绿盟科技威胁周报(2023.01.30-2023.02.05)

一、 威胁通告

  • F5 BIG-IP iControl SOAP远程代码执行漏洞(CVE-2023-22374)

【发布时间】2023-02-03 21:00:00 GMT

【概述】

近日,绿盟科技CERT监测发现网上公开披露了F5 BIG-IP任意代码执行漏洞(CVE-2023-22374)的技术细节。由于在BIG-IP iControl SOAP中存在格式字符串漏洞,具有管理员权限的远程攻击者可通过BIG-IP管理端口或自身IP地址对iControl SOAP接口进行网络访问,从而实现执行任意命令或拒绝服务攻击。同时,在设备模式BIG-IP中,攻击者成功利用此漏洞可以跨越安全边界,请受影响的用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

 

  • QNAP QTS与QuTS hero SQL注入漏洞(CVE-2022-27596)

【发布时间】2023-02-01 14:00:00 GMT

【概述】

2023年1月31日,绿盟科技CERT监测到QNAP官方发布了一个QNAP QTS与QuTS hero SQL注入漏洞(CVE-2022-27596)通告。由于QNAP QTS与QuTS hero存在缺陷,未经身份验证的远程攻击者可利用该漏洞在QNAP NAS设备上注入恶意代码,最终可实现任意代码执行。CVSS评分为9.8,请受影响的用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

 

  • VMware vRealize Log Insight 多 个安全漏洞(CVE-2022-31704、CVE-2022-31706、CVE-2022-31711)

【发布时间】2023-01-30 21:00:00 GMT

【概述】

近日,绿盟科技CERT监测发现VMware官方修复了多个VMware vRealize Log Insight的安全漏洞。在默认配置条件下,未经身份验证的攻击者通过组合利用以下重点漏洞,最终实现在在目标系统上以ROOT权限任意执行代码。国外安全团队表示已成功验证这些漏洞,请受影响的用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice

 

二、 热点资讯

  1. APT34利用恶意软件瞄准中东

【概述】

安全研究员发现了一个可疑的可执行文件(Trend Micro检测为Trojan.MSIL.REDCAP.AD),该文件被丢弃并在多台计算机上执行。我们的调查使我们将这次攻击与高级持续威胁(APT)组APT34联系起来,主要目标是窃取用户的凭据。即使在密码重置或更改的情况下,恶意软件也能够向威胁参与者发送新的凭据。此外,在分析了部署的后门变体后,我们发现该恶意软件能够使用新的过滤技术,即滥用泄露的邮箱帐户,将窃取的数据从内部邮箱发送到攻击者控制的外部邮箱帐户。虽然这不是一项新技术,但这是APT34首次将其用于战役部署。根据这一分析,很可能这场战役的常规只是更大部署链中的一小部分。强烈建议用户和组织加强其当前的安全措施,并警惕可能被滥用用于妥协的媒介。

【参考链接】

https://ti.nsfocus.com/security-news/IlOuU

 

  1. 黑客出售260万个DuoLingo账户条目

【概述】

关于流行语言平台DuoLingo,该平台目前正在挖掘一篇关于其客户账户相关数据的论坛帖子。在论坛帖子中,标题为DuoLingo 260万条参赛记录。我正在出售260万个DuoLingo账户条目,这些条目是从一个暴露的API中抓取的。起价为1500美元,但价格可以协商。该帖子声称提供了许多信息,包括:电话号码、电子邮件、所修课程

【参考链接】

https://ti.nsfocus.com/security-news/IlOsR

 

  1. Sandworm黑客组织利用数据擦除器攻击新闻机构

【概述】

日前,乌克兰计算机应急响应小组(CERT-UA)在该国国家新闻机构 (Ukrinform) 的网络上发现了五种不同的数据擦除恶意软件组合。目前检测到5个恶意程序(脚本)样本,其功能旨在破坏信息的完整性和可用性(写入零字节/任意数据的文件/磁盘及其随后的删除)。在针对乌克兰国家新闻机构 Ukrinform 的攻击中部署的破坏性恶意软件列表包括 CaddyWiper (Windows)、ZeroWipe (Windows)、SDelete (Windows)、AwfulShred (Linux) 和 BidSwipe (FreeBSD)。

【参考链接】

https://ti.nsfocus.com/security-news/IlOtb

 

  1. 黑客组织晓骑营攻陷韩国数十家网站

【概述】

日前,韩国网络振兴院证实,韩国12家学术网站被黑客组织晓骑营攻击,至今网站还处于无法连接的状态。朝鲜日报报道:“晓骑营”声称在春节期间入侵了韩国70余家机构网站,并且将公开获得的54GB数据。同时,该组织还预告,将继续入侵2000多个韩国政府机构网站对于入侵的原因,晓骑营解释称,我们是一个自由的团体,将韩国作为成员训练场,每个成员都将参与到入侵韩国的行动中。对于入侵的具体原因:韩国的一些流量明星让我很恼火。

【参考链接】

https://ti.nsfocus.com/security-news/IlOtz

 

