【威胁通告】bbin宝盈集团科技威胁情报周报(2021.08.23-2021.08.29)
2021-08-30
一、 威胁通告
AtlassianConfluence远程代码执行漏洞通告(CVE-2021-26084)
【发布时间】2021-08-2619:00:00GMT
【概述】
近日,bbin宝盈集团科技CERT监测到Atlassian官方发布了ConfluenceServerWebworkOGNL注入漏洞(CVE-2021-26084)的安全公告,远程攻击者在经过身份验证或在特定环境下未经身份验证的情况下,可构造OGNL表达式进行注入,实现在ConfluenceServer或DataCenter上执行任意代码,CVSS评分为9.8。请相关用户尽快采取措施进行防护。AtlassianConfluence是Atlassian公司出品的专业wiki程序。它可以作为一个知识管理的工具,通过它能够实现团队成员之间的协作和知识共享。
【链接】
http://nti.nsfocus.com/threatWarning
XStream多个高危漏洞通告(CVE-2021-39141、CVE-2021-39144、CVE-2021-39139)
【发布时间】2021-08-2315:00:00GMT
【概述】
近日,bbin宝盈集团科技监测到XStream官方发布安全公告,公开了XStream中的14个安全漏洞,攻击者可以利用这些漏洞造成拒绝服务、SSRF、远程执行任意代码。XStream是一个Java对象和XML相互转换的工具,在将JavaBean序列化、或将XML文件反序列化时,它不需要其它辅助类和映射文件,这使得XML序列化不再繁琐。CVE-2021-39140:攻击者可以操纵已处理的输入流并替换或注入对象,这会导致一个无休止的循环,从而造成拒绝服务攻击。CVE-2021-39144:攻击者可以操作已处理的输入流并替换或注入对象,从而在服务器上远程执行命令。CVE-2021-39139、CVE-2021-39141、CVE-2021-39145、CVE-2021-39146、CVE-2021-39147、CVE-2021-39148、CVE-2021-39149、CVE-2021-39151、CVE-2021-39153、CVE-2021-39154:攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。CVE-2021-39150、CVE-2021-39152:攻击者可以操纵已处理的输入流并替换或注入对象,从而实现服务端请求伪造。
【链接】
http://nti.nsfocus.com/threatWarning
二、 热点资讯
1. ShinyHunters组织窃取教育、政府和军事实体的敏感信息
【概述】
ShinyHunters是一个网络犯罪地下组织,研究人员表明,该组织主要在Raid论坛上运作,将教育、政府和军事实体人员作为攻击的目标,以窃取公司有效的OAuth令牌信息,利用令牌信息破坏公司的云基础设施并绕过任何因素身份验证机制。这些凭据或API密钥、令牌信息随后被滥用以访问数据库并收集敏感信息以转售牟利或在黑客论坛上免费发布。攻击者总共窃取了超过112万个属于标准普尔100指数组织、教育、政府和军事实体的唯一电子邮件地址。ShinyHunters组织开始以20万美元的起价出售据称包含7000万AT&T客户个人信息的数据库,尽管这家美国电信提供商否认其系统遭到破坏。
【参考链接】
http://ti.nsfocus.com/security-news/IlMMV
2. 巴西百货服装公司LojasRenner被勒索软件团伙RansomExxenner袭击
【概述】
巴西最大的服装公司LojasRenner遭遇勒索软件团伙RansomExx攻击,影响了服装公司的IT基础设施。RansomExxenner勒索软件团伙入侵了巴西百货服装公司的网络并对员工和客户个人敏感数据进行了复制或加密,然后以在网上公布隐私数据为要挟,向受害方索要10亿美元赎金,据巴西新闻媒体报道,该公司因此次袭击被迫关闭了全国所有实体店。
【参考链接】
http://ti.nsfocus.com/security-news/IlMLN
3. 诺基亚子公司SACWireless遭到Conti勒索软件团伙攻击
【概述】
近日,诺基亚子公司SACWireless遭遇Conti勒索软件团伙暴力攻击,Conti勒索软件团伙通过部署了有效载荷并加密了无线系统之后,获得了诺基亚子公司系统的访问权限,成功入侵该公司网络,将恶意文件上传到其云存储,然后部署了勒索软件来加密诺基亚子公司系统上的文件,窃取了该公司现任和离职员工的250GB个人信息。
【参考链接】
http://ti.nsfocus.com/security-news/IlMNA
4. 黑客通过篡改PC制造商的更新软件攻击华硕电脑
【概述】
