绿盟科技威胁周报(2022.11.21-2022.11.27)

一、 威胁通告

  • Smartbi商业智能软件任意命令执行漏洞

【发布时间】2022-11-24 15:00:00 GMT

【概述】

近日,绿盟科技CERT监测到网上公开发布了Smartbi任意命令执行漏洞,由于Smartbi商业智能软件未对JDBC的db2进行过滤,无需身份验证的攻击者可通过构建恶意指令,最终实现命令执行。请相关用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

 

  • Atlassian Bitbucket Server和Data Center命令注入漏洞(CVE-2022-43781)

【发布时间】2022-11-22 15:00:00 GMT

【概述】

近日,绿盟科技CERT监测发现Atlassian官方修复了一个Bitbucket Server和Data Center中的一个命令注入漏洞。由于Bitbucket Server和Data Center中存在缺陷,具有其用户名控制权限的攻击者可通过环境变量实现命令注入,最终造成在系统上任意执行命令,CVSS评分为9.8,请受影响的用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

 

  • Apache Airflow远程代码执行漏洞(CVE-2022-40127)

【发布时间】2022-11-22 13:00:00 GMT

【概述】

11月21日,绿盟科技CERT监测到网上披露了一个存在于Apache Airflow中的远程代码执行漏洞(CVE-2022-40127)的PoC。由于Apache Airflow中的Example Dags存在缺陷,具有UI访问权限的攻击者可利用该漏洞触发Dags,进而通过手动提供run_id参数的方式,最终可实现在目标系统上执行任意命令。CVSS评分8.8,请相关用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

 

二、 热点资讯

  1. 酒店公司Sonder确认用户数据泄露

【标签】服务

【概述】

酒店公司Sonder已经确认了可能损害客人记录的数据泄露事件。在数据泄露中可能受到损害的数据包括用户名和加密密码、姓名、电话号码、出生日期、地址和电子邮件地址。而某些客人交易收据,包括信用卡号和交易金额的最后四位数字,以及预订盛达酒店住宿的日期,这些也可能被泄露。此外,该公司认为,政府颁发的身份证明副本,如驾驶执照或护照,可能已被访问,以获取有限数量的客人记录。该公司补充道,在发现违规行为后,它采取了措施来遏制该数据泄露事件,包括确保未经授权的个人不再有权访问系统,以及操作不受影响,他们表示一定会调查事件的影响范围。据报道,该公司还通知受影响的用户和适当的监管机构,并已联系执法部门。

【参考链接】

https://ti.nsfocus.com/security-news/IlObR

 

  1. 黑客冒充Instagram对国家教育机构的2,000名学生发起攻击

【标签】教育

【概述】

安全研究员发现,黑客通过冒充Instagram的活动,针对国家教育机构的22,000名学生进行了凭据网络钓鱼攻击。这封电子邮件的主题鼓励受害者打开邮件,其目的是在受害者中引起一种紧迫感,使其看起来需要采取行动以防止未来的伤害。这种有针对性的电子邮件攻击是经过社会工程设计的,包含特定于收件人的信息;例如他或她的Instagram用户句柄,以便灌输一定程度的信任,即此电子邮件是来自Instagram的合法电子邮件通信。一旦用户点击了电子邮件中的链接,他们就会被带到一个虚假的登录页面。单击引诱选项,它会将用户定向到第二个虚假登录页面,该页面专门用于获取用户凭据,包括敏感信息。电子邮件攻击使用语言作为主要攻击媒介,并绕过了本地Microsoft电子邮件安全控制。它通过了SPF和DMARC电子邮件身份验证检查。

【参考链接】

https://ti.nsfocus.com/security-news/IlOar

 

  1. 俄罗斯黑客袭击欧盟议会网站

【标签】政府

【概述】

亲俄罗斯黑客组织Killnet攻击欧洲议会的官方网站导致其关闭了数小时。该攻击为DDoS攻击,这种类型的网络攻击通过将大量互联网流量引导到目标服务器,试图将其击倒来起作用。但好在该组织的攻击事件只针对面向公众的基础设施;如网站,其不针对实际服务。袭击事件发生在欧盟议会立法者投票宣布俄罗斯为支持恐怖主义的国家并决定进一步实施国际制裁之后,所有这些都是在俄罗斯侵略乌克兰战争的背景下进行的。对此,欧洲议会议员还希望减少与俄罗斯的外交关系,将欧盟与俄罗斯官方代表的接触保持在绝对最低限度,并关闭和禁止在欧盟传播宣传的俄罗斯国家附属机构。

