bbin宝盈集团科技威胁情报周报(2020.12.07-2020.12.13)
2020-12-14
一、 威胁通告
Apache Struts 远程代码执行漏洞 S2-061通告(CVE-2020-17530)
【发布时间】2020-12-09 14:00:00 GMT
【概述】
2020 年12 月8 日,Struts 官方发布安全通告,披露了一个远程代码执行漏洞S2-061(CVE-2020-17530)。该漏洞与S2-059 类似,问题源于当开发人员使用了%{…} 语法进行强制OGNL 解析时,某些特殊的TAG 属性可能会被二次解析;攻击者可构造恶意的OGNL 表达式触发漏洞,造成远程代码执行。 Apache Struts 是用于创建Java Web 应用程序的开源的框架,应用非常广泛。该漏洞已在2020 年12 月6 日发布的Struts 2.5.26 版本中修复,建议相关用户尽快升级版本进行防护。
【链接】
http://nti.nsfocus.com/threatWarning
FireEye 遭受APT攻击,FireEye 红队工具箱被盗(CVE-2014-1812、CVE-2016-0167、CVE-2017-11774)
【发布时间】2020-12-11 15:00:00 GMT
【概述】
当地时间12 月8 日,安全公司FireEye 发布博客表示,某个由国家赞助的APT 组织盗取了FireEye 的红队工具箱。由于暂时无法确定攻击者会自己使用,还是公开披露工具箱,为保证各安全社区能提前采取应对措施,FireEye 公开了被盗工具的检测规则,以降低恶意用户滥用红队工具箱的威胁。
【链接】
http://nti.nsfocus.com/threatWarning
二、 热点资讯
1. 以红队视角看FireEye武器泄漏事件
【概述】
12月8日,美国顶级安全公司FireEye(中文名:火眼)发布一则通告称其内部网络被某个“拥有一流网络攻击能力的国家”所突破。目前,FireEye正在与联邦调查局和包括Microsoft在内的其他主要合作伙伴进行积极的调查合作。
【参考链接】
http://www.freebuf.com/news/257194.html
2. COVID-19疫苗犯罪团伙
【概述】
随着分发COVID-19疫苗的时间越来越近,世界各地的执法机构都在警告有组织犯罪威胁,包括在黑网上销售假疫苗的计划以及针对供应链公司的物理和虚拟攻击。欧盟执法机构欧洲刑警组织(Europol)周五发出警告,警告有组织犯罪团伙“已迅速采取行动,以使其方法和产品提供以适应COVID-19大流行”。Europol指出,当COVID-19疫苗上市后,可能将无法在线销售。欧洲刑警组织警告说:“但是,据称以治疗或预防COVID-19的名义宣传的欺诈性医药产品已经在线下和在线销售。” 警报补充说,犯罪分子可能会散布有关疫苗的虚假信息,以欺骗个人和公司。
【参考链接】
http://www.inforisktoday.com/europol-warns-covid-19-vaccine-crime-gangs-a-15536
3. E-Land遭Clop勒索软件攻击,被盗取了200万张信用卡数据
【概述】
据外媒报道,近日E-Land Retail遭遇勒索软件攻击,Clop勒索软件运营商声称已经从该公司窃取了200万张信用卡数据。E-Land Retail是一家韩国企业集团,总部设在韩国首尔的长田洞麻浦区。E-Land集团涉足零售商场、餐厅、主题公园、酒店和建筑业务,以及其基础业务——服装业务。它通过子公司E-Land World在全球开展业务。Clop勒索软件声称在过去的12个月里从E-Land Retail公司共偷了200万张信用卡数据。
【参考链接】
4. DoppelPaymer勒索软件团伙袭击富士康电子巨头
【概述】
BleepingComputer报道了这次攻击的消息,现在DoppelPaymer勒索软件在其泄漏站点上发布了属于富士康NA的文件。黑客声称在加密目标系统之前已经窃取了未加密的文件。富士康为美国,加拿大,中国,芬兰和日本的主要公司生产电子产品。这家电子制造巨头在全球拥有80万名员工,2019年的收入为1,720亿美元。
【参考链接】
http://securityaffairs.co/wordpress/112033/cyber-crime/foxconn-doppelpaymer-ransomware.html
5. 勒索软件的痛苦对医院打击最大
【概述】
尽管在大流行期间医院处于第一线,但不良行为者仍继续以勒索软件为目标。除了在最坏的情况下破坏医疗机构的运营流程外,攻击还演变为威胁患者安全。
【参考链接】
http://threatpost.com/ransomware-hits-hospitals-hardest/162096/
6. 思科前工程师因黑客攻击被判2年监禁
【概述】
美国司法部周三宣布,一名前思科工程师被控犯有黑客入侵其前公司的罪行,并造成140万美元的损失,他被判处两年徒刑。
【参考链接】
http://www.inforisktoday.com/ex-cisco-engineer-sentenced-to-2-years-in-prison-for-hacking-a-15564
7. 温哥华地铁因Egregor勒索软件中断
【概述】
这次攻击阻止了Translink用户使用其地铁卡或在自助亭购买门票,这是本周多产威胁组织的第二次攻击。Egregor勒索软件背后的威胁参与者在活动的最初几个月中表现出很高的水平。在瞄准陷入困境的美国零售商Kmart之后,Egregor团伙还通过勒索软件攻击破坏了温哥华地铁系统。加拿大城市公共交通网络Translink周四通过其首席执行官Kevin Desmond在Twitter上的声明确认,“这是“对我们某些IT基础设施的勒索软件攻击的目标””,其中包括“通过打印的消息与Translink进行通信。”
【参考链接】
http://threatpost.com/vancouver-metro-egregor-ransomware/161892/
8. 警方逮捕了两名盗窃国防巨头敏感数据的人
【概述】
意大利警方逮捕了两人,他们被指控从国防公司Leonardo SpA窃取了10 GB的机密数据和军事机密。莱昂纳多是一家国有跨国公司,也是世界上最大的国防承包商之一。 意大利警方发布的新闻稿称,两人对莱昂纳多公司的飞机结构部门和飞机部门的IT结构进行了严重攻击。这两个人是Leonardo SpA的IT安全管理部门的前雇员,目前正在监狱的Arturo D\'Elia和Leonardo CERT(网络应急准备小组)负责人Antonio Rossi的行为,预防性的家庭监护措施。莱昂纳多的网络紧急团队负责人因涉嫌歪曲攻击范围并妨碍调查而被软禁。检察官指出,莱昂纳多的安全系统未检测到据称是不忠员工使用的恶意软件。
【参考链接】
http://securityaffairs.co/wordpress/111965/cyber-crime/leonardo-data-theft.html