绿盟科技威胁周报(20220117-20220123)

一、威胁通告

  • Oracle全系产品1月关键补丁更新通告(CVE-2022-21306、CVE-2022-21292、CVE-2022-21371)

【发布时间】2022-01-20 11:00:00 GMT

【概述】

2022年1月19日,绿盟科技CERT监测发现Oracle官方发布了1月关键补丁更新公告CPU(Critical Patch Update),此次共修复了497个不同程度的漏洞,此次安全更新涉及Oracle WebLogic Server、Oracle MySQL、Oracle Java SE、Oracle FusionMiddleware、Oracle Retail Applications等多个常用产品。Oracle强烈建议客户尽快应用关键补丁更新修复程序,对漏洞进行修复。

【链接】https://nti.nsfocus.com/threatWarning

  • HTTP协议栈远程代码执行漏洞通告(CVE-2022-21907)

【发布时间】2022-01-18 10:00:00 GMT

【概述】

1月12日,绿盟科技CERT监测到微软发布月度安全更新,其中修复了一个HTTP协议栈远程代码执行漏洞(CVE-2022-21907)。由于HTTP协议栈(HTTP.sys)中的HTTP Trailer Support功能存在边界错误可导致缓冲区溢出。未经身份验证的攻击者通过向Web服务器发送特制的HTTP数据包,从而在目标系统上执行任意代码。该漏洞被微软提示为“可蠕虫化”,无需用户交互便可通过网络进行自我传播,CVSS评分为9.8。目前已有可导致目标主机BSoD的PoC公开,请相关用户尽快采取措施进行防护。

【链接】https://nti.nsfocus.com/threatWarning

二、 热点资讯

  • FIN7组织通过邮寄恶意U盘来投放勒索软件

【概述】

美国联邦调查局周五警告说,勒索软件团伙正在邮寄恶意的U盘,冒充美国卫生与公众服务部(HHS)和亚马逊集团,针对运输、保险和国防行业进行勒索软件感染攻击。并表示,攻击者对这些包裹进行了伪装,把它们伪装成了与大流行病有关的物品,或者伪装成来自亚马逊的商品。包裹主要有两种,那些模仿HHS的包裹通常附有提及COVID-19指南的信件,并附上一个USB;而那些伪装成亚马逊的包裹则会装在一个有装饰性的礼品盒中,其中包含一封具有欺诈性的感谢信、伪造的礼品卡和一个USB。

【参考链接】https://ti.nsfocus.com/security-news/IlNdq

  • 攻击者从Lympo NTF平台窃取了1870万美元

【概述】

Lympo 正在构建一个体育 NFT 生态系统,包括拥有世界著名运动员和俱乐部知识产权的 NFT。该生态系统还将包括由各种艺术家和体育影响者创建的自定义体育角色。2022 年1月10日下午2:32左右(UTC +2),黑客设法访问了Lympo的运营热钱包,并从中窃取了大约1.652 亿个LMT。而针对安全漏洞,Lympo加强了保护措施以防止其他 LMT 被盗,该公司还暂时将 LMT 从各个流动资金池中移除,以最大程度地减少攻击的影响。被盗代币被发送到攻击者使用的单个地址,用于在SushiSwap或Uniswap上将其换成 Ether,然后将它们发送到其他地址。

【参考链接】https://ti.nsfocus.com/security-news/IlNdB

  • 朝鲜黑客从全球加密货币初创公司窃取了数百万美元

【概述】

研究人员发现 Lazarus 子组织 BlueNoroff 相关的运营商与一系列针对全球中小型公司的网络攻击有关,旨在耗尽他们的加密货币资金,这是朝鲜国家赞助的多产的又一次出于经济动机的行动演员。攻击者一直在巧妙地滥用在目标公司工作的员工的信任,向他们发送带有监视功能的全功能 Windows 后门,伪装成合同或其他业务文件。

【参考链接】https://ti.nsfocus.com/security-news/IlNdr

  • 攻击者利用数据擦除恶意软件针对乌克兰多个政府系统发起攻击

【概述】

研究人员称,新一波数据擦除恶意软件(代号DEV-0586)正在袭击乌克兰多个政府部门、信息技术机构等,目前已有数十个系统感染;就在前一天,乌克兰政府还遭遇了大规模网络攻击,大量政府网站内容被篡改为“数据窃取和泄露言论”,官方随后辟谣未发生数据泄露;恶意软件首先会擦除目标Windows系统中的主引导记录,使其无法运行。其主要可执行文件“通常”命名为stage1.exe,通过Impacket下发执行。攻击过程的第二阶段,该擦除器的stage2.exe会横冲直撞般地扫荡系统中的其余部分,覆盖从Word文档到网页(.HTML与.PHP文件)、图像与数据库等所有内容。它会搜索多种文件扩展名,并“使用固定数量的0xCC字节(总计1 MB)”覆盖文件的内容。

