一、威胁通告
- Atlassian Jira 身份验证绕过漏洞通告(CVE-2022-0540)
【发布时间】2022-04-26 11:00:00 GMT
【概述】
2022年4月21日,绿盟科技CERT监测到Atlassian官方发布安全通告,修复了Jira 的 Web 身份认证框架 Jira Seraph 中存在的一个身份验证绕过漏洞。未经身份验证的远程攻击者可以通过向目标系统发送特制的 HTTP 请求,在受影响的配置上绕过WebWork操作中的身份验证要求。根据官方描述,该漏洞在默认配置中也可以被利用。仅影响 Jira Server 与 Jira Data Center ,而Jira Cloud 不受影响。JIRA是Atlassian公司出品的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。
【链接】
https://nti.nsfocus.com/threatNotice
二、 热点资讯
- 黑客组织对俄罗斯电视台网站发起攻击
【标签】传媒
【概述】
国际黑客团体“匿名者”针对俄罗斯在乌克兰的军事行动宣布对俄发起“网络战争”,并承认攻击了今日俄罗斯电视台网站。“匿名者”在社交媒体推特发表声明,称该团体“全体人员正式向俄罗斯宣战”并“攻陷”今日俄罗斯电视台网站。有黑客还在个人推文中加了“乌克兰”的标签。据今日俄罗斯电视台报道,自莫斯科时间24日17时起,这家媒体的网站一直受到分布式拒绝服务(DDoS)攻击、即短时间内以巨大访问量瘫痪服务器。其中,大约27%的攻击发起地址位于美国。“匿名者”是松散、扁平化的黑客团体,成员众多,遍布于欧美多地,经常发动网络攻击。
【参考链接】
https://ti.nsfocus.com/security-news/IlNsu
- 黑客利用网络钓鱼攻击试图窃取Facebook密码
【标签】企业
【概述】
研究人员发现一项偷偷摸摸的网络钓鱼活动旨在窃取 Facebook 用户的密码——包括公司Facebook页面的管理员。受害者被邀请通过单击指向Facebook帖子的链接来对报告提出上诉——在这个帖子中,还有另一个链接可以将用户引导到一个单独的网站,以便他们“上诉”。作为虚假上诉程序的一部分,用户被要求提供敏感信息,包括他们的姓名和电子邮件地址。在提交表单之前,还要求用户输入他们的 Facebook 密码。所有这些信息都会发送给攻击者,攻击者可以使用它来登录受害者的 Facebook 页面,从他们的帐户中收集信息,并可能将他们锁定在其中。如果受害者 将他们的 Facebook 电子邮件地址和密码重新用于其他网站和应用程序,攻击者也可以访问这些网站和应用程序。
【参考链接】
https://ti.nsfocus.com/security-news/IlNsF
- conti勒索软件集团攻击蓝军公司
【标签】企业
【概述】
研究人员透露,一些欺诈性黑客集团已经掌握了其数据并试图对其进行威胁。作为政府和私营公司的国防承包商的公司就该说明发表了一份新闻声明,并表示已要求第三方安全公司投入服务以调查此事件。该公司未经证实的消息人士称,Conti Ransomware Group 是攻击窃取和加密访问信息的幕后黑手。conti是一个臭名昭著的网络犯罪团伙,在过去的两年里,该团伙通过勒索受害者将被盗数据在暗网上出售,并将玷污公司在竞争对手、合作伙伴和投资者中的形象,从而将威胁提升到一个新的水平,导致股市崩盘交易市场和资金紧缩,因为大多数投资者将从那时起放弃对公司进行更多投资的计划。
【参考链接】
https://ti.nsfocus.com/security-news/IlNsS
- 攻击者通过模仿政府供应商进行网络钓鱼活动
【标签】政府
【概述】
黑客故意选择所有人都忙于税收和准备假期(例如复活节)的特定时间,运用网络钓鱼工具包中的先进策略,通过冒充的 IT 服务供应商行为者被主要联邦机构广泛使用,包括国土安全部,以及美国各州和城市的其他此类网站通过 PayPal 支付,电子邮件包含一个模仿电子发票的 HTML 附件。值得注意的是,该电子邮件不包含任何 URL,并且已成功发送到受害者的收件箱,并且没有被标记为潜在垃圾邮件。
【参考链接】
https://ti.nsfocus.com/security-news/IlNtj
- 黑客组织利用恶意软件Bumblebee发起攻击
【标签】不区分行业
【概述】
