【威胁通告】海王捕鱼威胁情报周报(2021.09.20-2021.09.26)
2021-09-30
一、 威胁通告
海康威视产品命令注入漏洞(CVE-2021-36260)
【发布时间】2021-09-22 13:00:00GMT
【概述】
近日,海王捕鱼CERT监测到海康威视发布安全通告,修复了海康威视部分产品中的web模块存在的一个命令注入漏洞,由于对输入参数校验不充分,未经身份验证的攻击者通过构造带有恶意命令的报文发送到受影响设备,可实现远程命令执行。
海康威视是以视频为核心的智能物联网解决方案和大数据服务提供商,业务聚焦于智能物联网、大数据服务和智慧业务,构建开放合作生态,为公共服务领域用户、企事业用户和中小企业用户提供服务,致力于构筑云边融合、物信融合、数智融合的智慧城市和数字化企业。
【链接】
https://nti.nsfocus.com/threatWarning
l VMware vCenter Server 多个高危漏洞通告(CVE-2021-22005)
【发布时间】2021-09-22 13:00:00GMT
【概述】
9月22日,海王捕鱼CERT监测到VMware 官方发布安全通告披露了VMware vCenter Server中的多个漏洞,攻击者可利用这些漏洞造成信息泄露、权限提升、远程代码执行等。目前官方已更新版本修复,请相关用户采取措施进行防护。
vCenter Server是VMware公司的一种服务器管理解决方案,可帮助IT管理员通过单个控制台管理企业环境中的虚拟机和虚拟化主机。
【链接】
https://nti.nsfocus.com/threatWarning
二、 热点资讯
1. 攻击者利用Numando新型银行木马针对墨西哥和西班牙用户发起攻击
【概述】
研究人员发现了一种新的 LATAM 银行木马,被命名为 Numando,它滥用 YouTube、Pastebin 和其他公共平台作为 C2 基础设施并进行传播。专家发现了攻击者利用Numando恶意软件针对墨西哥和西班牙用户的发起攻击。与其他拉丁美洲银行木马一样,它是用 Delphi 编写的,并利用虚假的覆盖窗口来诱骗受害者提供敏感信息。一旦 Numando 安装在目标机器上,每当受害者访问金融组织的网站并捕获他们提供的凭据时,它都会创建虚假的覆盖窗口。
【参考链接】
https://ti.nsfocus.com/security-news/IlMSj
2. APT-C-36间谍组织通过伪装成哥伦比亚政府机构向用户传播虚假的电子邮件
【概述】
研究人员发现了一项针对南美组织的鱼叉式网络钓鱼邮件的垃圾邮件活动,这些攻击归因于一种被称为APT-C-36的高级持续威胁组织 (APT) ,该组织主要通过伪装成哥伦比亚政府机构,向客户分发欺诈性的电子邮件,当邮件收件人打开诱饵 PDF 或 Word 文档时,感染链就开始,该邮件声称是与其相关的扣押令,银行帐户,然后单击从 URL 缩短器服务生成的链接。APT-C-36 会根据位置和电子邮件收件人的财务状况来选择他们的目标。
【参考链接】
https://ti.nsfocus.com/security-news/IlMSn
3. TeamT.NT僵尸网络团伙攻击全球各地的组织机构
【概述】
研究人员发现了一项名为Chimaera的新活动,这项活动由TeamT.NT僵尸网络团伙进行,目标是攻击全球各地的组织机构。为了窃取全球各地的组织机构登录凭证,TeamT.NT在他们的攻击设备库中添加了许多工具,包括shell脚本、隐蔽挖矿、IRC和开源软件等。他们一直在攻击Windows系统和各种Linux操作系统,以及AWS、Docker和Kubernetes,人们注意到其过去也攻击过MacOS系统。全球超过5000多例恶意软件感染事件归因于TeamTNT。
【参考链接】
https://ti.nsfocus.com/security-news/IlMSo
4. 明尼苏达州农业供应合作社水晶谷遭遇勒索软件攻击
【概述】
