绿盟威胁情报周报(20210705-20210711)
2021-07-12 15:52:03 Author: blog.nsfocus.net(查看原文) 阅读量:137 收藏

阅读: 27

一、威胁通告

  • YAPI认证用户利用Mock功能进行远程执行代码

【发布时间】2021-07-09 14:00:00 GMT

【概述】

近日,绿盟科技CERT监测发现 YAPI 可视化接口管理平台存在在野攻击事件,由于大量用户使用 YAPI的默认配置并允许从外部网络访问 YAPI服务。导致攻击者通过注册平台账户后,可以使用 YAPI 的 Mock 功能在受影响的服务器上执行任意 javascript 代码,从而控制目标服务器。YAPI官方暂未发布消息和修复方案,目前PoC已公开,请相关用户采取措施进行防护。YAPI是由去哪儿网移动架构组(YMFE)开发的可视化接口管理工具,是一个可本地部署的、打通前后端及QA的接口管理平台。

【链接】https://nti.nsfocus.com/threatWarning

  • “私人订制”勒索软件,带你揭秘Paradise源代码

【发布时间】2021-07-08 10:00:00 GMT

【概述】

近日,绿盟科技CERT监测到Paradise勒索软件的源代码遭到泄露,由于目前尚且无法破解经过Paradise加密的数据,若此源代码在互联网上大范围传播,可能引起较大风波。Paradise勒索软件源代码于6月12日在暗网某俄罗斯黑客论坛上被公开,成为继2020年Dharma之后第二个源代码遭到泄露的主流勒索软件。

【链接】https://nti.nsfocus.com/threatWarning

  • Windows Print Spooler远程代码执行漏洞通告(CVE-2021-1675、CVE-2021-34527)

【发布时间】2021-07-08 10:00:00 GMT

【概述】

近日,绿盟科技CERT监测到有安全研究员在GitHub上发布了Windows Print Spooler 远程代码执行漏洞(PrintNightmare)的EXP,Print Spooler是Windows系统中管理打印相关事务的服务,用于管理所有本地和网络打印队列并控制所有打印工作。Windows系统默认开启Print Spooler服务,普通用户可以利用此漏洞提升至SYSTEM管理权限。在域环境下,域用户可远程利用该漏洞以SYSTEM权限在域控制器上执行任意代码,从而获得整个域的控制权。绿盟科技研究团队确认,此EXP可以绕过微软官方在6月安全补丁更新中发布的CVE-2021-1675修复程序。北京时间7月2日,微软官方针对公开的EXP发布了CVE-2021-34527的漏洞通告,并提供了临时解决方案,但目前暂未发布修复补丁,此漏洞仍处于0day漏洞状态。目前EXP已扩散,请相关用户尽快采取措施进行防护。

【链接】https://nti.nsfocus.com/threatWarning

  • Windows Print Spooler权限提升漏洞通告(CVE-2021-1675)

【发布时间】2021-07-08 10:00:00 GMT

【概述】

6月9日,绿盟科技CERT监测到微软发布6月安全更新补丁,修复了50个安全漏洞,其中包括一个Windows Print Spooler权限提升漏洞(CVE-2021-1675),此漏洞为绿盟科技天机实验室向微软报告并获得官方致谢。

【链接】https://nti.nsfocus.com/threatWarning

二、热点资讯

  • 攻击者利用钓鱼邮件进行恶意软件攻击

【概述】

近期发现一个新的恶意电子邮件活动,该邮件声称包含Kaseya漏洞的补丁,但实际上,它是恶意软件。这些钓鱼邮件包含了各种主题,围绕着“订单发货”,提示用户安装微软发布的补丁。

【参考链接】https://ti.nsfocus.com/security-news/4qYP8

  • 黑客泄露了87000名GETTR用户的数据

【概述】

自2021年7月4日发布以来,支持特朗普的社交媒体平台GETTR已经遭受了两次攻击。
GETTR是一个受twitter启发的社交媒体平台。该网站于2021年7月4日上线,是美国前总统唐纳德·特朗普的前发言人杰森·米勒的创意。

一名黑客发布了一个数据库,声称其中包含了数千名GETTR用户的信息。Hackread.com已经包含了这些数据,可以确认,总计有87,973名用户的个人信息被在线曝光。

【参考链接】https://ti.nsfocus.com/security-news/4qYP6

  • Nobelium黑客组织卷土重来,继续攻击微软新漏洞

【概述】

据微软公司表示,Nobelium黑客组织入侵了一名技术支持人员的电脑,并对其客户发动了暴力破解攻击。目前尚不清楚这名支持人员的电脑被入侵了多长时间,以及这次攻击是否殃及公司网络中由微软管理的机器。
微软在周五下午晚些时候发表的一份简短声明中说,策划SolarWinds供应链攻击的黑客入侵了一名微软工作人员的电脑,并利用相应的权限对公司客户开展了针对性的攻击。
该黑客组织还利用密码喷洒和蛮力破解入侵了三家机构;简单来说,这次使用的技术通过用大量的登录猜测“轮番轰炸”登录服务器来获得对账户的未经授权的访问。微软表示,除了这三家未披露的机构外,密码喷洒攻击“都以失败而告终”。此后,微软已通知所有被攻击的目标,无论攻击是否成功。