黑客组织在他们的活动中用名为 Bumblebee 的新加载程序替换了 BazaLoader 和 IcedID 恶意软件。以前使用BazaLoader和IcedID作为其恶意软件活动一部分的黑客组织似乎采用了一种名为 Bumblebee 的新加载程序。在专家观察到的路径之一中,黑客发送包含“查看文档”超链接的消息,而另一个则利用包含 URL 的 HTML 附件,该 URL 使用称为 Prometheus 的流量引导系统 (TDS) 来过滤基于以下内容的下载潜在受害者的时区和 cookie。攻击者还试图滥用目标网站上的联系表格,并向收件人发送一条声称侵犯图像版权的消息。该消息包含指向登录页面的链接,该链接将用户引导至下载包含(“DOCUMENT_STOLENIMAGES.LNK”和“neqw.dll”的 ISO 文件)。
【参考链接】
https://ti.nsfocus.com/security-news/IlNth
- 风力涡轮机巨头 Deutsche Windtechnik 遭到网络攻击
【标签】企业
【概述】
德国风力涡轮机巨头 Deutsche Windtechnik 本月早些时候宣布,其部分系统遭到有针对性的专业网络攻击。攻击发生在夜间,出于安全原因,该公司关闭了与风力涡轮机的远程数据监控连接。两天后,连接恢复,该公司指出,风力涡轮机没有受到任何损坏,也从未处于危险之中。
【参考链接】
https://ti.nsfocus.com/security-news/IlNt6
- 蔓灵花APT组织伪装多国身份攻击孟加拉国
【标签】政府
【概述】
蔓灵花(Bitter)是一个被广泛认为来自印度的APT组织,该组织长期针对我国及周边南亚各国的政府、军工、电力、核等部门发动网络攻击,窃取敏感数据,具有较强的政治背景。近期,研究人员捕获到多个疑似蔓灵花组织的活动样本。该批样本无论在攻击手法或者武器代码等方面都与该组织此前的攻击活动极为相似,延续了其一贯的攻击特征。蔓灵花组织利用得到权限的巴基斯坦、孟加拉国政府邮箱发起网络攻击活动,我们发现其中一处回连域名使用了中文拼音,疑似伪装为我国进行攻击。
【参考链接】
https://ti.nsfocus.com/security-news/IlNsU
- 朝鲜APT37组织使用Goldbackdoor恶意软件对朝鲜记者发起攻击
【标签】新闻
【概述】
APT37 的一项活动使用复杂的恶意软件来窃取有关来源的信息,这似乎是 Bluelight 的继任者。被认为与朝鲜政府有关联的老练黑客正在积极使用名为 Goldbackdoor 的新型恶意软件攻击记者。攻击包括多阶段感染活动,最终目标是从目标窃取敏感信息。研究人员跟进了韩国 NK News 的一份初步报告,该报告显示,一个名为 APT37 的朝鲜 APT 从一名前韩国情报官员的私人计算机中窃取了信息。报告称,攻击者(也称为 Ricochet Collima、InkySquid、Reaper 或 ScarCruft)试图冒充 NK News 并分发似乎是一种新型恶意软件,以试图针对使用该官员作为消息来源的记者。
【参考链接】
https://ti.nsfocus.com/security-news/IlNsQ
- Stormous勒索软件团伙入侵跨国饮料公司可口可乐公司
【标签】企业
【概述】
Stormous勒索软件团伙在其泄密网站上发布了一个帖子,宣布入侵了跨国饮料公司可口可乐公司。勒索组织宣布入侵了该公司的一些服务器并窃取了 161GB。攻击者似乎要求支付 64,396.67 美元(1.6467000 比特币),这对于可口可乐等大公司来说是非常低的赎金。根据该团伙报告的数据,该材料以 13 个文件的形式公布,总容量接近 161GB,要求的价值为 64,396.67 美元或 1.6467000 比特币。在俄罗斯入侵乌克兰开始后,Stormous 成为头条新闻,该团伙与 Conti 勒索软件集团一样,宣布支持莫斯科。
【参考链接】
https://ti.nsfocus.com/security-news/IlNsR
- 黑客利用勒索软件攻击里约财政系统导致420GB数据被盗
【标签】政府
【概述】
巴西里约热内卢州的财政系统遭到LockBit勒索软件攻击,420GB数据遭窃取。据悉,这批数据窃取自Sefaz-RJ系统中,约占州财政部门全部数据存储量的0.05%;LockBit是目前最流行的勒索软件即服务平台之一,有数据显示今年已攻击了至少650个目标组织。LockBit勒索软件团伙宣称为此次事件负责。他们入侵了接入政府办公室的系统,并窃取到约420 GB数据。该团伙还威胁,将在今天(25日)公布这批被盗数据。
【参考链接】
https://ti.nsfocus.com/security-news/IlNsT
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。