【威胁通告】海王捕鱼威胁情报周报(2021.05.24-2021.05.30)
2021-06-01
一、 威胁通告
VMware VCenter Server 远程代码执行漏洞
【发布时间】2021-05-26 22:00:00 GMT
【概述】
2021 年 5 月 26 日,海王捕鱼 CERT 监测到 VMware 官方发布安全公告,修复了 VMware vCenter Server 远程代码执行漏洞(CVE-2021-21985)和 vCenter Server 插件中的身份验证绕过漏洞(CVE-2021-21986);由于 vCenter Server 中的插件 Virtual SAN Health Check 缺少输入验证,通过 443 端口访问 vSphere Client(HTML5)的攻击者,可以构造特殊的数据包在目标主机上执行任意代码。无论是否使用 vSAN,vCenter Server 都会默认启用该受影响的插件,CVSS 评分为 9.8,请相关用户采取措施进行防护。
【链接】
https://nti.nsfocus.com/threatWarning
Nginx DNS 解析程序漏洞
【发布时间】2021-05-26 22:00:00 GMT
【概述】
2021 年 5 月 26 日,海王捕鱼 CERT 监测到 Nginx 发布安全公告,修复了 nginx 解析器中的一个 DNS 解析程序漏洞(CVE-2021-23017),由于 ngx_resolver_copy()处理 DNS 响应时存在错误 ,当nginx 配置文件中使用了“ resolver”指令时,未经身份验证的攻击者能够伪造来自DNS 服务器的 UDP 数据包,构造特制的 DNS 响应导致 1 字节内存覆盖,从而造成拒绝服务或任意代码执行。目前已有细节信息披露,请相关用户采取措施进行防护。
【链接】
https://nti.nsfocus.com/threatWarning
二、 热点资讯
1. REvil风云再起,APT式勒索爆发
【概述】
2021年5月,海王捕鱼CERT监测到REvil/Sodinokibi勒索家族的多起活动,REvil为Ransomware Evil(又称Sodinokibi)的缩写,是一个私人勒索软件即服务(RaaS)组织。于2019年4月首次被发现,在一年内就已被用于一些知名网络攻击,2019年8月的PerCSoft攻击,2020年1月的Travelex勒索软件攻击,及2020年1月的Gedia Automotive攻击等事件。近期,该组织入侵了苹果公司的供应商,并窃取了苹果公司即将推出的产品机密原理图。多数网络安全专家认为,REvil是以前一个臭名昭著但已解散的黑客团伙GandCrab的分支。该推测源于REvil在GandCrab停止运营后立刻开始活动,且二者使用的勒索软件存在大量共享代码。
【参考链接】
https://ti.nsfocus.com/security-news/4qYIS
2. 音响设备巨头Bose遭勒索软件攻击
【概述】
Bose透露,2021年3月上旬他们经历了一场网络攻击,破坏了一些IT系统,并于2021年4月29日确定网络攻击的肇事者可能访问了少量内部电子表格,其中包括人力资源部门维护的管理信息。当时一旦发现攻击,Bose启动了必要的事件响应协议,包括其技术团队以防止恶意软件进一步传播,并加强对未经授权的活动的防御。受此次网络攻击影响的数据包括社会安全号码、员工姓名和薪酬数据。
【参考链接】
https://ti.nsfocus.com/security-news/4qYHY
3. 印度最大航空公司450万名乘客信息泄露
【概述】
2021年2月,印度最大航空公司—印度航空公司(Air India)的乘客服务系统提供商SITA遭遇黑客攻击。两个月后,印度航空公司披露,约450万乘客的信息遭泄露。印度航空公司称,此次泄露的数据范围是2011年8月至2021年2月期间登记的乘客数据,泄露信息包括姓名、信用卡帐号、护照、出生日期、联系信息、机票信息、星空联盟信息以及印度航空常旅客信息。
