绿盟威胁情报周报(20210802-20210808)

一、威胁通告

  • LinuxKernel任意代码执行漏洞通告(CVE-2021-3490)

【发布时间】2021-08-0218:00:00GMT

【概述】

近日,绿盟科技CERT监测到有研究人员公开披露了eBPF中的一个任意代码执行漏洞(CVE-2021-3490)的细节信息和PoC,并演示利用此漏洞在Ubuntu20.10和21.04上实现本地权限提升,该漏洞是由于Linux内核中按位操作(AND、OR和XOR)的eBPFALU32边界跟踪没有正确更新32位边界,造成Linux内核中的越界读取和写入,从而导致任意代码执行。官方已于5月11号发布修复版本,请相关用户及时采取措施防护。ExtendedBerkeleyPacketFilter(eBPF)是一种内核技术(从Linux4.x开始),允许程序运行而无需改变内核源代码或添加额外的模块。它是Linux内核中的一种轻量级的沙盒虚拟机(VM),可以在其中运行利用特定内核资源的BPF字节码。

【链接】https://nti.nsfocus.com/threatWarning

二、热点资讯

  • 攻击者利用鱼叉式网络钓鱼技术向用户分发电子邮件攻击企业用户

【概述】

研究人员称,攻击者利用鱼叉式网络钓鱼技术向企业用户传入电子邮件,通过使用域名仿冒等方式攻击企业用户,虽然网络钓鱼攻击一直是网络安全领域的常态,然而,情况正在发生变化,随着攻击者从针对个人转向以企业和组织为目标,今天的网络钓鱼攻击比1996年、2006年甚至2016年的攻击要复杂得多。

最近有报道称,攻击者发起的网络钓鱼活动主要针对全球天然气和石油、能源、媒体、IT和电子行业的企业,攻击者通过给这些企业传入电子邮件,使用了欺骗和域名仿冒等技术,传入的电子邮件看起来像是从真实公司发送的。攻击者还通过精心制作特定文本,按名称引用公司高管并包括真实的公司地址和公司徽标,从而避开了“传统”网络钓鱼消息的散布式泛化方法。

【参考链接】https://ti.nsfocus.com/security-news/IlMJO

  • 攻击者攻击意大利新冠肺炎疫苗预约系统

【概述】

研究人员称,在医疗保健系统的网络攻击中,攻击者攻击意大利拉齐奥地区的新冠疫苗预约系统。目前,该地区的Facebook页面已经不能运行,攻击者已经禁用了该地区卫生保健机构的系统。据报道,意大利除了疫苗接种预约系统外,还有很多系统都受到了攻击者攻击。

【参考链接】https://ti.nsfocus.com/security-news/IlMJE

  • 攻击者利用勒索软件攻击美国风险投资公司

【概述】

研究人员称,攻击者攻击了美国风险投资公司AdvancedTechnologyVentures(ATV)。以及窃取了公司投资者的数据信息。报道称,攻击者在数据加密之前窃取了美国风险投资公司存储在两台服务器上的财务信息。2021年7月9日,公司从其第三方信息技术提供商处获悉,公司存储财务报告信息的两台相同的ATV服务器出现异常活动。公司很快确定服务器已被攻击者攻击加密。2021年7月26日,公司了解到有证据表明服务器的内容遭到未经授权的访问和泄露。

【参考链接】https://ti.nsfocus.com/security-news/IlMJI

  • 攻击者设立呼叫中心向用户分发恶意软件BazaLoader

【概述】

研究人员称,攻击者通过设立呼叫中心向用户分发恶意软件,3月30日,MalwareTrafficAnalysis发布了对BazaCall号码的通话录音,呼叫中心员工将受害者引导到一个网站,在那里受害者被引导输入订阅号码。Carroll和Hacker写道,订阅号或其他编号可作为执行和跟踪活动的人员的标识符。然后,呼叫中心员工将受害者引导到一个看起来像合法企业的网站。然后指示受害者下载文件,例如Excel电子表格。在音频通话中,显示警告后会引导用户启用宏。最终,受害者被告知他们的订阅已成功取消,但实际上安装了BazaLoader恶意软件。

【参考链接】https://ti.nsfocus.com/security-news/IlMJu

  • 俄罗斯GRU针对美国和全球组织网络暴力攻击

【概述】

最近,俄罗斯军事情报机构GRU对美国和全球组织发起网络暴力攻击。GRU作为俄罗斯的军事情报部门,自2019年以来一直在进行网络暴力攻击。它攻击的目标是美国和全球的政府和私营部门。研究人员称,攻击者通过提交大量登录信息来侵入网络,登录信息包括电子邮件和其他有效的帐户凭据,当攻击者攻击成功时,他们会访问受保护的数据,数据包括帮助网络攻击者在目标实体内横向移动的凭据。例如,凭证可用于初始访问、权限提升、持久性和防御规避。

