【威胁通告】绿盟科技威胁情报周报(2022.02.28-2022.03.06)
2022-03-07
一、 威胁通告
Spring Cloud Gateway远程代码执行漏洞(CVE-2022-22947)
【发布时间】2022-03-04 09:00:00 GMT
【概述】
近日,绿盟科技 CERT 监测到 Spring 发布报告修复 Spring Cloud Gateway 代码注入漏洞(CVE-2022-22947),由于 Spring Cloud Gateway 的 Actuator 端点存在缺陷,当用户启用并暴露了不安全的 Gateway Actuator 端点时,使用了 Spring Cloud Gateway 的应用程序容易受到代码注入攻击。未经身份验证的攻击者通过向目标系统发送特制的 SpEL 表达式进行注入,可实现远程代码执行。CVSS 评分为 10,目前漏洞 PoC 已公开,请相关用户尽快采取措施进行防护。
【链接】
https://nti.nsfocus.com/threatWarning
二、 热点资讯
1. 攻击者利用乌克兰战争发起慈善骗局
【标签】不区分行业
【概述】
研究人员发现了一些以慈善目的为幌子募集资金的网站。他们倾向于重复类似的主题,发出情绪化但仍然虚假的呼吁声援乌克兰人民,或敦促公众帮助资助该国的国防工作。而这些网站对如何使用“援助”做出了非常模糊的声明。也应该很明显,经过仔细检查他们都不代表一个合法的组织。此外,研究人员表示还应对可能出现在您的电子邮件中的情感请求保持警惕。
【参考链接】
https://ti.nsfocus.com/security-news/IlNiT
2. 攻击者利用SockDetour恶意软件攻击美国国防承包商
【标签】政府、企业
【概述】
SockDetour 是一种在美国国防承包商计算机上发现的新定制恶意软件,已被用作备份后门以维持对被劫持网络的访问。研究人员发现SockDetour在受感染的Windows服务器上“无文件和无套接字地运行”通过劫持网络连接解释了它的隐蔽性,使得在主机和网络级别识别变得非常困难。 连接劫持是在官方的 Microsoft Detours 库包的帮助下执行的,该库包用于监视和检测 Windows API 调用,通过这样的实施,SockDetour [..] 充当备用后门,以防主要后门被防御者检测到并移除。
【参考链接】
https://ti.nsfocus.com/security-news/IlNiU
3. 自由车队捐赠者的个人信息遭泄露
【标签】企业
【概述】
不知名的黑客组织泄露了数万名 Freedom Convoy 捐赠者的个人信息,GiveSendGo 是一个为支持加拿大抗议者反对 Covid-19 限制而筹集资金的众筹平台,该平台在周末遭到破坏,大约93,000 名在经济上帮助自由车队抗议者的人的个人详细信息在网上随时可供所有人查看,亿万富翁托马斯·西贝尔的名字是捐赠者的名字之一。被黑网站正在将潜在捐赠者重定向到另一个包含泄露名单和黑客视频信息的网站。视频消息的文字拼接在迪士尼冰雪奇缘的视频之上。这段视频和带有个人信息的泄露文件后来被撤下,但泄露信息的副本继续在网上重新出现。
【参考链接】
https://ti.nsfocus.com/security-news/IlNj8
4. 攻击者利用对的Microsoft帐户发起钓鱼攻击
【标签】企业
【概述】
研究人员发现了大量的垃圾邮件,这些邮件对俄罗斯的黑客行为进行了名称检查,目的是窃取凭据和其他个人详细信息。研究人员指出,这些消息的主题是“Microsoft 帐户异常登录活动”,这些电子邮件随后会提供一个“报告用户”按钮和一个取消订阅选项。单击该按钮会创建一条新消息,其主题行是“报告用户”。
【参考链接】
https://ti.nsfocus.com/security-news/IlNjj
5. 攻击者利用新的恶意软件AnchorMail发起攻击
【标签】不区分行业
【概述】
研究人员发现了AnchorDNS后门的改进版本,将其命名为新的升级变体 AnchorMail。攻击者使用基于电子邮件的 [command-and-control] 服务器,使用SMTP和IMAP协议通过TLS进行通信 。这除了彻底改革的C2通信机制外,AnchorMail 的行为与其前身 AnchorDNS的行为非常接近。恶意软件通过创建一个设置为每10分钟运行一次的计划任务来建立持久性,并通过联系C2服务器获取并执行任何要运行的命令。这些命令包括执行从远程服务器检索到的二进制文件、DLL 和shellcode、启动PowerShell命令以及从受感染系统中删除自身的能力。
【参考链接】
https://ti.nsfocus.com/security-news/IlNjl