【参考链接】
https://ti.nsfocus.com/security-news/4qYHF
4. TeamTNT组织针对Kubernetes集群进行蠕虫式攻击
【概述】
以云计算为重点的密码劫持团队TeamTNT进行了蠕虫状攻击,跨多个Kubernetes群集破坏了大约50,000个IP。TeamTNT 是一个专注于云的加密劫持组织,他们经常针对受感染的云系统上的 Amazon Web Services 凭证文件来挖掘加密货币 Monero。由谷歌开发和支持的Kubernetes是采用最广泛的容器编排平台之一,用于自动化部署、扩展和管理容器化的应用程序。
【参考链接】
https://ti.nsfocus.com/security-news/4qYI7
5. 美保险巨头CNA支付4000万美元勒索赎金
【概述】
美国最大的保险公司之一CNA Financial已经向勒索软件组织支付了4000万美元的赎金,原因是该公司的IT系统被勒索软件锁定,攻击者还窃取了数据。据悉,攻击CNA的勒索软件组织Phoenix使用的是Evil Corp编写的Hades勒索软件的变体—Phoenix Locker。
【参考链接】
https://ti.nsfocus.com/security-news/4qYI8
6. StrRAT伪装成勒索软件
【概述】
微软警告一场新的垃圾邮件活动使用基于java的StrRAT恶意软件的更新变体,该恶意软件将自己伪装成勒索软件感染,窃取机密数据,尽管它实际上并不加密数据。同时这种远程访问木马因其类似勒索软件的行为而臭名昭著,它会将文件扩展名.crimson附加到文件中,却不对文件进行加密,该扩展名可以防止用户双击打开文件,使攻击者能够进行快速而简单的勒索尝试,但微软指出,用户可以删除该扩展名来恢复他们的文件。
【参考链接】
https://ti.nsfocus.com/security-news/4qYHJ
7. 苹果修补了MacOS中允许偷拍屏幕的零日漏洞
【概述】
苹果已经修补了 macOS 中的一个严重错误,该错误可被利用来截取某人计算机的屏幕截图,并在该人不知情的情况下捕获他们在应用程序或视频会议中的活动图像。研究人员表示,他们发现 XCSSET 间谍软件正在使用该漏洞,跟踪为CVE-2021-30713,专门用于在不需要额外权限的情况下截取用户桌面的屏幕截图 ,该漏洞通过绕过透明同意和控制(TCC)框架而起作用,该框架控制应用程序可以访问的资源,例如授予视频协作软件对网络摄像头和麦克风的访问权限,以便参加虚拟会议。
【参考链接】
https://ti.nsfocus.com/security-news/4qYHV
8. Agrius 组织利用磁盘擦除器攻击以色列
【概述】
Apostle 是一种独特且前所未见的磁盘擦除恶意软件,伪装成勒索软件,对以色列的不同目标发动破坏性攻击,主要针对网络基础设施。此次攻击活动由Agrius 黑客组织发起,该组织是与伊朗政府有关的,通常使用定制的工具集和现成的安全软件来部署定制的擦除器兼勒索软件或破坏性的擦除器变体,主要重点是数据破坏和网络间谍活动。
【参考链接】
https://ti.nsfocus.com/security-news/4qYHU
9. BazaLoader伪装成电影流媒体服务
【概述】
BravoMovies网站的功能包括伪造的电影海报和带有FAQ常见问题解答、以及可用来“取消”这项服务的Excel电子表格,但它下载的只是恶意软件BazaLoader。BazaLoader 是一种加载程序,用于部署勒索软件或其他类型的恶意软件,并从受害系统窃取敏感数据。BravoMovies 活动使用精心设计的感染链,与 BazaLoader 附属机构保持一致,这些附属机构诱使受害者跳过多个圈套以触发恶意软件负载,威胁行为者从一封电子邮件开始,告诉收件人除非取消他们对服务的订阅,否则他们的信用卡将被收取费用,这是他们从未签署过的订阅。
【参考链接】
https://ti.nsfocus.com/security-news/4qYI2
