绿盟科技威胁周报(20220523-20220529)

一、威胁通告

  • Fastjson反序列化远程代码执行漏

【发布时间】2022-05-23 14:00:00 GMT

【概述】

5月23日,绿盟科技CERT监测到Fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险,在特定条件下可绕过默认autoType关闭限制,从而反序列化有安全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行。请相关用户尽快采取防护措施。Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,应用范围广泛。

【链接】

https://nti.nsfocus.com/threatNotice

二、 热点资讯

  • 黑客利用间谍软件通过受感染的手机入侵英国政府

【标签】政府

【概述】

对于大多数人来说,间谍软件旨在窃取敏感的个人数据,例如密码或信用卡号码。但是,通常受到最高级别安全保护的政府IT系统很少受到这些恶意软件类型的影响。在研究人员描述中,感染是由一种名为Pegasus的变体引起的。Pegasus可用于远程侵入iPhone;然后,间谍软件会静默安装,因此受害者永远不会知道他们的智能手机已被入侵。然后可以窃取智能手机上的数据,或者可以远程触发麦克风,将其变成监听和录音设备。黑客就通过受感染的手机进而入侵了英国政府。

【参考链接】

https://ti.nsfocus.com/security-news/IlNwI

  • 攻击者利用勒索软件使航空公司SpiceJet的航班停飞

【标签】企业

【概述】

印度廉价航空公司SpiceJet周三将航班延误归因于勒索软件攻击。SpiceJet表示,这次袭击很快得到控制并得到纠正,航班再次正常运行。据报道,在2020年,一名美国安全研究人员通过一个易于猜到的密码强行进入系统,从而获得了对 SpiceJet 系统之一的访问权限。这项工作产生了一个未加密的数据库备份文件,其中包含超过120万乘客的私人信息。在被勒索软件拖慢速度方面,SpiceJet并不是唯一一家航空公司。曼谷航空公司在 2021年8月遭受了LockBit攻击,当该航空公司选择不支付赎金时,超过100GB的数据被泄露。

【参考链接】

https://ti.nsfocus.com/security-news/IlNxK

  • 亲伊朗组织ALtahrea通过DDoS攻击伦敦港网站

【标签】互联网

【概述】

一场看似“出于政治动机”的 DDoS 攻击击倒了伦敦港当局的网站。该公司于5月24日星期二证实,伦敦港务局PLA已成为导致其网站被迫关闭的网络攻击的最新受害者。研究人员还证实了DDoS攻击,理由是一个伊朗组织发起了分布式拒绝服务 (DDoS) 攻击以关闭PLA网站。根据最新的更新,DDoS攻击是出于政治动机,而ALtahrea Team黑客组织对这次攻击负责。

【参考链接】

https://ti.nsfocus.com/security-news/IlNx9

  • 攻击者利用新勒索软件Cheerscrypt攻击ESXi设备

【标签】不区分行业

【概述】

研究人员最近观察到多个基于Linux的勒索软件检测,恶意行为者针对VMware ESXi服务器发起了攻击,这是一种用于创建和运行共享相同硬盘存储的多个虚拟机 (VM) 的裸机管理程序。研究人员遇到了Cheerscrypt,这是一个新的勒索软件系列,它一直以客户用于管理VMware文件的ESXi 服务器为目标。过去,ESXi服务器也受到其他已知勒索软件家族的攻击,例如LockBit、Hive和RansomEXX,这是一种用勒索软件感染许多计算机的有效方法。

【参考链接】

https://ti.nsfocus.com/security-news/IlNx8

  • 黑客窃取芝加哥500,000名学生和教职员工的个人数据

【标签】教育

【概述】

研究人员表示,去年12月,芝加哥公立学校超过50万名学生和教职员工的个人信息在一次勒索软件攻击中被泄露,尽管直到4月才报告了违规行为。该学区周五表示,技术供应商于4月25日通知CPS违规行为。CPS 在一份声明中说,用于存储学生和教职员工信息的服务器遭到破坏,四年的记录被访问。CPS 表示,从2015-16学年到2018-2019学年,访问了495,448名学生和56,138名员工记录。涉及违规的学生信息包括学生姓名、学校、出生日期、性别、CPS 身份证号码、州学生身份证号码、课程表信息和特定课程评估的分数。员工信息包括姓名、员工身份证号码、学校和课程信息、电子邮件和用户名。

