的网络攻击略有上升，但首席执行官马修·普林斯 (Matthew Prince) 在推特上表示，上升幅度“相对较小”，而且攻击“过于复杂”。

据奇安信代码卫士团队11月05日报道，TypeScript开发商Resynth发表了一篇题为《GitHub源代码泄露》的文章，指出GitHub.com的所有源代码都已公开。

Resynth 发布了以下内容：

在对 GitHub 官方 DMCA 存储库的可疑提交中，身份不明的个人通过利用 GitHub 应用程序中的错误来冒充 GitHub 首席执行官 Nat Friedman 上传机密源代码。

GitHub 长期以来一直因不发布其源代码而受到批评。 GitHub 托管着数以百万计的开源项目，批评者称 GitHub 有些虚伪。

然而，这一事件引发了人们对 GitHub 源代码安全性的担忧，以及 GitHub 开源是否会受到损害。 一些人认为这会危及 GitHub 的整体安全性，他们可能是正确的。 通常，闭源应用程序实施“隐蔽安全”在线生成usdt转账记录，其中隐藏源代码以降低安全风险。

自2018年收购GitHub以来，微软一再强调对开源的“热爱”。 我们可以在很多广告中不断听到这种说法，其目的是让微软始终走在开源开发的前沿。 在许多方面，GitHub 是开源开发领域的谷歌。

不过，对于此事，GitHub CEO Nat Friedman 在 Hacker News 上回应如下：

简而言之：一切都很好，一切如常，云雀正准备起飞，蜗牛在荆棘丛中爬行，世界正在运转。

数百万瑞典人的信息泄露给谷歌、Facebook 等

BLEEPINGCOMPUTER 2020 年 11 月 3 日报道，瑞典最大的保险公司之一 Folksam 在与几家科技巨头共享客户的个人信息后，今天披露了涉及约 100 万瑞典人的数据泄露事件。

据 Folksam 营销和销售主管 Jens Wikström 称，该保险公司在进行内部审计后发现了数据泄露事件，并向瑞典数据保护局 (Datainspektionen) 报告了这一事件。

“从 Folksam 接收个人数据的公司有 Facebook、谷歌、微软、Linkedin 和 Adob​​e，”Wikström 解释说。 “除其他外，目的是分析登录客户和其他访问者在 folksam.se 上搜索的信息”。

Folksam 共享的敏感个人数据包括各种类型的信息，例如个人购买的社会安全号码或工会或怀孕保险。

Wikström 说，科技巨头使用对这种共享数据的分析，通过 Folksam 和其他公司沟通渠道为客户提供定制的服务。

发现漏洞后，Folksam 立即停止与其数字合作伙伴共享敏感信息，并要求收到这些信息的公司将其删除。 Folksam 表示，目前没有证据表明共享的敏感数据被任何第三方不当使用。

Oracle 为 WebLogic Server 发布罕见的带外安全更新

据 ZDNet 于 2020 年 11 月 3 日报道，Oracle 周日发布了一个罕见的带外安全更新，以解决 Oracle WebLogic Server 中最近披露的一个漏洞的不完整补丁，该漏洞目前正在现实世界的攻击中被利用。

新补丁 (CVE-2020-14750) 添加了一个额外的第一个错误修复 (CVE-2020-14882)，最初是在 Oracle 十月份的标准季度补丁更新中。

CVE-2020-14882 是一个危险的漏洞，攻击者可以利用该漏洞在服务器身份验证开始之前以提升的权限在 Oracle WebLogic Server 上执行恶意代码。

要利用 CVE-2020-14882，攻击者只需向 WebLogic 服务器的管理控制台发送诱杀的 HTTP GET 请求。

Oracle 在发现该漏洞后对其进行了修补，但是，即使打了补丁的系统也不被认为是安全的。 Insomnia Sec 首席安全顾问 Adam Boileau 表示，如果攻击者更改标准漏洞中单个字符的大小写，则可以绕过 CVE-2020-14882 的原始补丁。