  1. 黑客窃取英雄联盟源代码进行勒索

【概述】

近日,据CNMO了解,拳头公司官方表示,他们收到了黑客发出的勒索,拳头证实黑客窃取了《英雄联盟》和《云顶之弈》的源代码,但对于勒索拳头表示绝不会妥协,并且玩家数据和个人信息没有被泄露。拳头发布消息称:我们想针对上周发生的网络攻击进行情况公告。在上周末,我们的分析证实了英雄联盟,云顶之弈,以及一个遗留的反作弊平台的源代码遭到了攻击者的泄露。此外,拳头还表示,他们收到了一封勒索信。但他们是不会支付赎金的。拳头承诺到:虽然这次攻击对我们的环境构建造成了影响,并且可能会在未来产生问题,但最重要的是,我们很确信没有玩家的数据或者玩家的个人信息受到了影响。实话实说,任何源代码的泄露都意味着新外挂出现的可能性会有所增加。自遭受攻击以来,我们一直在努力评估其对反作弊系统造成的影响,并且准备在需要时尽快地进行修复。

【参考链接】

https://ti.nsfocus.com/security-news/IlOsz

 

  1. 黑客利用谷歌恶意付费广告诱导客户下载恶意软件

【概述】

我们最近写了一篇关于恶意广告活动的文章,这些活动利用谷歌付费广告,试图欺骗人们下载恶意软件,而不是他们正在寻找的软件。该恶意软件随后从受影响的系统窃取登录凭据。现在,研究人员发现,通过谷歌广告进行的恶意广告活动不仅仅是软件下载和诈骗。它们还包括一种更直接的方式,通过网络钓鱼,让用户使用流行的密码管理器(如1Password)获取登录凭据。

【参考链接】

https://ti.nsfocus.com/security-news/IlOua

 

  1. Killnet攻击者DDoS美国和荷兰医院

【概述】

在有报道称美国和荷兰的多家医院网站被分布式拒绝服务(DDoS)攻击关闭后,俄罗斯黑客活动人士似乎又忙了起来。据《阿特拉斯新闻》报道,密歇根大学医院和斯坦福健康护理中心是当前运动的目标设施之一,这场运动袭击了美国的几家医院。据报道,新一波袭击是针对拜登总统决定派遣数十辆艾布拉姆斯坦克帮助乌克兰战争而发动的,周末,Killnet下属的Telegram页面亮起。另外,据新闻网ANP报道,荷兰北部城市格罗宁根的一家医院也遭到俄罗斯黑客活动嫌疑人的袭击。格罗宁根大学医学中心(UMCG)的网站上充斥着流量,尽管据认为没有医疗服务受到影响。一位医院女发言人告诉ANP:有时它会停一会儿,然后又开始。现在,它很安静,但我们不知道这次它是否真的会停下来。目前尚不清楚是否有其他荷兰医院受到影响,该国的医疗计算机应急响应团队Z-CERT将UMCG攻击归咎于Killnet。

【参考链接】

https://ti.nsfocus.com/security-news/IlOtN

 

  1. 黑猫入侵印度太阳能工业公司窃取2TB秘密军事数据

【概述】

黑猫勒索软件集团声称黑客入侵了印度太阳能工业公司,并窃取了2TB的秘密军事数据。黑猫勒索团伙将SOLAR INDUSTRIES INDIA列入其Tor泄漏网站上公布的受害者名单。该公司是全球公认的工业炸药制造商,提供完整的爆破解决方案,包括包装炸药、散装炸药和起爆系统,以满足全球客户的需求。黑猫勒索软件集团声称,他们破坏了公司的基础设施,窃取了2TB的数据,包括与武器生产有关的秘密军事数据。泄漏网站上发布的信息写道:由于安全性低,与武器生产相关的超过2TB的敏感数据从Solar Industries India Limited处被盗。数据泄露影响了公司的所有产品和机密文件。数据包括工程规范、图纸、许多武器的审计等的完整描述。

【参考链接】

https://ti.nsfocus.com/security-news/IlOsD

 

  1. 乌克兰IT军窃取了Gazprom的1.5GB存档

【概述】

乌克兰IT军声称破坏了俄罗斯能源巨头俄罗斯天然气工业股份公司(Gazprom)的基础设施,并获得了1.5 GB的档案。黑客活动组织在他们的Telegram频道上宣布了这一黑客行为,声称该档案包含6000多份俄罗斯天然气工业股份公司集团公司的文件。该档案包含与金融和经济活动有关的信息、测试和钻井报告,以及Koviktinsky井(伊尔库茨克地区)自动化系统的实施和调整。Telegram频道上发布的公告写道:乌克兰信息技术军获得了国家预算最大填充者的活动信息,并因此获得了恐怖主义和入侵乌克兰的主要赞助者俄罗斯天然气工业股份公司(Gazprom)的活动信息。该档案容量为1.5 GB,包含6000多份“俄罗斯天然气工业股份公司”(Gazprom)集团公司关于金融和经济活动的文件,即Koviktinsky井(伊尔库茨克地区)自动化系统的测试和钻井、实施和调整报告,该井被认为是俄罗斯联邦最大的气田之一。乌克兰信息技术军还发表了一份包含在俄罗斯天然气工业股份公司协议中的保密声明。

【参考链接】

https://ti.nsfocus.com/security-news/IlOu6

 

  1. Zacks Investment Research确认数据泄露影响82万+客户

【概述】

Zacks Investment Research 证实,2021年至2022年间的一次黑客攻击导致属于820000名客户的数据可能遭到破坏。该公司在本周早些时候发给用户的通知文件中宣布了这一消息,称其在2022年12月28日发现了该漏洞。

【参考链接】

https://ti.nsfocus.com/security-news/IlOtL

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author