【威胁通告】海王捕鱼威胁情报周报(2021.12.06-2021.12.12)
2021-12-13
一、 威胁通告
Apache Log4j2 远程代码执行漏洞处置手册
【发布时间】2021-12-10 14:00:00 GMT
【概述】
12 月 9 日,海王捕鱼CERT监测到网上披露Apache Log4j2远程代码执行漏洞,由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在目标服务器上执行任意代码。漏洞 PoC 已在网上公开,默认配置即可进行利用,该漏洞影响范围极广,建议相关用户尽快采取措施进行排查与防护。Apache Log4j2是一款开源的Java日志框架,被广泛地应用在中间件、开发框架与Web应用中,用来记录日志信息。海王捕鱼已成功复现此漏洞。
【链接】
https://nti.nsfocus.com/threatWarning
黑客利用开源代码平台 SonarQube 漏洞泄露多家单位源码
【发布时间】2021-12-10 14:00:00 GMT
【概述】
2021 年 10 月以来,海王捕鱼CERT监测发现境外黑客组织AgainstTheWest(简称“ATW”)针对暴露在公网上的SonarQube平台进行攻击,窃取了我国多家企业单位信息系统源代码,并在国外黑客论坛RaidForums上进行非法售卖。10月14日,ATW 在 RaidForums上发帖称要泄露我国某银行系统源代码,并在此后一段时间内持续发帖泄露、售卖我国多家重要单位源代码数据信息。经研判分析知,ATW 黑客组织攻击的单位涉及金融、运营商、交通、互联网、教育、政府等行业。
【链接】
https://nti.nsfocus.com/threatWarning
二、 热点资讯
1. 黑客利用新冠变异病毒向北美大学发起攻击
【概述】
随着新冠变异病株Omicron的出现,研究人员已经观察到了利用Omicron病毒作为诱饵的网络钓鱼活动。攻击者通过伪造的大学登录门户,窃取用户的 Office 365 凭据。此次活动的主要目标为北美大学。并且在某些活动中,攻击者还创建了欺骗DUO MFA页面的登录页面,试图窃取多因素身份验证(MFA)凭证。受害者在伪造的登录页面上输入凭据后,会被要求输入手机短信收到的验证码,攻击者可以使用验证码来接管帐户。
【参考链接】
https://ti.nsfocus.com/security-news/IlN7K
2. 攻击者利用oom_reaper攻击QNAP NAS 设备
【概述】
台湾供应商QNAP警告客户,攻击者将他们的NAS设备与加密货币矿工作为目标。在破坏设备后,矿工将创建一个名为 [oom_reaper] 的新进程,允许攻击者挖掘比特币。一旦 NAS 被感染,CPU使用率会变得异常高,其中名为“[oom_reaper]”的进程可能会占用总CPU使用率的50%左右。这个进程模拟了一个内核进程,但它的PID通常大于1000。
【参考链接】
https://ti.nsfocus.com/security-news/IlN7i
3. 东亚黑客组织BlackTech针对金融、教育等行业展开攻击
【概述】
研究人员监测到东亚黑客组织BlackTech近期攻击活动频繁,攻击目标包括中国地区的互联网金融、互联网教育等行业。根据近期捕获的BlackTech组织使用的后门木马,研究人员还发现该组织的武器库在持续丰富和变化,在Windows平台上使用由Gh0st源码修改而来的后门木马,在Linux平台上使用Bifrose后门木马,多数杀毒引擎较难查杀。另外在Linux平台还使用Python编写打包的后门木马。而在IT资产方面,BlackTech组织依旧保留了之前的特点,即经常租用中国、日本等地的服务器作为C&C服务器,在近期攻击活动中也复用了部分在过往攻击活动中使用的资产。
【参考链接】
https://ti.nsfocus.com/security-news/IlN7J
4. Nobelium利用Ceeloader自定义恶意软件对全球组织发起攻击
【概述】
研究人员发现与俄罗斯有关的 Nobelium APT 组织正在使用一种名为Ceeloader的新型自定义恶意软件攻击全球组织。Nobelium 网络间谍正在使用一种新的自定义下载器,该下载器被研究人员跟踪为 CEELOADER。APT进行的多次供应链攻击,攻击者破坏了服务提供商,并使用属于被黑提供商的特权访问和凭据来瞄准他们的客户。并且至少在一个实例中发现,攻击者识别并破坏了一个本地VPN帐户,并利用该VPN帐户进行侦察并进一步访问受害 CSP 环境中的内部资源,最终导致内部域帐户遭到破坏。
【参考链接】
https://ti.nsfocus.com/security-news/IlN76
5. 攻击者利用NginRAT 恶意软件攻击隐藏在 Nginx 服务器上的电子商店
【概述】
