【威胁通告】bbin宝盈集团科技威胁情报周报(2021.10.25-2021.10.31)
2021-11-01
一、 威胁通告
CODESYS V2多个高危漏洞通告(CVE-2021-30188、CVE-2021-34595、CVE-2021-34596)
【发布时间】2021-10-28 20:00:00 GMT
【概述】
近日,CodeSys官方发布4份安全更新通告,修复了codesys V2的10个漏洞,其中bbin宝盈集团科技格物实验室提交的3个漏洞被评为高危,并获得官方致谢。这3个漏洞的攻击路径均为codesys runtime支持的私有通信协议,利用这些漏洞,轻则可能导致目标产品发生拒绝服务、宕机等后果,重则可使目标执行恶意攻击者编制的利用代码,以此影响生产、持续潜伏、窃取敏感数据、发动定点攻击等。
【链接】
http://nti.nsfocus.com/threatWarning
GitLab 远程命令执行漏洞(CVE-2021-22205)
【发布时间】2021-10-28 17:00:00 GMT
【概述】
近日,bbin宝盈集团科技监测到有研究人员披露了GitLab 远程命令执行漏洞(CVE-2021-22205)的利用程序,且发现由于GitLab存在未授权的端点,导致该漏洞在无需进行身份验证的情况下即可进行利用,社区版(CE)和企业版(EE)皆受影响。4月15日,GitLab官方发布安全更新修复了此GitLab命令执行漏洞(CVE-2021-22205),由于GitLab中的ExifTool没有对传入的图像文件的扩展名进行正确处理,攻击者通过上传特制的恶意图片,可以在目标服务器上执行任意命令。CVSS评分为9.9,目前已发现在野利用,请相关用户尽快采取措施进行防护。GitLab 是由GitLab Inc.开发的一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。
【链接】
http://nti.nsfocus.com/threatWarning
Windows Update Assistant 权限提升0day漏)
【发布时间】2021-10-28 18:00:00 GMT
【概述】
10月28日,bbin宝盈集团科技CERT监测发现趋势科技的零日计划 (ZDI) 披露了Windows Update Assistant 目录连接权限提升漏洞。由于Windows Update Assistant 中存在特定缺陷,具有低权限身份的本地攻击者可通过创建目录连接,使用Windows Update Assistant来删除文件,成功利用此漏洞的攻击者可在目标系统上提升为管理员权限并执行任意代码。此漏洞目前处于0day状态,微软官方暂未发布防护措施。
【链接】
http://nti.nsfocus.com/threatWarning
二、 热点资讯
1. 黑客从Cream Finance窃取了价值1.3亿美元的加密货币资产
【概述】
研究人员发现CREAM Finance 是一种去中心化借贷协议,供个人、机构和协议访问金融服务。它向被动持有 ETH 或 wBTC 的用户承诺收益,攻击者从中心化金融 (DeFi) 平台窃取了价值 1.3 亿美元的加密货币资产,该公司也证实了此次袭击。据专家称,攻击者可能利用了平台闪贷功能中的漏洞,然后将被盗资金转移到他们控制的钱包中,然后再通过其他钱包进行拆分。根据 CipherTrace 最近发布的一篇文章表示,DeFi 攻击对攻击者来说变得非常有利可图,到 2021 年 7 月,DeFi 攻击总数达到 3.61 亿次,占 2021 年所有主要黑客攻击的 76%。
【参考链接】
http://ti.nsfocus.com/security-news/IlMYL
2. 攻击者利用新的根恶意软件获取用户敏感数据
【概述】
研究人员发现了一种新的生根恶意软件,该恶意软件分布在 Google Play 和著名的第三方商店(如亚马逊应用商店和三星 Galaxy Store)上,他们将恶意软件命名为“AbstractEmu”,因为它使用了代码抽象和反仿真检查,以避免在分析时运行。通过使用生根过程获得对 androids 操作系统的特权访问,攻击者可以默默地授予自己危险的权限或安装其他恶意软件——这些步骤通常需要用户交互。提升的权限还允许恶意软件访问其他应用程序的敏感数据,这在正常情况下是不可能的。但是攻击者利用AbstractEmu 将自己伪装成许多不同的应用程序:包括实用程序应用程序,例如密码管理器,以及应用程序启动器或数据保护程序等系统工具,这些对用户来说似乎都是实用的,从而降低了用户的警惕性。