【参考链接】

https://ti.nsfocus.com/security-news/IlNwJ

  • 黑客组织对奥地利、爱沙尼亚重要机构发起一系列网络攻击

【标签】不区分行业

【概述】

近日,网络安全公司有一项新发现:由俄罗斯政府支持的黑客组织“图拉”(Turla)正在对奥地利经济商会、北约平台、波罗的海国防学院(Baltic Defense College)发动一系列攻击。这是研究人员基于Google Tag先前工作的基础上发现的,该公司自2022年以来一直密切关注着俄罗斯黑客的动向。2022年3月,Google就俄罗斯相关的攻击活动向公众发布了一次预警,后来在5月,他们发现在这些攻击活动中有两起使用的是“图拉”组织的域。研究人员就这些信息开展了进步一的调查研究,他们发现“图拉”的目标是奥地利的联邦组织机构和波罗的海地区的军事学院。

【参考链接】

https://ti.nsfocus.com/security-news/IlNwX

  • 美国汽车制造商通用汽车遭受凭证填充攻击

【标签】企业

【概述】

美国汽车制造商通用汽车 (GM) 表示,它上个月经历了撞库攻击。在攻击期间,客户信息和奖励积分被盗。攻击的目标是一个由通用汽车运营的在线平台,帮助雪佛兰、别克、GMC 和凯迪拉克汽车的车主管理他们的账单、服务和兑换奖励积分。凭据填充是一种特殊类型的蛮力攻击,攻击者使用现有的用户名和密码组合,通常是在另一项服务的数据泄露中被盗的用户名和密码组合。此类攻击的目的不是接管网站或平台,而只是获取尽可能多的有效用户帐户凭据并使用该访问权限进行欺诈,或将有效凭据出售给其他攻击者。

【参考链接】

https://ti.nsfocus.com/security-news/IlNwW

  • 朝鲜黑客组织利用勒索软件对亚太地区的金融机构发起攻击

【标签】金融

【概述】

研究人员发现,加密货币盗窃分子Lazarus集团似乎正在扩大其攻击范围,利用勒索软件作为一种新的攻击方式,对亚太地区(APAC)的金融机构和其他目标进行勒索攻击。在对金融交易攻击中所出现的名为VHD的勒索软件毒株与之前发现的恶意软件有很多相似之处,这将此次攻击与朝鲜的威胁攻击者联系了起来,他们也被称为APT35。研究人员一直在跟踪这起事件。他们认为这是朝鲜网络军队对金融机构发动了攻击。这些攻击通常是来自Lazarus集团。在过去几年里。该集团最有名的事件可能是它通过洗钱计划,勒索加密货币,为朝鲜政府筹集资金。

【参考链接】

https://ti.nsfocus.com/security-news/IlNwL

  • 黑客欺骗用户安装虚假Windows 11来传播Vidar恶意软件

【标签】不区分行业

【概述】

黑客使用装有Vidar信息窃取程序的虚假Windows 11安装程序来欺骗用户,这些安装程序通过新注册的网络钓鱼域进行传播。研究人员检测到恶意ISO文件包含在欺骗性网站中,以便在目标计算机上下载和安装Vidar信息窃取恶意软件。Vidar恶意软件是一种臭名昭著的信息窃取程序,它可以从用户那里窃取信息并监视他们的行为。而像 Vidar这样的恶意软件主要是为了从受害者那里窃取敏感信息而设计的。

【参考链接】

https://ti.nsfocus.com/security-news/IlNwH

  • 攻击者利用恶意PDF文件传播Snake Keylogger恶意软件

【标签】不区分行业

【概述】

研究人员发现,虽然大多数恶意电子邮件活动使用Word文档来隐藏和传播恶意软件,但最近发现的一个活动使用恶意PDF文件和一个存在22年的Office漏洞来传播Snake Keylogger意软件。根据周五发布的一篇博客文章,该活动由研究人员发现,旨在通过附加的PDF文件欺骗受害者,该文件声称拥有有关汇款支付的信息。相反,它会加载信息窃取恶意软件,使用一些棘手的规避策略来避免检测。

【参考链接】

https://ti.nsfocus.com/security-news/IlNwK

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author