【安全幫】北京警方破獲首起“盜挖虛擬貨幣”案：前員工入侵公司數百臺電腦挖礦

 收集 936 萬條公民資訊賺“提成” 男子獲刑 4 年 為培訓機構招生的何某，通過網路收集公民個人資訊，除了替自己的“東家”尋找生源外，還將部分資訊與他人交換使用……在案發時，何某的電腦記憶體儲公民資訊936萬條，其中百萬條涉及法律規定的包括公民財產交易健康狀況等敏感資訊。11月22日，何某因侵犯公民個人資訊罪被石景山法院判處有期徒刑4年。根據檢方指控，何某在位於石景山的住所內，非法獲取公民個人資訊，並存放於其使用的蘋果便攜電腦內，經鑑定，計算機記憶體儲公民個人資訊相關資料936萬條。在案證據顯示，何某電腦內的資料涵蓋面廣泛：其中包括眾多公司的內部通訊錄，除了詳細記錄客戶的姓名、出生日期、手機號、購買保險產品型別、金額等資訊外，公民身份證號碼、家庭詳細住址、存款資訊等隱私也在其中，涉及法律所規定的“敏感”資訊即公民財產等內容的資訊100餘萬條，涉及公民生理健康等資訊6萬條。

參考來源：

ofollow,noindex" target="_blank">http://www.bjnews.com.cn/news/2018/11/22/523809.html

北京警方破獲首起 “ 盜挖虛擬貨幣 ” 案：前員工入侵公司數百臺電腦挖礦 近期，朝陽警方接某網際網路公司報警稱，其公司350臺伺服器無法正常工作，資源消耗巨大。經過偵查，涉案的伺服器均被植入了某程式，該程式致使伺服器以高耗能狀態進行運算，進行網路貨幣“挖掘”工程，並將挖取的網路貨幣轉至控制者處，從而提現牟取暴利，嚴重影響了伺服器的正常執行。民警一方面固定證據，一方面通過該程式賬號進行追蹤溯源，確認了該公司前員工聶某有重大嫌疑，通過對伺服器取證、偵查後，警務支援大隊民警鎖定了嫌疑人真實身份、居住地址，對嫌疑人開展抓捕工作，嫌疑人聶某最終在上海某公司落入法網。經民警現場勘查，嫌疑人聶某使用的電腦記憶體有挖取網路貨幣所需要的程式。經訊問，犯罪嫌疑人聶某對其非法入侵某網際網路公司集團伺服器，並部署植入程式挖取網路貨幣的犯罪事實供認不諱。目前，嫌疑人聶某因涉嫌非法侵入計算機資訊系統罪，已被公安機關依法採取刑事強制措施。

參考來源：

https://www.secrss.com/articles/6640

大量 Android 第三方 ROM 未正確配置導致資訊洩漏預警 11月22日，Magisk作者topjohnwu發表文章，提到他在研究Fate/Grand Order手遊的root檢測機制時發現了存在於數百萬臺android裝置上的漏洞，利用該漏洞會洩漏系統上的程序資訊。除了Samsung等少數廠商以外，大部分國產廠商的裝置都受到影響。如果具有root許可權使用者可以選擇使用該APP執行“mount -o remount,hidepid=2,gid=3009 /proc”命令重新掛載/proc來修復該問題。存在漏洞但是沒有root許可權暫時不能修復的使用者也不必過於擔心，該漏洞的危害較為有限，僅能洩漏一些其它程序資訊，不能通過該漏洞獲取root許可權或者使用者密碼等敏感資料。

