绿盟科技威胁周报(20220502-20220508)
2022-5-10 09:52:52 Author: blog.nsfocus.net(查看原文) 阅读量:34 收藏

阅读: 2

一、威胁通告

  • F5 BIG-IP iControl REST身份验证绕过漏洞通告(CVE-2022-1388)

【发布时间】2022-05-07 14:00:00 GMT

【概述】

近日,绿盟科技CERT监测到F5发布安全公告修复了BIG-IP中的一个身份验证绕过漏洞,未经身份验证的攻击者可使用控制界面进行利用,通过BIG-IP管理界面或自身IP地址对iControl REST接口进行网络访问,实现执行任意系统命令,创建或删除文件以及禁用服务。CVSS评分为9.8,目前已有详情披露,请相关用户尽快采取措施进行防护。F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。用户可通过iControl REST与F5设备之间进行轻量级、快速的交互。

【链接】

https://nti.nsfocus.com/threatWarning

二、热点资讯

  • 攻击者通过运行Alpine Docker映像在易受攻击的服务器主机上下载并运行恶意shell脚本

【标签】不区分行业

【概述】

研究团队通过 Docker 蜜罐发现了正在进行的恶意活动,目标是暴露的 Docker API 端口 2375。这些攻击与加密矿工和使用 cmdline 中的 base64 编码命令在易受攻击的服务器上的反向 shell 有关,旨在规避防御机制。威胁参与者试图使用 chroot 命令运行 Alpine  Docker 映像,以获得对易受攻击的服务器主机的完全权限(常见的错误配置)。攻击者将 curl 实用程序作为参数传递给 Alpine 映像,该映像在易受攻击的服务器主机上下载并运行恶意 shell 脚本。

【参考链接】

https://ti.nsfocus.com/security-news/IlNu0

  • 黑客使用PrivateLoader PPI服务分发新NetDooka恶意软件

【标签】不区分行业

【概述】

一种名为 PrivateLoader 的按安装付费 (PPI) 恶意软件服务被发现分发了一个名为 NetDooka 的“相当复杂”的框架,使攻击者可以完全控制受感染的设备。该框架通过按安装付费 (PPI) 服务分发,包含多个部分,包括加载程序、释放程序、保护驱动程序和实现自己的网络通信协议的全功能远程访问木马 (RAT)。PrivateLoader 感染通常通过从流氓网站下载的盗版软件传播,这些盗版软件通过搜索引擎优化 (SEO) 中毒技术推到搜索结果的顶部。PrivateLoader 目前用于分发勒索软件、窃取程序、银行家和其他商品恶意软件。

【参考链接】

https://ti.nsfocus.com/security-news/IlNtZ

  • 乌克兰IT军队对EGAIS门户网站发起大规模的DDoS攻击影响俄罗斯的酒精分销

【标签】企业

【概述】

黑客组织乌克兰 IT 军队对统一国家自动酒精会计信息系统 (EGAIS) 门户发起了一系列大规模 DDoS 攻击,该门户被认为对俄罗斯的酒精分销至关重要。由于统一的州自动酒精会计信息系统(EGAIS)的运行出现大规模故障,五一假期的酒精生产商和分销商无法将产品运送给他们的客户。该市场的四名参与者、一家大型零售商的代表和一个专业协会的雇员向 Vedomosti 报告了这一情况。由于 EGAIS 系统不可用,酒精生产商和分销商无法运送产品,零售点警告说,由于目前的情况,可能出现短缺。对 EGAIS 网站的攻击发生在 5 月 2 日和 3 日,并在 4 日报告了失败,乌克兰 IT 军队社区内共享了攻击该站点的行动号召。由于袭击的影响,工厂无法接受装有酒精的罐子,客户(商店和分销商)也无法收到已经交付给他们的成品,

【参考链接】

https://ti.nsfocus.com/security-news/IlNtY

  • 攻击者通过USB的蠕虫恶意软件对 Windows程序安装恶意文件

【标签】不区分行业

【概述】

被称为“Raspberry Robin”的活动使用 Microsoft 标准安装程序和其他合法进程与威胁参与者通信并执行恶意命令。研究人员发现,名为 Raspberry Robin 的蠕虫恶意软件自去年 9 月以来一直活跃,并通过 USB 驱动器蠕动到 Windows 计算机上,以使用 Microsoft 标准安装程序和其他合法进程安装恶意文件。