报道称,黑客通过篡改PC制造商的更新软件攻击数百万台华硕电脑,为了发动攻击,黑客通过“liveupdate01s.asus.com”和“liveupdate01.asus.com”渗透并提供华硕自己的官方服务器上的恶意更新,他们还设法用“ASUSTekComputerInc.”下的合法软件证书签署了他们的恶意更新。根据我们的统计数据,超过57,000名卡巴斯基用户在某个时间点下载并安装了后门版本的华硕的更新软件,并且可能影响全球超过一百万用户。
【参考链接】
http://ti.nsfocus.com/security-news/IlMNy
5. OnePercentGroup组织利用CobaltStrike勒索软件攻击美国公司
【概述】
OnePercentGroup组织利用CobaltStrike勒索软件对美国公司发起攻击,通过网络钓鱼邮件攻击公司客户,将IcedID银行木马有效载荷投放到目标系统上,然后在受感染的系统上投放和安装CobaltStrike勒索软件,并在公司系统网络中横向移动。据观察,一旦勒索软件成功部署,该组织就会窃取到美国公司系统客户的文件,OnePercent组织对窃取到的文件进行加密并在其文件名后附加一个随机的八字符扩展名,并添加唯一命名的赎金说明,通过洋葱路由器网络和clearnet发布被盗数据,要挟受害者以虚拟货币支付赎金。
【参考链接】
http://ti.nsfocus.com/security-news/IlMNp
6. ViceSociety组织窃取罗尔居民的文件和个人敏感信息
【概述】
ViceSociety组织攻击的目标是公立学区和教育机构,它实施双重勒索模式,该组织窃取了日内瓦湖畔瑞士小镇罗尔6,200名居民千兆字节的数据文件和个人详细信息,泄露的数据包括非瑞士国民的姓名、地址、出生日期、社会安全号码和居留许可信息,学校记录以及感染Covid-19的儿童的信息,并在组织内部的数据泄露站点上发布从受害者那里窃取的数据。
【参考链接】
http://ti.nsfocus.com/security-news/IlMNR
7. SparklingGoblin组织利用SideWalk勒索软件攻击美国电脑零售公司
【概述】
研究人员发现,一家位于美国的电脑零售公司成为SparklingGoblin组织攻击的目标,SparklingGoblin组织主要以专门针对东亚和东南亚实体的网络攻击而闻名。该组织利用SideWalk恶意软件将恶意代码注入到公司合法程序,并利用Windows系统上.NET加载器部署恶意软件,该加载器负责从公司系统磁盘上读取加密的代码,对其进行解密,并使用进程技术将其注入合法进程,利用Cloudflare作为C&C服务器,然后SideWalk与C&C服务器建立通信,利用Google Docs作为死循环解析器,恶意软件从Google Docs文档中检索加密的IP地址。
【参考链接】
http://ti.nsfocus.com/security-news/IlMNQ
8. 攻击者利用Mirai僵尸网络对Cloudflare金融客户进行DDOS攻击
【概述】
研究人员发现了有史以来最大的DDOS攻击,攻击者利用Mirai僵尸网络对Cloudflare金融领域的客户进行DDOS攻击,通过利用僵尸网络在短时间内能产生大量的攻击流量,攻击流量来自全球125个国家/地区的20,000多个机器人,根据机器人的源IP地址,几乎15%的攻击来自印度尼西亚,另外17%来自印度和巴西。攻击者试图通过使用多个分布式位置的虚假请求让服务变得如此繁忙以致于崩溃或停止,从而攻击Cloudflare金融客户的官网,阻止客户使用服务。
【参考链接】
http://ti.nsfocus.com/security-news/IlMMS
9. 攻击者利用SharePoint共享文件攻击Office365
【概述】
研究人员发现,攻击者在网络钓鱼活动中利用SharePoint共享文件作为诱饵进行攻击,此次攻击活动的目标是Office365,其目的是骗取受害者的证书,攻击者通过发送电子邮件并在信息中伪造了目标用户名的发件人地址作为诱饵,这封电子邮件提醒收件人有一个共享文件请求,这个人可能是他们的同事,并在文件中包含了一个网络钓鱼页面的链接。研究人员指出,为了使信件显得更加真实可信,据说该文件还包含了某种合法类型的业务内容,如员工报告、奖金或价格清单。如果用户点击这个恶意邮件,最终会被引导到一个钓鱼页面,页面要求他们用自己的合法凭证登录Office365。
【参考链接】
http://ti.nsfocus.com/security-news/IlMO7
10. 菲律宾人权联盟卡拉帕坦Karapatan遭受了严重的DDOS攻击
【概述】
菲律宾人权联盟卡拉帕坦Karapatan遭受了严重且持续的DDoS攻击,这次攻击是在针对媒体Bulatlat和Altermidya的DDoS攻击浪潮发生仅一个月之后发生的,DDoS攻击发生在由Karapatan共同主办的在线团结运动StopTheKillingsPH期间,这次攻击是通过分布在俄罗斯、乌克兰、印度尼西亚和中国的30,000个机器人代理的。攻击者多次修改了攻击策略,这标志着世界各地的人权组织和倡导者呼吁停止菲律宾的杀戮。
【参考链接】
http://ti.nsfocus.com/security-news/IlMO9