阅读: 11
一、威胁通告
- Oracle全系产品10月重要补丁更新通告(CVE-2021-22931、CVE-2021-3711、CVE-2021-22926)
【发布时间】2021-10-21 10:00:00 GMT
【概述】
2021年10月20日,绿盟科技监测发现Oracle官方发布了10月重要补丁更新公告CPU(Critical Patch Update),此次共修复了419个不同程度的漏洞,此次安全更新涉及Oracle MySQL、Oracle Weblogic Server、Oracle Java SE、Oracle FusionMiddleware、Oracle Retail Applications等多个常用产品。Oracle强烈建议客户尽快应用关键补丁更新修复程序,对漏洞进行修复。
【链接】https://nti.nsfocus.com/threatWarning
二、 热点资讯
- 攻击者利用 Discord 基础设施进行恶意攻击
【概述】
Check Point Research (CPR) 发现了一种多功能恶意软件,能够截取屏幕截图、下载和执行其他文件以及执行键盘记录——所有这些都是通过使用 Discord 的核心功能。Discord 机器人功能强大、友好且非常节省时间。然而,能力越大责任也越大,Discord的bot框架很容易被恶意利用。研究人员发现,其中Discord Bot API 是一个简单的 Python 实现,它简化了修改并缩短了开发过程,可以轻松地将机器人变成一个简单的远程访问木马来窃取信息。
【参考链接】https://ti.nsfocus.com/security-news/IlMXw
- 攻击者针对美国军事防务机构进行Office 365间谍攻击
【概述】
研究人员发现了一个名为DEV-0343的网络组织攻击了美国和以色列的国防技术公司、波斯湾的入境港口以及与中东有关的全球海上运输公司。该威胁组织的攻击方式主要是接管微软Office 365账户。攻击者似乎一直在从事网络间谍活动,同时该组织与伊朗有联系,并且网络攻击者正在对Office 365账户进行大面积的密码喷洒攻击。它是一种针对在线账户使用大量用户名和一系列不同密码进行攻击的过程,攻击者希望找到正确的密码并获得对受密码保护账户的访问权限。
【参考链接】https://ti.nsfocus.com/security-news/IlMXy
- 黑客利用cookie窃取恶意软件劫持YouTube创作者的帐户
【概述】
黑客利用虚假的合作机会(即杀毒软件、VPN、音乐播放器、照片编辑或网络游戏的演示)劫持了 YouTube 创作者的频道,一旦劫持了频道,攻击者要么将其出售给出价最高的人,要么将其用于加密货币诈骗计划。研究人员发现,恶意软件在登陆页面伪装成软件下载 URL,通过电子邮件或 Google Drive 上的 PDF 或包含网络钓鱼链接的 Google 文档发送。并确定了大约 15,000 个演员帐户,其中大部分是为此活动创建的,还观察到,攻击者将目标推向 WhatsApp、Telegram 或 Discord 等消息应用程序,因为谷歌能够通过 Gmail 阻止网络钓鱼企图,运行假冒软件后,将执行 cookie 窃取恶意软件。恶意软件从受感染的机器窃取浏览器 cookie 并将其发送到 C2 服务器。一旦在目标系统上交付,恶意软件就会被用来窃取他们的凭据和浏览器 cookie,从而允许攻击者在传递 cookie 攻击中劫持受害者的帐户。
【参考链接】https://ti.nsfocus.com/security-news/IlMXv
- 攻击者使用Telegram Bot窃取PayPal账户资金
【概述】
新的研究发现,网络犯罪分子正在使用Telegram机器人窃取一次性密码token(OTP)并通过银行和在线支付系统(包括PayPal、Apple Pay和Google Pay)欺诈群众。并表示威胁行为者正在使用Telegram机器人和频道以及一系列策略来获取帐户信息,包括致电受害者、冒充银行和合法服务等,同时通过社会工程,威胁行为者还欺骗人们通过移动设备向他们提供OTP或其他验证码,然后骗子用这些代码来骗取用户账户中的资金。
【参考链接】https://ti.nsfocus.com/security-news/IlMXm
- 宏碁一周内遭遇二次数据泄露
【概述】
科技巨头宏碁在一周内遭到两次黑客攻击,同一个威胁者 (Desorden) 最初入侵了其在印度的一些服务器,现在它声称也入侵了台湾的一些系统。该事件是在威胁行为者在一个地下网络犯罪论坛上发布销售超过60 GB数据的广告后披露的。攻击者现在声称已于10月 15日入侵了宏碁台湾的服务器,并窃取了内部数据,包括员工和产品信息。