【参考链接】

https://ti.nsfocus.com/security-news/IlObV

 

  1. 黑客利用WASP Stealer恶意软件对供应链持续发起攻击

【标签】不区分行业

【概述】

安全研究人员发现了一场持续的供应链攻击,该攻击是由他们追踪为WASP的威胁行为者进行的,该威胁行为者针对Python开发人员。攻击者正在使用Python软件包来分发称为W4SP Stealer的多态恶意软件。恶意代码能够窃取受害者 PC 上的 Discord 帐户、密码、加密钱包、信用卡和其他敏感数据。被盗数据已通过硬编码的 Discord 网络钩子地址将其发送回攻击者。该研究人员指出,这些攻击因使用隐写术来隐藏隐藏在Imgur上托管的图像文件中的多态恶意软件而脱颖而出。一旦安装了恶意软件包,就会执行 setup.py 脚本,并在受害者的系统上部署其他 Python 软件包,包括提供隐写实用程序的judyb。setup.py 脚本从 Imgur 下载.png映像并将其保存在操作系统的临时目录中。然后脚本使用judyb包的lsb.reveal函数从图像中提取隐藏代码。执行已安装的代码后,它会从相关恶意链接中获取另一段代码,整个过程以W4SP窃取程序感染结束。

【参考链接】

https://ti.nsfocus.com/security-news/IlOa7

 

  1. 加拿大一市遭勒索软件攻击导致市政务平台瘫痪

【标签】政府

【概述】

LockBit 3.0网络犯罪团伙声称对加拿大韦斯特蒙市政服务平台瘫痪和关闭员工电子邮件账户的勒索软件攻击事件负责,并要求该市在12月4日前支付赎金。根据韦斯特蒙市报道,该市的电子邮件服务因不明原因的计算机故障而无法使用,并且该故障也影响了其他市政服务。后经证实该次故障源于一次有针对性的网络攻击。韦斯特蒙市长在一份声明中说:网络攻击在他们的社会中变得越来越普遍和复杂,尽管采取了所有的措施,公共管理部门也不能完全避免这种恶意的攻击。并且市长也向所有韦斯特蒙市民保证,市政府正在全力以赴的应对此次网络袭击事件,并正在拟定补救措施。目前该市并未通报此次事件所影响的程度以及带来的损失,但表示目前已经聘请了一家安全研究院进行调查,并尽快恢复其系统。该市IT部门负责人表示:他们有加密的服务器,但并不知道是谁攻击了他们。他们目前仍在调查被感染的服务器,但并没有收到任何赎金通知。

【参考链接】

https://ti.nsfocus.com/security-news/IlObt

 

  1. 黑客对澳慈善机构发起网络攻击从而盗取资金

【标签】公益组织

【概述】

澳洲慈善机构The Smith Family遭遇网络攻击,捐赠者信息可能已被黑客窃取。该慈善机构表示,在关闭之前,一个未经授权的第三方正试图利用该团队成员的电子邮件账户从The Smith Family盗取资金。首席执行官在一份声明中表示:他们迅速采取了行动,对方未能成功,并且他们立即采取措施保护系统。随后开始对该事件进行调查,并聘请网络安全专家了解发生了什么。该慈善机构在调查中发现,个人捐赠者的个人信息可能在黑客攻击中被访问。包括姓名、电话号码、地址或电子邮件地址,以及捐款金额等信息极可能已被攻击黑客访问。该机构表示,用于捐赠的信用卡或借记卡的前四位和后四位数字也可能受到影响。

【参考链接】

https://ti.nsfocus.com/security-news/IlObv

 

