绿盟科技威胁周报(2022.10.17-2022.10.23)

一、 威胁通告

  • Oracle全系产品10月关键补丁更新通告(CVE-2022-33980、CVE-2022-23943、CVE-2022-23305)

【发布时间】2022-10-20 11:00:00 GMT

【概述】

2022年10月19日,绿盟科技CERT监测发现Oracle官方发布了10月重要补丁更新公告CPU(Critical Patch Update),此次共修复了370个不同程度的漏洞,此次安全更新涉及Oracle Fusion Middleware、Oracle MySQL、Oracle Java SE、Oracle Retail Applications、Oracle Database Server等多个常用产品。Oracle强烈建议客户尽快应用关键补丁更新修复程序,对漏洞进行修复。

【链接】

https://nti.nsfocus.com/threatWarning

 

  • Apache Dubbo远程代码执行漏洞(CVE-2022-39198)

【发布时间】2022-10-19 15:00:00 GMT

【概述】

10月19日,绿盟科技CERT监测发现Apache发布安全通告,修复了Dubbo中的一个远程代码执行漏洞(CVE-2022-39198)。由在Dubbo的hessian-lite中存在反序列化漏洞,攻击者可利用该漏洞在目标系统上远程执行任意代码。请相关用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatWarning

 

  • Linux Kernel多个安全漏洞(CVE-2022-42719、CVE-2022-42720、CVE-2022-42721)

【发布时间】2022-10-18 11:00:00 GMT

【概述】

2022年10月17日,绿盟科技CERT监测到Linux官方修复了Kernel中的多个安全漏洞。目前已有细节公开,请相关用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatWarning

 

二、 热点资讯

  1. 黑客利用新版Furball Android恶意软件监视伊朗公民

【标签】政府

【概述】

据悉,被称为家养小猫的伊朗威胁行为者被归因于一项新的移动活动,该活动伪装成一个翻译应用程序,以分发一种名为FurBall的Android恶意软件的更新变体。相关安全研究院的研究人员在报告中表示,自2021年6月以来,它已通过伊朗网站的模仿者作为翻译应用程序分发,该网站提供翻译文章,期刊和书籍。其他安全研究院补充说明,这些更新在保留与早期版本相同的监控功能的同时,旨在逃避安全解决方案的检测。家用小猫,也称为APT-C-50,是伊朗的威胁活动集群,以前已被确定为针对感兴趣的个人,目的是从受感染的移动设备中收集敏感信息。据报道,APT-C-50主要挑出可能对伊朗政权的稳定构成威胁的伊朗公民,包括内部持不同政见者,反对派力量,伊斯兰国倡导者,伊朗的库尔德少数民族等。该组织开展的活动传统上依赖于诱使潜在受害者通过不同的攻击媒介(包括伊朗博客网站,电报频道和SMS消息)安装流氓应用程序。无论采用何种方法,这些应用程序都可以作为管道来提供由以色列相关安全研究院代号为FurBall的恶意软件,这是他们的定制版本,具有从设备收集和泄露个人数据的功能。

【参考链接】

https://ti.nsfocus.com/security-news/IlO0z

 

  1. 澳大利亚公司中的葡萄酒商遭到黑客攻击导致数百万客户信息暴露

【标签】零售商

【概述】

有消息称,葡萄酒零售商已成为最新成为黑客目标的澳大利亚企业,据报道称,多达50万客户可能已经暴露了他们的信息。相关安全专家在给客户的一封信中透露,各种各样的个人数据可能被攻击者窃取了,他表示:未经授权的第三方在测试平台上非法访问我们的数据库,“数据库中包含的可能已被访问的有关您的信息可能包括姓名,性别,出生日期,地址,电子邮件地址和电话号码。尽管该公司声称对客户和会员的风险很低,并且该公司不存储护照,驾驶执照或财务信息,但可能暴露的信息可能会使客户面临收到令人信服的网络钓鱼电子邮件的高风险。目前尚不清楚有多少人受到这一事件的影响,但有报道称Vinomofo拥有约50万客户。值得注意的是,根据知晓内情的相关研究院透露,在黑客掌握了员工的访问凭据后,有220万客户可能受到其CRM系统泄露的影响。

【参考链接】

https://ti.nsfocus.com/security-news/IlNZL

 