【参考链接】
http://ti.nsfocus.com/security-news/IlMYO
3. 攻击者利用恶意NPM库感染用户系统进行攻击
【概述】
研究人员发现攻击者再次向官方 NPM 存储库发布了另外两个盗版库,这些库模仿了游戏公司 Roblox 的合法软件包,目的是分发窃取凭据、安装远程访问木马并使用勒索软件感染受感染的系统。发现名为“ noblox.js-proxy ”和“ noblox.js-proxies ”的虚假包模仿了一个名为“ noblox.js ”的库,这是一个在 NPM 上可用的 Roblox 游戏 API 包装器,每周下载量接近 20,000 次,对于每个中毒的库,分别下载了 281 次和 106 次。并表示noblox.js-proxy 的作者首先发布了一个良性版本,后来在帖子中篡改了混淆文本,实际上是一个批处理(.bat)脚本- 安装 JavaScript 文件;该 Batch 脚本反过来从 Discord 的内容交付网络 (CDN) 下载恶意可执行文件,这些可执行文件负责禁用反恶意软件引擎、在主机上实现持久性、窃取浏览器凭据,甚至部署具有勒索软件功能的二进制文件。
【参考链接】
http://ti.nsfocus.com/security-news/IlMYN
4. 攻击者出售 5000 万莫斯科司机的数据
【概述】
攻击者正在一个黑客论坛上以 800 美元的价格出售一个包含 5000 万条莫斯科司机记录的数据库。攻击者声称已从当地警方的内部人员那里获得数据,他们发布了一个数据库记录样本,其中包含汽车型号、注册和 VIN 号、注册日期、发动机功率、车主姓名、日期出生,电话号码。被盗数据跨越 2006 年和 2019 年,当地媒体已证实其真实性。攻击者还向购买数据库的人提供包含 2020 年信息的文件。
【参考链接】
http://ti.nsfocus.com/security-news/IlMXO
5. 攻击者利用垃圾邮件发送恶意软件Qakbot和Cobalt Strike
【概述】
最近,一种称为“SQUIRRELWAFFLE”的新威胁正在通过垃圾邮件活动更广泛地传播,使用新的恶意软件加载程序感染系统。这是一个恶意软件家族,其传播越来越频繁,可能成为垃圾邮件领域的下一个大玩家。SQUIRRELWAFFLE 为攻击者提供了对系统及其网络环境的初步立足点,然后可根据攻击者选择尝试将其访问货币化的方式来促进进一步的破坏或其他恶意软件感染。在许多情况下,这些感染还被用来传送和感染其他恶意软件(如Qakbot和渗透测试工具Cobalt Strike)的系统。研究人员发现由于电子邮件本身似乎是对现有电子邮件线程的回复。这些电子邮件通常包含指向托管在攻击者控制的 Web 服务器上的恶意 ZIP 档案的超链接,回复消息所针对的语言通常与原始电子邮件线程中使用的语言相匹配,这表明存在一些动态本地化。虽然大多数电子邮件都是用英语编写的,但在这些活动中使用其他语言表明这种威胁并不限于特定的地理区域。
【参考链接】
http://ti.nsfocus.com/security-news/IlMYg
6. 多个运营商恶意收集和共享用户的大量隐私数据
【概述】
美国联邦贸易委员会 (FTC) 研究发现,美国六家互联网服务提供商 (ISP) 无缘由收集和共享客户的个人数据信息,并隐瞒消费者滥用其大量敏感数据。FTC研究中提到六家运营商分别是 AT Mobility、Cellco Partnership(又名 Verizon Wireless)、Charter Communications Operating、Comcast(又名 Xfinity)、T-mobiles US 和 Google Fiber,包括与这些公司相关联的三个广告实体:AT 的 Appnexus (又名Xandr),Verizon 的 Verizon Online 和 Oath Americas (又名 Verizon Media)。FTC指出,这六家公司目前控制着美国大约 98% 的移动互联网市场,并将触角从固定电话网络和移动互联网服务,延伸至语音、内容、智能设备、广告和分析服务等其他领域,以便收集更多客户数据信息。而令人不安的是,几个运营商之间整合跨产品线的数据,再结合个人应用程序的使用和网络浏览数据来定向推送广告;将消费者按照种族和性取向等不同标准进行分门别类,并向第三方共享其实时位置数据。