  1. ALMA遭受网络攻击致使天文观测暂停

【标签】天象观测、天文学

【概述】

位于智利的阿塔卡玛毫米/亚毫米波阵列望远镜(ALMA) 天文台发布了一则推文,声称其计算机系统遭到网络攻击,被迫暂停所有天文观测并使其公共网站下线。据ALMA官网公告,智利ALMA天文台的计算机系统遭受网络攻击,迫使天文观测和公共网站暂停,天文台的电子邮件服务受限,但威胁已得到控制,ALMA的专家正在努力恢复受影响的系统。该公告中特别指出,这次攻击没有损害ALMA的天线或任何科学数据。但鉴于这一事件的性质,尚无法给出恢复正常的预计时间。值得注意的是,ALMA主要用于获取有关星系和行星演变的数据、寻找新天体以及探寻宇宙中是否存在能进化成生命的物质,该天文台被美国国家科学基金会、欧洲南方天文台、日本国家天文台以及来自世界各地的其他团体的科学家使用,此次网络攻击事件导致的观测暂停很可能会影响到多个科学团队及正在进行的项目。

【参考链接】

https://ti.nsfocus.com/security-news/IlOb1

 

  1. 黑客利用恶意软件对印度CDSL发起攻击导致金融交易暂停

【标签】金融

【概述】

近日,与 demat 账户相关的数千笔金融交易被停止,因为中央存管服务(印度)有限公司的服务器遭受了恶意软件类型的网络攻击。一半的交易处理单元受到数字攻击的影响,出于预防措施,CDSL停止了其运营,以阻止不必要的检查和验证。CDSL表示,IT人员尽最大努力降低与攻击相关的风险。未经证实的消息来源指出,这次攻击是勒索软件变种,黑客要求数百万美元的BTC来释放数据库的加密。但CDSL手头有一个恢复计划,因此立即启动了该计划,以降低风险。在这次事件中,国家资助的攻击被排除在外,初步证据证实它没有向黑客泄露与投资者有关的信息。值得注意的是,CISA美国和联邦调查局表示,全球所有金融机构都应该保持警惕,防止类似事件发生。

【参考链接】

https://ti.nsfocus.com/security-news/IlOaD

 

  1. 黑客对瓦努阿图的网络攻击严重影响了公民的正常生活

【标签】政府

【概述】

瓦努阿图是一个由约80个岛屿组成,绵延1300多公里的共和党国家,因成为复杂网络攻击的目标而成为新闻。位于南太平洋的国家成为网络犯罪分子的目标,完全瘫痪了公民的数字生活。到目前为止,瓦努阿图网络攻击已经扰乱了太平洋岛屿警察控制室,总理办公室和议会基于网站的运营,关闭了他们的整个电子邮件和内联网系统以及为医院,学校和其他紧急服务提供服务的数据库。本次攻击事件导致居住在该地区的大约30万人无法纳税,发票账单并获得签证和执照。根据相关研究院的一份报告显示,所有在 gov.vu 上运行的电子邮件和网站域名都受到攻击的影响,政府关闭了无法手动执行管理任务的办公室。值得注意的是,该事件的问题始于电子邮件跳出,然后网站在浏览时显示访问错误,引发了客户的恐慌。

【参考链接】

https://ti.nsfocus.com/security-news/IlOa5

 

  1. 新的AXLocker勒索软件通过启用Discord帐户接管来窃取用户数据

【标签】不区分行业

【概述】

安全研究员说,一种新的勒索软件变种不仅可以加密受害者的文件,还可以通过启用 Discord 帐户接管 (ATO) 来窃取数据。根据调查显示,针对消费者,AXLocker勒索软件以相当典型的方式运行,在勒索受害者之前,使用 AES 加密针对某些文件扩展名。但是,在加密之前,它会窃取平台用于在用户输入凭据以登录帐户时对用户进行身份验证的 Discord 令牌。这样做使威胁参与者能够劫持这些帐户以进行后续欺诈和恶意软件传播。消息传递平台在游戏和加密社区中特别受欢迎,但也是恶意活动的温床。将被盗的 Discord 令牌发送到外部服务器并加密受害者的文件后,AXLocker 将显示一个包含赎金记录的弹出窗口,计时器会滴答作响,直到解密密钥被删除。

【参考链接】

https://ti.nsfocus.com/security-news/IlOan

 

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author