绿盟科技威胁周报(20220530-20220605)

一、威胁通告

  • Microsoft Office MSDT代码执行漏洞通告(CVE-2022-30190)

【发布时间】2022-05-31 17:00:00 GMT

【概述】

5月31日,绿盟科技CERT监测到微软发布安全公告,披露了一个Microsoft Support Diagnostic Tool 的代码执行漏洞(CVE-2022-30190),当从Word等应用程序使用 URL 协议调用 MSDT 时存在远程执行代码漏洞,攻击者通过制作恶意的Office文档,诱导用户在受影响的系统上打开恶意文档后,在宏被禁用的情况下,仍可通过 \’ms-msdt\’ URI执行任意PowerShell代码,当恶意文件保存为RTF格式时,无需受害者打开文件,即可通过资源管理器中的预览窗格在目标系统上执行任意代码。此漏洞已被在野利用,目前已有PoC公开,请相关用户采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

二、热点资讯

  • Hive勒索软件团伙袭击哥斯达黎加公共卫生系统

【标签】政府

【概述】

据BleepingComputer报道,哥斯达黎加的公共卫生服务机构哥斯达黎加社会保障基金(又名 CCCS)今天遭到Hive勒索软件攻击。这次攻击影响了多个政府部门,包括 CCSS、财政部和劳工部。Conti勒索软件团伙还威胁要“推翻”该国新政府。受Conti关联公司影响的政府实体名单还包括该国财政部、劳动和社会保障部 (MTSS)、科学、创新、技术和电信部以及社会发展和家庭津贴基金 (FODESAF )。该团伙声称在政府中有内部人员,并透露这次袭击是由一个追踪为UNC1756的附属组织实施的。BleepingComputer指出,在Conti宣布关闭其业务后,其部分成员已加入Hive集团,两个团伙都开始在两个暗网泄密网站上泄露受害者的数据。

【参考链接】

https://ti.nsfocus.com/security-news/IlNz3

  • 工业物联网勒索软件直接攻击控制系统

【标签】工业

【概述】

据报道,Colonial Pipeline中的勒索软件攻击禁用了IT网络上的计费系统,导致该公司关闭OT系统,直到它可以正确收取服务费用。Snake/Ekans勒索软件破坏了向PLC和其他直接连接到工业流程的工业设备发出命令的Windows系统。但R4IIoT的工作方式不同,直接损害PLC和类似系统。这很重要,因为该级别的IIoT系统通常可能是远程的。尽管修复对中央办公室系统的基于加密的攻击存在所有困难,但攻击者在满足需求之前一次关闭地理分布的设备网格,这会带来以前从未见过的人员配备问题。

【参考链接】

https://ti.nsfocus.com/security-news/IlNz6

  • 攻击者利用OAuth令牌窃取私人存储库数据

【标签】不区分行业

【概述】

研究人员披露了上周的事件相关细节,黑客使用偷来的OAuth令牌,从私人仓库下载了数据。研究人员并不认为攻击者是通过破坏GitHub或其系统来获取这些令牌的,因为这些令牌并不是由GitHub以其原始可用的格式进行存储的。研究人员分析说,攻击者使用了窃取的OAuth令牌对GitHub API进行认证,这些令牌是分发给Heroku和Travis CI账户的。它补充说,大多数受影响的人都是在他们的GitHub账户中授权了Heroku或Travis CI的OAuth应用。网络攻击是有选择性的,攻击者克隆了感兴趣的私人存储库。这种行为模式表明,攻击者只是针对特定的组织,并且有选择性地下载私人存储库。安全研究员认为这些攻击是有高度针对性的。

【参考链接】

https://ti.nsfocus.com/security-news/IlNz4

  • 黑客组织公开窃取了南非总统在国内四大银行之一的贷款详细记录

【标签】金融

【概述】

黑客团伙SpiderLog$公开窃取了南非总统Cyril Ramaphosa自2000年代在国内四大银行之一的贷款详细记录;该团伙称,南非已经成为黑客乐园,任何人都能轻松绘制出南非数字基础设施分布,甚至包括国防、国安等敏感系统;此次曝光使得大众关注到南非信息系统的显著漏洞,特别政府、国防、国安等部门的系统安全性。SpiderLog$称,这批数据来自另一个名为N4ugtysecTU的黑客团伙,而后者曾于今年早些时候入侵信用报告机构TransUnion,窃取了5400万消费者征信数据,几乎覆盖该国所有公民。泄露数据集中包含Ramaphosa本人的家庭住址、身份证号码及手机号码。

【参考链接】

https://ti.nsfocus.com/security-news/IlNyU

  • 黑客入侵大型农机设备制造商

【标签】农业

【概述】

俄罗斯试图破解乌克兰拖拉机的远程保护机制,一旦成功规模化,这类“手段”很可能会破坏农业关键基础设施中的重要组成部分;现代农业设备早已不是老式模拟设备,而是配备了大量传感器和数字技术,可以持续生成大量农业数据的数字连接智能设备;有农业专家认为,黑客给农业生产体系造成重大损害的唯一方式,就是入侵大型农机设备制造商。安全内参5月30日消息,在俄乌战争大背景下,5月初美媒CNN曝出新闻:有身份不明的乌克兰人士远程破坏了价值500万美元的拖拉机。

