【威胁通告】海王捕鱼威胁情报周报(2021.06.14-2021.06.20)
2021-06-21
一、 热点资讯
1. Cosmolog Kozmetik数据泄露:数十万客户受到影响
【概述】
Cosmolog Kozmetik是一家土耳其在线零售商,在几乎所有主要的土耳其电子商务平台上运营,包括Trendyol、Hepsiburada和Unishop。它们归格切克·科兹梅蒂克所有。该公司主要经营护肤品和香水等美容产品的销售和运输。他们还以“Marketlog”的名义销售其他商品
【参考链接】
https://ti.nsfocus.com/security-news/4qYLA
2. 极客小队通过Vishing攻击绕过电子邮件安全保护,攻击25K个邮箱
【概述】
最近,以极客小队和诺顿杀毒软件为掩护的帐单和技术支持“vishing”攻击成功地击中了25000个邮箱,搜索受害者的信用卡信息。
Vishing(语音网络钓鱼的缩写)通常包括通过电话窃取受害者的个人信息或留下欺诈性的语音信息。在这种情况下,策略包括通过电子邮件发送假订单收据,然后包括电话号码,以便“处理订单退货”
【参考链接】
https://ti.nsfocus.com/security-news/4qYLz
3. 在APT活动中发现了新的 "Victory "后门
【概述】
研究人员说,我们发现了一个正在秘密进行的监视行动,其目标是使用一个以前从未见过的恶意软件来攻击一个东南亚国家的政府。
据Check Point研究公司称,该攻击通过发送附加了恶意的Word文档的鱼叉式钓鱼邮件,来获得系统的初始访问权限,同时也会利用已知的微软Office安全漏洞。研究人员说,最值得注意的是,我们发现了一个新的后门文件,这个APT组织三年来一直在开发这个后门。
【参考链接】
https://ti.nsfocus.com/security-news/4qYLD
4. UNC2465网络犯罪集团对央视供应商发起供应链攻击
【概述】
Mandiant研究人员发现,被追踪为UNC2465的 DARKSIDE 勒索团伙的一个分支对CCTV供应商进行了供应链攻击。UNC2465 被认为是 DARKSIDE 集团的主要附属组织之一,与 FireEye/Mandiant 跟踪的其他附属团伙一起,称为 UNC2628 和 UNC2659。
【参考链接】
https://ti.nsfocus.com/security-news/4qYLr
5. 11亿客户的CVS健康记录被曝光
【概述】
超过10亿条CVS健康客户的记录被留在一个第三方,未透露姓名的供应商的数据库中——暴露,无保护,可在线访问。研究人员说,所曝光的数据点可以串在一起,创建一个极其个人化的快照。
安全研究员耶利米·福勒(Jeremiah Fowler)周四在网站上的一篇文章中说: 换句话说,这可能是基于云存储的又一起泛滥的误配置事件,从而导致内部网络上敏感数据的泄露。
【参考链接】
https://ti.nsfocus.com/security-news/4qYLC
6. Cyberium恶意软件托管域被用于多个Mirai变体活动
【概述】
在3月底,AT外星人实验室观察到,针对Tenda远程代码执行(RCE)漏洞 CVE-2020-10987 的开发尝试激增。AT外星人实验室发布的分析报告写道:在几个小时内,在大量客户中观察到了这一峰值。此漏洞可以通过请求的URL进行识别,其中包括将有效载荷分配给易受攻击参数"设备名称"的"setUsbUnload"。此有效载荷包含将执行路径更改为临时位置、从恶意软件托管页面获取文件、提供执行权限并执行它的逻辑。
【参考链接】
https://ti.nsfocus.com/security-news/4qYLn
7. Paradise勒索软件源代码被公开,攻击者可进行“私人定制”
【概述】
2017年9月,Paradise勒索软件首次被发现,其通过包含恶意IQY附件的钓鱼邮件发起攻击,这些附件下载并安装了勒索软件。
之后,该勒索软件又发布了多个版本,由于最初的版本中含有缺陷,因此研究人员对其进行研究并发布了Paradise的解密器。
然而,新版本的Paradise将加密方法更改为RSA,这就使原先的解密器“失效”了,文件无法再被免费解密。
创建最初版本Paradise勒索软件解密器的Michael Gillespie表示,现已发布的Paradise版本包括:
Paradise——解密器可适用的最初版本。
Paradise .NET——一个.NET版本,它将加密算法转换为使用RSA加密。
Paradise B29——一个变体,只对文件的末端进行加密。
不幸的是,此次被公布源代码的是.NET版本的Paradise,它使用RSA加密无法被解密器破解。
【参考链接】
https://ti.nsfocus.com/security-news/4qYLl
8. 葡萄牙发生银行网络钓鱼事件,攻击者利用谷歌的开放重定向失败来避免被发现
【概述】
自2021年6月13日星期日结束以来,犯罪分子正通过电子邮件传播新一轮冒充千年BCP实体的网络钓鱼浪潮。最近的这一活动利用了Google合法系统的一系列重定向,以防止网络监控系统、防火墙、SIEM甚至恶意软件检测系统(如防病毒和EDR)对恶意网站进行检测。
【参考链接】
https://ti.nsfocus.com/security-news/4qYL9
9. 【安全头条】袭击美国核武器承包商,REvil勒索软件再下手
【概述】
继宏碁(acer)、苹果供应商环旭电子、日本富士、全球最大肉制品供应商JBS等公司后,美国核武供应商Sol Oriens公司成为了REvil勒索病毒“刀”下的又一个受害者。
上周五有消息披露,美国能源部(DOE)分包商与国家核安全局(NNSA)合作开发核武系统的Sol Oriens公司在5月遭遇勒索病毒攻击,而幕后真凶就是臭名昭著的勒索软件团伙REvil。
【参考链接】
https://ti.nsfocus.com/security-news/4qYL8
10. 大众汽车供应商泄露了330万名车主的数据
【概述】
大众汽车美国公司(Volkswagen America)上周表示,大众汽车的一家供应商将其一个系统开放了近两年,暴露了330万客户的个人数据,这些客户几乎都是该公司豪华品牌Audis的所有者或有意拥有者。
大众汽车在致缅因州司法部长的一封信中称,这起违规事件发生在2019年8月至2021年5月之间,TechCrunch记者扎克·惠塔克(Zack Whittaker)首先发现了这封信。
【参考链接】
https://ti.nsfocus.com/security-news/4qYKS
