绿盟科技威胁周报(2022.11.07-2022.11.13)

一、 威胁通告

  • Citrix Gateway与Citrix ADC身份验证绕过漏洞(CVE-2022-27510)

【发布时间】2022-11-10 15:00:00 GMT

【概述】

近日,绿盟科技CERT监测到Citrix官方发布安全公告,修复了一个身份验证绕过漏洞(CVE-2022-27510)。当Citrix Gateway与Citrix ADC作为网关设备运行时(使用SSL VPN功能或部署为启用身份验证的ICA代理的设备),未经身份验证的远程攻击者通过向目标设备发送恶意数据包,最终导致身份验证绕过访问后台服务。CVSS评分为9.8,请相关用户采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatNotice 

 

  • 微软11月安全更新多个产品高危漏洞(CVE-2022-41040、CVE-2022-41082、CVE-2022-41125)

【发布时间】2022-11-10 10:00:00 GMT

【概述】

11月9日,绿盟科技CERT监测到微软发布11月安全更新补丁,修复了68个安全问题,涉及Windows、Microsoft Office、Microsoft Exchange Server、Windows Print Spooler等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞有11个,重要(Important)漏洞有57个,其中包括6个0day漏洞。

【链接】

https://nti.nsfocus.com/threatNotice

 

二、 热点资讯

  1. 攻击者利用ABB Totalflow系统中的漏洞对石油和天然气组织进行攻击

【标签】采矿业

【概述】

研究人员调查发现石油和天然气组织中使用的ABB Totalflow系统中的一个漏洞可被攻击者利用来注入和执行任意代码。该安全研究院的工作人员披露了影响ABBTotalflow计算机和遥控器的漏洞的详细信息。流量计算机用于计算对电力制造和分配至关重要的石油和天然气的体积和流量。这些关键系统被世界各地的石油和天然气组织广泛使用。该漏洞是一个路径遍历问题,攻击者可以利用该问题注入和执行任意代码。据相关调查的专家称,该漏洞存在于ABB G5产品中Totalflow TCP协议的实施中。相关安全研究院在ABB的TotalFlow流量计算机和遥控器中发现了一个严重严重的路径遍历漏洞。攻击者可以利用此缺陷在ABB流量计算机上获得root访问权限,读取和写入文件以及远程执行代码。

【参考链接】

https://ti.nsfocus.com/security-news/IlO7w

 

  1. 数千个网站在大规模谷歌SEO中毒行动中遭到黑客攻击

【标签】互联网

【概述】

在大规模的黑帽搜索引擎优化(SEO)活动中,近15,000个网站遭到入侵。这些网站会将访问者重定向到面向问答讨论论坛。相关安全研究人员认为,威胁行为者的目标是生成足够的索引页面,以增加虚假问答网站的权威性,从而提高其在搜索引擎中的排名。鉴于即使是在Google搜索首页上进行简短的操作也会导致多种感染,因此该活动似乎可能会为将来用作恶意软件投放器或网络钓鱼网站做好准备。根据着陆页上存在“ads.txt”文件,另一种可能性是其所有者试图增加流量以进行广告欺诈。根据研究人员的说法,黑客正在修改WordPressPHP文件,以将重定向注入虚假的问答论坛。在受感染或注入的文件中发现的恶意代码会检查网站访问者是否已登录WordPress;如果没有,它会将它们发送到URL中。但是,浏览器不会从此URL中接收图像;相反,JavaScript将被加载,用户将被发送到Google搜索URL,该URL将他们发送到赞助的问答网站。为了使网站看起来很受欢迎并提高其在搜索结果中的排名,使用 Google 搜索点击网址可能会提高 Google 索引中网址的性能指标。为了避免引起怀疑,威胁参与者排除了登录用户以及站在wp-login.php的用户。值得注意的是,威胁行为者使用的大多数网站都将他们的服务器隐藏在 Cloudflare 后面,因此很难了解该活动的运营商。由于所有网站都使用类似的模板并且似乎是自动生成的,因此它们很可能属于同一威胁参与者。

【参考链接】

https://ti.nsfocus.com/security-news/IlO7u

 

  1. 乌克兰IT军入侵俄罗斯央行公布大量敏感数据

【标签】政府、银行

【概述】

乌克兰黑客分子称已成功入侵俄罗斯中央银行,并窃取到数千份内部文件。相关部门审查了公开发布的部分被盗文件,总计2.6 GB,包含27000个文件。从内容上看,这些文件主要涉及银行运营、安全政策以及部分前任/现任员工的个人数据。黑客分子们在相关平台上写道,如果俄罗斯央行无法保护自己的数据,又怎么保证卢布的稳定?这起入侵事件出自乌克兰IT军成员之手,该组织在俄乌战争爆发后建立,有超20万名网络志愿者,各成员协同对俄罗斯网站开展分布式拒绝服务攻击。中央银行是俄罗斯最重要的金融机构之一,也是该国货币政策制定者和国家货币监管者。据俄罗斯媒体报道,央行方面否认其系统遭黑客入侵,并表示这些所谓外泄文件原本就存放在公开域内。值得注意的是,据俄罗斯媒体报道,自俄乌开战以来,俄罗斯银行业对于网络攻击和数据泄露的防御性服务需求开始急剧增加。随着相关资深安全研究院退出俄罗斯,俄罗斯企业也更易受到网络攻击影响。

