绿盟科技威胁周报(2022.12.05-2022.12.11)

一、 威胁通告

  • Thinkphp远程代码执行漏洞

【发布时间】2022-12-10 14:00:00 GMT

【概述】

近日,绿盟科技CERT监测到网上公开披露了Thinkphp远程代码执行漏洞的利用细节。由于Thinkphp 程序中存在传入参数检查缺陷,当Thinkphp开启了多语言功能,未经身份验证的攻击者可以通过 get、header、cookie 等位置传入参数,实现目录穿越及文件包含,最终通过 pearcmd 文件包含trick实现远程代码执行。漏洞细节已公开,请相关用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

 

  • Cacti命令注入漏洞(CVE-2022-46169)

【发布时间】2022-12-07 17:00:00 GMT

【概述】

近日,绿盟科技CERT监测到Cacti官方修复了一个命令注入漏洞(CVE-2022-46169)。由于“remote_agent.php”文件存在验证缺陷,未经身份验证的攻击者通过设置HTTP_开头变量的值为Cacti的服务器主机名来实现身份验证绕过,之后控制get_nfilter_request_var()函数中的检索参数$poller_id,当poller_item设置为POLLER_ACTION_SCRIPT_PHP时,导致proc_open()函数被触发,最终可实现在目标系统上执行任意命令。CVSS评分为9.8,目前该漏洞细节已被公开披露,请相关用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

 

  • 针对ESXi虚拟化平台勒索攻击威胁

【发布时间】2022-12-07 11:00:00 GMT

【概述】

绿盟科技CERT团队近期陆续接到多个行业客户反馈遭受勒索病毒攻击,具体表现为企业内网部署的ESXi虚拟化平台遭受攻击,VMware虚拟磁盘等文件后缀被修改为.mario,同时存在勒索信息文件How To Restore Your Files.txt。勒索信息文件中包含游戏人物超级马里奥的logo,对应的攻击团伙为RansomHouse,该团伙除了对虚拟机文件进行加密外,还对企业敏感数据进行了窃取。

【链接】

https://nti.nsfocus.com/threatNotice

 

二、 热点资讯

  1. 伊朗黑客在供应链攻击中使用数据擦除恶意软件打击钻石行业

【标签】钻石行业

【概述】

伊朗高级持续威胁 (APT) 行为者 Agrius 被认为是针对南非、以色列和香港钻石行业的一系列数据擦除器攻击的幕后黑手。安全研究院表示,该数据擦除恶意软件是针对以色列软件套件开发商的供应链攻击提供的,受害者包括以色列的人力资源公司、IT 咨询公司、钻石批发商和珠宝商。参与调查的安全研究员表示,擦除器的工作原理是递归检索每个驱动器的目录列表,用垃圾数据覆盖这些目录中的每个文件,为文件分配未来的时间戳,然后删除它们。为了进一步尝试擦除活动的所有痕迹,该恶意擦除器会清除所有 Windows 事件日志,递归清除系统驱动器中的所有文件,覆盖系统的主引导记录,自行删除自身,最后重新启动计算机。

【参考链接】

https://ti.nsfocus.com/security-news/IlOgb

 

  1. 法国品牌Intersport受到勒索软件组织攻击导致用户数据泄露

【标签】综合体育用品零售商

【概述】

体育用品制造商Intersport受到臭名昭著的勒索软件组织Hive的打击,该组织泄露了其客户的个人数据记录。该公司表示泄露的数据包括Intersport客户的护照,工资单和其他详细信息等。根据泄露文件中确定商店,上法兰西北部地区的Intersport客户似乎是主要受害者,但其他地区,如法兰西岛中心,也受到影响。根据该公司自己的统计,有700多个地点。相关安全研究院经过调查后表示,勒索软件团伙的标准程序是锁定或加密通过数据泄露获得的所有数据,然后威胁要在线发布信息,如果他们的金钱要求没有得到满足。

【参考链接】

https://ti.nsfocus.com/security-news/IlOg7

 

  1. 比利时安特卫普市遭遇勒索软件攻击导致服务中断

【标签】政府

【概述】

比利时安特卫普市正致力于恢复其数字服务,该服务因其数字提供商遭到网络攻击而中断。服务中断已影响到学校、日托中心和警察等所有方面。所有迹象都表明,有一个威胁行为者实施了勒索软件攻击,目前尚未确定。安全研究员指出黑客入侵了服务器,并从安特卫普的数字合作伙伴Digipolis窃取了管理软件。几乎所有的Windows应用程序都受到了影响,而一些部门的电话服务也不可用。该市的电子邮件服务以及在线政治决策平台都已关闭。

【参考链接】

https://ti.nsfocus.com/security-news/IlOfT

 

  1. 云计算公司Rackspace遭勒索软件攻击

【标签】云计算提供商

【概述】

德克萨斯州的云计算提供商Rackspace已确认在被勒索软件攻击后被迫关闭其Hosted Exchange环境。Rackspace托管的Microsoft Exchange服务于出现问题,该公司确认导致中断的可疑活动是一起勒索软件攻击。目前,该公司表示,正在为Microsoft 365上的数千名客户恢复电子邮件服务

【参考链接】

https://ti.nsfocus.com/security-news/IlOfL

 

