【威胁通告】bbin宝盈集团科技威胁情报周报(2021.09.06-2021.09.12)
2021-09-13
一、 威胁通告
MicrosoftMSHTML远程代码执行漏洞(CVE-2021-40444)
【发布时间】2021-09-0913:00:00GMT
【概述】
近日,bbin宝盈集团科技CERT监测到微软发布安全通告披露了MicrosoftMSHTML远程代码执行漏洞,攻击者可通过制作恶意的ActiveX控件供托管浏览器呈现引擎的MicrosoftOffice文档使用,成功诱导用户打开恶意文档后,可在目标系统上以该用户权限执行任意代码。微软在通告中指出已检测到该漏洞被在野利用,请相关用户采取措施进行防护。
【链接】
http://nti.nsfocus.com/threatWarning
二、 热点资讯
1. AVOSLockerRansomware运营商攻击太平洋城市银行
【概述】
PacificCityBank是一家美国太平洋城市银行,专注于位于加利福尼亚州的韩裔美国人社区,并提供商业银行服务,该银行遭到AVOSLockerRansomware运营商的攻击,并且从金融机构窃取了敏感文件。2021年9月4日,勒索软件团伙将该银行信息添加到其泄密站点,并发布了一些屏幕截图作为攻击的证据。
【参考链接】
http://ti.nsfocus.com/security-news/IlMPI
2. RagnarLocker勒索软件团伙窃取台湾威刚公司1.5TB的数据
【概述】
RagnarLocker勒索软件团伙成功窃取台湾威刚公司1.5TB的数据,被盗数据包含敏感信息,如保密协议、财务文件、合同和其他文件。该公司拒绝支付黑客要求的赎金。如果受害者试图联系执法机构,RagnarLocker勒索软件团伙威胁要泄露被盗数据。该组织在其暗网泄漏站点上发布了一条消息,宣布了其新战略,如果受害者试图联系执法机构,RagnarLocker勒索软件运营商威胁要泄露被盗数据。
【参考链接】
http://ti.nsfocus.com/security-news/IlMPS
3. BladeHawk组织针对库尔德族群androids用户有针对性发起攻击
【概述】
研究人员发现,BladeHawk组织针对库尔德族群androids用户有针对性发起攻击。该组织利用两个商业androidsRAT工具,分别是888RAT和SpyNote。利用androids888RAT能够执行从其C&C服务器收到的42个命令,从设备中窃取和删除文件、截取屏幕截图、获取设备位置、钓鱼Facebook凭据、获取已安装的应用程序列表、窃取用户照片、拍照、记录周围的音频和电话、拨打电话、窃取短信信息、窃取设备的联系人列表、发送短信等。
【参考链接】
http://ti.nsfocus.com/security-news/IlMPW
4. 攻击者利用Conti勒索软件攻击HSE爱尔兰国家卫生服务提供商
【概述】
研究人员发现,针对爱尔兰国家卫生服务提供商HealthServiceExecutive的勒索软件攻击活动,攻击中使用了Conti勒索软件,此次攻击对HSE的系统造成了广泛破坏,攻击者声称从HSE窃取了700GB患者的个人数据,包括个人文件、电话号码、联系人、工资单和银行对帐单,然后要求支付2000万美元,但爱尔兰总理迈克尔·马丁拒绝支付任何赎金,并告诉全国媒体,政府没有与袭击者沟通。然而,一周后,被指控的攻击者向HSE提供了一个解密密钥,条件是它支付1900万美元的赎金或公开其患者数据。
【参考链接】
http://ti.nsfocus.com/security-news/IlMPN
5. REvil勒索软件运营商攻击Kaseya基于云的MSP平台
【概述】
REvil勒索软件团伙袭击了Kaseya基于云的MSP平台,影响了MSP及其客户。该团伙破坏了KaseyaVSA的基础设施,然后推出了VSA内部部署服务器的恶意更新,以在企业网络上部署勒索软件。该组织要求提供价值7000万美元的比特币来解密所有受Kaseya供应链勒索软件攻击影响的系统。这次袭击引起了媒体和警察当局的注意,增加了对该组织的压力。
【参考链接】
http://ti.nsfocus.com/security-news/IlMQf
6. 攻击者利用Trojan.Win32.BreakWi恶意软件攻击伊朗网络安全公司
【概述】
近日,研究人员发现,攻击者利用Trojan.Win32.BreakWi恶意软件攻击伊朗网络安全公司,伊朗铁路道路与城市发展系统部成为网络攻击的目标。黑客在全国各地车站的信息板上显示火车延误或取消的信息,并敦促乘客拨打电话以获取更多信息,之后,伊朗道路和城市化部的官网出现“网络中断”后停止服务,攻击者在网络安全公司网络中开发并部署了至少3种不同版本的工具(Meteor、Stardust、Comet)。攻击主要有效载荷是msapp.exe,其目的是锁定受害者机器并擦除其内容使其停止服务。执行时恶意软件会隐藏此可执行文件的控制台窗口。
【参考链接】
http://ti.nsfocus.com/security-news/IlMQj
7. APT组织使用GoldenSAML攻击获取对ActiveDirectory的访问权限
【概述】
APT组织使用GoldenSAML攻击来绕过身份验证控制并访问Office365环境。大多数受害者采用混合身份验证模型,破坏ADFS服务器令牌签名证书会导致访问Azure/Office365环境。默认情况下,证书的有效期为一年,这允许APT组织以AD中的任何用户身份保持持久性并重新登录Azure/Office365环境,而不管任何密码重置或多重身份验证。
【参考链接】
http://ti.nsfocus.com/security-news/IlMQ8
8. 俄罗斯互联网服务提供商Yandex受到大规模拒绝服务(DDOS)攻击
【概述】
美国公司Cloudflare证实了大规模DDoS攻击的事件,此次攻击的目标是俄罗斯互联网服务提供商Yandex,Yandex公司服务器遭遇俄罗斯网史上最强的一次DDoS攻击,该公司表示,此次攻击持续时间长达6小时,导致互联网已陷入瘫痪。影响了大量的社交媒体用户。
【参考链接】
http://ti.nsfocus.com/security-news/IlMQz
9. 新西兰多个银行和邮局遭到DDOS攻击
【概述】
研究人员表明,新西兰多个银行和邮局遭到持续的分布式拒绝服务DDOS攻击,此次攻击导致该国的银行和邮局的官网已经关闭,部分业务已经中断,包括应用程序、网上银行、电话银行和官网已经中断。其他受害者包括澳新银行新西兰有限公司,周三,ANZ Bank New Zealand Ltd.在 Facebook 上发帖称,它经历了一次中断,影响了对其部分在线服务的访问。官员们表示他们正在与网络攻击作斗争。一些受影响的组织能够使他们的服务重新上线,但他们仍然遇到间歇性中断。
【参考链接】
http://ti.nsfocus.com/security-news/IlMQB
10. SANGKANCIL黑客窃取了CITY4U官网700万以色列人的个人信息
【概述】
9月7日,以色列地方当局的CITY4U官网被一名名为SANGKANCIL的黑客入侵,该黑客声称已经窃取了该官网700万以色列人的详细信息。在他的Telegram帐户中,他分享了一些随机照片,其中包含几位以色列公民的个人详细信息,例如身份证及其照片、地址、全名、电话号码、财产税支付情况等。
【参考链接】