绿盟威胁情报周报(2021.02.22-2021.02.28)

一、威胁通告

  • VMware多个高危漏洞(CVE-2021-21972、CVE-2021-21974)

【发布时间】2021-02-25 10:00:00 GMT

【概述】2021年2月23日,VMware官方发布安全通告,披露了vSphere Client、ESXi的两个高危漏洞。CVE-2021-21972:vSphere Client(HTML5)在vCenter Server插件vRealize Operations中包含一个远程执行代码漏洞,CVSSv3评分9.8。受影响的vRealize Operations插件为默认安装。CVE-2021-21974:ESXi中使用的OpenSLP存在堆溢出漏洞,CVSSv3评分8.8。与ESXi处于同一网段中且可以访问427端口的攻击者可触发OpenSLP服务中的堆溢出问题,从而导致远程执行代码。

【链接】https://nti.nsfocus.com/threatWarning

二、热点资讯

  • 恶意扩展程序FriarFox会侦听Firefox和Gmail相关数据

【概述】近日网络攻击通过利用名为FriarFox恶意扩展程序控制了受害者的Gmail帐户,该自定义恶意程序是Mozilla Firefox浏览器的扩展程序。研究人员称,在2021年1月和2月观察到的威胁运动针对藏族组织,并与TA413有关,TA413是一个与中国有关的威胁组织。

【参考链接】https://threatpost.com/malicious-mozilla-firefox-gmail/164263/

  • 俄罗斯黑客组织部署IronPython恶意软件加载程序

【概述】俄罗斯黑客组织Turla正在部署一个基于IronPython的恶意软件加载器,称为IronNetInjector,新的加载器通过利用IronPython直接使用.NET Framework API以及Python库的能力来提供ComRAT(一种远程访问木马),具有混淆恶意软件代码以及加密和解密NET注入器和有效载荷的功能。

【参考链接】https://www.inforisktoday.com/russian-hacking-group-deploys-ironpython-malware-loader-a-16044

  • KUBERNETESZAO集群遭挖矿木马突袭

【概述】TeamTNT是一个主要入侵在线容器并通过挖矿和DDoS进行牟利的攻击团伙。2021年年初,该团伙被发现入侵了某Kubernetes集群,通过结合脚本和现有工具,最终在容器内植入挖矿木马。针对Kubernetes集群的攻击事件及后续发生在集群内部的木马传播事件,以呈现网络黑产团伙针对在线集群的攻击方式。

【参考链接】http://blog.nsfocus.net/kuberneteszao%e9%9b%86%e7%be%a4%e9%81%ad%e6%8c%96%e7%9f%bf%e6%9c%a8%e9%a9%ac%e7%aa%81%e8%a2%ad/

  • LazyScripter威胁组织分析报告

【概述】LazyScripter是一个新威胁组织,可追溯至2018年的针对性垃圾邮件活动,使用网络钓鱼诱饵,邮件主题不仅针对寻求移民到加拿大就业的人,而且还针对航空公司。

【参考链接】https://blog.malwarebytes.com/malwarebytes-news/2021/02/lazyscripter-from-empire-to-double-rat/

  • LAZARUS既往攻击工具TORISMA与DRATZARUS分析

【概述】在今年1月由Google披露的一起APT攻击活动中,朝鲜APT组织Lazarus对世界各国的安全研究人员进行了长期的渗透攻击。伏影实验室对该事件中出现的攻击载荷进行了深入分析,并将主体木马程序命名为STUMPzarus。STUMPzarus与Lazarus组织既往攻击工具在代码逻辑、通信格式、CnC格式等方面的高度相似性,并由此总结了Lazarus组织开发者在程序设计上的大量特征。在关联过程中,我们主要参照的Lazarus组织攻击载荷包括Torisma下载者木马和DRATzarus远控木马。

【参考链接】

  • APT32威胁组织用间谍软件攻击人权捍卫者

【概述】与越南有关的APT32(又名海莲花)组织在2018年2月至2020年11月之间针对越南权捍卫者(HRD)和一个非营利组织(NPO)人权组织开展了长期网络间谍活动。APT32是一个从2014开始活跃至今的威胁组织,主要针对私企、政府机构、持不同政见人士和新闻工作者,重点关注越南、菲律宾、老挝等东南亚国家。

【参考链接】

  • 上万名微软电子邮件用户遭钓鱼攻击

【概述】近期有针对至少10000个微软电子邮件用户的网络钓鱼攻击,攻击者冒充来自知名的邮件快递公司,包括FedEx和DHL Express,旨在窃取用户的凭据信息。

【参考链接】https://threatpost.com/microsoft-fedex-phishing-attack/164143/

  • FIN11网络犯罪组织支持针对FTA服务器的攻击

【概述】FireEye专家认为针对Accellion File Transfer Appliance(FTA)服务器的一系列攻击与网络犯罪组织UNC2546(也称为FIN11)相关。自2020年12月中旬开始,攻击者利用Accellion File Transfer Appliance(FTA)软件中的多个零日漏洞在目标网络上部署名为DEWMODE的外壳,从目标系统中窃取敏感数据,然后利用CLOP勒索软件要求受害者以比特币形式支付赎金。

【参考链接】

  • 十万名CityBee用户的登录凭据遭泄漏

【概述】近期著名的汽车共享平台CityBee遭受数据泄露,包含超过110,313的敏感数据。其中是其注册客户的登录凭据的个人数据,包括姓名、个人密码、电话号码、电子邮件、居住地址、驾驶执照号码、加密密码等。

【参考链接】https://www.hackread.com/citybee-database-login-credentials-leaked-online/

Spread the word. Share this post!

Meet The Author

Leave Comment