【参考链接】https://ti.nsfocus.com/security-news/IlMXi
- 攻击者在恶意活动中使用大量商品RAT攻击阿富汗和印度
【概述】
Cisco Talos最近发现了一个威胁行为者,它使用政治和政府为主题的恶意域来针对印度和阿富汗的实体。这些攻击使用 dcRAT 和 QuasarRAT for Windows,通过利用CVE-2017-11882(Microsoft Office 中的内存损坏漏洞)和 AndroidRAT 的恶意文档来攻击移动设备。攻击者还在攻击的初始侦察阶段使用自定义文件枚举器和感染器,然后通过部署各种商品 RAT(例如 DcRAT 和 QuasarRAT)进行攻击。
【参考链接】https://ti.nsfocus.com/security-news/IlMXl
- 黑客滥用苹果公司企业应用程序盗取140万美元的加密货币
【概述】
黑客利用社交媒体、约会应用程序、加密货币和滥用苹果公司企业开发者计划,从毫无戒心的受害者那里盗取了至少140万美元。其中名为CryptoRom欺诈的实施相当直接,在通过社交媒体或现有数据应用程序获得受害者的信任后,用户被愚弄到一个看起来像苹果应用商店的网站,然后被告知下载一个移动设备管理程序,安装一个修改版的加密货币交易所,诱使其投资,然后骗走现金。
【参考链接】https://ti.nsfocus.com/security-news/IlMWU
- 攻击者冒充DoT进行了为期两天的钓鱼诈骗攻击
【概述】
威胁者在为期两天的网络钓鱼攻击活动中冒充美国交通部(USDOT),他们通过使用多种策略,为了使攻击活动看起来更合法,他们还创建了虚假的联邦网站的域名,来逃避安全检测。研究人员共发现了41封钓鱼邮件,这些邮件都以国会最近通过的1万亿美元基础设施方案中的项目投标为诱饵进行诈骗。此次攻击活动主要以工程、能源和建筑等行业的公司为攻击目标,这些公司可能会与美国交通部合作,并向潜在的受害者发送诈骗电子邮件,一旦进入这个假冒的美国交通部网站,受害者就会被邀请点击一个 “点击这里投标 “按钮,还会出现一个带有微软标志和 “用你的电子邮件提供商登录 “指示的凭证收集表格。第一次尝试输入凭证时会遇到ReCAPTCHA验证,合法网站一般会将其作为网站的安全组件,然而,攻击者在这时就已经获取了凭证,如果受害者第二次尝试输入证书,就会出现一个错误信息,然后他们会被引导到真正的美国交通部网站,钓鱼者经常将这一步作为最后一步来进行执行。
【参考链接】https://ti.nsfocus.com/security-news/IlMX9
- 黑客窃取了阿根廷全体人口的政府ID数据库
【概述】
一名黑客入侵了阿根廷政府的IT网络,并窃取了该国所有人口的身份证详细信息,这些数据现在正在私人圈子中出售。上个月发生的黑客攻击目标是 RENAPER,它代表 Registro Nacional de las Personas,翻译为 National Registry of Persons。该机构是阿根廷内政部的一个重要组成部分,其任务是向所有公民发放国民身份证,并将这些数据以数字格式存储为其他政府机构可访问的数据库,作为大多数政府查询的支柱用于公民的个人信息。根据黑客在线提供的样本,他们现在可以访问的信息包括全名、家庭住址、出生日期、性别信息、身份证签发和到期日期、劳工识别码、Trámite号码、公民号码和政府照片身份证。
【参考链接】https://ti.nsfocus.com/security-news/IlMX8
- TeamTNT在Docker Hub上部署恶意Docker镜像
【概述】
研究人员最近发现了一项活动,其中 TeamTNT 威胁参与者部署了带有嵌入式脚本的恶意容器映像(托管在 Docker Hub 上),以下载 Zgrab 扫描器 和 massscanner,分别用于横幅抓取和端口扫描的渗透测试工具。使用恶意 Docker 镜像中的扫描工具,威胁行为者尝试扫描受害者子网中的更多目标并执行进一步的恶意活动。其中犯罪团伙继续将 Docker Hub、GitHub 和其他包含包含恶意脚本和工具的容器映像和软件组件的共享存储库作为目标。他们通常旨在传播 coinminer 恶意软件,劫持受害者的计算机资源来挖掘加密货币。
【参考链接】https://ti.nsfocus.com/security-news/IlMX5
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。