明尼苏达州农业供应合作社水晶谷遭遇勒索软件攻击,该合作社为 2,500 名农民和牲畜生产者提供服务,并拥有 260 名员工。这次攻击已经感染了水晶谷的计算机系统,严重中断了公司的日常运营,该公司已经关闭了 IT 系统,暂停了所有使用 Visa.Mastercard 和 Discover 信用卡的付款。
【参考链接】
https://ti.nsfocus.com/security-news/IlMSV
5. Turla组织攻击阿富汗的政府组织和机构
【概述】
一个与俄罗斯有关联的Turla 组织一直以政府组织的系统为目标,通过在该机构上部署恶意软件,以保持在受感染设备中的持久性,研究人员将恶意软件称为TinyTurla,在过去两年中已针对美国和德国系统部署。最近,Turla 在阿富汗于 8 月被塔利班占领之前就使用了该恶意软件来攻击阿富汗的政府组织和机构。 Turla 将恶意软件伪装成一个名为“Windows 时间服务”的合法 Microsoft 文件,该文件允许恶意代码在后台运行并与受感染设备上的合法应用程序混合。
【参考链接】
https://ti.nsfocus.com/security-news/IlMSS
6. 攻击者利用商业RAT诱饵攻击针对印度政府人员发起攻击
【概述】
Cisco Talos 最近发现了一个针对印度次大陆政府雇员和军事人员的恶意活动,其中有两个RAT 诱饵系列,称为NetwireRAT和WarzoneRAT。攻击者向其印度政府人员发送了各种诱饵,主要伪装成与印度政府基础设施和操作相关的指南,当受害者使用恶意文档下载和检测加载程序,加载器负责下载或解密最终的 RAT 负载并将其部署在受感染的端点上。
【参考链接】
https://ti.nsfocus.com/security-news/IlMT1
7. 攻击者窃取了1.06亿泰国游客
【概述】
研究人员发现,攻击者入侵了泰国的Elasticsearch数据库,并且窃取了1.06亿泰国游客,窃取的个人信息包括旅行者的全名、护照号码、居留身份、抵达泰国的日期、移民入境卡号码和签证类型。
【参考链接】
https://ti.nsfocus.com/security-news/IlMSR
8. 俄罗斯的Yandex遭受史上最大的DDOS攻击
【概述】
Yandex是俄罗斯的第一大搜索引擎,很多人会将其称为俄罗斯的“百度”,以及是俄罗斯最大的互联网服务提供商,涵盖了搜索引擎、电子商务、电子邮件等互联网业务,称之为俄罗斯的“BAT”。 据外媒报道,近日Yandex遭受了俄罗斯互联网历史上最大的DDoS攻击,攻击峰值达到了每秒2180万次请求。Yandex内部人士称本次DDoS攻击难以遏制,截止本周仍在继续遭受攻击。本次DDoS攻击是由一个新的僵尸网络发起的,该僵尸网络被标记为Méris,由大约20多万台设备组成。
【参考链接】
https://ti.nsfocus.com/security-news/IlMSA
9. Marketron遭到 Black Matter 团伙发起的勒索软件攻击
【概述】
Marketron是一家为媒体行业提供企业收入和管理解决方案的供应商,Marketron Broadcast Solutions遭到 Black Matter 团伙发起的勒索软件攻击,该攻击已下架了该营销公司的许多产品。此次攻击直接影响了该公司的 6,000 家媒体行业客户,大部分服务仍处于离线状态。这个数字肯定会在下游效应中呈指数级增长。
【参考链接】
https://ti.nsfocus.com/security-news/IlMSD
10. 航运巨头CMA CGM遭遇攻击者袭击
【概述】
法国航运公司CMA CGM称,在遭受勒索软件攻击导致其系统离线数天后,该公司遭遇数据泄露近一年。在对集团 API 的监控操作期间,检测到有关有限客户信息(姓名、雇主、职位、电子邮件地址和电话号码)的数据泄露,此次攻击导致其 IT 系统瘫痪。
【参考链接】
https://ti.nsfocus.com/security-news/IlMSq
