绿盟科技威胁周报(20220307-20220313)

一、威胁通告

  • 微软3月安全更新多个产品高危漏洞通告(CVE-2022-21990、CVE-2022-24459、CVE-2022-24512)

【发布时间】2022-03-10 09:00:00 GMT

【概述】

3月9日,绿盟科技CERT监测到微软发布3月安全更新补丁,修复了71个安全问题,涉及Windows、Exchange Server、Remote Desktop Client、Azure等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞有3个,重要(Important)漏洞有68个。

【链接】https://nti.nsfocus.com/threatWarning

  • Linux 内核权限提升漏洞(CVE-2022-0847)

【发布时间】2022-03-08 15:00:00 GMT

【概述】

近日,绿盟科技CERT监测到有国外安全研究员披露了一个存在于Linux 内核中的本地提权漏洞(CVE-2022-0847)。由于 Linux 内核中 copy_page_to_iter_pipe 和 push_pipe 函数的正确初始化存在缺陷,攻击者通过利用此漏洞,可覆盖重写任意可读文件中的数据,从而将普通用户权限提升至 root 权限。因原理与CVE-2016-5195 脏牛漏洞(Dirty Cow)类似,作者将此漏洞命名为“Dirty Pipe”,CVSS评分7.8,目前已有PoC公开,请相关用户尽快采取措施进行防护。

【链接】https://nti.nsfocus.com/threatWarning

二、热点资讯

  • 攻击者利用LinkedIn针对求职者进行钓鱼攻击

【标签】不区分行业

【概述】

研究人员表示求职者是社会工程学攻击的主要目标。随着最近员工大面积的辞职,网络犯罪分子很容易针对他们进行攻击。安全研究专家发现冒充LinkedIn的钓鱼邮件攻击次数激增了232%,攻击者试图欺瞒求职者交出他们的证书。攻击者在HTML模板中内置了LinkedIn的标志、颜色和图标。分析师说,骗子还在钓鱼邮件的正文中提到了知名公司,包括美国运通和CVS Carepoint,这样可以使得邮件看起来更加合法。

【参考链接】https://ti.nsfocus.com/security-news/IlNkr

  • 黑客利用VPN在太阳风猎户座上部署超新星恶意软件

【标签】不区分行业

【概述】

网络安全研究院披露了一种新的高级持久性威胁(APT)的详细信息,该威胁在通过连接到脉冲安全VPN设备访问网络后,利用超新星后门破坏SolarWinds Orion的安装。经分析发现攻击者通过Pulse-Secure虚拟专用网络(VPN)设备连接到该实体的网络,横向移动到其SolarWinds Orion服务器,安装了被安全研究人员称为SUPERNOVA(一个.NET网络外壳)的恶意软件,并收集了凭据。

【参考链接】https://ti.nsfocus.com/security-news/IlNkm

  • 黑客利用可劫持社交媒体账户的恶意软件攻击Windows设备

【标签】不区分行业

【概述】

近日,瑞典、保加利、俄罗斯、百慕大和西班牙的5000多台Windows设备被一种能够控制社交媒体帐户的新恶意软件感染,它主要通过微软的应用商店以计算机木马游戏应用程序的形式入侵。这种新型恶意软件是一种典型的网络病毒,它以隐蔽的方式进入到目标设备,对目标设备中的私密信息进行收集和破坏,再通过互联网,把收集到的私密信息反馈给攻击者,从而实现其目的。

【参考链接】https://ti.nsfocus.com/security-news/IlNkp

  • 攻击者对OpenSea平台发起钓鱼攻击

【标签】企业

【概述】

OpenSea是目前全球最大的综合NFT交易平台,用户可以在平台上铸造、展示、交易、拍卖NFT。近日,有攻击者利用OpenSea NFT市场智能合约升级实施钓鱼攻击,其中17个用户价值约170万美元的NFT资产被窃。