  1. DeFi借贷协议Moola Market遭黑客攻击导致其暂停运营且损失840万美元

【标签】金融

【概述】

根据相关报道,基于Celo网络的去中心化金融 (DeFi) 借贷协议Moola Market在遭遇黑客攻击后损失了840万美元并暂停了运营。根据相关安全研究团队分析,攻击者使用了来自币安的243,000个CELO代币,然后将60,000个CELO借给Moola,借入180万个MOO作为抵押品。利用剩余的CELO抬高MOO的价格,并继续使用借来的MOO将其用作抵押品并借入所有其他代币。因此,攻击者获得了880万CELO(价值650万美元)、765,000 cEUR(价值70万美元)、180万MOO(价值60万美元)和644,000 cUSD(价值60万美元)。 Moola Market表示,他们的相关团队正在积极调查此事件,平台上的所有活动均已暂停。同时,Moola建议用户不要交易相关代币。

【参考链接】

https://ti.nsfocus.com/security-news/IlO03

 

  1. 网络诈骗分子利用刚施行的美国学生贷款减免计划对目标群体进行钓鱼攻击

【标签】学校

【概述】

据悉,FBI发布警告称,网络诈骗分子很可能会利用刚刚施行的美国学生贷款减免计划,对目标群体进行钓鱼攻击。FBI表示,网络诈骗分子可能建立虚假的申请网站,并向受害者发送符合申请资格的钓鱼邮件和短信,而他们的目的可分为两种,一是搜集受害者个人信息进行其他网络犯罪活动,二是以注册该计划或处理申请为由从中骗取费用。此外,在申请的第一阶段,正规的申请流程不需要用户登录任何账户,也不需要个人上传任何个人或财务文件。当进入下一阶段时会被要求提供一些个人信息和文件,并会通过noreply@studentaid.gov、noreply@debtrelief.studentaid.gov等官方邮件联系申请者。FBI强调,政府不会向申请者发送通知,因此任何关于申请表的电子邮件、电话或短信都涉嫌诈骗。

【参考链接】

https://ti.nsfocus.com/security-news/IlO05

 

  1. 保加利亚的政府机构遭受了来自俄罗斯的网络攻击

【标签】政府

【概述】

据悉,保加利亚政府机构的基础设施遭到大规模DDoS攻击的打击。相关专家认为这是由俄罗斯威胁行为者精心策划的。这次袭击袭击了多个政府办公室,包括内政部,国防部,司法部和宪法法院。保加利亚政府对这一事件展开调查并警告。该国的首席检察官在关于这个问题的特别简报中将这次袭击定义为刑事犯罪。他表示:在这里,不仅总统的网站受到攻击,攻击的对象是整个保加利亚国家作为欧洲大家庭的一部分,袭击的目标是许多部委,包括内政部,国防部和司法部,以及欧洲活跃网站和宪法法院。根据初步调查显示,相关工作人员解释到,袭击起源于俄罗斯马格尼托哥尔斯克,显然,这些信息不足以将攻击归因于特定的威胁参与者。由于调查保密的问题,相关人员也没有做过多的透露,但表示地方当局已经确定了至少一名参与袭击的个人。

【参考链接】

https://ti.nsfocus.com/security-news/IlNZh

 

  1. 勒索软件攻击导致德国报纸发行中断

【标签】新闻出版社

【概述】

据悉,勒索软件对德国报纸的攻击已经导致德国报纸发行中断。该报社试图通过紧急6页新闻主题打印错过的版本来管理事情,由于通信和电话线中断,相关员工被敦促选择在家工作。临时电子邮件ID被分配给一些工作人员,并被要求使用WhatsApp平台与管理员,其他工作人员和记者保持联系。由于出版商的75,000分钱的印刷一角钱停止,大多数读者访问该网站以获取新闻文章,因此将通常每月200万访问者的计数提高到每天略高于50万。有报道称,新闻网以及一些出版子公司也受到文件加密恶意软件的影响,业务损失目前无法估计。由于德国在与俄罗斯的战争中支持乌克兰,因此目前对谁是袭击背后的怀疑指向莫斯科。相关执法机构与一家安全研究院的专家正忙于调查这一事件。目前尚不清楚出版公司是否会支付赎金以将其数据库从加密中解放出来。

【参考链接】

https://ti.nsfocus.com/security-news/IlNZH

 

