绿盟科技威胁周报(20200309~20200315)

一、威胁通告

  • 微软SMBv3协议远程代码执行漏洞

【发布时间】2020-03-11 20:00:00 GMT

【概述】3月10日,微软发布安全通告称Microsoft Server Message Block 3.1.1(SMBv3)协议在处理某些请求的方式中存在代码执行漏洞,未经身份验证的攻击者发送精心构造的数据包进行攻击,可在目标SMB服务器上执行任意代码。

http://blog.nsfocus.net/cve-2020-0796/

  • Apache ShardingSphere远程代码执行漏洞

【发布时间】2020-03-12 22:00:00 GMT

【概述】Apache ShardingSphere是京东开源的分布式数据库中间件项目,于2018年11月进入Apache基金会孵化器。可提供数据分片(分库分表)、分布式事务、数据库治理三大功能。3月10日,Apache ShardingSphere官方库发布了新版本4.0.1,修复了远程代码执行漏洞(CVE-2020-1947)。攻击者在登录管理后台后,通过提交恶意YAML代码,可实现远程代码执行。

http://blog.nsfocus.net/cve-2020-1947/

二、热点资讯

  1. To B安全公司如何捍卫C端消费者权益

【概述】众所周知每年3月15日是消费者权益保护日,今年绿盟科技整理三个典型因为网络安全原因,消费者权益被侵犯的场景,以及绿盟科技可以为企业客户所提供的针对性能力支撑。

https://mp.weixin.qq.com/s/YBY9mPoIDZyQO7sPG2ZOSw

  1. 《2019安全事件响应观察报告》

【概述】绿盟科技应急响应团队对2019年处理的安全事件进行整理与分析,并综合国内外重要安全事件,编制《绿盟科技2019安全事件响应观察报告》,希望从安全事件的角度分析2019年的安全现状,与安全行业从业者交流发展趋势,共同探讨网络安全建设的发展方向。

http://blog.nsfocus.net/wp-content/uploads/2020/03/2019_Cybersecurity_Incident_Response_Insights.pdf

  1. 微软发布2020年3月补丁修复116个安全问题

【概述】微软于周二发布了3月安全更新补丁,修复了116个从简单的欺骗攻击到远程执行代码的安全问题,产品涉及Azure、Azure DevOps、Internet Explorer、Visual Studio、Microsoft Dynamics、Microsoft Edge、Microsoft Exchange Server等。

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Mar

  1. Operation Overtrap-针对日本在线银行用户

【概述】Operation Overtrap是一个新攻击活动,主要针对日本各家银行的在线用户,攻击者使用三种不同的攻击媒介来窃取受害者的银行凭证,分别是通过带有网络钓鱼链接的垃圾邮件发送到伪装成银行网站的页面;通过发送垃圾邮件,诱导受害者点击下载并运行恶意软件的可执行文件;通过使用自定义漏洞利用工具包传播恶意软件。

https://blog.trendmicro.com/trendlabs-security-intelligence/operation-overtrap-targets-japanese-online-banking-users-via-bottle-exploit-kit-and-brand-new-cinobi-banking-trojan/

  1. 新冠病毒主题恶意活动针对蒙古

【概述】近期一项针对蒙古公共部门的新运动,利用目前新型冠状病毒的恐慌,向目标发送可疑RTF文件,主题为“关于新的冠状病毒感染流行率的信息”,诱导用户以传播新恶意软件。此次攻击活动与过去的一个匿名黑客团伙可联系在一起,该黑客团伙多年来针对多个国家的不同部门,如乌克兰、俄罗斯和白俄罗斯。

https://research.checkpoint.com/2020/vicious-panda-the-covid-campaign/

  1. Ursnif木马新变种针对意大利

【概述】针对意大利企业和个人的新攻击活动正在进行中,攻击通过发送欺诈性合法电子邮件来邀请受害人下载并查看受感染的压缩文档的内容,用户一旦打开该存档文件会被安装Ursnif系列恶意软件,该恶意软件能够拦截用户输入、活跃的Web会话,提供后门访问并下载其他恶意软件。 

https://yoroi.company/warning/nuova-campagna-di-attacco-ursnif/

  1. Turla组织利用水坑攻击传播新后门针对亚美尼亚

【概述】Turla(又名Snake、Waterbug、WhiteBear、VENOMOUS BEAR和Krypton)是一个来自俄罗斯的威胁组织,最早可追溯到2004年,主要针对欧洲、中亚和中东的政府、外交实体、军队、教育和制药等行业。近期Turla组织利用虚假Adobe Flash更新文件作为诱饵,传播两个新恶意软件NetFlash和PyFlash。

https://www.welivesecurity.com/2020/03/12/tracking-turla-new-backdoor-armenian-watering-holes/

发表评论