安全公司的研究人员最近发现了一个新的 Linux 远程访问木马 (RAT),跟踪为CronRAT,它于2月31日隐藏在Linux任务调度系统 (cron) 中。CronRAT 用于针对在线商店网络商店的Magecart攻击,并使攻击者能够通过在Linux服务器上部署在线支付撇取器来窃取信用卡数据。在调查北美和欧洲的 CronRAT 感染时,研究人员发现了一种名为 NginRAT 的新恶意软件,它可以绕过安全解决方案隐藏在Nginx服务器上。与 CronRAT 一样,NginRAT 也作为“服务器端 Magecart”工作,它将自身注入到 Nginx 进程中。
【参考链接】
https://ti.nsfocus.com/security-news/IlN6E
6. 攻击者利用KMSPico恶意软件窃取Windows用户的加密货币钱包
【概述】
研究人员发现希望在不使用数字许可证或产品密钥的情况下激活Windows的用户正成为受感染的安装程序的目标,以部署旨在掠夺加密货币钱包中的凭据和其他信息的恶意软件。该恶意软件被称为“ CryptBot ”,是一种信息窃取程序,能够获取浏览器、加密货币钱包、浏览器 cookie、信用卡的凭据,并从受感染的系统中捕获屏幕截图。通过破解软件部署,最新的攻击涉及伪装成 KMSPico 的恶意软件。而KMSPico 是一种非官方工具,用于在没有实际拥有许可证密钥的情况下非法激活盗版软件(如 Microsoft Windows 和 Office 套件)的全部功能。
【参考链接】
https://ti.nsfocus.com/security-news/IlN6R
7. Apache Kafka云集群暴露大公司敏感数据
【概述】
研究人员表示,Kafdrop是Apache Kafka的管理接口,Apache Kafka 是一个开源的云原生平台,用于收集、分析、存储和管理数据流。但由于Kafdrop实例配置错误,一些世界上最大的公司已经暴露了大量来自云的敏感信息。它自动连接和映射现有的 Kafka 集群,允许用户管理主题创建和删除,以及“了解集群的拓扑和布局,深入了解主机、主题、分区和消费者。它还允许您从所有主题和分区中采样和下载实时数据,充当合法的Kafka 消费者。并且集群暴露了客户数据、交易、医疗记录和内部系统流量,还暴露了实时流量,泄露机密、身份验证令牌和其他访问详细信息,允许黑客渗透到公司在 AWS、IBM、Oracle 和其他公司上的云活动。
【参考链接】
https://ti.nsfocus.com/security-news/IlN79
8. 攻击者利用远程代码执行漏洞攻击Confluence和GitLab服务器
【概述】
研究人员发现一个勒索软件组织利用最近披露的远程代码执行漏洞( CVE-2021-26084 和 CVE-2021-22205 )来访问未修补的 Confluence和 GitLab服务器,加密他们的文件,然后要求服务器所有者支付赎金以恢复他们的数据。
【参考链接】
https://ti.nsfocus.com/security-news/IlN7y
9. 网络黑客正利用虚假广告来传播恶意程序
【概述】
研究人员发现了一系列恶意广告活动,使用流行应用和游戏的虚假安装程序作为诱饵,诱使用户下载新的后门程序和未记录的恶意Google Chrome扩展程序。专家观察到 2019 年底和 2020 年初的间歇性活动。该组织于 2021 年 4 月重新出现,恶意广告活动针对加拿大、美国、澳大利亚、意大利、西班牙和挪威。 研究人员将这些活动归因于一个被追踪为“magnat”的未知攻击者。专家注意到,据报道该组织正在更新恶意软件系列。MagnatExtension 伪装成Google的安全浏览,允许攻击者窃取表单数据、收集 cookie并在受害者的系统上执行任意 JavaScript 代码。扩展使用的C2地址是硬编码的,它可以由当前的C2使用附加C2域的列表进行更新。攻击者还为C2实施了一种备份机制,允许从 Twitter 搜索“#aquamamba2019”或“#ololo2019”等主题标签中获取新的 C2 地址。
【参考链接】
https://ti.nsfocus.com/security-news/IlN6T
10. 攻击者利用新的XS-Leaks漏洞攻击 Web 浏览器
【概述】
研究人员发现了 14 种新型跨站点数据泄露攻击,攻击了许多现代网络浏览器,包括 Tor 浏览器、Mozilla Firefox、Google Chrome、Microsoft Edge、Apple Safari 和 Opera 等。专家将这些浏览器漏洞统称为“XS-Leaks”,使恶意网站能够在访问者在目标不知情的情况下在后台与其他网站交互时从访问者那里收集个人数据。攻击者利用XS-Leaks绕过了所谓的同源策略,而同源策略的目的是防止信息从受信任的网站被盗。在XS-Leaks 的情况下,攻击者仍然可以识别网站的个别小细节。如果这些细节与个人数据相关联,这些数据可能会泄露。
【参考链接】
https://ti.nsfocus.com/security-news/IlN6U