【参考链接】

https://ti.nsfocus.com/security-news/IlO71

 

  1. APT29 利用 Windows 功能破坏欧洲外交实体网络

【标签】政府、外交

【概述】

与俄罗斯有关的APT29民族国家行为者被发现利用名为Credential Roaming的Windows功能作为其对未具名欧洲外交实体的攻击的一部分。相关安全研究院的安全研究员在一篇技术文章中表示,以外交为中心的目标与俄罗斯的战略重点以及历史性的APT29目标一致。APT29是一个俄罗斯间谍组织,以其旨在收集符合该国战略目标的情报的入侵而闻名。据信它是由外国情报局(SVR)赞助的。凭据漫游在 Windows Server 2003 Service Pack 1 (SP1) 中引入,是一种允许用户跨 Windows 域中的不同工作站以安全方式访问其凭据(即私钥和证书)的机制。在进一步调查其内部工作原理时,该安全研究院强调了发现的任意文件写入漏洞,该漏洞可能被威胁参与者武器化,以在登录受害者的上下文中实现远程代码执行。值得注意的是,成功利用该漏洞的攻击者可以获得对受害者帐户通常不会拥有此类特权的计算机的远程交互式登录权限。

【参考链接】

https://ti.nsfocus.com/security-news/IlO6T

 

  1. io 网站被发现泄露了大量用户的敏感 URL

【标签】不区分行业

【概述】

urlscan.io 网站被发现泄露了大量用户的敏感 URL,通过自动化工具可以挖掘出文档分享、密码重置以及团队邀请等敏感链接。使用这种配置错误的安全编排、自动化和响应(SOAR)工具的用户,其帐户通过手动触发的密码重置被劫持的风险很高。urlscan.io是一项免费的网站扫描和分析服务。当一个 URL 被提交到 urlscan.io 时,一个自动化的过程会像普通用户一样浏览到这个 URL 并记录这个页面导航创建的活动。这包括联系的域和 IP、从这些域请求的资源(JavaScript、CSS 等),以及有关页面本身的其他信息。urlscan.io将自己描述为网络沙箱,用户可以提交URL,然后通过各种方式对其进行分析和扫描,主要用于检测钓鱼网站等恶意网站。除了分析通过网站提交的URL外,urlscan.io还扫描来自公共数据源的url,并提供一个API将检查集成到其他产品中,这就导致GitHub对私人存储库URL的系统性数据泄漏。值得注意的是,urlscan.io通常有助于保护用户,不过它还存储了用户的敏感信息,其中一些信息是公开的,可以被攻击者搜索。垃圾邮件发送者可以利用这些信息收集电子邮件地址和其他个人信息。它可能被攻击者用来接管账户并进行可信的网络钓鱼活动。安全研究人员也可以使用它来发现隐藏的管理门户,获得立足点或发现潜在攻击目标。

【参考链接】

https://ti.nsfocus.com/security-news/IlO6Z

 

  1. 黑客组织Justice Blade攻击沙特阿拉伯

【标签】政府

【概述】

黑客组织Justice Blade公布了Smart Link BPO Solutions泄露的数据,该公司是一家外包IT供应商,与沙特阿拉伯王国和海湾合作委员会其他国家的主要企业和政府机构合作。黑客声称窃取了大量数据,包括CRM记录、个人信息、电子邮件通信、合同和账户凭证。当天,该黑客组织还建立了一个包含私人通信频道的Telegram帐户。从攻击者泄露的截屏和视频来看,该事件可能是由于有针对性的网络入侵影响了Active Directory内部应用程序和服务。黑客还发布了该地区各公司之间的活动RDP会话和Office 365通信的截图,以及可能与FlyNas(航空公司)和SAMACares(由沙特阿拉伯中央银行管理的项目)有关的用户名单,其中包含超过10万条记录。据相关研究人员表示,由于企业和政府部门之间的重叠,保护财富500强主要公司的数据泄露可能成为该地区首批供应链网络安全事件之一。黑客可能会使用被盗数据来瞄准其他感兴趣的公司和个人。该研究人员提到,之前在暗网和TOR网络中的各种地下市场中发现了属于Smart Link BPO Solutions的多个泄露凭据,而该组织可能利用这些凭据成功实施网络攻击。值得注意的是,目前尚不清楚该事件是否与伊朗和沙特阿拉伯之间日益紧张的关系有关。据相关新闻报道,就在最近,沙特阿拉伯与美国官员分享了情报,表明伊朗可能正在为攻击沙特做准备。

【参考链接】

https://ti.nsfocus.com/security-news/IlO6x

 

