【威胁通告】bbin宝盈集团科技威胁情报周报(2021.08.09-2021.08.15)
2021-08-16
一、 威胁通告
微软8月安全更新多个产品高危漏洞通告(CVE-2021-36936、CVE-2021-36947、CVE-2021-26424)
【发布时间】2021-08-1215:00:00GMT
【概述】
8月11日,bbin宝盈集团科技CERT监测到微软发布8月安全更新补丁,修复了46个安全问题,涉及Windows、MicrosoftOffice、ASP.NETCore、MicrosoftVisualStudio、Azure等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞有7个,重要(Important)漏洞有39个。其中有3个为0day漏洞,有2个漏洞信息已在上月发布:Windows权限提升漏洞(CVE-2021-36934)WindowsPrintSpooler远程代码执行漏洞(CVE-2021-34481)
【链接】
http://nti.nsfocus.com/threatWarning
WindowsPrintSpooler远程代码执行0day漏洞通告(CVE-2021-36958)
【发布时间】2021-08-1215:00:00GMT
【概述】
北京时间8月11日,bbin宝盈集团科技CERT监测到微软发布8月安全更新补丁,其中包括了在7月16日紧急发布的WindowsPrintSpooler权限提升漏洞(CVE-2021-34481),对应的补丁编号为KB5005652,微软同时将漏洞名称修改为远程代码执行。当WindowsPrintSpooler服务不正确地执行特权文件操作时,攻击者利用此漏洞可以使用SYSTEM权限运行任意代码。有国外研究人员在安装了最新补丁的Windows系统上进行测试,发现此次更新的CVE-2021-34481安全补丁无效,当受害者连接并安装攻击者控制的打印机时,可成功触发此漏洞
【链接】
http://nti.nsfocus.com/threatWarning
INFRAHALT:NicheStackTCP/IP堆栈多个高危漏洞通告(CVE-2020-25928、CVE-2021-31226、CVE-2020-25927)
【发布时间】2021-08-1114:00:00GMT
【概述】
近日,JFrog和Forescout的研究人员发布了一份联合报告,公开披露了在NicheStackTCP/IP堆栈中发现的14个安全漏洞(统称为INFRA:HALT),这些漏洞可导致远程代码执行、拒绝服务、信息泄漏、TCP欺骗或DNS缓存中毒。研究人员表示,成功利用INFRA:HALT漏洞的攻击者可能会破坏建筑物的HVAC系统或接管用于制造和其它关键基础设施的控制器,导致OT和ICS设备离线并被劫持,并且攻击者可以通过劫持的设备传播恶意软件。
【链接】
http://nti.nsfocus.com/threatWarning
二、 热点资讯
1. 攻击者利用Hive病毒勒索软件攻击多家海外企业
【概述】
近日,研究人员发现了一个HIVE病毒勒索软件的样本,该勒索病毒样本会将终端上的文件加密,并留下勒索信息,且攻击者利用HIVE勒索病毒样本在加密文件前进行数据窃取,Hive勒索病毒采用AES+RSA加密算法,在执行后,受害者终端上大部分文件会被加密成*.hive的文件。并且会在每一个目录下留下一个HOWTODECRYPT的文本文档,受害者可根据文档中的账号密码登陆黑客提供的官网后用赎金换取解密密钥。根据海外媒体报道,加拿大商业地产公司AltusGroup正是遭受Hive勒索攻击导致数据泄露。且不到一个月,该勒索团伙已公布了多家企业的数据信息。
【参考链接】
http://ti.nsfocus.com/security-news/IlMKy
2. 攻击者利用Glowworm窃听虚拟会议的敏感信息
【概述】
随着越来越多的业务通过MicrosoftTeams、Zoom、Skype等平台,研究人员发现了一种全新的针对电子通信攻击媒介Glowworm,攻击者可利用Glowworm窃听Zoom和其他虚拟会议的敏感对话,它会将设备功耗引起的设备电源指示灯LED强度的变化将其转换为音频。
【参考链接】
http://ti.nsfocus.com/security-news/IlMKv
3. 短信网络钓鱼诈骗团伙冒充就业机构窃取用户信息
【概述】
贸易委员会表示,短信网络钓鱼诈骗团伙正在冒充就业和劳工机构,诱使用户点击恶意链接,这些恶意链接称为网络钓鱼文本,被称为重新提交或验证失业救济金的表格链接,短信中的恶意链接将目标受害者引诱类似就业机构的链接。当受害者点击恶意链接时,诈骗团伙会窃取个人信息,甚至救济金。研究人员表示,这些网络钓鱼攻击将在未来几个月内持续存在,阻碍企业工作。因此,组织必须继续就社会工程策略对员工进行培训,并为用户创建及时报告网络钓鱼消息的机制。
【参考链接】
http://ti.nsfocus.com/security-news/IlMKt
4. LoakBit勒索软件团伙针对埃森哲公司进行攻击
【概述】
