绿盟威胁情报周报(20210412-20210418)

一、威胁通告

  • 微软2021年4月安全更新多个产品高危漏洞

【发布时间】2021-04-14 14:00:00 GMT

【概述】2021年4月14日,微软发布4月安全更新补丁,修复了 114 个安全漏洞,涉及 Windows、Office、Edge (Chromium-based) 、Visual Studio Code、Exchange Server、Visual Studio、Azure 等广泛使用的产品,其中包括远程代码执行和权限提升等高危漏洞类型。本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞有 19 个,重要(Important)漏洞有 88 个。请相关用户尽快更新补丁进行防护。

【链接】https://nti.nsfocus.com/threatWarning

  • 微信客户端远程命令执行漏洞

【发布时间】2021-04-16 14:00:00 GMT

【概述】近日,绿盟科技监测到网上披露微信客户端存在远程命令执行漏洞。目前已经发现在野利用,攻击者通过微信发送特制的 Web 链接,诱导用户进行点击后,Windows 版微信客户端 便会加载执行攻击者构造的恶意代码,整个过程无文件落地,无新进程产生,攻击者便可以 直接获取目标机器的控制权限。

【链接】https://nti.nsfocus.com/threatWarning

二、热点资讯

  • DNS高危漏洞威胁全球数百万物联网设备

【概述】近日,Forescout研究实验室与JSOF合作,披露了一组新的DNS漏洞,称为NAME:WRECK。这些漏洞存在于四个流行的TCP/IP堆栈中,即FreeBSD、IPnet、Nucleus NET和NetX,这些堆栈通常存在于流行的IT软件和IoT/OT固件中,影响全球数以百万计的IoT物联网设备。其中,FreeBSD被广泛用于数百万个IT网络中的高性能服务器,包括Netflix和Yahoo等网络巨头的主要网络节点。同时,类似西门子Nucleus NET这样的IoT/OT固件也已在关键的OT和物联网设备中使用了数十年之久。据初步评估,WRECK漏洞将影响几乎所有行业的组织,包括政府、企业、医疗、制造和零售业等。

【参考链接】https://www.forescout.com/company/blog/forescout-and-jsof-disclose-new-dns-vulnerabilities-impacting-millions-of-enterprise-and-consumer-devices/

  • 攻击者滥用EtterSilent恶意文档生成器

【概述】EtterSilent正在被多个网络犯罪组织使用,以创建用于分发各种恶意软件的恶意文档,其中包括Trickbot银行木马,该文档生成器使攻击者能够自定义用于发送恶意文档的软件包。EtterSilent创建两种基本类型的恶意Microsoft Office文档。一个利用了被跟踪为CVE-2017-8570的远程执行代码漏洞,而另一个则利用了恶意宏。在这两种情况下,伪造的Office产品都伪装成DocuSign文档-一种用于对文档进行电子签名的商业工具。

【参考链接】https://intel471.com/blog/ettersilent-maldoc-builder-macro-trickbot-qbot/

  • Joker恶意软件感染了538,000台华为Android设备

【概述】超过500,000名华为用户从官方Android商店下载了受感染的应用程序后,感染了Joker恶意软件。Joker恶意软件能够窃取SMS消息、联系人列表和设备信息,并可以为受害者注册高级服务订阅。

【参考链接】

  • 130万Clubhouse用户的个人数据遭泄漏

【概述】130万Clubhouse用户的个人数据遭泄漏,其中包括用户身份、名称、相片网址、用户名、Twitter handle、Instagram handle、粉丝人数、用户关注的人数、帐户创建日期、由用户个人资料名称邀请。

【参考链接】https://cybernews.com/security/clubhouse-data-leak-1-3-million-user-records-leaked-for-free-online/

  • Cring勒索软件针对欧洲工业部门的攻击活动

【概述】Cring新型勒索软件(也被称为Crypt3r,Phantom,Ghost和Vjiszy1lo),该勒索软件针对欧洲国家的工业部门组织并对其网络进行加密,在对服务器进行加密之后导致组织的工业流程暂时关闭。攻击者正在利用仍未针对CVE-2018-13379漏洞进行修补的Fortigate SSL VPN服务器。

【参考链接】

  • 黑客入侵TripAdvisor客户端以分发受感染的应用程序

【概述】Google Apps应用商店已被恶意模块感染,该模块将特洛伊木马下载到Android设备。攻击者通过注入Android.Triada恶意软件对其进行了修改,Triada的设计意图是实施财务欺诈,通常是劫持财务SMS交易。Triada Trojan能够渗透到获得持久性的移动设备上运行的所有进程,它允许威胁行为者无需用户许可即可下载,安装/卸载有效负载。

【参考链接】https://www.kaspersky.com/blog/infected-apkpure/39273/

  • Gafgyt僵尸网络提升了Mirai的DDoS技巧

【概述】基于linux的Gafgyt僵尸网络恶意软件家族的几个变种已经包含了来自臭名昭著的Mirai僵尸网络的代码。Gafgyt(又名Bashlite)是2014年首次发现的 僵尸网络。它针对易受攻击的物联网(IoT)设备,例如华为路由器,Realtek路由器和ASUS设备,然后将其用于发起大规模分布式拒绝服务(DDoS)攻击。它还经常使用已知漏洞(例如CVE-2017-17215和CVE-2018-10561)将下一阶段的有效负载下载到受感染的设备。

【参考链接】https://threatpost.com/gafgyt-botnet-ddos-mirai/165424/

  • 攻击者针对Nagios XI服务器进行加密货币挖矿

【概述】近期攻击者针对Nagios XI软件,利用影响Nagios XI 5.7.5版本的远程命令注入漏洞CVE-2021-25296,进行加密劫持攻击,并在受害者的设备上部署XMRig coinminer。

【参考链接】https://unit42.paloaltonetworks.com/nagios-xi-vulnerability-cryptomining/

  • 攻击者滥用协作工具传播恶意软件

【概述】新冠疫情大流行期间,远程办公已成为趋势,攻击者利用Discord和Slack等协作平台来规避组织防御,旨在传播恶意软件,窃取信息。

【参考链接】https://blog.talosintelligence.com/2021/04/collab-app-abuse.html

  • 冒充Trezor应用程序的恶意软件窃取价值超过100万美元的加密货币

【概述】伪装成Trezor应用程序可在Google Play和Apple的App Store上找到,也声称来自Trezor的创建者SatoshiLabs,并在App Store上存放了至少两周(从1月22日至2月3日),在被删除之前已下载了1000次,并窃取价值超过100万美元的加密货币。

【参考链接】https://blog.malwarebytes.com/social-engineering/2021/04/fake-trezor-app-steals-more-that-1-million-worth-of-crypto-coins/

Spread the word. Share this post!

Meet The Author

Leave Comment