【威胁通告】海王捕鱼威胁情报周报(2022.01.03-2022.01.09)
2022-01-10
一、 威胁通告
飞致云MeterSphere开源测试平台远程代码执行漏洞
【发布时间】2022-01-06 17:00:00 GMT
【概述】
1月6日,海王捕鱼CERT监测发现FIT2CLOUD飞致云发布通告,修复了MeterSphere一站式开源持续测试平台存在的远程代码执行漏洞。由于自定义插件功能处存在缺陷,未经身份验证的攻击者可利用该漏洞在目标系统上远程执行任意代码。请相关用户尽快采取措施进行防护。 MeterSphere是由杭州飞致云信息科技有限公司开发的一站式开源持续测试平台, 涵盖测试跟踪、接口测试、性能测试、 团队协作等功能。兼容 JMeter、Postman、Swagger 等开源、主流标准,助力开发和测试团队利用云弹性进行高度可扩展的自动化测试。
二、 热点资讯
1. 攻击者滥用MSBuild绕过检测和植入恶意软件
【概述】
研究人员一周内第二次发现滥用MSBuild的恶意软件活动。攻击活动受限使用有效的账户来进行RDP访问,然后通过远程Windows服务(SCM)来在网络中传播,最后滥用MSbuild task特征来推送Cobalt Strike beacon到其他主机。
【参考链接】
https://ti.nsfocus.com/security-news/IlNbj
2. 攻击者利用勒索软件攻击Impresa葡萄牙
【概述】
葡萄牙媒体公司 Impresa 因成为勒索软件攻击的受害者而登上新闻头条。消息人士称,该出版公司遭到了一个名为Lapsus$的勒索软件组织的攻击。该黑客组织以出版公司的服务器为目标,对 Impresa 网站、Expresso和SIC网站产生了核心影响。并表示Lapsus$ 要求受影响的金额为500万美元,如果未支付,可能会导致严重后果,例如将被盗数据出售给黑客或将信息泄露给公司的合作伙伴和客户。
【参考链接】
https://ti.nsfocus.com/security-news/IlNbg
3. 攻击者利用虚假 Telegram 应用安装程序传播Purple Fox 后门
【概述】
攻击者正在使用 Telegram 消息应用程序的受感染安装程序传播 Purple Fox 后门。研究人员指出,与利用合法软件传播恶意软件的类似活动不同,该活动的检测率非常低。经分析,安装程序是一个名为“Telegram Desktop.exe”的编译后的 AutoIt(一种类似 BASIC 的免费软件脚本语言,用于自动执行 Windows GUI 和通用脚本)脚本。 执行脚本后,它会在 C:\\Users\\Username\\AppData\\Local\\Temp\\ 下创建一个名为“TextInputh”的新文件夹,并删除合法的 Telegram 安装程序和恶意下载程序 (TextInputh.exe)。 执行时TextInputh.exe会在C:\\Users\\Public\\Videos\\目录下创建一个名为“1640618495”的文件夹,然后从C2下载以下文件到新建的文件夹中
【参考链接】
https://ti.nsfocus.com/security-news/IlNbD
4. 连锁酒店McMenamins 在勒索软件攻击后大量数据被泄露
【概述】
酒店连锁店 McMenamins 在最近的勒索软件攻击后披露了数据泄露。据该公司称,攻击者窃取了在 2010 年 7 月 1 日至 2021 年 12 月 12 日期间受雇的个人数据。被盗员工的数据可能包括姓名、地址、电话号码、电子邮件地址、出生日期、种族、民族、性别、残疾状况、医疗记录、绩效和纪律记录、社会安全号码、健康保险计划选择、收入金额和退休供款金额。
【参考链接】
https://ti.nsfocus.com/security-news/IlNbv
5. 美国在线商店 PulseTV 大量客户信用卡数据被泄露
【概述】
