绿盟科技威胁周报(20220704-20220710)

一、威胁通告

  • GitLab多个高危漏洞通告(CVE-2022-2185、CVE-2022-2235、CVE-2022-2230)

【发布时间】2022-07-04 14:00:00 GMT

【概述】

2022年7月1日,绿盟科技CERT监测到GitLab官方发布安全公告,修复了GitLab社区版(CE)和企业版(EE)中的多个安全漏洞,请相关用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

二、热点资讯

  • 黑客假冒政府人力资源部对中东地区进行高级网络钓鱼攻击

【标签】企业

【概述】

研究人员发现了一场大规模的网络钓鱼活动,其中黑客假冒阿联酋政府人力资源部。通过该公司的人工智能(AI)数字风险监测平台XVigil,新的威胁将针对金融、旅游、医院、法律、油气和咨询行业的各种政府和企业实体。据安全专家称,上述网络钓鱼项目还可能被其他黑客团体利用,以特定用户为目标,窃取他们的密码、文件、加密钱包和其他敏感信息。此外,该公司还表示,应该启用文件扩展名的可见性(在Windows系统上),以便在下载未知扩展名的文件之前发现它们。最后,安全人员得出结论,多因素认证(MFA)和使用最新的杀毒软件和异常检测工具也有助于减少这些高级网络钓鱼诈骗的影响。

【参考链接】

https://ti.nsfocus.com/security-news/IlNEI

  • 万豪酒店遭遇了第二次数据泄露

【标签】企业

【概述】

万豪国际公司于7月6日星期三证实,他们今年遭遇了第二次数据泄露。初步报告称,攻击者窃取了总计20GB的数据,包括一些敏感信息,如信用卡信息、机密商业文件和客户支付信息。万豪正准备通知300至400人有关数据泄露的信息。万豪酒店对这种情况并不陌生。2020年初,万豪酒店遭受了泄露,泄露了520万客人的个人信息。更严重的是2018年发现的一起事件,该事件影响了万豪于2016年收购的酒店集团喜达屋酒店网络的5亿客人。万豪因未能充分保护个人信息而被英国法院罚款近2000万英镑。

【参考链接】

https://ti.nsfocus.com/security-news/IlNEF

  • 黑客通过飞马(Pegasus)的手机间谍软件远程窃取信息

【标签】不区分行业

【概述】

北京事件7月7日凌晨消息,苹果公司周三表示,计划在今年秋天发布一项名为“锁定模式”(Lockdown Mode)的新功能,旨在为用户增加一层新的保护和防止复杂的黑客攻击。此前一款名为“飞马(Pegasus)”的手机间谍软件入侵遍布全球50多个国家,可能被监控人数高达5万。飞马由以色列软件监控公司NSO开发,用于监视记者、律师和政治家等较有影响力的人,“飞马”一旦侵入手机,就可以在使用者不知情的情况下,提取短信、照片、电子邮件,对通话进行录音,远程开启手机的麦克风和摄像头,对用户隐私造成极大威胁。

【参考链接】

https://ti.nsfocus.com/security-news/IlNEJ

  • 攻击者对软件公司发起攻击致美国多州失业网站系统受影响

【标签】企业

【概述】

安全内参7月6日消息,一家软件公司遭受网络攻击,导致美国多个州成千上万民众的失业救济金和求职援助受到影响。美国田纳西州的服务商Geographic Solutions在6月26日公告称,该州服务即将中断。直到上周四上午(6月30日),失业救济金网站仍处于离线状态。田纳西州约有12000人依靠失业补助生活,目前他们仍然没能拿到救济金。该公司表示,预计田纳西州的系统将在7月4日重新上线。商业与劳工委员会主席、田纳西州共和党参议员保罗·贝利(Paul Bailey)表示,“随着经济衰退的临近,田纳西人必须拿到他们应得的失业救济金。多州失业网站系统受影响,个人无法提交失业申请

【参考链接】

https://ti.nsfocus.com/security-news/IlNEH

  • 攻击者利用OrBit通过SSH的远程访问能力获取凭据

【标签】不区分行业

【概述】

研究人员对一种全新且完全未被检测到的Linux威胁进行深入的技术分析,我们将其命名为OrBit,因为这是恶意软件用来临时存储已执行命令输出的文件名之一。它可以安装具有持久性功能或作为易失性植入物。该恶意软件实施了先进的规避技术,并通过挂钩关键功能在机器上获得持久性,为威胁参与者提供通过SSH的远程访问能力,获取凭据并记录TTY命令。安装恶意软件后,它将感染机器上运行的所有正在运行的进程,包括新进程。与其他通过修改环境变量LD_PRELOAD来劫持共享库的威胁不同,该恶意软件使用 2 种不同的方式来加载恶意库。第一种方法是将共享对象添加到加载程序使用的配置文件中。第二种方法是修补加载程序本身的二进制文件,以便加载恶意共享对象。