6. 攻击者利用新型Wiper和蠕虫对乌克兰组织发起攻击
【标签】不区分行业
【概述】
研究人员发现了一种攻击乌克兰组织的新擦除器和一个在本地网络中传播 HermeticWiper的蠕虫组件。并表示这些破坏性攻击至少利用了三个组件:HermeticWiper:通过破坏系统数据使系统无法运行、HermeticWizard:通过 WMI 和 SMB 在本地网络中传播 HermeticWiper和HermeticRansom:用 Go 编写的勒索软件。而研究人员在至少五个乌克兰组织的数百个系统上观察到 HermeticWiper。
【参考链接】
https://ti.nsfocus.com/security-news/IlNjk
7. 攻击者利用TeaBot银行木马对美国用户发起攻击
【标签】金融、企业
【概述】
研究人员表示2021年初,一种名为“Teabot”的新型木马被发现攻击用户。该木马专门设计用于窃取受害者的银行凭证和SMS消息。该木马的其他功能包括远程访问功能和通过按需请求服务进行屏幕捕获。攻击者有能力直接从受感染的移动设备上进行帐户接管。这种技术被称为“设备上欺诈”。而最近的研究发现,黑客已使用Google Play商店分发“滴管应用程序”。该应用程序是以“ QR BarCode Scanner Business LLC ”名义发布的QR码和条形码扫描仪应用程序。用户反馈该应用程序运行良好且运行良好,而滴管隐藏在二维码扫描仪后面。一旦受害者通过 Google Play 商店安装并打开该应用程序,该应用程序就会弹出一条消息,提示必须安装更新。当受害者点击安装时,应用程序会下载 dropper 并在受害者的设备上安装另一个应用程序,合法的 Play 商店应用程序将重定向到 Google Play 商店以获取任何更新。最后,安装的应用程序被发现是TeaBot木马。
【参考链接】
https://ti.nsfocus.com/security-news/IlNjP
8. TA402 组织利用新恶意软件对中东目标持续发起攻击
【标签】政府、企业
【概述】
2021 年底,威胁分析人员发现了一个针对中东政府、外交智库和国有航空公司的复杂攻击行动。他们将攻击行动归因于 TA402 组织,该组织围绕巴勒斯坦的利益展开攻击。在 2021年6月攻击被披露后,TA402一度销声匿迹。但根据分析人员的持续跟踪,TA402 持续更新恶意软件和投递交付方式。TA402会使用名为NimbleMamba和BrittleBush的恶意软件,且依托地理围栏和复杂攻击链干扰分析人员。分析人员表示最近发现的攻击行动中,TA402 使用包含恶意文件下载链接的鱼叉邮件。2022 年 1 月,TA402 在攻击链中调整了攻击者控制的 WordPress URL,地理围栏内的 IP 访问会下载 NimbleMamba 样本,之外的IP会重定向到阿拉伯语的新闻网站。
【参考链接】
https://ti.nsfocus.com/security-news/IlNjS
9. DDoS攻击者攻击网站的新技巧
【标签】不区分行业
【概述】
研究人员发现攻击者正在使用一种新策略,该策略涉及针对易受攻击的中间设备(如防火墙)来扩大攻击范围。攻击者过去曾实施使用放大攻击来感染服务器,并以高达 3.47 Tbps 的短暂流量突发。然而,攻击还没有结束,研究人员发现新的攻击,这些攻击是通过 TCP Middlebox Reflection发生的,TCP反射是创建者之间的传输控制协议,用于在同一网络中的机器之间进行安全的Internet通信。攻击者可以通过 TCP 滥用中间盒来放大他们拒绝攻击的方式,DDoS 攻击会向程序的服务器发送小数据包,然后程序服务器会以更大的数据包大小进行回复。最后,攻击者将数据包大小发送给目标受害者。
【参考链接】
https://ti.nsfocus.com/security-news/IlNjQ
10. 黑客试图攻击欧洲官员以获取有关乌克兰难民和物资的信息
【标签】交通、政府
【概述】
安全公司发现一项新的由民族国家赞助的网络钓鱼活动的细节已被发现,将目光投向了欧洲政府实体,这被视为试图获取有关该地区难民和物资流动的情报。而他们首次检测到恶意电子邮件是在2022年2月24日,将社会工程攻击称为“ Asylum Ambuscade ”。并表示这封电子邮件包含一个恶意宏附件,该附件利用了与2022年2月23日举行的北约安理会紧急会议有关的社会工程主题,该电子邮件还包含一个恶意附件,该附件试图下载名为SunSeed 的恶意Lua 恶意软件,并针对负责管理欧洲交通和人口流动的欧洲政府人员。经调查称针对其军事人员的网络钓鱼邮件带有 ZIP 文件附件,目的是窃取敏感的个人信息。
【参考链接】
https://ti.nsfocus.com/security-news/IlNjz