在 Oracle 急于修复它的过程中，他们犯了一个非常简单的错误：攻击者有一种简单的方法可以避免新的路径遍历黑名单（从而绕过补丁）。

最近的攻击和绕过原始补丁是甲骨文周日发布第二组补丁的根本原因，这是一个罕见的带外安全更新。

现在建议运行 WebLogic Server 的公司安装额外的 CVE-2020-14750 补丁在线生成usdt转账记录，以防止最初的 CVE-2020-14882 漏洞及其绕过。

据安全公司 Spyse 称，目前有 3,300 台 WebLogic 服务器暴露在网上，据信它们容易受到最初的 CVE-2020-14882 漏洞的影响。

谷歌披露 GitHub Actions 存在严重安全漏洞

据cnBeta.COM 2020年11月03日报道，过去几年，谷歌零项目团队披露了影响Windows 10、macOS、iOS等平台的严重安全漏洞。 通常，受影响的组织将有 90 天的时间准备修复，然后才会公开披露漏洞的详细信息。 最新消息是，谷歌零项目团队刚刚披露了一个影响 GitHub 开源代码托管平台的“高度严重”安全漏洞。

据悉，问题源于GitHub Actions中的工作流命令极易受到注入攻击。 所谓Actions，主要负责与Action Runner的通信。

Felix Wilhelm 在查看源代码时发现了这个严重的安全漏洞：“每个 GitHub 操作在执行过程中都会打印不受信任的内容，因为该过程将每一行解析到 STDOUT 以寻找工作流命令”。

黑客组织利用 Solaris 零日漏洞入侵企业网络

据 ZDNet 于 2020 年 11 月 2 日报道，安全公司 FireEye 的调查部门 Mandiant 今天发布了有关名为 UNC1945 的新威胁参与者的详细信息，该安全公司称这是用于渗透 Oracle 企业网络的 Oracle Solaris。零日漏洞在操作系统中。

Mandiant 组织在今天发布的一份报告中表示，UNC1945 攻击的共同目标包括电信、金融和咨询公司。

尽管 UNC1945 的活动可以追溯到 2018 年，但 Mandiant 表示，该组织在今年早些时候利用 Oracle Solaris 操作系统中前所未有的漏洞引起了威胁行为者的注意。

这个名为 CVE-2020-14871 的零日漏洞是 Solaris 可插入身份验证模块 (PAM) 中的一个漏洞，它允许 UNC1945 绕过身份验证过程并为 SLAPSTICK 安装一个命名的后门。

Mandiant 说，黑客随后使用后门作为入口点，在公司网络内部发起侦察行动，并横向迁移到其他系统。

为了避免被发现，Mandiant 表示该组织下载并安装了运行 Tiny Core Linux 操作系统版本的 QEMU 虚拟机。

这个定制的 Linux VM 预装了网络扫描器、密码转储器、漏洞利用和侦察工具包等黑客工具，允许 UNC1945 扫描公司内部网络的弱点并横向迁移到多个系统，无论它们是否运行 Windows或基于 *NIX 的系统。

Mandiant 表示，它观察到该组织使用各种开源渗透测试和安全工具，以及自定义恶意软件变种。

开源工具包包括 Mimikatz、Powersploit、Responder、Procdump、CrackMapExec、PoshC2、Medusa 和 JBoss Vulnerability Scanner，所有这些在网络安全行业都是众所周知的。

暗网上有 2000 万条 Bigbasket 用户记录

据 SecurityAffairs 网站 2020 年 11 月 7 日报道，印度知名在线杂货店 Bigbasket 遭遇数据泄露，暗网中有超过 2000 万人的详细信息。 据网络情报公司 Cyble 称，暗网上有超过 20 万人的详细信息。

在一次例行的暗网监控活动中，网络研究团队发现了一个威胁行为者提供 BigBasket 数据库在网络犯罪市场上出售。 该档案大小为 15GB，包含 2000 万条用户记录，售价超过 40,000 美元。