咨询公司埃森哲证实,它受到了勒索软件团伙LockBit的攻击,在其暗网中,LockBit声称已经窃取了超过6TB的数据库,提供了埃森哲数据库出售,并要求支付5000万美元作为赎金。据事务部称,在赎金支付倒计时结束时,泄漏站点显示了一个名为W1的文件夹,其中包含据称从公司窃取的PDF文档集合。并且LockBit声称已经获得埃森哲网络的访问权限,并准备泄漏从埃森哲服务器窃取的文件。
【参考链接】
http://ti.nsfocus.com/security-news/IlML0
5. Strongpity利用androids恶意软件攻击叙利亚电子政府官网
【概述】
StrongPity利用androids恶意软件攻击叙利亚电子政务官网,然后用木马版本替换官方应用程序,随后使用该应用程序从受害者的设备中窃取文件。StrongPity通过使用不同的证书对恶意版本的应用程序进行签名,将其重新打包以使其看起来像原始版本。它会调整应用程序以请求对受感染设备的额外权限,添加恶意组件以触发感染。恶意软件继续通过命令控制服务器通信,将加密的有效载荷保存到androids目录中,然后解密文件。StrongPity从受害者的设备收集数据,例如隐私数据和有关可用Wi-Fi网络的信息。报告指出,在Windows版本中,攻击者使用相同的策略重新打包应用程序的原始版本来感染受害者并窃取数据。
【参考链接】
http://ti.nsfocus.com/security-news/IlMLp
6. 攻击者利用WarzoneRAT恶意软件进行鱼叉式网络钓鱼活动
【概述】
研究人员发现,攻击者使用受感染的WordPress官网,利用WarzoneRAT恶意软件进行新的鱼叉式网络钓鱼活动攻击全球制造商,新的鱼叉式网络钓鱼活动始于一家位于英国的在线食品配送服务制造商,攻击者给该制造商传入一封伪装成“FoodHub.co.uk”的自定义电子邮件,看似来自制造商合法客户的虚假电子邮件地址,电子邮件正文包括订单和运输信息,以及一个采购订单PowerPoint文件。威胁行为者通常将全球制造商和其他供应商作为攻击目标,不仅是为了攻击他们,而且是为了窃取到该企业客户的信息。
【参考链接】
http://ti.nsfocus.com/security-news/IlMLu
7. 攻击者利用FlyTrap安卓恶意软件攻击Facebook等社交媒体帐户
【概述】
研究人员发现了一种名为FlyTrap的新型androids木马,该木马通过第三方应用商店中被操纵的应用、侧载应用和被劫持的Facebook帐户传播给10,000多名受害者。自3月以来,攻击者利用FlyTrap恶意软件通过GooglePlay商店和第三方应用程序市场分发的恶意应用程序传播到至少144个国家/地区。FlyTrap使用JavaScript注入通过登录原始合法域来劫持Facebook会话,这些被劫持的Facebook会话可用于传播恶意软件,通过木马的链接,以及使用受害者的地理位置详细信息进行宣传或虚假宣传活动,并且经常被攻击者用来将恶意软件从一个受害者传播到另一个受害者。
【参考链接】
http://ti.nsfocus.com/security-news/IlMKO
8. 攻击者窃取了100万张信用卡信息
【概述】
攻击者通过多种方式窃取了100万张信用卡的信息,比如销售点刷卡器、以及针对官网的Magecart攻击和信息窃取木马是他们窃取信用卡数据的主要工具。报道称,攻击者在Cybersixgill公司监控的地下信用卡市场上出售了超过4500万张信用卡信息。然后,使用这些信用卡进行网上购物,包括购买礼品卡,但通过这些信用卡信息很难追查到他们的行踪。
【参考链接】
http://ti.nsfocus.com/security-news/IlMKP
9. 黑客在加密货币抢劫案中窃取了PolyNetwork公司6亿美元
【概述】
行业领先的中心化金融平台DeFi之一PolyNetwork已成为网络抢劫的受害者,基于区块链的DeFi网络遭受了最大的数字资产盗窃之一,攻击者窃取了该公司价值6.11亿美元的加密货币。据PolyNetwork称,来自BinanceChain、Polygon和Ethereum的资产被盗并转移到三个不同的钱包。此外,PolyNetwork已敦促Binance、OKEx、HuobiGlobal、Uniswap、CirclePay、Tether和BitGo等受影响的区块链和加密货币交易所立即将来自攻击者地址的任何代币列入黑名单。
【参考链接】
http://ti.nsfocus.com/security-news/IlML1
10. Exchange服务器受到ProxyShell的主动攻击
【概述】
研究人员发现,Microsoft Exchange服务器受到ProxyShell的主动攻击,Exchange Server长期以来一直是黑客的首要目标,互联网上有超过400,000台Exchange服务器通过端口443受到攻击。通过Shodan扫描发现了30,000多个易受攻击的Exchange服务器,并且考虑到可用信息的数量。这些攻击使任何未经身份验证的攻击者能够发现明文密码,甚至通过端口 443 在Microsoft Exchange 服务器上执行任意代码,该端口由大约 400,000 台 Exchange 服务器暴露在 Internet 上。
【参考链接】
http://ti.nsfocus.com/security-news/IlMLv