绿盟威胁情报周报(20210308-20210314)

一、威胁通告

  • 微软2021年3月安全更新多个产品高危漏洞

【发布时间】2021-03-10 16:00:00 GMT

【概述】北京时间3月10日,微软发布3月安全更新补丁,修复了89个安全问题,涉及Microsoft Windows、MicrosoftOffice、MicrosoftExchange Server、InternetExplorer、VisualStudio 等广泛使用的产品,其中包括远程代码执行和权限提升等高危漏洞类型。 本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞有14个,重要(Important)漏洞有75个。

【链接】https://nti.nsfocus.com/threatWarning

  • F5 BIG-IP/BIG-IQ多个高危漏洞

【发布时间】2021-03-11 16:00:00 GMT

【概述】2021年3月11日,绿盟科技监测到F5官方发布安全通告,修复了影响F5的BIG-IP和BIG-IQ的多个高危漏洞(CVE-2021-22986,CVE-2021-22987,CVE-2021-22988,CVE-2021-22989,CVE-2021-22990,CVE-2021-22991,CVE-2021-22992),建议相关用户采取措施进行防护。 BIG-IP是美国 F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能 的应用交付平台。BIG-IQ是一款用于管理和协调F5安全与应用交付解决方案的智能框架。

【链接】https://nti.nsfocus.com/threatWarning

二、热点资讯

  • Gafgyt新变体针对D-Link和物联网设备的攻击活动

【概述】Gafgyt僵尸网络的新变种是依赖Tor通信的恶意软件,主要针对易受攻击的D-Link和物联网设备。Gafgyt是一个于2014年发现的僵尸网络,它因发动大规模分布式拒绝服务(DDoS)攻击而声名狼藉,新变种Gafgyt_tor为规避检测,使用Tor来隐藏其命令和控制(C2)通信,并对样本中的敏感字符串进行加密。

【参考链接】https://threatpost.com/d-link-iot-tor-gafgyt-variant/164529/

  • 针对航空公司的供应链攻击活动

【概述】总部位于瑞士的IT公司SITA,为全球90%的航空公司提供IT服务,近期该公司受到供应链攻击导致大量乘客信息遭泄露,已有马来西亚航空、新加坡航空、芬兰航空和新西兰航空受到此次攻击活动的影响。

【参考链接】https://www.inforisktoday.com/supply-chain-attack-jolts-airlines-a-16123

  • 黑客入侵欧盟银行监管机构EBA的Exchange服务器

【概述】欧盟银行监管机构EBA的Microsoft Exchange电子邮件系统遭黑客攻击,此次攻击活动疑似与HAFNIUM攻击组织有关。

【参考链接】

  • Emotet木马威胁活动供应链分析

【概述】银行木马Emotet自2020年12月以来一直活跃,Emotet通常随网络钓鱼电子邮件一起发送,附带Word文档,Emotet攻击链中的步骤:a.Word文档已分发并在启用宏的情况下打开;b.运行VBScript宏以生成恶意的PowerShell脚本;c.恶意的PowerShell脚本将初始DLL二进制文件下载为加载程序;d.初始加载程序将删除后续的DLL二进制文件,该二进制文件将进行自我更新;e.最终的DLL会窃取受害者的敏感数据,或者通过与C2服务器进行通信来进行进一步的攻击。

【参考链接】https://unit42.paloaltonetworks.com/attack-chain-overview-emotet-in-december-2020-and-january-2021/

  • 加密挖矿活动针对QNAP NAS设备

【概述】近期恶意加密货币活动中攻击者利用UnityMiner恶意软件针对QNAP Systems网络连接存储(NAS)设备,该设备关键固件可能存在未修补漏洞(CVE-2020-2506,CVE-2020-2507),根据QNAP设备映射,美国和中国的110万QNAP NAS用户受到严重影响,占全球感染总数的80%。

【参考链接】https://threatpost.com/miner-campaign-targets-unpatched-qnap-nas/164580/

  • ZLoader恶意软件隐藏在加密的Excel文件中

【概述】ZLoader是一种多用途木马,通常充当投递程序,在多阶段勒索软件攻击(例如Ryuk和Egregor)中传递基于Zeus的恶意软件。近期发现一起网络钓鱼攻击活动中,攻击者使用国税局税收和发票文件作为诱饵,将恶意软件ZLoader隐藏在加密的Excel文件中进行传播,旨在窃取敏感数据。

【参考链接】https://www.inforisktoday.com/zloader-malware-hidden-in-encrypted-excel-file-a-16146

  • Verkada摄像头被黑客攻击

【概述】黑客近期利用Verkada摄像头中的漏洞可远程访问客户摄像头,受害者包括汽车制造商Tesla、网络基础设施公司Cloudflare、身份和访问管理厂商Okta以及多家医院和监狱。Verkada总部位于加利福尼亚州圣马特奥,为众多组织管理和维护150,000个可远程访问的监视摄像机。

【参考链接】https://www.inforisktoday.com/startup-probes-hack-internet-connected-security-cameras-a-16155

  • OVH云数据中心被大火烧毁

【概述】OVH是欧洲最大的托管服务提供商,也是世界第三大托管服务提供商,该云公司计算提供虚拟专用服务器,专用服务器和其他网络服务。近日一个OVH数据中心发生火灾,摧毁了一个数据中心,并使另外两个数据中心掉线;已确认受影响的EU服务器全部丢失。

【参考链接】https://blog.malwarebytes.com/malwarebytes-news/2021/03/ovh-cloud-datacenter-destroyed-by-fire/

  • 数十万台Microsoft服务器持续被黑客入侵

【概述】针对Microsoft Exchange服务器的攻击比想象的要糟糕很多,据数据显示,全球已有数十万台Microsoft服务器遭黑客攻击。

【参考链接】https://www.forbes.com/sites/daveywinder/2021/03/06/warning-hundreds-of-thousands-of-microsoft-servers-hacked-in-ongoing-attack/?sh=63b15eb828e6

  • 针对Azure云平台用户的新攻击活动

【概述】微软警告其Azure云平台的用户,黑客正在使用几种“living off the land”攻击技术来逃避安全措施,提升特权和部署加密矿工。

【参考链接】https://www.inforisktoday.com/hackers-waging-living-off-land-attacks-on-azure-a-16158

  • REvil勒索软件使用DDoS攻击和语音呼叫向受害者施压

【概述】REvil勒索软件运营商正在使用DDoS攻击,并向记者和受害人的商业伙伴发出语音呼叫,以迫使受害人支付赎金

【参考链接】https://securityaffairs.co/wordpress/115345/cyber-crime/revil-ransomware-ddos-voice-calls.html

Spread the word. Share this post!

Meet The Author

Leave Comment