【参考链接】

https://ti.nsfocus.com/security-news/IlNEq

  • 攻击者利用新勒索软件RedAlert对企业网络进行攻击

【标签】企业

【概述】

根据网站消息,一种名为RedAlert的新勒索软件对企业网络进行攻击,目前已经有Windows和Linux VMWare ESXi系统中招。研究人员发现了这款新的勒索软件,并在推特上发布了关于该团伙数据泄露站点的各种图片。根据勒索信中使用的字符串,勒索软件被称为“RedAlert”。但从已获得的消息,勒索者在内部将其称为“N13V”。与几乎所有新的针对企业的勒索软件操作一样,RedAlert 进行双重勒索攻击,即数据被盗,然后部署勒索软件来加密设备。这种策略提供了两种勒索方法,使威胁者不仅可以要求解密器赎金,还可以要求赎金以保证被盗数据不被泄露。当受害者不支付赎金要求时,RedAlert 团伙会在他们的数据泄露网站上发布被盗数据,任何人都可以下载。

【参考链接】

https://ti.nsfocus.com/security-news/IlNEr

  • 攻击者入侵数百个网站和程序进行NPM供应链攻击

【标签】互联网

【概述】

近期,研究人员发现NPM供应链攻击使用了几十个包含模糊Javascript代码的恶意NPM模块,并破坏了数百个应用和网站。正如供应链安全公司ReversingLabs的研究人员所发现的那样,这一行动(被称为IconBurst)背后的威胁行为者针对一些开发者使用URL劫持,如gumbrellajs和ionic.io NPM模块。他们通过非常相似的模块命名方式来诱骗受害者,添加恶意软件包旨在窃取嵌入表单(包括用于登录的表单)的数据到他们的应用程序或网站。例如,该活动中使用的一个恶意NPM软件包(icon-package)有超过17,000次下载,为的就是将序列化的表单数据窃取到多个攻击者控制的域。此外,用于泄露数据的域之间的相似性表明,该活动中的各个模块都在同一个参与者的控制之下。

【参考链接】

https://ti.nsfocus.com/security-news/IlNEs

  • 攻击者通过受感染的USB设备对Windows系统传播蠕虫

【标签】互联网

【概述】

据网站7月2日消息,微软最近在来自各个行业的数百家组织网络中发现了蠕虫病毒——Raspberry Robin。Raspberry Robin主要针对Windows系统,通过受感染的USB设备传播。情报分析师于2021年9月首次发现该恶意软件,而此次微软的发现与Red Canary几乎一致,该团队还在多个客户的网络上检测到了这种蠕虫病毒,其中一些客户来自技术和制造业。尽管微软观察到恶意软件连接到Tor网络地址,但攻击者尚未利用他们所获得的受害者网络访问权限对其发动实质性攻击,由于Raspberry Robin可以使用合法的 Windows 工具绕过受感染系统上的用户帐户控制 (UAC),要进行攻击可谓轻而易举。

【参考链接】

https://ti.nsfocus.com/security-news/IlNEf

  • 黑客入侵英国陆军的YouTube和Twitter账户

【标签】广播电视行业

【概述】

黑客劫持了英国陆军的Twitter页面,调换了该组织的资料图片、简介和封面照片,使其看起来与《The Possessed NFT》系列有关。攻击者删除了英国陆军频道所有的视频,并将其名称和个人资料图片改为与合法投资公司Ark Invest(方舟投资)相似。该账户还向关注者发出了各种转发的NFT赠品的信息,其夹带的推文将用户链接到一个假的NFT加密货币网站。网络攻击行为看上去蓄谋已久,甚至会有内容配套,英国陆军的YouTube频道上的视频被替换成了之前以埃隆·马斯克和杰克·多尔西为主角的直播节目。这些直播视频之前是作为Ark Invest去年6月举行的The B Word会议的一部分播出的,但黑客添加了覆盖字幕层,鼓励用户参与一个加密货币骗局。被攻击的频道同时播放了四条直播视频,其中一些直播的观众人数达到了数千人。

【参考链接】

https://ti.nsfocus.com/security-news/IlNE3

  • 网络攻击迫使挪威主要政务网站瘫痪数小时

【标签】政府

【概述】

挪威国家数据网络遭大规模DDoS攻击,导致在线服务停摆,国内公共与私营网站瘫痪数小时;挪威首相称攻击未造成任何重大损失,国家安全局负责人称幕后黑手疑似某亲俄黑客团伙;俄乌战争的网络空间对抗风险早已扩散,欧洲立陶宛、意大利、德国等多国近期均受到侵害。安全内参7月1日消息,挪威当局在周三(6月29日)表示,过去24小时以来,一次网络攻击暂时瘫痪了挪威国内各公共与私营网站。挪威首相乔纳斯·加尔·斯托尔(Jonas Gahr Støre)表示,据他所知,此次攻击“并未造成任何重大损失”。挪威国家安全局指出,此次分布式拒绝服务(DDoS)攻击目标是一个安全的国家数据网络,导致在线服务停摆数小时。国家安全局负责人称,某个亲俄网络犯罪团伙很可能就是此次攻击的幕后黑手。还补充说,这次攻击也让研究人员感受到,挪威已经身陷欧洲当前复杂的政治局势当中。

【参考链接】

https://ti.nsfocus.com/security-news/IlNDM

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author