  1. APT-36黑客使用新的黑客工具和TTP攻击印度政府机构

【标签】政府

【概述】

相关网络安全分析师最近检测到一种名为Kavach的多因素身份验证(MFA)解决方案的新恶意版本,该解决方案已被透明部落(又名APT-36,C-Major和Mythic Leopard)的威胁行为者利用该解决方案积极针对印度政府机构。为了分发Kavach MFA应用程序的恶意版本,透明部落的威胁行为者通过利用Google广告进行了多次恶意广告活动。该黑客组织使用了似乎是官方政府门户网站的流氓网站,试图从无知的用户那里收集密码。对于电子邮件地址为@gov[.] 的用户在和@nic[.]在域中,Kavach MFA 应用程序是他们必须用来登录电子邮件服务的强制性应用程序,因为此应用程序充当额外的安全层。为了激活杀戮链,他们经常模仿合法的政府、军队和相关机构,这是他们最常用的策略之一。相关安全分析师还观察到使用未记录的数据泄露工具LimePad。Kavach 应用程序的登录页面被透明部落运营商注册的域欺骗。该网页的独特之处在于只有拥有印度IP地址的印度用户才能访问。如果用户不是印度用户并访问此虚假页面,那么它会将该用户重定向到印度国家信息学中心的主页。通过此页面获取的凭据将发送到远程服务器,然后威胁参与者使用这些被盗凭据发起进一步的攻击。值得注意的是,随着他们继续发展他们的 TTP 和工具,该小组的武器库中还添加了其他工具。从官方商店以外的某些地方下载应用程序时,用户应谨慎行事,并确保知道自己在下载什么。

【参考链接】

https://ti.nsfocus.com/security-news/IlO69

 

  1. Crimson Kingsnake利用BEC攻击冒充律师事务所

【标签】法律服务业

【概述】

一个名为Crimson Kingsnake的新团体正在崛起。该组织正在利用商业电子邮件妥协(BEC)攻击并冒充知名律师事务所的律师,诱骗收件人批准发票,以支付一年前向收件人提供的服务的逾期付款。这种策略为 BEC 攻击奠定了坚实的基础,因为如果接收者收到来自知名律师事务所的电子邮件(例如诈骗中使用的电子邮件),他们会感到害怕。而该网络钓鱼电子邮件不针对特定的国家或企业,而是随机分布的。如果任何接收者落入陷阱并进一步询问发票,Crimson Kingsnake 会通过虚构所提供服务的帐户来回答。如果任何收件人落入陷阱并询问有关发票的更多问题,Crimson Kingsnake 会通过提供所提供服务的伪造报告来做出回应。值得注意的是,尽管BEC攻击只占发送到世界各地收件箱的日常网络钓鱼电子邮件的一小部分,但该问题仍然影响了数十亿人。

【参考链接】

https://ti.nsfocus.com/security-news/IlO5N

 

  1. 网络攻击导致丹麦火车停靠

【标签】运输业

【概述】

网络攻击导致丹麦火车停靠,该事件展示了对第三方IT服务提供商的攻击如何可能导致身体世界的重大破坏。为了回应丹麦广播公司DR,由该国最大的准备工作公司DSB运营的所有列车停滞不前,几个小时内无法恢复旅程。虽然这听起来可能就像一个复杂的工作,专注于运营技术(OT)技术以触发中断,但这实际上是丹麦公司Supeo安全事故的结果,该公司为铁路公司,运输基础设施运营商和公共客运当局提供企业资产管理选择。该铁路公司本可以专注于勒索软件攻击。该公司没有分享任何数据,但DSB顾问告诉路透社,这是金融犯罪。他决定因黑客攻击而关闭其服务器之后,火车中断来到了这里。这导致准备驱动程序使用的大量软件程序无法正常工作。他们还提供了一个单元实用程序,让司机准备好输入重要的操作数据,让人联想到配速限制和铁路正在完成的工作知识。根据媒体报道,当分包商决定关闭其服务器时,该设备停止工作,司机被迫停止火车。攻击铁路的威胁行为者不应该罕见,最新的目标包括白俄罗斯,意大利,英国,以色列和伊朗。

【参考链接】

https://ti.nsfocus.com/security-news/IlO5L

 

  1. 网络攻击导致加拿大的枫叶食品停电

【标签】食品业

【概述】

加拿大最大的预制肉类和家禽食品生产商枫叶食品公司周日证实,网络安全事件导致其运营中断。这个加拿大品牌拥有 14,000 名员工,2021 年的销售收入为 33 亿美元。尽管时机不幸,枫叶食品的相关团队还是采取了必要的措施来应对这一事件。该公司的专家正在与其他网络安全和恢复专家合作,以尽快找到解决问题的方法。相关媒体平台联系了加拿大食品包装巨头,以收集有关该事件的更多信息。该公司发言人宣布,由于停电,造成了一些运营和服务中断,这些中断因业务部门、工厂和站点而异。该发言人还表示公司的重点是恢复业务连续性,并将攻击的影响降至最低。目前,他们对与此事件相关的任何可能影响其任何业务合作伙伴的问题都没有深入了解。值得注意的是,公司将继续与所有客户和供应商合作,尽量减少这些干扰,以继续提供人们所需的营养食品。

【参考链接】

https://ti.nsfocus.com/security-news/IlO6D

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author