绿盟科技威胁周报(20220620-20220626)

一、威胁通告

  • 微软6月安全更新多个产品高危漏洞通告(CVE-2022-30190、CVE-2022-30147、CVE-2022-30136)

【发布时间】2022-06-20 16:00:00 GMT

【概述】

6 月 15 日,绿盟科技 CERT 监测到微软发布 6 月安全更新补丁,修复了 55 个安全问题,涉及 Windows、Microsoft Office、SQL Server、.NET framework、HEVC Video Extensions 等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞有 3 个,重要(Important)漏洞有 52 个,其中包括 1 个 0day 漏洞。

【链接】

https://nti.nsfocus.com/threatNotice

二、热点资讯

  • 西北工业大学电子邮件系统遭受境外网络攻击

【标签】教育

【概述】

近期,我校电子邮件系统遭受网络攻击,对学校正常教学生活造成负面影响。我校第一时间报警,经公安机关初步判定,是境外黑客组织和不法分子发起的网络攻击行为。此次网络攻击事件中,有来自境外的黑客组织和不法分子向我校师生发送包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息,给学校正常工作和生活秩序造成重大风险隐患。

【参考链接】

https://ti.nsfocus.com/security-news/IlNCE

  • 立陶宛对俄罗斯“禁运”后遭网络攻击

【标签】交通运输

【概述】

近日,有消息显示,自从立陶宛对俄飞地加里宁格勒州实施“禁运令”后,新兴黑客组织“网络特种部队”(Cyber Spetsnaz) 或已将矛头对准了立陶宛的政府资源和关键基础设施。此前,立陶宛政府宣布拒绝通过其境内铁路向俄飞地加里宁格勒州运输钢铁和铁矿,此举导致了俄-立冲突的升级。据BBC和其他新闻机构报道,俄罗斯已经对立陶宛封锁铁路交通的行为发出了严厉警告,并声称将让立陶宛“感到痛苦”,但尚未具体说明将采取何种报复手段。

【参考链接】

https://ti.nsfocus.com/security-news/IlNCC

  • 攻击者使用事件日志隐藏恶意软件

【标签】不区分行业

【概述】

研究人员发现了一项恶意活动,其利用一种前所未有的技术在目标机器上悄悄地植入无文件恶意软件。该技术涉及将shellcode直接注入Windows事件日志。根据卡巴斯基周三发布的研究报告声称,这允许对手使用Windows事件日志作为恶意使用特洛伊木马病毒的掩护。

【参考链接】

https://ti.nsfocus.com/security-news/IlNCD

  • MaliBot Android Banking特洛伊木马攻击西班牙和意大利

【标签】金融

【概述】

一种名为 Malibot 的新型 Android 恶意软件,该恶意软件针对西班牙和意大利的网上银行和加密货币钱包客户。专家们记录了针对多家银行的攻击,包括 UniCredit、Santander、CaixaBank和CartaBCC。该恶意软件通过恶意网站或通过粉碎攻击传播,通过将受害者吸引到欺诈性网站,诱使他们下载恶意软件,或直接向手机号码发送SMS网络钓鱼消息(smishing),来分发MaliBot。

【参考链接】

https://ti.nsfocus.com/security-news/IlNBG

  • 攻击者通过电子邮件劫持在韩国传播恶意软件

【标签】不区分行业

【概述】

安全分析团队最近发现了Bumblebee的活跃分布,这是一种下载器类型的恶意软件。它使用ISO文件中的网络钓鱼电子邮件分发,该文件包含快捷方式和恶意 DLL 文件。还有一些恶意软件通过电子邮件劫持分发给韩国用户的案例。在分发Bumblebee的网络钓鱼电子邮件时,他们劫持了正常的电子邮件,并作为带有恶意附件的回复发送给用户。收到邮件的用户可能会以为是正常回复打开附件,请谨慎处理。其他网络钓鱼电子邮件也正在使用电子邮件劫持方法分发。钓鱼邮件还可能包含恶意URL,以提示用户下载文件。此方法使用Google Drive进行分发。

