【威胁通告】海王捕鱼威胁情报周报(2021.05.10-2021.05.16)
2021-05-17
一、 威胁通告
HTTP 协议栈远程代码执行漏洞(CVE-2021-31166)
【发布时间】2021-05-12 16:00:00 GMT
【概述】
5 月 12 日,海王捕鱼监测到微软官方发布 5 月安全更新补丁,其中修复了一个 HTTP 协议栈远程代码执行漏洞(CVE-2021-31166),该漏洞存在于 HTTP 协议栈(http.sys) 的处理程序中,未经身份验证的远程攻击者可通过向目标主机发送特制数据包来进行利用,从而在目标系统上以内核身份执行任意代码。CVSS 评分为 9.8,微软表示此漏洞可用于蠕虫式传。
【链接】
https://nti.nsfocus.com/threatWarning
微软 2021年5月安全更新多个产品高危漏洞
【发布时间】2021-05-12 16:00:00 GMT
【概述】
5 月 12 日,微软发布 5 月安全更新补丁,修复了 55 个安全漏洞,涉及 Windows、Microsoft Office、Exchange Server、Visual Studio Code、Internet Explorer 等广泛使用的产品,其中包括远程代码执行和权限提升等高危漏洞类型。
【链接】
https://nti.nsfocus.com/threatWarning
二、 热点资讯
1. 从油气管道公司被勒索,剖析DARKSIDE类组织对关键信息基础设施的影响及应对措施
【概述】
当地时间5月7日,美国最大的燃油管道运营商Colonial Pipeline因受到勒索软件攻击被迫关闭了其美国东部沿海各州供油的关键燃油网络。此次勒索攻击使美国三个区域受到了断油的影响,共涉及17个州。5月9日,联邦汽车运输安全管理局(FMCSA)发布区域紧急状态声明,放宽了17个州和哥伦比亚特区对携带汽油、柴油、喷气燃料和其他精炼石油产品运输司机的服务时间规定。允许他们额外或更灵活的工作时间,以减轻管道中断导致有关燃料短缺的影响。BBC称多个消息来源证实,是一个名为DarkSide的网络犯罪团伙进行了此次勒索攻击。该团伙在周四入侵了Colonial的网络,并窃取了近100GB的数据,以威胁如果不在周五前支付赎金会将其泄漏到互联网。
【参考链接】
https://ti.nsfocus.com/security-news/4qYGg
2. ICEDID针对金融机构的最新活动
【概述】
前段时间,海王捕鱼伏影实验室捕获到一批相似度十分接近的样本。我们对这批样本进行了持续跟踪,并进行了全面的分析,发现其为ICEDID最新活动,本次活动中攻击者新构了一种恶意软件加载器Gziploader。该类样本在2021年3月中旬开始大量活跃,样本数量众多,主要通过垃圾邮件或钓鱼邮件的方式进行传播。
【参考链接】
https://ti.nsfocus.com/security-news/4qYGg
3. Operation TunnelSnake利用后门进行间谍活动
【概述】
Operation TunnelSnake高级持续威胁活动正在进行中,该活动使用一个名为Moriya的Windows rootkit部署一个被动后门来监视受害者,在受害组织内部面向公众的服务器上开展的活动是为了监视网络流量,并向受影响的主机发送命令。据卡巴斯基报道,攻击者使用的是特权植入物,这些植入物通常被用作驱动程序。Moriya Rootkit最初于2019年10月和2020年5月在亚洲和非洲的区域外交组织网络上被发现。研究人员说,这些感染在目标网络中持续了几个月。
【参考链接】
https://ti.nsfocus.com/security-news/4qYFY
4. Babuk勒索软件团伙泄露华盛顿警方数据
【概述】
最近由Babuk勒索软件团伙泄露的文件包含26GB的记录,泄露的数据来自华盛顿警察局,该警局愿意支付10万美元已防止被盗数据泄露,未满足Babuk勒索软件团伙要求的400万美元赎金。Babuk勒索软件团伙从该部门的网络中窃取了近250 GB的未加密文件,该数据库包括情报简报、调查报告、纪律处分和逮捕数据。