【参考链接】

https://ti.nsfocus.com/security-news/IlNu1

  • 攻击者劫持英国 NHS 电子邮件帐户以窃取 Microsoft 登录信息

【标签】企业

【概述】

据调查,在近半年的时间里,英国国家卫生系统(NHS)的100多名员工的工作电子邮件帐户被多次用于网络钓鱼活动,其中一些活动旨在窃取Microsoft登录信息。在劫持合法的NHS电子邮件帐户后,这些攻击者于去年10月开始使用它们,并至少在今年4月之前将其继续用于网络钓鱼活动。据电子邮件安全INKY的研究人员称,已经从英格兰和苏格兰员工的NHS电子邮件帐户发送出1000多条网络钓鱼邮件。

【参考链接】

https://ti.nsfocus.com/security-news/IlNtL

  • 朝鲜Lazarus组织利用VHD勒索软件对美国企业发起网络攻击

【标签】企业

【概述】

研究人员发现,加密货币窃贼 Lazarus Group 似乎正在扩大其范围,使用勒索软件来窃取亚太地区 (APAC) 地区的金融机构和其他目标。金融交易及其源代码中与先前恶意软件的相似之处将最近出现的称为 VHD 的勒索软件菌株与朝鲜威胁参与者(也称为 Unit 180 或 APT35)相关联。过去几年,研究人员一直在跟踪他们认为是朝鲜网络军队(通常由拉撒路集团产生)对金融机构的攻击。该组织最出名的可能是通过洗钱计划 为朝鲜政府筹集资金,巧妙地从加密货币市场上抢走资金。

【参考链接】

https://ti.nsfocus.com/security-news/IlNtK

  • 黑客使用伪造的Windows 10更新来传播Magniber勒索软件

【标签】不区分行业

【概述】

研究人员发现了针对 Windows 系统的新勒索软件活动。攻击者正在使用伪造的 Windows 10 更新来传播 Magniber 勒索软件。自 4 月 27 日以来,世界各地的用户一直在 BleepingComputer 论坛上发布他们的故事以寻求解决方案。根据该出版物,这些虚假的 Windows 10 更新通过盗版网站等平台以 Win10.0_System_Upgrade_Software.msi 和 Security_Upgrade_Software_Win10.0.msi 等多个名称分发,冒充合法的累积或安全更新。

【参考链接】

https://ti.nsfocus.com/security-news/IlNtw

  • 黑客盗取特定的公司电子邮件账户

【标签】企业

【概述】

一个极其复杂和隐秘的 APT 组织正在追踪特定的公司电子邮件帐户,并且有时设法在受害者环境中保持未被发现至少 18 个月。Mandiant将其编为 UNC3524 ,攻击者还非常擅长在启动时重新获得对受害者环境的访问权限,通过各种机制重新破坏环境,立即重新启动他们的数据盗窃活动。UNC3524 主要针对电子邮件及其内容,尤其是那些专注于企业发展、并购、大型企业交易和 IT 安全人员的员工(后者最有可能确定是否检测到他们的操作)。

【参考链接】

https://ti.nsfocus.com/security-news/IlNtv

  • Instagram黑客导致NFT损失100万美元

【标签】企业

【概述】

NFT 系列 Bored Ape Yacht Club 通过 Twitter 披露他们的 Instagram 帐户已被黑客入侵,并建议用户不要点击任何链接或将他们的加密钱包链接到任何东西。黑客设法登录该帐户并向连接 MetaMask 钱包的用户发布了一个网络钓鱼链接,宣传“空投”或免费代币赠品。在 BAYC 发出警告之前链接钱包的人总共损失了超过 100 万美元的 NFT。

【参考链接】

https://ti.nsfocus.com/security-news/IlNtz

  • 黑客组织利用Quietexit的新型后门对微软交易所窃取并购信息

【标签】企业

【概述】

据研究人员称,一个网络间谍组织正瞄准 Microsoft Exchange 部署,以窃取与并购和大型企业交易相关的数据。这家信息安全巨头的研究人员将网络间谍威胁组织称为 UNC3524。该组织在停留时间方面取得的成功部分归功于他们选择在不支持安全工具(例如防病毒或端点保护)的受害环境中的设备上安装后门。他们补充说,攻击者将“高级”置于高级持续性威胁组中,理由是该组具有高水平的操作安全性、低恶意软件足迹、规避技能,以及拥有庞大的物联网僵尸网络军队。此外,每次受害者删除入侵者的访问权限时,UNC3524 都会迅速找到一种方法来重新侵入该组织的网络并“立即”重新开始窃取数据。

【参考链接】

https://ti.nsfocus.com/security-news/IlNtu

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

文章来源: http://blog.nsfocus.net/weekly-20220502/
如有侵权请联系:admin#unsafe.sh