绿盟威胁情报周报(20210419-20210425)

一、威胁通告

  • WebSphere XML外部实体(XXE)注入漏洞

【发布时间】2021-04-23 09:00:00 GMT

【概述】近日,绿盟科技监测到 IBM 发布安全公告修复了两个WebSphere Application Server XML外部实体(XXE)注入漏洞(CVE-2021-20453/CVE-2021-20454),由于 WAS 在处理 XML 数据时容易受到 XML 外部实体注入(XXE)攻击。远程攻击者可利用漏洞获取敏感信息或消耗内存资源。

【链接】https://nti.nsfocus.com/threatWarning

  • WebLogic 多个严重漏洞

【发布时间】2021-04-21 21:00:00 GMT

【概述】2021年 4 月 21 日,绿盟科技监测到 Oracle 官方发布了 2021 年 4 月关键补丁更新公告 CPU(Critical Patch Update),共修复了 400 个不同程度的漏洞,其中包括 4 个影响WebLogic 的高危漏洞,利用复杂度低,建议用户尽快采取措施,对此次的漏洞进行防护。

【链接】https://nti.nsfocus.com/threatWarning

  • Oracle 全系产品 4 月关键补丁

【发布时间】2021-04-21 21:00:00 GMT

【概述】2021 年 4 月 21 日,绿盟科技监测发现 Oracle 官方发布了 4 月关键补丁更新公告 CPU(Critical Patch Update),共修复了 400 个不同程度的漏洞,此次安全更新涉及 Oracle Database Server、Oracle Java SE、Oracle Fusion Middleware、Oracle MySQL、Oracle Communications 等多个常用产品。Oracle 强烈建议客户尽快应用关键补丁更新修复程序,对漏洞进行修复。

【链接】https://nti.nsfocus.com/threatWarning

二、热点资讯

  • 新的Qlocker勒索软件每天攻击数百个QNAP NAS设备

【概述】一种名为Qlocker的新型勒索软件正在肆虐,每天都会感染数以百计的QNAP网络连接存储(NAS)设备,它会控制硬盘,将用户的文件转移到有密码保护的7zip档案中,并要求用户支付550美元的赎金。

【参考链接】https://therecord.media/new-qlocker-ransomware-is-hitting-hundreds-of-qnap-nas-devices-per-day/

  • 与中国有关的APT组织利用Pulse Secure VPN 0day漏洞入侵美国国防承包商

【概述】根据FireEye和Pulse Secure发布的联合报告,两个黑客组织利用Pulse Secure VPN设备的一个0day漏洞,入侵了美国国防承包商和全球政府组织的网络。

【参考链接】https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html

  • Joker恶意软件的目标是更多的Android设备

【概述】Joker恶意软件已经通过华为官方应用商店AppGallery中的恶意应用程序,攻击了全球50多万台Android设备。Joker木马自2017年开始活跃,能够窃取受感染智能手机的短信、通讯录和设备信息。攻击者已在多个活动中使用了该恶意软件。

【参考链接】https://www.inforisktoday.com/joker-malware-targets-more-android-devices-a-16450

  • Telegram平台在ToxicEye恶意软件活动中被滥用

【概述】近期黑客通过将其代码嵌入称为ToxicEye的远程访问木马(RAT)中来利用流行的Telegram消息传递应用程序。ToxicEye恶意软件可以接管文件系统,安装勒索软件并从受害者的PC泄漏数据。

【参考链接】https://threatpost.com/telegram-toxiceye-malware/165543/

  • Lazarus APT在BMP图像中隐藏恶意代码

【概述】Lazarus是朝鲜的威胁组织之一,至少自2009年以来一直活跃,该组织的目标是美国、韩国、日本和其他几个国家。在最近的攻击活动中,Lazarus将带有恶意HTA对象的BMP文件嵌入到其Loader中,利用网络钓鱼攻击针对韩国。

【参考链接】https://blog.malwarebytes.com/malwarebytes-news/2021/04/lazarus-apt-conceals-malicious-code-within-bmp-file-to-drop-its-rat/

  • SkidMap病毒利用Redis未授权访问漏洞攻击

【概述】近期有攻击者利用Redis未授权访问漏洞攻击云服务器,安全专家判定为SkidMap病毒变种的攻击活动,同时发现事件影响云主机约数千台,受害主机已被攻击者控制沦为矿机,下载门罗币、莱特币、比特币挖矿木马,通过挖矿牟利,并可能造成机密信息泄露。

【参考链接】https://s.tencent.com/research/report/1304.html

  • 黑客可入侵Cosori智能空气炸锅

【概述】安全专家发现Cosori智能空气炸锅存在两个远程代码执行(RCE)漏洞。Cosori智能空气炸锅是一种具有智能功能的设备,可以用多种方法和设置烹饪食物。黑客可以通过Wi-Fi控制该设备,可以启动和停止烹饪,查看食谱指南和监控烹饪状态。

【参考链接】https://blog.talosintelligence.com/2021/04/vuln-spotlight-co.html

  • 软件审计平台Codecov遭持续入侵

【概述】软件审计平台Codecov遭黑客入侵,该事件可影响其2.9万名客户,并且引发大量公司连锁数据泄露。自2021年1月底黑客瞄准Codecov,利用Codecov的Docker映像创建过程中出现的错误,非法获得了其Bash Uploader脚本的访问权限并且进行了修改,这意味着攻击者可导出存储在Codecov用户的持续集成(CI)环境中的信息,最后将信息发送到Codecov基础架构之外的第三方服务器。

【参考链接】https://about.codecov.io/security-update/

  • 黑客声称正在出售13 TB印度在线订单数据

【概述】在最近泄露印度用户数据的黑客攻击中,印度一家颇受欢迎的披萨店Domino’s也遭受了网络攻击。据印度IT安全研究员Rajshekhar Rajaharia称,黑客获得了13TB的数据,其中包括1.8亿份订单信息,包括姓名、电话号码、支付信息和100万张信用卡信息。

【参考链接】

  • WhatsApp-Pink:通过群聊传播的恶意软件

【概述】WhatsApp用户收到一种声称将应用程序的主题从其商标的绿色变为粉红色的链接,这是一种诱饵技术,一旦用户单击该链接,攻击者可入侵手机并窃取照片、短信、联系人等信息。

【参考链接】

Spread the word. Share this post!

Meet The Author

Leave Comment