绿盟威胁情报周报(20210301-20210307)

一、威胁通告

  • 微软Exchange多个高危漏洞

【发布时间】2021-03-03 09:00:00 GMT

【概述】2021年3月2日,绿盟科技监测到微软发布Exchange Server的紧急安全更新,修复了7个相关漏洞,Exchange服务端请求伪造漏洞(CVE-2021-26855):未经身份验证的攻击者能够构造HTTP请求扫描内网并通过Exchange Server进行身份验证。Exchange反序列化漏洞(CVE-202126857):具有管理员权限的攻击者可以在Exchange服务器上以SYSTEM身份运行任意代码。Exchange任意文件写入漏洞(CVE-2021-26858/CVE-2021-27065):经过身份验证的攻击者可以利用漏洞将文件写入服务器上的任意目录,可结合CVE-2021-26855进行组合攻击。及3个Exchange远程代码执行漏洞(CVE-2021-26412/CVE-2021-26854/CVE-2021-27078)。

【链接】https://nti.nsfocus.com/threatWarning

  • Apache Tomcat Session反序列化代码执行漏洞(CVE-2021-25329)

【发布时间】2021-03-02 15:00:00 GMT

【概述】2021年3月1日,绿盟科技监测到Apache软件基金会发布安全通告,修复了一个通过会话持久性进行RCE的漏洞,此漏洞为CVE-2020-9484的补丁绕过,如果使用了Tomcat的session持久化功能,不安全的配置将导致攻击者可以发送恶意请求执行任意代码。

【链接】https://nti.nsfocus.com/threatWarning

二、热点资讯

  • HAFNIUM组织针对有零日漏洞利用的Exchange Server

【概述】Microsoft已检测到多个零日漏洞,可用于在有限且有针对性的攻击中对Microsoft Exchange Server的本地版本进行攻击。在观察到的攻击中,威胁行动者利用这些漏洞访问了本地Exchange服务器,从而可以访问电子邮件帐户,并允许安装其他恶意软件以促进对受害者环境的长期访问。此次活动归功于HAFNIUM,该组织主要针对美国多个行业的实体,包括传染病研究人员、律师事务所、高等教育机构、国防承包商、政策智囊团和非政府组织。

【参考链接】https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

  • 精准短信钓鱼频发,已有多个银行用户中招

【概述】2021年1月至今,绿盟科技应急响应团队监测到全国多个省份出现多起仿冒银行域名的短信钓鱼事件,其中钓鱼剧本、攻击手法及钓鱼网站页面均高度相似,可基本确认是同一黑产团伙所为。钓鱼短信称受害者手机银行即将过期或账户被冻结,并附带仿冒的钓鱼网站域名。钓鱼网站与目标手机银行登录界面高度相似,并诱导用户输入身份证号、手机号、手机银行登录密码、短信验证码、交易密码等敏感信息。

【链接】https://nti.nsfocus.com/threatWarning

  • 以蓝军视角跟踪和分析CANVAS攻击框架泄露事件

【概述】3月3日,绿盟科技研究团队在对网络安全事件舆情监控中发现著名的商业渗透框架CANVAS系统源代码发生泄露,绿盟科技M01N蓝军研究团队第一时间对该事件进行了跟踪,快速分析了CANVAS的攻击框架、所涉及的漏洞和技术细节。

【参考链接】https://mp.weixin.qq.com/s/eQ-KDMoirOwx-pFxUcNjtQ

  • 牛津大学COVID-19实验室被黑客攻击

【概述】牛津大学研究生物学方法以对抗COVID-19的实验室已成为黑客进行网络攻击活动的目标。牛津大学发言人证实,被黑客入侵的该生物实验室系统不包含任何患者数据,并且不侵犯患者的机密性。

【参考链接】https://www.welivesecurity.com/2021/02/26/oxford-university-covid19-laboratory-hack/

  • GenuGate防火墙关键身份绕过漏洞已修复

【概述】总部位于德国的网络安全公司Genua已针对GenuGate防火墙中的严重缺陷迅速进行了修复。如果利用此漏洞,则本地攻击者可能会绕过身份验证措施,并以最高级别的特权登录到公司内部网络。

【参考链接】https://threatpost.com/firewall-critical-security-flaw/164347/

  • PrismHR遭勒索软件攻击

【概述】PrismHR是一家以帮助80,000多家小型企业管理工资、福利和人力资源的公司,该公司近日遭受了持续的勒索软件攻击,严重影响多项业务正常进行。

【参考链接】https://krebsonsecurity.com/2021/03/payroll-hr-giant-prismhr-hit-by-ransomware/

  • Ryuk勒索软件新版本可进行蠕虫状的自我传播

【概述】Ryuk勒索软件新版本能够在本地网络中通过SMB共享和端口扫描进行自我复制,并读取受感染设备的地址解析协议(ARP)表,该表存储了与计算机通信的任何网络设备的IP地址和MAC地址。

【参考链接】https://threatpost.com/ryuk-ransomware-worming-self-propagation/164412/

  • 通用医疗服务公司(UHS)遭攻击后面临巨额损失

【概述】在2020年9月-10月期间针对通用医疗服务公司(UHS)的网络攻击事件使该公司蒙受了高达6700万美元的损失,该公司是美国最大的医疗管理公司之一,报道指出该次网络攻击的罪魁祸首是Ryuk勒索软件。

【参考链接】https://threatpost.com/post-cyberattack-universal-health-services-faces-67m-in-losses/164424/

  • Clop勒索软件团伙泄露从网络安全公司Qualys窃取的数据

【概述】Clop勒索软件团伙利用了Accellion FTA服务器中的零日漏洞窃取网络安全公司Qualys的数据,并在其泄露站点上共享了被盗文件的截图信息,泄露的数据包括发票、采购订单、税单和扫描报告等,受到同样攻击的还有新南威尔士州的运输公司和庞巴迪公司。

【参考链接】

  • 2100万免费VPN用户数据遭泄露

【概述】超过2100万移动VPN应用程序用户的详细凭证在网上出售,数据包括电子邮件地址、随机生成的密码字符串、付款信息以及属于三个VPN应用程序(SuperVPN、GeckoVPN和ChatVPN)用户的设备ID。

【参考链接】https://blog.malwarebytes.com/cybercrime/privacy/2021/03/21-million-free-vpn-users-data-exposed/

Spread the word. Share this post!

Meet The Author

Leave Comment