  1. 凡尔赛的一家医院因遭到网络攻击不得不取消手术并转移病人

【标签】医疗

【概述】

位于巴黎附近凡尔赛的一家医院周末因遭到网络攻击不得不取消手术并转移一些病人。法国卫生和疾病预防部长弗朗索瓦·布朗在探访这家医院时说,已有6名病人被转移,其中3人是重症监护室病人,另外3人是新生儿科病人。他还说,其他病人随后可能也会被转移。地区卫生机构说,该医院已取消了手术,但正在尽一切可能维持免预约急诊和咨询。院方向重症监护室增派了医护人员,因为那里的机器仍在运转,但由于网络中断,所以需要更多的人手,以便随时关注监护仪的显示屏。

【参考链接】

https://ti.nsfocus.com/security-news/IlOfV

 

  1. 俄罗斯TVB银行遭遇持续DDoS攻击

【标签】银行

【概述】

俄罗斯第二大金融机构VTB银行表示,在其网站和移动应用程序因持续的DDoS(分布式拒绝服务)攻击而下线后,他们正面临着其历史上最严重的网络攻击。VTB发言人向塔斯社表示:”目前,VTB的技术基础设施正受到来自国外前所未有的网络攻击”。这不仅是今年记录的最大的网络攻击,而且是银行整个历史上最大的网络攻击。VTB的在线门户网站处于离线状态,但该机构表示,所有的核心银行服务都运作正常。此外,VTB还表示客户数据目前处于受到保护状态,因为这些数据存储在其基础设施的内部边界,而攻击者并没有攻破这些边界。该银行表示,他们已经确定大多数恶意的DDoS请求来自国外。然而,也有几个俄罗斯IP地址参与了攻击。这意味着外国行为者要么使用当地代理进行攻击,要么设法招募当地黑客参与到其DDoS攻击活动中。

【参考链接】

https://ti.nsfocus.com/security-news/IlOfR

 

  1. 虚假的Windows加密应用程序传播AppleJeus恶意软件

【标签】不区分行业

【概述】

安全研究人员发现了新一波攻击,其中黑客利用虚假的Windows加密应用程序传播AppleJeus恶意软件。该安全研究人员声称,朝鲜APT组织Lazarus是这场新活动的幕后黑手,因为该组织通常使用虚假交易网站和DLL旁加载来分发恶意软件,而他们发起的活动的主要目标是加密货币用户和组织。在本次攻击中,该组织正在使用通过恶意Microsoft Office文档分发的AppleJeus恶意软件的变种。安全研究员表示该恶意活动涉及一个以加密为主题的实时网站,其中包含从合法网站窃取的内容。其中AppleJeus恶意软件部署了DLL旁加载的新变体,该变种尚未在野外记录。而这个实时网站是真正的加密货币交易平台HaasOnline的伪造版本,对本网站的所有引用都被修改为BloxHolder并进行了调整,其分发伪装成BloxHolder应用程序的恶意Windows MSI安装程序。

【参考链接】

https://ti.nsfocus.com/security-news/IlOf9

 

  1. APT 组织利用攻击盗取了COVID救济资金

【标签】企业

【概述】

安全研究员发现APT组织从美国的COVID救济资金中窃取了至少2000万美元。该研究员表示其发起的网络攻击针对超过12个州的小企业管理局(SBA)贷款和失业保险基金,其影响了与 40,000 多笔金融交易相关的 2000 个账户。安全研究员表示,目前有超过1000项调查涉及与公共福利计划有关的盗窃和欺诈行为。对此,相关调查部门声称目前还不清楚该组织是否被特别下令窃取资金,或者政府处理人员是否只是视而不见。

【参考链接】

https://ti.nsfocus.com/security-news/IlOfd

 

  1. 黑客利用 DuckLogs 恶意软件窃取用户的敏感信息

【标签】不区分行业

【概述】

安全研究院一直在持续监控在野外新出现的活跃恶意软件家族。他们观察到一种名为DuckLogs的新恶意软件,它执行多种恶意活动,如Stealer、Keylogger、Clipper、远程访问等。该安全研究员还在野外观察到DuckLogs C。

【参考链接】

https://ti.nsfocus.com/security-news/IlOeX

 

  1. 黑客利用恶意USB设备向用户传递多个恶意软件

【标签】不区分行业

【概述】

安全研究员发现了以菲律宾为重点的网络间谍活动,主要使用USB驱动器作为初始感染媒介。这项行动被Mandiant追踪为UNC4191。该研究员指出,UNC4191 的运营对各种公共和私营部门组织产生了影响,主要是在东南亚,并延伸到美国、欧洲和 APJ,但主要集中在菲律宾。相关安全研究员表示,在最初通过USB设备感染后,威胁行为者使用合法签名的二进制文件来旁加载恶意软件,包括三个新的病毒家族,称为MISTCLOAK,DARKDEW和BLUEHAZE。该恶意软件通过感染连接到受感染系统的新可移动驱动器来传播自身,从而使恶意负载能够传播到相邻系统,并可能从气隙系统收集数据。该安全研究院对此表示,攻击者试图获得并保留与公共和私营企业接触的机会,目的是收集与政治和经济目标相关的信息。

【参考链接】

https://ti.nsfocus.com/security-news/IlOep

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author