【参考链接】

https://ti.nsfocus.com/security-news/IlNyH

  • 土耳其航空公司泄露5TB航班和机组信息

【标签】航空

【概述】

一家低成本的土耳其航空公司在错误配置AWS存储桶后,意外泄露了机组人员的个人信息以及源代码和航班数据。一个研究小组发现了2月28日开放的云数据存储,他们将部分泄露的信息追溯到飞马航空公司开发的电子飞行包 (EFB) 软件。在存储桶中发现了近 2300 万个文件,总计约 6.5TB 的泄露数据。这包括超过 300 万个包含敏感飞行数据的文件,例如:飞行图表和修订;保险文件;飞行前检查期间发现的问题的详细信息;以及船员轮班信息。超过 160 万份文件包含有关航空公司机组人员的个人身份信息 (PII),包括照片和签名。Pegasus的EFB软件的源代码也在宝库中被发现,包括纯文本密码和密钥。除了对机组人员的潜在隐私影响外,研究人员推测泄漏可能使恶意行为者可以访问高度敏感的信息。

【参考链接】

https://ti.nsfocus.com/security-news/IlNyQ

  • 黑客窃取了Verizon员工数据

【标签】企业

【概述】

一名黑客窃取了一个数据库,其中包括数百名Verizon员工的全名、电子邮件地址、公司 ID号和电话号码。通过拨打数据库中的电话号码,Motherboard能够确认至少部分数据是真实的。四人确认了他们的完整身份和电子邮件地址,以及他们在Verizon的工作。据这名身份不明的黑客称,这些数据是通过说服一名Verizon员工授予他们对公司计算机的远程访问权限而获得的。当时,黑客声称已经访问了显示员工数据的Verizon内部工具,并开发了一个脚本来查询和抓取数据库。

【参考链接】

https://ti.nsfocus.com/security-news/IlNyq

  • 黑客组织利用新的恶意软件样本窃取敏感数据且对其加密

【标签】企业

【概述】

近日,有观察发现,新暗网市场Industrial Spy正在对受害者设备进行加密并尝试推出自己的勒索计划。此前,Industrial Spy并没有对受攻击的公司进行敲诈,而是将自己宣传为一个市场,公司可以在其中购买竞争对手的数据来获取商业机密、制造图纸、会计报告和客户数据库。Industrial Spy市场提供不同级别的数据产品,其中“高级”被盗数据包价值数百万美元,而较低级别的数据甚至可以作为单个文件以低至2美元的价格出售。例如,Industrial Spy目前正在以140万美元的价格出售一家印度公司的高级别数据,以比特币支付。为了推广他们的服务,攻击者会与广告软件加载程序和假破解网站合作来传播恶意软件,这些恶意软件会在设备上创建README.txt文件,而这些文件中正包含了推广信息。

【参考链接】

https://ti.nsfocus.com/security-news/IlNyu

  • 黑客组织对意大利政府发动大规模网络攻击

【标签】政府

【概述】

5月30日,亲俄黑客组织KillNet于5月30日再次对意大利政府发出威胁,称将对其发动史无前例的大规模攻击。KillNet组织于2022年2月25日开始运作,自俄乌战争爆发以来它一直相当活跃,先后同知名黑名组织“匿名者”(anonymous)与西方国家宣战。这个组织拥有自己的Telegram频道,并拥有数万名成员。据研究人员推测,该组织拥有一个半正式的结构化组织——KillNet Order of Battle (ORBAT)。意大利一直是KillNet组织的主要目标之一,组织不断呼吁其成员采取行动向他们提供一份意大利的目标名单,包括银行、媒体、能源公司等。只是在此之前,攻击还没有给意大利实体造成任何大麻烦,仅在一次攻击后造成三个政府网站无法访问。

【参考链接】

https://ti.nsfocus.com/security-news/IlNyE

  • 攻击者利用加密恶意软件感染Windows和Linux系统

【标签】不区分行业

【概述】

Sysrv僵尸网络背后的网络犯罪分子正在利用Spring Framework和WordPress插件中未修补的漏洞来瞄准Linux和Windows系统。据研究人员称,网络威胁者的目标是用加密恶意软件来感染系统。研究人员表示,Sysrv-K背后的犯罪分子已经通过编程他们的机器人军队扫描了WordPress插件中的缺陷以及Spring Cloud Gateway(CVE-2022-22947)中最近的远程代码执行(RCE)缺陷。研究人员遇到了Sysrv僵尸网络的新变体,其通过利用Web应用程序和数据库中的漏洞在Windows和Linux系统上安装硬币矿工而闻名。该新变体,我们称之为Sysrv-K,具有额外的漏洞,可以控制Web服务器。

【参考链接】

https://ti.nsfocus.com/security-news/IlNyF

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author