參考來源：

https://www.anquanke.com/post/id/166475

電商客服來電要退款？一條巨大黑色產業鏈被曝光了 今年4月份，張女士接到了一個陌生來電，對方自稱是某電商平臺的客服，因為張女士之前購買的童裝被檢測出甲醛超標，商家正在退款。對方在微信上說，張女士需要先從這家電商平臺的貸款平臺借錢，隨後這筆借款將和衣服的退款一起返還。當天，張女士先後4次借款，並將借來的近4萬元錢全部打入對方指定的賬號。直到第二天早上，張女士才意識到自己被騙，立刻報了警。警方通過對張女士提供的轉賬賬號和微訊號碼進行摸排，確定這是一起隱藏在境外的電信詐騙團伙所為。進一步偵查發現，這起電信詐騙的背後竟然隱藏著一個非法販賣公民資訊和銀行卡的龐大網路，並鎖定了70多個倒賣公民資訊銀行卡的QQ群，確定了226名參與買賣公民資訊和銀行卡的犯罪嫌疑人。警方隨即於今年8月分赴上海、安徽、湖南、寧夏等地，抓捕了32名主要犯罪嫌疑人，共查獲銀行卡488張，個人身份證資訊2萬多條。目前，公安部已經通知各地公安機關，正在對剩餘的犯罪嫌疑人進行協查抓捕。

參考來源：

https://www.cnbeta.com/articles/tech/790829.htm

MetInfo最新版本爆出SSRF 0day漏洞 2018年11月中旬，最新MetInfo爆出SSRF注入漏洞。該漏洞是由於MetInfo中關於圖片上傳的程式碼出現缺陷，沒有對指定圖片路徑中的“#”等敏感字元進行過濾，使得攻擊者可以藉助圖片上傳功能的圖片的相關引數來達到對內部網路的探測的目的，嚴重威脅內網安全。MetInfo是中國知名的企業建站軟體，在中國的活躍使用量數以萬計，一旦有高危漏洞爆出，勢必會影響各行各業眾多網站。而且此次漏洞影響的版本不僅包括官網在10月16日所釋出的最新版本6.1.3，還有更早的5.3版本，預計會在最新補丁出來之前對所有使用該模板的網站造成不小的影響。而且據該安全院研究，此次漏洞一年前的某個Metinfo的SSRF漏洞極為相似，因此我們推測，以前的多個版本很大概率也存在該漏洞，預計在未來的很長一段時間，所有基於MetInfo的網站都將受到不小的安全威脅。

參考來源：

https://nosec.org/home/detail/1981.html

網路犯罪組織 Lazarus 植入後門攻擊拉丁美洲金融機構 趨勢科技發現，曾經攻擊過亞洲和拉丁美洲金融機構的網路犯罪組織Lazarus分支Bluenoroff最近似乎再度活躍，他們近期的一系列活動展示了其攻擊工具和技術的演變，上週他們從亞洲和非洲的ATM機中非法竊取了數百萬美元。此外，研究人員還觀察到他們成功將後門植入了拉丁美洲幾家金融機構。研究人員經過跟蹤分析後，根據載入器元件的服務建立時間確定，目標裝置被安裝後門的具體時間為2018年9月19日。這種攻擊技術與BAE Systems分析的2017年Lazarus攻擊與亞洲目標有相似之處。FileTokenBroker.dll的使用是2017年該組織攻擊的關鍵部分，他們似乎也在最近的事件中使用了相同的模組化後門。

參考來源：

https://www.hackeye.net/securityevent/17435.aspx

軟體內嵌廣告遭遇掛馬攻擊，上萬電腦被安裝 Steam 遊戲盜號木馬 騰訊御見威脅情報中心監測發現某輸入法軟體及某網咖管理軟體內嵌的廣告頁面遭遇網頁掛馬攻擊，這些軟體啟動時，會自動開啟內嵌的廣告頁面。盜號木馬團伙使用黑客技術精心構造了含漏洞攻擊程式碼的廣告（漏洞編號：CVE-2018-8174）。隨著廣告頁面呈現，漏洞攻擊程式碼被觸發，更多惡意軟體被下載安裝，包括其他木馬下載器、Steam盜號木馬、廣告刷量木馬。監測資料表明，受掛馬影響的電腦超過5萬臺，其中有大約20%（即1萬餘臺電腦）被安裝多個盜號木馬、廣告刷量木馬，以及木馬下載器。由此推斷，未及時安裝補丁的電腦佔到20%。

參考來源：

https://s.tencent.com/

關於安全幫®

安全幫®，是中國電信北京研究院旗下安全團隊，致力於成為“SaaS安全服務領導者”。目前擁有“1+4”產品體系：一個SaaS電商(www.anquanbang.vip) 、四個平臺（SDS軟體定義安全平臺、安全能力開放平臺、安全大資料平臺、安全態勢感知平臺）。