【参考链接】https://ti.nsfocus.com/security-news/IlNkX

  • 攻击者利用新恶意软件TangleBot对美国和加拿大的Android移动用户发起攻击

【标签】不区分行业

【概述】

一个2019冠状病毒疾病的恶意软件已经被发现,针对美国和加拿大的Android移动用户,作为一个正在进行的活动的一部分,该活动使用与COVID-19法规和疫苗信息相关的SMS短信诱饵,试图窃取个人和财务数据。研究人员表示该恶意软件被称为TangleBot,因为它在许多层次上混淆和控制了无数纠缠的设备功能,包括联系人、短信和电话功能、通话记录、互联网接入、摄像头和麦克风。除了获取敏感信息的功能外,该恶意软件还设计成使用覆盖屏幕控制设备与银行或金融应用程序的交互,并从手机上发起的金融活动中盗取账户凭证。

【参考链接】https://ti.nsfocus.com/security-news/IlNkM

  • 攻击者通过电子邮件线程传播Qakbot

【标签】不区分行业

【概述】

Qakbot,又名 QBot、QuackBot 和 Pinkslipbot,是一种银行木马,于 17 年前,即 2007 年首次在野外被发现。而研究人员在最近的一次活动中发现,Qakbot 一直在收集系统信息。僵尸网络通过电子邮件线程劫持进行传播,并从新感染的机器上收集广泛的配置文件信息,包括所有配置的用户帐户和权限、安装的软件、正在运行的服务等等。尽管它的主要目的是窃取信息——例如,窃取登录名、密码等等——但该恶意软件已经养成了无数其他令人讨厌的习惯:监视金融业务、传播和安装勒索软件、击键记录、后门功能以及顺利转移到逃避检测,包括检测其环境、自我更新和 cyptor/packer 更新。它还可以反击被专家或自动化工具分析和调试。

【参考链接】https://ti.nsfocus.com/security-news/IlNlc

  • 攻击者通过FormBook 垃圾邮件活动针对乌克兰公民发起攻击

【标签】政府

【概述】

研究人员发现了一个恶意垃圾邮件活动,该活动丢弃了专门针对乌克兰人的 Formbook 窃取程序,Formbook 是定期观察到的长期恶意垃圾邮件操作的一部分。而这一次,电子邮件诱饵是用乌克兰语编写的,并诱使受害者打开所谓的批准信,以从政府那里获得资金。

【参考链接】https://ti.nsfocus.com/security-news/IlNld

  • 攻击者利用Hive勒索软件攻击东欧大型加油站

【标签】企业、政府

【概述】

东欧大型加油站服务商Rompetrol遭到Hive勒索软件攻击,影响到了公司“大部分IT服务”,官网、APP全部下线,顾客只能使用现金和刷卡支付;据悉,攻击者还入侵了Petromdia炼油厂的内部IT网络,但运营未受到影响。

【参考链接】https://ti.nsfocus.com/security-news/IlNkN

  • 黑客滥用Mitel设备扩大DDoS攻击

【标签】金融、企业、运营商

【概述】

研究人员已经观察到攻击者滥用高影响反射/放大方法来进行长达 14 小时的持续分布式拒绝服务 (DDoS) 攻击,放大率达到 4,294,967,296 比 1,创下历史新高。并表示被称为TP240PhoneHome ( CVE-2022-26143 )的攻击向量已被武器化,以发动针对宽带接入 ISP、金融机构、物流公司、游戏公司和其他组织的重大 DDoS 攻击。DDoS 反射攻击通常涉及欺骗受害者的 IP 地址,以重定向来自目标(如 DNS、NTP 或 CLDAP 服务器)的响应,使得发送给欺骗发送者的回复远大于请求,从而导致完全无法访问的服务。

【参考链接】https://ti.nsfocus.com/security-news/IlNl0

  1. 攻击者利用与Hive有关的Nokoyawa勒索软件发起攻击

【标签】不区分行业

【概述】

研究人员发现另一个相对不为人知的勒索软件 Nokoyawa 可能与 Hive 相关,因为这两个家族在攻击链中有着惊人的相似之处,从使用的工具到执行各个步骤的顺序。目前,Nokoyawa 的大部分目标都位于南美洲,主要是在阿根廷。Nokoyawa 和Hive共享的一些指标包括使用 Cobalt Strike作为攻击到达阶段的一部分,以及使用合法但经常被滥用的工具,例如反 rootkit用于防御规避的扫描仪 GMER 和 PC Hunter及其他步骤,例如信息收集和横向部署,也类似。

【参考链接】https://ti.nsfocus.com/security-news/IlNkZ

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author