【参考链接】
https://ti.nsfocus.com/security-news/4qYG0
5. Android恶意软件冒充Chrome应用传播病毒
【概述】
针对Android设备的攻击会自我传播,并可能造成一系列损害。在过去几周内,一个冒充Chrome应用的新Android恶意软件已经蔓延到数十万人。这款恶意应用程序被用作一场复杂网络攻击活动的一部分,威胁行为者从受感染设备每周发送超过2,000条的SMS消息,旨在利用移动网络钓鱼窃取个人感敏信息和凭证。
【参考链接】
https://ti.nsfocus.com/security-news/ruT9
6. 黑客针对使用Adobe Reader的Windows用户
【概述】
Adobe 2021年5月的安全更新在Experience Manager、InDesign、Illustrator、InCopy、Adobe Genuine Service、Acrobat和Reader、Magento、Creative Cloud Desktop、Media Encoder、Medium和Animate中至少解决了43个CVE。上述缺陷中的5个是通过ZDI程序报告的。其中一个问题被追踪为CVE-2021-28550,它是一个影响Adobe Reader for Windows的免费使用后内存损坏缺陷,该缺陷已在有限的攻击中被广泛利用。
【参考链接】
https://ti.nsfocus.com/security-news/4qYFL
7. Avaddon勒索软件攻击增加
【概述】
据联邦调查局FBI和澳大利亚网络安全中心ACSC称,攻击者正在使用Avaddon勒索软件攻击美国、澳大利亚和其他地方的不同组织。这些机构警告说,正在进行的活动针对制造商、航空公司、医疗保健机构和其他机构。Avaddon勒索软件最初是在俄语黑客论坛上作为一种勒索软件即服务产品进行推广的,随后被用于网络犯罪活动,该勒索软件通过网络钓鱼和恶意垃圾邮件活动进行传播,这些活动提供了恶意的JavaScript文件。
【参考链接】
https://ti.nsfocus.com/security-news/4qYFM
8. WallStreetBets论坛成员因加密货币诈骗损失200万美元
【概述】
WallStreetBets (WSB)论坛的部分成员成为加密货币诈骗活动的受害者,威胁行为者诱使购买一种称为WSB Finance的新型加密货币代币,要求将Binance Coins(称为BNB)或以太币发送至指定加密货币钱包,然后与Telegram上的“代币机器人”联系,接收WSB Finance,接下来在Telegram上告诉已经汇款的人,由于机器人问题,需要再次汇出相同的金额,否则将会失去最初的投资 。此次诈骗活动是一些用户蒙受200美元的损失。
【参考链接】
https://ti.nsfocus.com/security-news/ruSN
9. 恶意垃圾邮件活动使用Hancitor下载Cuba勒索软件
【概述】
威胁行为者正积极使用Hancitor来部署Cuba勒索软件,从而初步进入目标网络,一旦受害者的设备被成功入侵,如果赎金要求没有得到满足,就会利用Cuba勒索软件专门的数据泄露网站发布被泄露的数据。古巴勒索软件至少从2020年1月起就开始活跃,其运营商拥有DLS网站,他们在该网站上发布了拒绝支付赎金的受害者的敏感数据,主要来自自航空、金融、教育和制造业公司的敏感信息。
【参考链接】
https://ti.nsfocus.com/security-news/ruSP
10. XcodeGhost恶意软件影响1.28亿iOS用户
【概述】
自2015年以来一直活跃的臭名昭著的XcodeGhost恶意软件大规模感染已影响了1.28亿iOS用户。大规模黑客入侵是由于App Store中提供了4000个恶意应用程序,结果发现这些应用程序包含XCodeGhost恶意软件。威胁行为者使用XcodeGhost来接管受害者的移动设备,能够窃取凭据、劫持用户的流量并窃取iCloud密码。
【参考链接】
https://ti.nsfocus.com/security-news/ruTc