【参考链接】

https://ti.nsfocus.com/security-news/IlNBZ

  • 伊朗黑客对以色列电子空袭警报系统发起网络攻击

【标签】政府

【概述】

以色列国家网络局(INCD)当地时间6月20日早上证实,19日晚上在耶路撒冷和埃拉特启动的虚假火箭警报很可能是由网络攻击引起的。据报道,以色列国防军最初将其归咎于系统故障,警报响了近一个小时。平民区的火箭弹袭击仍然是以色列的地方性危险。以色列国防军国土战线司令部表示,被破坏的警报器是市政系统,而不是军事系统。伊朗和以色列之间的紧张局势正在加剧,因为德黑兰指责这个犹太国家最近对其核基础设施发动了一连串袭击,而以色列则敦促其公民离开土耳其,因为担心伊朗特工可能在伊斯坦布尔对以色列人发动袭击。以色列网络安全公司公布了一项针对以色列和美国知名高管的鱼叉式网络钓鱼行动,并将其归咎于伊朗。

【参考链接】

https://ti.nsfocus.com/security-news/IlNC1

  • 攻击者对Azure前门发起网络钓鱼攻击

【标签】不区分行业

【概述】

威胁参与者正在利用受感染的业务和个人电子邮件帐户将包含网络钓鱼链接的垃圾邮件传递到Azure Front Door上托管的虚假WEB资源,因为最终用户通常会将此类域列入允许列表或将其视为合法域。在最近的一次活动中观察到的典型网络钓鱼页面场景之一,代表SendGrid发送的虚假账单通知,SendGrid是一个位于科罗拉多州的客户通信平台,用于交易和营销电子邮件。根据分析的模板,攻击者会使用自动化的方式来生成他们的网络钓鱼信件,通过这样做,他们能够扩展他们的活动,最终针对全球范围内更广泛的客户。

【参考链接】

https://ti.nsfocus.com/security-news/IlNBX

  • 哈萨克斯坦政府部署间谍软件对抗议者发起网络攻击

【标签】政府

【概述】

研究人员发现,哈萨克斯坦政府实体在其境内部署了复杂的意大利间谍软件。根据上周发布的研究,哈萨克斯坦政府的一名代理人一直在对国内目标使用企业级间谍软件。该政府实体使用品牌冒充来诱骗受害者下载被称为“隐士”的恶意软件。Hermit是由RCS Lab开发的高级模块化程序,RCS Lab是一家专门从事数字监控的意大利臭名昭著的公司。它具有对目标手机进行各种监视的能力——不仅收集数据,还可以记录和拨打电话。这种间谍行动的时机具有额外的意义。研究人员推测,间谍软件是通过假装来自合法来源的SMS 消息传播的。分析的恶意软件样本冒充电信公司或智能手机制造商的应用程序。Hermit通过在后台启动恶意活动时提供其冒充品牌的合法网页来欺骗用户。

【参考链接】

https://ti.nsfocus.com/security-news/IlNC0

  • QNAP NAS设备受到DeadBolt和ech0raix勒索软件攻击

【标签】企业

【概述】

NAS设备主要由消费者和中小型企业用于存储、管理和共享文件和备份。这使它们成为使用勒索软件和从事双重勒索计划的犯罪分子的诱人目标。研究人员最近检测到新的 DeadBolt 勒索软件活动。根据迄今为止的受害者报告,该活动似乎针对运行过时QTS 4.x 版本的QNAP NAS设备。QNAP建议所有用户将设备的QTS或QuTS hero固件更新到最新版本,但注意那些被DeadBolt击中的用户先截取赎金记录以保留比特币地址,然后升级到最新版本固件版本。

【参考链接】

https://ti.nsfocus.com/security-news/IlNBM

  • 攻击者利用Panchan僵尸网络对linux服务器发起攻击

【标签】金融

【概述】

一个针对Linux服务器的新P2P僵尸网络。该僵尸网络已被确定为“Panchan”,自2022年3月以来一直处于活动状态,并且基于Golang编程语言。Panchan通过SSH字典攻击实现了一种可蠕虫行为,该攻击收集SSH密钥以进行横向移动,并将它们用作启动SSH连接的密钥。通过其内置功能构建并发,该机器人最大限度地发挥其传播能力并同时执行恶意软件模块。该僵尸网络主要由与加密货币挖掘相关的活动组成。使用计算机的资源来挖掘加密货币是恶意代码打算对代码执行的操作。

【参考链接】

https://ti.nsfocus.com/security-news/IlNBH

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author