【参考链接】https://ti.nsfocus.com/security-news/IlMJA

  • 攻击者通过分发网络钓鱼电子邮件攻击WeTransfer文件托管系统

【概述】

研究人员称,攻击者利用向系统发送网络钓鱼电子邮件攻击WeTransfer文件托管系统,此攻击的主要目的是检索受害者的Office365电子邮件凭据。经调查,网络钓鱼电子邮件似乎是由WeTransfer发送的,因为它的发件人名称为Wetransfer,标题为“查看通过WeTransfer发送的文件”。这种相似性足以让人联想到真正的WeTransfer电子邮件,并且很容易欺骗用户。电子邮件正文还多次引用目标组织以使其看起来合法。电子邮件正文显示WeTransfer与受害者共享了两个文件,并且有一个链接可以查看它们。当受害者单击“查看文件”时,该链接会将他们引导至一个据称是MicrosoftExcel的网络钓鱼页面。

【参考链接】https://ti.nsfocus.com/security-news/4qYTY

  • 攻击者利用纯数据泄露模型泄露客户数据

【概述】

俄语组织Conti对爱尔兰卫生服务机构发起勒索软件攻击,同月DarkSide对总部位于美国的ColonialPipeline以及REvil于7月对远程管理软件公司Kaseya发起攻击之后,拜登政府一直在采取行动,更加积极地破坏勒索软件商业模式。白宫还呼吁俄罗斯政府没有对在其境内活动的警察采取更多措施,并威胁要破坏此类行动,除非莫斯科采取行动。

此外,“攻击者一直在瞄准纯数据泄露模型,这是攻击者追捕的一个很好的目标”McArdle说。“另外,’我们会告诉您所有的客户我们即将泄露您的数据。’尤其是在受到严格监管的行业,例如医疗保健或类似行业,如果您遭到破坏,可能会损失一大笔钱。”

【参考链接】https://ti.nsfocus.com/security-news/4qYUd

  • 攻击者利用MicrosoftExchange服务器攻击亚洲电信公司

【概述】

攻击者利用MicrosoftExchange服务器攻击亚州电信公司,并泄露了亚州电信公司数百GB数据,以收集客户的敏感通信。

Cyber​​eason表示,与其他网络攻击一样,这些APT活动利用了MicrosoftExchange服务器中的缺陷来访问目标网络,然后继续破坏关键资产信息,包括具有敏感呼叫详细记录数据的域控制器和计费系统。

这些攻击主要损害了亚洲电信公司的数据,但这些攻击可能会蔓延到其他地区的电信公司,如果攻击者决定将其目标从间谍活动改为干扰,他们将有能力中断任何受影响电信客户的通信。

【参考链接】https://ti.nsfocus.com/security-news/IlMJx

  • B2B营销公司泄露了美国人数以百万的数据

【概述】

研究人员表示,B2B营销公司OneMoreLead在配置错误的Elasticsearch服务器上暴露了多达1.26亿美国人的数据。并通知了OneMoreLead供应商,之后供应商对数据进行了保护。OneMoreLead将所有信息存储在一个不安全的数据库中,该公司已将其完全开放。因此,姓名、电子邮件地址和工作场所信息会暴露给任何拥有网络浏览器的人。如果攻击者发现了这个数据库,它将成为各种犯罪活动的金矿,从金融欺诈和身份盗窃,到针对美国公司和政府机构的大规模网络钓鱼攻击。”

【参考链接】https://ti.nsfocus.com/security-news/IlMJN

  • 攻击者利用恶意软件LittleLooter攻击伊朗改革运动的受害者

【概述】

研究人员继续跟踪疑似伊朗威胁组织ITG18的基础设施和活动。自从于2020年5月首次报告该组织以来,发现了一个恶意工具,我们将其命名为Android恶意软件LittleLooter。LittleLooter仅被观察到被ITG18使用。从2020年8月到2021年5月,X-Force研究人员观察到ITG18利用LittleLooter恶意软件攻击了伊朗改革主义运动的多名受害者。

X-Force研究人员发现ITG18从2020年夏末到2021年春季针对伊朗个人公开报告了他们的OPSEC错误,但ITG18继续在开放服务器和开放目录中保留包含泄露的受害者信息的存档文件。X-Force的新分析显示,ITG18从大约20名与伊朗改革运动结盟的人窃取了大约120GB的信息。

【参考链接】https://ti.nsfocus.com/security-news/IlMJJ

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author

Leave Comment