【威胁通告】海王捕鱼威胁情报周报(2021.10.11-2021.10.17)
2021-10-19
一、 威胁通告
微软10月安全更新多个产品高危漏洞(CVE-2021-40461、CVE-2021-38672、CVE-2021-40449)
【发布时间】2021-10-13 18:00:00 GMT
【概述】
10月13日,海王捕鱼CERT监测到微软发布10月安全更新补丁,修复了81个安全问题,涉及Windows、Microsoft Office、Microsoft Visual Studio、Exchange Server等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞有3个,重要(Important)漏洞有70个,其中包括4个0day漏洞:Win32k 权限提升漏洞(CVE-2021-40449)、Windows DNS Server 远程代码执行漏洞(CVE-2021-40469)、Windows Kernel 权限提升漏洞(CVE-2021-41335)和Windows AppContainer 防火墙规则安全功能绕过漏洞(CVE-2021-41338)。
【链接】
https://nti.nsfocus.com/threatWarning
二、 热点资讯
1. Mykings僵尸网络通过挖矿活动至少获利2470万美元
【概述】
据研究报告显示,每天约有4700个新系统被僵尸网络感染。MyKings也被称为Smominru或Xaxmen,主要进行加密货币挖矿活动,通常瞄准未及时修补的系统,它利用多种方式进行传播,如向受害者的熟人发送命名为“照片”实为恶意软件的具有迷惑性的.rar或.zip文件,再如在流行歌手泰勒·斯威夫特(Taylor Swift)的 Jpeg 图像内隐藏恶意.exe。在成功感染后,Mykings会采取多种方式进行持久化实现长期驻留,如:清理其他木马、卸载杀毒软件、关闭系统自更新、关闭Windows Defender、阻止139、445等端口连接、添加注册表启动项等与此同时新感染的设备也会成为攻击其他系统的跳板。
【参考链接】
https://ti.nsfocus.com/security-news/IlMWr
2. 攻击者利用新型阎罗王勒索软件高度针对性攻击大型企业
【概述】
研究人员发现了一种新的勒索软件,称为 Yanluowang,用于对企业进行高度针对性的攻击。同时注意到使用合法的 AdFind 命令行 Active Directory 查询工具,该工具经常被勒索软件运营商滥用作为侦察工具。攻击者在部署到受感染设备之前,攻击者会先启动一个恶意工具,该工具先通过创建一个 .txt 文件,其中包含要在命令行中检查的远程机器数,再使用 Windows Management Instrumentation (WMI) 获取在 .txt 文件中列出的远程计算机上运行的进程列表,最后将所有进程和远程机器名称记录到 processes.txt。攻击者在部署严洛网勒索软件后,它将停止管理程序虚拟机,结束上述工具(包括 SQL 和备份解决方案 Veeam)记录的所有进程,然后对文件进行加密。勒索软件将 .yanluowang 扩展名附加到加密文件的文件名进而实施攻击。
【参考链接】
https://ti.nsfocus.com/security-news/IlMWn
3. 华为云成为加密货币挖矿恶意软件的新目标
【概述】
研究人员最近注意到一种全新的 Linux 恶意软件攻击,它针对相对较新的云服务提供商 (CSP) 进行加密货币挖掘恶意软件和加密劫持攻击。攻击者会部署代码来删除主要存在于华为云中的应用程序和服务。具体来说,恶意代码会禁用 hostguard 服务,这是一个“检测安全问题、保护系统并监控代理”的华为云 Linux 代理进程。恶意代码还包括cloudResetPwdUpdateAgent,这是一个开源插件代理,允许华为云用户重置弹性云服务(ECS)实例的密码,该实例默认安装在公共镜像上。由于攻击者在其 shell 脚本中存在这两项服务,我们可以假设他们专门针对华为云内的易受攻击的 ECS 实例。
【参考链接】
https://ti.nsfocus.com/security-news/IlMWp
4. 攻击者用数学符号绕过反钓鱼检测进行攻击
【概述】
研究人员研究人员表示作为一种古老的网络攻击手段,钓鱼邮件是企业和个人最常遇见的网络威胁之一,面对日益频发的钓鱼邮件攻击,不少企业开始部署各种反钓鱼邮件的工具和解决方案,而攻击者们则是想尽办法来规避这些反钓鱼邮件检测。近日,研究人员发现某钓鱼邮件组织使用数字符号来干扰反钓鱼邮件检测,它的核心是利用各种数字符号替换公司logo或名字中的字母,达到“欺骗”反钓鱼邮件或反垃圾邮件产品的目标。