  1. 间谍组织利用Spyder Loader恶意软件攻击中国香港的政府组织

【标签】政府

【概述】

据悉,这位名为Winnti的间谍组织将目光投向了中国香港的政府组织,作为正在进行的名为Spyder Loader的活动的一部分。Winnti至少自2007年开始活跃,是一个多产的网络威胁组织的名称,该组织主要目的是从发达经济体的组织窃取知识产权。威胁参与者的活动针对医疗保健,电信,高科技,媒体,农业和教育部门,感染链主要依靠带有附件的鱼叉式网络钓鱼电子邮件最初闯入受害者的网络。今年5月初,相关安全研究院的工作人员披露了该组织自2019年以来精心策划的长期攻击,旨在从主要位于东亚,西欧和北美的技术和制造公司窃取技术机密。该安全研究院在相关平台上的一份共享报告中表示,攻击者在一些受感染的网络上保持活跃长达一年的时间,并补充说,入侵为部署名为Spyder的恶意软件加载程序铺平了道路。

【参考链接】

https://ti.nsfocus.com/security-news/IlNZF

 

  1. 摩门教遭受网络攻击导致教会成员和雇员的个人数据暴露

【标签】宗教

【概述】

据报道,耶稣基督后期圣徒教会周四宣布,在其计算机系统上检测到未经授权的活动,影响了教会成员和雇员的个人数据等。该教会表示,它一直在与执法和网络安全专家一起调查这一活动,以更好地了解事件的起源和范围。据教会称,执法当局表示,他们不相信这些信息会被用来伤害个人。受影响的数据不包括捐赠历史或捐赠者的任何银行信息。可能违反的信息包括教会成员的全名及其基本联系信息,电子邮件地址,出生日期,邮寄地址,电话号码和会员记录。

【参考链接】

https://ti.nsfocus.com/security-news/IlNZj

 

  1. 印度发电巨头塔塔电力公司遭受网络攻击

【标签】电力行业

【概述】

据悉,塔塔电力公司周五宣布受到网络攻击的打击。威胁参与者袭击了公司的信息技术基础架构。根据经济时报援引马哈拉施特拉邦警方网络部门的一名工作人员的话证实,地方当局警告说,包括塔塔电力公司在内的该国电力公司将受到威胁。这些公司正在对其IT基础设施进行评估,以增加入侵百分比并降低网络攻击的风险。目前,该公司尚未提供有关网络攻击的详细信息。今年4月,Recorded Future的Insikt Group研究人员发现了一名与中国有联系的威胁行为者针对印度电网组织开展的一项活动。2021年2月,相关的研究人员报告了一项针对印度电网的运动,该活动归因于与中国有联系的威胁行为者RedEcho。攻击者使用了一种称为ShadowPad的模块化后门。在2022年初,一系列攻击针对至少7个印度州负荷调度中心,负责在这些州内执行电网控制和电力调度的实时操作。

【参考链接】

https://ti.nsfocus.com/security-news/IlNYR

 

  1. 医疗保健系统倡导者 Aurora 健康数据泄露可能影响三百万患者

【标签】医疗

【概述】

据悉,医疗保健系统倡导者Aurora Health(AAH)披露了一起数据泄露事件,该数据泄露了三百万名患者的个人数据。医疗保健系统在威斯康星州和伊利诺伊州运营着26家医院。数据泄露的根本原因是在组织网站上不当使用Meta Pixel。元像素是 JavaScript 代码的一个片段,允许管理员跟踪其网站上的访问者活动。受感染的网站包含患者输入的敏感个人和医疗信息。相关专家指出,Meta Pixel代码也被许多其他医院使用,它将敏感数据发送到Meta,后者将其用于营销目的。倡导者Aurora Health假设所有拥有该系统MyChart帐户的患者(包括LiveWell应用程序的用户)以及在该系统平台上使用调度小部件的任何患者都可能受到影响。值得注意的是,用户可能受到影响的方式取决于多种因素,例如他们选择的浏览器、浏览器的配置、Cookie的管理以及他们是否有Facebook或谷歌帐户。而医疗保健系统已在所有网站和应用程序上禁用了Pixel跟踪器,并正在评估如何降低未来数据泄露的风险。倡导者Aurora Health建议患者阻止或删除 Cookie 或使用支持隐私保护操作的浏览器。

【参考链接】

https://ti.nsfocus.com/security-news/IlO0R

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author