【参考链接】https://ti.nsfocus.com/security-news/IlNdZ

  • 攻击者利用知名软件部署后门程序发起钓鱼攻击

【概述】

近日,安全研究团队捕获到了一个木马程序,攻击者通过网络钓鱼的手段诱导受害者点击运行邮件中附带的木马程序,结合正常的Adobe CEF Helper程序进行攻击;在局域网内通过共享目录进行传播,并在用户主机上留下后门程序进行窃密或者其他恶意行为。

【参考链接】https://ti.nsfocus.com/security-news/IlNdS

  • TransCredit因数据库配置错误致使大量美国人和加拿大人的财务数据遭泄露

【概述】

据国外安全媒体报道,一家位于佛罗里达州杰克逊维尔的交通运输行业商业信用报告机构TransCredit因配置错误致使50万人财务数据泄露。研究人员发现了一个配置错误的数据库,该数据库为运输行业商业信用报告机构 TransCredit 拥有。据 Website Planet 的 Jeremiah Fowler 称,该数据库包含客户敏感财务和个人数据的宝库,其中包括加拿大和美国的货运和运输公司。

【参考链接】https://ti.nsfocus.com/security-news/IlNdE

  • 攻击者将 IRC Bot 恶意软件投入韩国WebHard平台进行传播

【概述】

研究人员发现恶意软件正在以成人游戏的名义传播。并表示该攻击通过将带有恶意软件的游戏上传到webhards来进行,该网络硬盘是指网络硬盘驱动器或远程文件托管服务,以压缩ZIP存档的形式,打开时包含一个可执行文件(“Game_Open.exe”),它是除了启动实际游戏外,还精心策划了运行恶意软件有效负载。这个有效载荷是一个基于 GoLang 的下载器,它与远程命令和控制 (C) 服务器建立连接以检索其他恶意软件,包括可以执行 DDoS 攻击的 IRC 机器人。

【参考链接】https://ti.nsfocus.com/security-news/IlNec

  • 印度时装零售商数据在暗网市场上泄露

【概述】

据报道,勒索软件集团 ShinyHunters 窃取了属于印度时尚和零售公司 Aditya Birla Fashion and Retail、ABFRL 的客户和员工的 700 GB 数据。并表示客户面前的受损数据包括 540 万个唯一的电子邮件地址、姓名、电话号码、街道地址、订单历史记录和密码,这些数据存储为 Machine Digest-5 或 MD5 哈希值。

【参考链接】https://ti.nsfocus.com/security-news/IlNe9

  • 攻击者冒充美国DOL来获取企业电子邮件凭据以发起钓鱼攻击

【概述】

研究人员警告说,网络钓鱼者正试图通过冒充美国劳工部 (DOL)来获取Office 365或其他企业电子邮件帐户的凭据。研究人员发现DOL 表面上是在邀请公司提交“合格承包商对正在进行的政府项目的提案”,通过点击 PDF 中的“BID”按钮,潜在的受害者会被带到一个与真实 DOL 网站完全相同的虚假 DOL 采购门户网站。最后,当点击“点击这里出价”按钮时,他们被要求使用企业电子邮件帐户登录。

【参考链接】https://ti.nsfocus.com/security-news/IlNed

  • 攻击者利用新的BHUNT 窃取程序针对加密货币钱包发起攻击

【概述】

研究人员发现了一种名为BHUNT的新规避性加密货币窃取程序,它能够窃取钱包(Exodus、Electrum、Atomic、Jaxx、以太坊、比特币、莱特币钱包)的内容、存储在浏览器中的密码以及剪贴板中的数据。BHUNT 是一个用 .NET 编写的模块化窃取程序,其二进制文件使用 Themida 和 VMProtect 等商业打包程序高度加密。专家鉴定的样本是用发给软件公司的数字证书进行数字签名的,但 研究人员 指出数字证书与二进制文件不匹配。分析的样本使用从公共 Pastebin 页面下载的加密配置脚本。据专家称,该恶意软件通过破解软件安装程序和受感染的用户在多个国家传播,包括澳大利亚、埃及、德国、印度、印度尼西亚、日本、马来西亚、挪威、新加坡、南非、西班牙和美国。

【参考链接】https://ti.nsfocus.com/security-news/IlNem

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author

Leave Comment