【参考链接】
https://ti.nsfocus.com/security-news/IlMWA
5. BlackTech组织利用恶意软件Gh0stTimes对服务器进行攻击
【概述】
近日,研究人员发现了BlackTech可能使用的恶意软件Gh0stTimes,BlackTech是一个网络间谍组织,在2018年前后对日本发起攻击活动。研究人员同时在受Gh0stTimes感染的服务器上还发现了其他恶意软件,如下载器、后门程序、ELF Bifrose和攻击工具。这些工具可能会也被BlackTech组织使用。研究人员此次的研究说明BlackTech攻击组织依然活跃,且使用了更多的工具。
【参考链接】
https://ti.nsfocus.com/security-news/IlMWc
6. 攻击者利用勒索软件攻击奥林巴斯计算机系统
【概述】
医疗技术巨头奥林巴斯在网络攻击后被迫关闭其在美国(美国、加拿大和拉丁美洲)的计算机网络,公司没有透露它遭受的攻击类型,但情况表明可能是勒索软件攻击。9 月,奥林巴斯发表声明,宣布其欧洲、中东和非洲计算机网络遭到勒索软件攻击。在受感染系统上发现的赎金票据声称该公司受到BlackMatter 勒索软件组织的攻击。
【参考链接】
https://ti.nsfocus.com/security-news/IlMWa
7. 美国奎斯特诊断公司承认35万名患者医疗资料被泄露
【概述】
奎斯特诊断公司向美国证券交易委员会(SEC)通报称,公司旗下生育诊所ReproSource在八月份遭到了勒索软件攻击,约 350,000 名患者的大量健康信息和财务信息遭到泄漏,部分患者的社会安全号码(ssn)和信用卡号码也遭到泄漏。攻击期间还泄露了用户大量健康信息,包括 CPT 代码、诊断代码、测试申请和结果、测试报告和病史信息、健康保险或团体计划识别名称和编号以及个人或由个人提供的其他信息治疗医师。
【参考链接】
https://ti.nsfocus.com/security-news/IlMWd
8. 微软击退了针对Azure客户的创纪录的2.4 Tbps DDoS攻击
【概述】
研究者表示其 Azure 云平台在 8 月的最后一周缓解了针对欧洲未具名客户的 2.4 Tbps 分布式拒绝服务 (DDoS) 攻击,超过了亚马逊网络服务在 2020 年 2 月阻止的2.3 Tbps 攻击。DDoS攻击是攻击者利用 UDP 协议的无连接特性和欺骗性请求,用大量数据包淹没目标服务器或网络,造成中断或渲染服务器及其周边基础设施不可用。据说这次攻击源自一个由大约 70,000 台受感染设备组成的僵尸网络,这些设备主要位于亚太地区,例如马来西亚、越南、台湾、日本和中国,以及美国等国家。
【参考链接】
https://ti.nsfocus.com/security-news/IlMVV
9. 与伊朗有关的DEV-0343 APT目标是美国和以色列国防技术公司
【概述】
Microsoft 威胁情报中心 (MSTIC) 和 Microsoft 数字安全部门 (DSU) 的研究人员发现了一个跟踪为 DEV-0343 的恶意活动集群,DEV-0343 是 Microsoft 威胁情报中心 (MSTIC) 首次观察到并于 2021 年 7 月下旬开始跟踪的新活动集群。MSTIC 观察到 DEV-0343 对 250 多个 Office 365 租户进行了广泛的密码喷洒,攻击重点是美国和以色列国防技术公司、波斯湾入境口岸或在中东开展业务的全球海上运输公司。
【参考链接】
https://ti.nsfocus.com/security-news/IlMW9
10. 日本跨国公遭勒索软件攻击,被勒索700万美金赎金
【概述】
近日,日本跨国公司JVCKenwood遭到了Conti 勒索软件攻击,攻击者声称窃取了1.7TB的数据,并勒索700 万美元的赎金。JVCKenwood 是一家总部位于日本的跨国电子公司,拥有 16,956 名员工,2021 年的收入为 24.5 亿美元。该公司以其 JVC、Kenwood 和 Victor 品牌而闻名,这些品牌生产汽车和家庭音频设备、医疗保健和无线电设备、专业和车载摄像头以及便携式发电站。JVCKenwood表示,其在欧洲的销售公司的服务器于9月22日遭到破坏,攻击者可能在攻击期间访问了数据。
【参考链接】
https://ti.nsfocus.com/security-news/IlMVK