【参考链接】https://ti.nsfocus.com/security-news/4qYOS

  • googleplay中的恶意Android应用盗取Facebook凭据

【概述】

在googleplay上发现了9个盗取Facebook证书的恶意Android应用,在Google删除这些应用之前,这些应用总共安装了590万次。
恶意软件分析师称,这些应用程序功能齐全,因此受害者对他们将恶意软件下载到Android设备的事实一无所知。不过,它们会弹出窗口通知用户,要访问所有应用程序的功能并禁用应用程序内广告,用户需要登录他们的Facebook帐户。一旦他们这样做了,他们的密码和用户名就被获取了。

【参考链接】https://ti.nsfocus.com/security-news/4qYOI

  • Kaseya:多达1500个组织遭受勒索软件攻击

【概述】

Kaseya在周一晚间发布的一份更新中表示,多达60名自己的客户受到了威胁。这些客户向其他客户提供IT管理服务,这些客户多达1500个。
攻击者使用的是由疑似俄罗斯Revil开发的勒索软件。Kaseya在另一份新闻稿中说,受影响的企业类型包括牙医办公室、小型会计师事务所和餐馆。
Revil组织声称已经入侵了100万个组织。该组织开始以7000万美元的比特币价格提供单一的通用解密工具,据说可以解密所有受害者的文件。但网络安全专家杰克·凯布尔当天晚些时候在twitter上表示,要价可能已经降至5000万美元,这表明受害者并没有集体急于支付。

【参考链接】https://ti.nsfocus.com/security-news/4qYOD

  • 美国水务公司WSSC Water遭遇勒索软件攻击

【概述】

WSSC Water正在调查5月24日发生的一起勒索软件攻击事件,攻击目标是他们网络中运营非必要业务系统的一部分。
根据WJZ13 Baltimore的报道,该公司在几个小时后就删除了恶意软件,并锁定了威胁,然而,攻击者访问了内部文件。WSSC已经通知了联邦调查局、马里兰州总检察长以及州和地方国土安全官员。
该公司经营着过滤和污水处理厂,幸运的是,袭击没有影响水质,但调查仍在进行中。

【参考链接】https://ti.nsfocus.com/security-news/4qYOs

  • 黑客诱骗微软签署了他们的恶意程序

【概述】

在最近的一篇报道中,微软已经承认他们签名了一个恶意驱动程序,现在它正在游戏环境中进行管理。经调查得知,该公司已签名的驱动程序为恶意Windows Rootkit,并持续针对游戏环境。

恶意软件分析师首先发现了恶意rootkit,他确认威胁行为者的目标是用户,特别是在东亚国家的一些用户。
微软公司已经注意到这次攻击,他们认为攻击者使用恶意驱动程序来欺骗他们的地理位置,以便欺骗系统并从任何地方玩游戏。

【参考链接】https://ti.nsfocus.com/security-news/4qYOg

  • 逍遥法外的恶徒:一场在拉丁美洲的间谍活动

【概述】

ESET研究揭示了一个活跃的恶意活动,该活动使用新版本的旧恶意软件Bandook来监视其受害者。
2021年,我们检测到针对西班牙国家企业网络的持续活动,其中90%的检测发生在委内瑞拉。当将此活动中使用的恶意软件与之前记录的内容进行比较时,我们发现了此恶意软件(称为 Bandook)的新功能和更改。我们还发现,这场针对委内瑞拉的运动,自2015年以来一直很活跃,但不知何故一直没有记录。

【参考链接】https://ti.nsfocus.com/security-news/4qYOR

  • “苦象”组织上半年针对我国的攻击活动分析

【概述】

近期,在梳理安全事件时,发现一批针对我国军工、贸易和能源等领域的网络攻击活动。攻击手法包括伪造身份向目标发送鱼叉邮件,投递恶意附件诱导受害者运行。经分析发现,这批活动具备APT组织“苦象”的历史特征,且在针对目标、恶意代码和网络资产等层面均存在关联,属于“苦象”组织在2021年上半年的典型攻击模式。

【参考链接】https://ti.nsfocus.com/security-news/4qYOr

  • 安全公司意外曝光Windows远程代码执行漏洞

【概述】

近日发布了一个针对关键Windows后台打印处理程序漏洞的概念验证漏洞,恶意用户可以利用该漏洞来破坏Active Directory域控制器。事情起因有些复杂,6月8日的,微软发布了针对CVE-2021-1675的修复程序,该漏洞被标记为提权漏洞。普通用户可以利用此漏洞以管理员身份在运行打印后台处理程序服务的系统上执行代码。然后在6月21日,没有任何解释,微软将该分类升级为更严重的远程代码执行漏洞。一组安全研究人员在看到该漏洞的严重性已升级后,决定发布针对打印假脱机服务中远程代码执行漏洞的概念验证漏洞,大概认为它现在已被修补。但是他们发布的漏洞利用代码针对的是一个与CVE-2021-1675类似但不完全相同的漏洞,结果这个漏洞被不法分子用来实施网络攻击。这个未修补的漏洞被称为PrintNightmare,可能需要微软单独更新才能完全解决它。

【参考链接】https://ti.nsfocus.com/security-news/4qYOi

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。


文章来源: http://blog.nsfocus.net/weekly-20210705/
如有侵权请联系:admin#unsafe.sh