绿盟科技威胁周报(20220606-20220612)

一、威胁通告

  • Atlassian Confluence 远程代码执行漏洞(CVE-2022-26134)

【发布时间】2022-06-06 10:00:00 GMT

【概述】

近日,绿盟科技CERT监测到Atlassian官方发布了Confluence Server和Data Center OGNL 注入漏洞(CVE-2022-26134)的安全公告,远程攻击者在未经身份验证的情况下,可构造OGNL表达式进行注入,实现在Confluence Server或Data Center上执行任意代码,CVSS评分为10。目前该漏洞细节与PoC已被公开披露,且被检测到存在在野利用。请相关用户尽快采取措施进行防护。Atlassian Confluence是Atlassian公司出品的专业wiki程序。它可以作为一个知识管理的工具,通过它能够实现团队成员之间的协作和知识共享。

【链接】

https://nti.nsfocus.com/threatNotice

二、热点资讯

  • 攻击者通过恶意软件窃取并收集敏感数据和加密资产

【标签】金融

【概述】

研究人员发现了一个恶意软件活动,跟踪为 FakeCrack,通过搜索结果传播 CCleaner Pro Windows 优化程序的盗版副本。研究人员指出,该活动背后的运营商使用大型基础设施来传递信息窃取恶意软件并从受害者那里收集敏感数据,包括加密资产。据透露,Avast每天阻止了大约 10,000 名用户的感染,其中大部分位于巴西、印度、印度尼西亚和法国。专家分析了八个可执行文件,它们都具有信息窃取功能。威胁参与者设置一个IP地址以下载恶意代理自动配置脚本 (PAC),然后在系统中设置此IP地址,每次受害者访问列出的域之一时,流量都会重定向到代理服务器。有了这个技巧,攻击者就可以进行中间人攻击。

【参考链接】

https://ti.nsfocus.com/security-news/IlNAc

  • 意大利巴勒莫市遭受网络攻击

【标签】不区分行业

【概述】

周五,意大利巴勒莫市遭受网络攻击。这次袭击似乎对公民和游客的多项服务和运营产生了影响。自攻击以来,当地IT专家一直在尝试恢复系统,但所有服务、在线门户和公共网站仍处于离线状态。据当地新闻媒体报道,受影响的系统包括市警察行动中心、公共视频监控管理以及市政府的所有服务。公民被要求使用传真机到达公共办公室,因为所有依赖数字系统的服务都无法通信。巴勒莫是意大利人口第五多的城市,拥有约 130 万人口。据估计,每年还有 230 万游客到访该地区。游客无法在线预订剧院或博物馆的门票,也无法确认体育设施的预订。

【参考链接】

https://ti.nsfocus.com/security-news/IlNzW

  • 攻击者利用勒索软件对富士康公司进行攻击

【标签】企业

【概述】

本周五,富士康公司确认其位于墨西哥的一家生产工厂在5月下旬受到勒索软件攻击的影响。富士康没有提供任何有关攻击者的信息,但勒索软件组织LockBit声称对此负责。被攻击的富士康工厂位于墨西哥蒂华纳,是美国加州消费电子产品的重要供应中心,被认为是一个战略设施。富士康在一份声明中表示,勒索软件攻击对其整体运营的影响不大,工厂正在逐步恢复:据证实,我们在墨西哥的一家工厂在5月下旬遭受了勒索软件网络攻击,公司的网络安全团队一直在相应地执行恢复计划。工厂正在逐步恢复正常。对业务运营造成的干扰,将通过产能调整处理。估计网络安全攻击对本集团整体营运影响不大。事件的相关信息也会立即提供给我们的管理层、客户和供应商。

【参考链接】

https://ti.nsfocus.com/security-news/IlNzl

  • 黑客组织对以色列制造业、信息技术行业和国防行业发起攻击

【标签】不区分行业

【概述】

安全人员近期发现了一个总部设在黎巴嫩的攻击组织POLONIUM。根据受害者与攻击工具的分析,安全人员认为其很有可能是由伊朗情报与安全部(MOIS)下属的攻击者运营的。在过去的三个月中,POLONIUM 组织已经攻击了二十余个以色列组织与一个在黎巴嫩开展业务的政府间合作组织。该攻击利用合法云服务(OneDrive)与受害者进行 C&C 通信。自 2022 年 2 月以来,POLONIUM 主要针对以色列的制造业、信息技术行业和国防行业发起攻击。在一个案例中,发现 POLONIUM 将一个 IT 公司攻陷后利用其进行供应链攻击,攻击下游航空公司与律师事务所。该组织攻击的多个制造业公司也都是为以色列国防部门服务的。

【参考链接】

https://ti.nsfocus.com/security-news/IlNAg

  • 俄罗斯黑客攻击乌克兰官员手机

【标签】政府

【概述】

周一,一名高级网络安全官员表示,随着俄罗斯入侵乌克兰,乌克兰官员的手机已成为黑客的目标。乌克兰国家特别通信局副局长维克多·佐拉说,乌克兰公务员使用的手机是持续攻击的目标。在为纪念俄罗斯军队入侵 100 天而举行的在线新闻发布会上,研究人员说过看到很多企图入侵乌克兰官员的手机,主要是通过传播恶意软件。研究人员还表示,到目前为止,他的服务还没有看到任何证据表明乌克兰的设备受到了损害。使用复杂的间谍软件隐形远程侵入手机的能力是一个特别值得关注的问题。具体来说,是不需要受害者交互的“零点击”黑客攻击。