美国在线商店 PulseTV仍在调查支付卡网络和执法部门的安全漏洞,并正在通知州监管机构和受影响的客户。PulseTV 认为,只有在 2019 年 11 月 1 日至 2021 年 8 月 31 日期间使用信用卡在网站上购买产品的客户才会受到影响。可能已泄露的信息包括:全名、收件地址、电子邮件地址、支付卡号、支付卡有效期、支付卡安全码 (CVV)
【参考链接】
https://ti.nsfocus.com/security-news/IlNbw
6. Broward Health 公共卫生系统大量用户数据遭泄露
【概述】
Broward Health 公共卫生系统披露了一起影响超过 130 万人的大规模数据泄露事件。根据调查,攻击者破坏了允许访问系统以提供服务的第三方医疗提供商。从而攻击者获得了患者信息的访问权限,这些信息可能包括姓名、出生日期、地址、电话号码、财务或银行账户信息、社会安全号码、保险信息和帐号、包括病史、病情、治疗和诊断在内的医疗信息,病历号码、驾照号码和电子邮件地址。
【参考链接】
https://ti.nsfocus.com/security-news/IlNbE
7. 攻击者利用新型恶意软件Rootkit对惠普 iLO 固件发起攻击
【概述】
近日研究人员首次发现 rootkit 病毒(也称为 iLOBleed)正针对惠普企业服务器展开攻击,能够从远程感染设施并擦除数据。并表示针对 iLO 的恶意软件非常难以防控,因为它以高权限运行(高于操作系统中的任何访问级别),可以做到不被管理员和检测软件察觉。通过篡改此模块,允许恶意软件在重新安装操作系统后继续存在。
【参考链接】
https://ti.nsfocus.com/security-news/IlNbK
8. 攻击者利用APT33新型恶意远控软件LittleLooter发起攻击
【概述】
近期,研究人员监测到一款名为“WhatsApp.apk”的虚假社交软件,其实是一款恶意窃密软件,迷惑用户下载,远程控制用户手机,并窃取用户的隐私数据。研究人员分析发现是APT33组织的新型远控软件,根据其恶意行为将其命名为“LittleLooter”。并表示“WhatsApp”是全球知名的通讯社交软件,但此应用主要是国外的用户群体,并未在国内应用市场上架,用户在成功安装虚假的“WhatsApp”后,也无法打开,恶意软件会删除自身的界面的图标,并且提示“未安装该应用”,但此恶意软件并没有删除,在后台依然存在。
【参考链接】
https://ti.nsfocus.com/security-news/IlNbM
9. 黑客在凭证填充攻击中窃取了17家公司的客户帐户
【概述】
纽约州总检察长办公室已向17家大型组织发出警报,称其超过 100 万客户的帐户在凭证填充攻击中遭到黑客攻击。凭证填充是一种网络攻击形式,黑客正在接管大量用户名和密码数据库,其中许多数据库在最近的数据泄露中被盗,并使用自动化方法将帐户登录“塞入”其他在线服务。攻击者的主要目标是获取尽可能多的帐户的访问权限,以收集与这些帐户相关联的个人和财务信息,然后这些信息可能会在黑客论坛或暗网市场上出售。
此外,被盗的私人数据可能会被攻击者用来进行身份盗窃或进行非法购买。
【参考链接】
https://ti.nsfocus.com/security-news/IlNbX
10. 攻击者利用谷歌文档评论功能中的漏洞进行攻击
【概述】
研究人员发现,攻击者正在使用 Google Docs 的“评论”功能在主要针对 Outlook 用户的网络钓鱼活动中发送恶意链接。据报道,到目前为止,攻击者已经利用谷歌基于云的文字处理应用程序的功能,攻击了来自 100 多个不同 Gmail 帐户的 30 个租户的 500 多个收件箱。攻击者通过向包含“@”的文档添加评论来定位 Google Docs 用户,该文档会自动向该人的收件箱发送一封电子邮件。并表示,那封来自谷歌的电子邮件包含文本和恶意链接。
【参考链接】
https://ti.nsfocus.com/security-news/IlNc7