【参考链接】
http://ti.nsfocus.com/security-news/IlMYl
7. 攻击者通过UltimaSMS订阅欺诈活动针对数百万 androids 用户
【概述】
研究人员在 Google Play 商店中发现了一个普遍存在的优质短信骗局,被称为 UltimaSMS,该名称来自他们发现的第一个名为Ultima Keyboard 3D Pro 的应用程序 。攻击者使用虚假照片编辑器、垃圾邮件拦截器、相机过滤器、游戏和其他应用程序,并通过 Instagram 和 TikTok 渠道进行推广,其中大部分下载是由中东地区的用户进行的,例如埃及、沙特阿拉伯和巴基斯坦。安装应用程序后,他们会检查自己的位置、国际移动设备识别码 (IMEI) 和电话号码,以确定用于诈骗的国家/地区代码和语言。当受害者打开应用程序时,会显示一个屏幕,要求输入他们某些信息,在输入所要求的详细信息后,用户订阅了高级 SMS 服务,根据国家和移动运营商的不同,每月可收取 40 美元以上的费用实施欺诈。
【参考链接】
http://ti.nsfocus.com/security-news/IlMYd
8. 攻击者利用Ranzy Locker勒索软件攻击Windows系统
【概述】
联邦调查局发布了一个快速警报,警告已经危害了数十家美国公司的 Ranzy Locker 勒索软件的活动。Ranzy Locker 勒索软件运营商最常使用的攻击媒介是针对远程桌面协议 (RDP) 凭据的蛮力尝试。在最近的攻击中,该组织还利用了已知的 Microsoft Exchange Server 漏洞并使用网络钓鱼消息来攻击计算机网络。一旦获得对目标网络的访问权限,勒索软件团伙就会尝试定位敏感数据,包括客户信息、PII 相关文件和财务记录。Ranzy Locker 勒索软件针对 Windows 系统,包括服务器和虚拟机。在某些情况下,该组织实施了双重勒索模式,威胁受害者如果不支付赎金就泄露被盗数据。
【参考链接】
http://ti.nsfocus.com/security-news/IlMYe
9. 黑客利用流行的BillQuick计费软件部署勒索软件
【概述】
网络安全研究人员周五披露了一个名为BillQuick的时间和计费系统的多个版本中的一个现已修补的关键漏洞,该漏洞正被攻击者积极利用,在易受攻击的系统上部署勒索软件。黑客可以使用它来访问客户的 BillQuick 数据并在他们的本地 Windows 服务器上运行恶意命令。从本质上讲,该漏洞源于 BillQuick Web Suite 2020 构建 SQL 数据库查询的方式,使攻击者能够通过应用程序的登录表单注入特制的 SQL,可用于在底层 Windows 操作系统上远程生成命令外壳并实现代码执行。
【参考链接】
http://ti.nsfocus.com/security-news/IlMY2
10. 黑客团伙假冒安全公司实施网络攻击
【概述】
研究人员发现,由于勒索软件已成为一个有利可图的领域,并且FIN7之前有与“Combi Security”等虚假公司合作的经验,因此该组织成立了一家名为Bastion Secure的“网络安全公司”来招募合法的IT专家,研究人员向Bastion Secure发送了一份求职申请并被聘用,研究人员发现其招聘过程非常典型,包括面试、签订合同和保密协议以及基本培训。但是,在执行实际任务时,很明显Bastion Secure正在寻找一些人来进行网络犯罪活动。比如,他们为员工提供对企业网络的访问权限,并要求新员工收集与企业管理员帐户、备份等相关的信息。他们还为员工提供Carbanak和Lizar/Tirion这类著名的后开发工具,将其伪装成“命令管理器”,开展渗透测试活动,然而,Bastion Secure并没有提供开展这些渗透测试活动的任何法律文件,因此研究人员判断其通过渗透测试方式侵害受害公司,并通过非法手段获取访问权限,实施勒索攻击活动。
【参考链接】
http://ti.nsfocus.com/security-news/IlMXP