【参考链接】

https://ti.nsfocus.com/security-news/IlNzN

  • 攻击者利用恶意软件对服务器和Android设备进行网络攻击

【标签】互联网

【概述】

一个被称为”EnemyBot”的快速发展的物联网恶意软件,其攻击目标是内容管理系统(CMS)、网络服务器和Android设备。据研究人员称,目前,威胁攻击组织”Keksec”被认为是传播该恶意软件的幕后推手。他们补充说,诸如VMware Workspace ONE、Adobe ColdFusion、WordPress、PHP Scriptcase等服务以及物联网和安卓设备正在成为被攻击的目标。研究人员说,该恶意软件正在迅速采用1day漏洞进行大范围的攻击。根据AT&T对该恶意软件代码分析,EnemyBot大量使用了Mirai、Qbot和Zbot等其他僵尸网络的攻击代码。Keksec集团通过针对Linux机器和其他的物联网设备分发恶意软件。这个威胁集团早在2016年就已成立,并且该集团包括众多僵尸网络攻击者。

【参考链接】

https://ti.nsfocus.com/security-news/IlNzK

  • 黑客入侵泽西岛计算机对美国、德国和匈牙利服务器进行攻击

【标签】不区分行业

【概述】

研究人员看到黑客使用泽西岛的计算机对在美国、德国和匈牙利运行的服务器进行网络攻击。受感染的机器充当了发动网络攻击的设备,目前对俄罗斯的怀疑手指正在上升。位于英国的岛屿网络应急响应小组 (CERT) 证实了这一消息,并表示一旦调查完成,数字攻击背后的犯罪分子将被公之于众。泽西岛的网络攻击有所增加,在俄罗斯对乌克兰的战争之后,网络攻击的数量明显增加。由于英国及其盟友在与普京的战争中支持泽连斯基,俄罗斯黑客或情报部门可能已命令其国家支持的犯罪分子发起僵尸网络攻击或传播恶意软件。【参考链接】

https://ti.nsfocus.com/security-news/IlNzJ

  • 俄罗斯外交部网站被黑客入侵

【标签】政府

【概述】

据报道,俄罗斯建设、住房和公用事业部网站遭到黑客攻击,在互联网上搜索该网站后,出现了一个乌克兰语“荣耀归于乌克兰”的标志。俄罗斯国家通讯社周日援引一名外交部代表的话说,该网站已关闭,但用户的个人数据并未受到影响。研究人员表示,据称黑客要求赎金,以防止向公众披露个人数据。自俄罗斯入侵乌克兰以来,近几个月来,许多俄罗斯国有企业和新闻机构遭受了袭击。上个月,黑客组织 Anonymous在社交媒体上宣布,它正在对最近攻击欧洲机构的亲俄罗斯组织 Killnet 发起网络战争。今年 3 月,该黑客组织声称它破坏了负责监管通信、信息技术和大众媒体的俄罗斯联邦机构的数据库,在此过程中泄露了超过 360,000 个文件。

【参考链接】

https://ti.nsfocus.com/security-news/IlNzx

  • 攻击者使用NSIS安装程序分发多个恶意文件

【标签】不区分行业

【概述】

安全分析团队最近发现攻击者使用NSIS安装程序分发多个恶意文件。NSIS(Nullsoft Scriptable Install System)通常用于为某些程序创建安装程序。它也可以用于创建恶意软件,因为它是基于脚本的,因此为 NSIS 安装程序提供了几乎相同的形式。NSIS 安装程序类型的恶意软件已被攻击者大量使用。在单个安装程序中包含多个恶意文件:运行一个文件会感染各种恶意软件菌株的系统。该文件以包的形式分发各种恶意软件类型,包括信息泄漏恶意软件(如 AgentTesla、RedLine 和 SmokeLoader),下载器(如 BeamWinHTTP、STOP 勒索软件等)。

【参考链接】

https://ti.nsfocus.com/security-news/IlNzn

  • 黑客入侵Bored Ape Yacht Club (BAYC)窃取并出售了NFT

【标签】金融

【概述】

威胁者今年第三次入侵Bored Ape Yacht Club (BAYC),他们窃取并出售了NFT,盗取了142 ETH,相当于超过 250,000 美元。黑客进行了网络钓鱼攻击,他们建立了一个钓鱼网站,冒充BAYC官方网站,声称BAYC、MAYC和OthersideMeta持有者能够在短时间内索取免费的NFT。研究人员发现在NFT被盗之后,攻击者开始出售收集到的资产。在卖掉被盗的NFT后,威胁者将资金转移到了混淆平台Tornado Cash。这次攻击标志着BAYC 社交媒体服务器今年第三次被攻击者入侵。

【参考链接】

https://ti.nsfocus.com/security-news/IlNzj

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author