绿盟科技威胁周报(20220314-20220320)

一、热点资讯

  • 黑客利用Twitter漏洞查找用户的链接电话号码

【标签】不区分行业

【概述】

Twitter发布警告称,攻击者滥用其平台上的合法功能,未经授权确定与其数百万用户账户相关的电话号码。该漏洞存在于其中一个API中,该API旨在让用户通过将联系人中储存的电话号码与Twitter账户进行匹配,更容易在Twitter上找到他们可能已经认识的人。而需要指出的是,该功能完全按照预期工作,除了有人不应该上传数以百万计的随机生成的电话号码,并滥用Twitter来披露与用户为启用安全功能而添加到Twitter的联系信息相关的个人资料。

【参考链接】https://ti.nsfocus.com/security-news/IlNlz

  • 攻击者对育碧发起网络攻击造成暂时中断

【标签】企业

【概述】

视频游戏公司育碧遭遇“网络安全事件”,对游戏、系统和服务造成严重影响。在过去的几天里,多个用户报告了访问游戏公司的某些服务的问题。育碧终于宣布遭遇“网络安全事件”,造成暂时中断。该公司聘请了外部专家来调查事件广告,确定其对数据和基础设施的影响。目前,没有证据表明事件期间存在数据泄露,并且服务正常启动并运行。

【参考链接】https://ti.nsfocus.com/security-news/IlNlA

  • 黑客使用受污染的DDoS工具攻击乌克兰的IT军队

【标签】政府

【概述】

近期,研究人员发现了针对乌克兰IT军队的恶意软件活动,攻击者正在使用一种模仿Liberator的窃取信息恶意软件,而这种叫Liberator的工具是亲乌克兰的黑客用于攻击俄罗斯宣传网站的常用工具。这些恶意软件表面上是针对俄罗斯机构的攻击性网络工具,可一旦下载后,这些文件会感染不知情用户,而不是你以为的那种能对俄罗斯产生威胁的工具。研究人员表示:观察到一个案例,攻击者在Telegram上提供分布式拒绝服务(DDoS)工具,说是能用于攻击俄罗斯网站,但下载的文件实际上是一个窃取信息的恶意程序。

【参考链接】https://ti.nsfocus.com/security-news/IlNly

  • 日本电装德国分部大量机密数据被窃取

【标签】企业

【概述】

丰田汽车旗下零部件制造商日本电装13日宣布,其德国当地法人受到了网络攻击。该公司确认其网络感染了勒索软件。被认定发动了此次攻击的黑客集团已经发布了勒索声明。公司称虽然目前并没有立刻对公司经营造成影响,但是“关于受害的详细情况正在调查中”。公司已向德国当地政府提交了受害报告。

【参考链接】https://ti.nsfocus.com/security-news/IlNlJ

  • 攻击者利用恶意软件对Intuit的用户发起钓鱼攻击

【标签】不区分行业

【概述】

现在许多人会用会计软件来申报美国所得税表,而这次对会计软件专家的攻击,是因为钓鱼攻击人员正在以更有创意和更加隐蔽的方式来诱使用户安装恶意软件或提供个人数据。根据周四发布的媒体声明,Intuit公布了客户曾经收到的可疑电子邮件的截图,该公司坚持认为该邮件并不是Intuit官方发布的。而这封自称是来自Intuit维护团队的伪造的电子邮件通知收件人,他或她的账户由于最近不活跃 ,将会被暂时禁用,并且必须要在24小时内恢复对该账户的访问,该电子邮件还将用户引向了一个链接,https://proconnect[dot]intuit.com/Pro/Update,声称点击链接后,将会立即恢复对其账户的访问权限。

【参考链接】https://ti.nsfocus.com/security-news/IlNm0

  • 攻击者对以色列政府网站进行大规模的DDoS攻击

【标签】政府

【概述】

研究人员表示,周一,以色列政府的一些网站在分布式拒绝服务 ( DDoS ) 攻击中遭到破坏,导致门户网站在短时间内无法访问。分布式拒绝服务攻击是一种恶意尝试,通过利用受感染的计算机和物联网设备作为攻击流量的来源,用大量垃圾互联网流量淹没受害者及其周围的基础设施,从而阻碍目标服务器或服务的正常流量。

【参考链接】https://ti.nsfocus.com/security-news/IlNlX

  • 黑客攻击俄罗斯能源巨头位于德国的子公司窃取大量数据

【标签】能源、政府

【概述】

据消息,一个匿名的黑客团伙声称已经入侵了俄罗斯能源巨头——俄罗斯石油公司位于德国的分公司Rosneft Deutschland GmbH,并从中窃取了 20 TB 的数据。此次攻击事件得到了德国联邦信息安全办公室 (BSI) 的证实,该公司在上周六晚上报告了一起 IT 安全事件。BSI表示将对相关调查予以支持,并向石油行业的其他利益相关者发出了安全警告。

【参考链接】https://ti.nsfocus.com/security-news/IlNlY

  • 黑客通过网站联系表格传播 BazarBackdoor 恶意软件

【标签】企业

【概述】

BazarBackdoor 恶意软件再一次在野外进行活跃的活动,在恶意制作的联系表单后面运行活动。这些活动通常针对企业人员,因为攻击者使用带有企业的联系表格来引诱受害者。BazarBackdoor 最近的网络钓鱼活动于 2021 年 12 月开始,其不同之处在于攻击者利用公司联系表格。当受害者收到一封来自假冒公司的电子邮件,要求提供一些信息时,攻击就开始了。例如,在解释的电子邮件中,攻击者冒充建筑公司寻求报价,为此,他们使用了网站联系表格。为了进一步逃避检测并确保在受害者端成功下载,攻击者使用第三方文件传输系统,例如 TransferNow 和 WeTransfer。 成功感染后,恶意软件将执行预期的恶意活动。

【参考链接】https://ti.nsfocus.com/security-news/IlNmb

  • 攻击者利用默认凭据对企业、Raspberry Pi 和 Linux 发起攻击

【标签】不区分行业

【概述】

研究发现,攻击者一直在使用相同的常规密码并获得对服务器的访问权限。其中一些是自进入企业使用以来未更改的默认密码。研究人员表示使用默认凭据为攻击者提供了最简单的入口点之一,充当了多次黑客攻击的‘万能钥匙’。使用合法凭据可以让攻击者避免检测,并使调查和监控攻击变得更加困难。

【参考链接】https://ti.nsfocus.com/security-news/IlNma

  • 攻击者利用Cyclops Blink 攻击华硕路由器

【标签】企业

【概述】

Cyclops Blink 是一种先进的模块化僵尸网络,据报道与Sandworm或 Voodoo Bear 高级持续威胁 (APT) 组织有关,而它最近被用于攻击WatchGuard Firebox 设备由英国国家网络安全中心 (NCSC) 执行。同时,研究人员也获得了针对华硕路由器的 Cyclops Blink 恶意软件系列的变种。Cyclops Blink 是用C语言编写的模块化恶意软件。在其核心组件中,恶意软件首先要做的是检查其可执行文件名是否以“[k”开头。如果没有,它将执行以下例程: 它将 stdout 和 stderr 文件描述符重定向到 /dev/null、为 SIGTERM、SIGINT、SIGBUS、SIGPIPE 和 SIGIO 信号设置默认处理程序或者使用新的“[ktest]”进程名称重新加载自己。然后它会等待37秒,再设置其硬编码参数。这些包括硬编码的C服务器和应该用于与C服务器通信的时间间隔。

【参考链接】https://ti.nsfocus.com/security-news/IlNmu

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author