一、威胁通告
- 微软4月安全更新多个产品高危漏洞通告(CVE-2022-26904、CVE-2022-24521、CVE-2022-26809)
【发布时间】2022-04-14 10:00:00 GMT
【概述】
4月13日,绿盟科技CERT监测到微软发布4月安全更新补丁,修复了130个安全问题,涉及Windows、Microsoft Office、Azure、Visual Studio等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞有10个,重要(Important)漏洞有115个,其中包括2个0day漏洞:Windows User Profile Service权限提升漏洞(CVE-2022-26904) Windows Common Log File System Driver权限提升漏洞(CVE-2022-24521)请相关用户尽快更新补丁进行防护。
【链接】
https://nti.nsfocus.com/threatWarning
- Apache Struts远程代码执行漏洞S2-062通告(CVE-2021-31805)
【发布时间】2022-04-13 14:00:00 GMT
【概述】
2022年4月13日,绿盟科技CERT监测到Struts官方发布安全通告,修复了一个远程代码执行漏洞S2-062(CVE-2021-31805)。该漏洞为S2-061的修复不完全,当开发人员使用了 %{…} 语法进行强制OGNL解析时,仍有一些特殊的TAG属性可被二次解析;攻击者可构造恶意的OGNL表达式触发漏洞,从而实现远程代码执行。Apache Struts是用于创建Java Web应用程序的开源框架,应用非常广泛。该漏洞已在Struts 2.5.30版本中修复,建议相关用户尽快升级版本进行防护。
【链接】
https://nti.nsfocus.com/threatWarning
二、热点资讯
- 攻击者对ICS/SCADA设备发起APT网络攻击
【标签】 工业
【概述】
近年来,某些持续威胁(APT)参与者创建了许多定制工具,并在针对工业控制系统(ICS)、监控和数据采集设备(SCADA)等关键基础设施的攻击事件中发挥了相当大的威力。一旦被攻击者获得对相关运营技术(OT)的最终访问权限,特定工具将能够对内网进行扫描、破坏和建立远程控制能力。此外针对工控主板驱动漏洞的利用,也潜在于基于 Windows 操作系统的工程信息技术(IT)或OT环境的工作站中。通过制定和维护对 ICS / SCADA 设备的访问权限,APT 参与者可顺利提权、在OT环境中四处游荡,进而破坏关键设备或系统功能。
【参考链接】
https://ti.nsfocus.com/security-news/IlNqP
- 攻击者利用新的僵尸网络攻击云基础设施
【标签】互联网
【概述】
一个追求加密挖掘和分布式拒绝服务(DDoS)攻击的黑客组织与一个名为Enemybot 的新僵尸网络相关联,该僵尸网络自上个月以来就被发现奴役路由器和物联网(IoT)设备。这个僵尸网络主要来自Gafgyt的源代码,但据观察从Mirai的原始源代码中借用了几个模块。该僵尸网络被归因于一个名为 Keksec(又名Kek Security、Necro 和FreakOut)的攻击者,该攻击者与多个僵尸网络相关联,例如Simps、Ryuk(不要与同名勒索软件混淆)和Samael,并且有针对云基础设施进行加密挖掘和 DDoS 操作的历史。
【参考链接】
https://ti.nsfocus.com/security-news/IlNre
- 俄罗斯黑客利用恶意软件攻击乌克兰电网
【标签】国家
【概述】
乌克兰研究小组披露,它挫败了隶属于俄罗斯军事情报的黑客组织Sandworm的网络攻击,该攻击旨在破坏该国一家未具名能源供应商的运营。攻击者试图摧毁他们目标的几个基础设施组件,即:变电站、Windows 操作的计算系统、Linux 操作的服务器设备和有源网络设备。此次入侵企图涉及使用具有 ICS 功能的恶意软件和常规磁盘擦除器,攻击者还释放了Industroyer恶意软件的更新变体,攻击者试图针对乌克兰的高压变电站部署 Industroyer2 恶意软件,除了Industroyer2,Sandworm还使用了几个破坏性恶意软件系列,包括CaddyWiper、OrcShred、SoloShred 和 AwfulShred。
【参考链接】
https://ti.nsfocus.com/security-news/IlNqy
- 黑客使用木马化的加密货币应用传播恶意软件
【标签】不区分行业
【概述】
近日,研究人员发现一款朝鲜黑客组织Lazarus使用的木马化的DeFi应用,其编译时间为2021年11月。该应用中含有一个合法的DeFi钱包,用于保存和管理加密货币钱包,同时在执行时会植入一个恶意文件,注入的恶意软件是一个功能齐全的后门。研究人员怀疑攻击者通过鱼叉式钓鱼邮件的方式诱使用户执行木马化的APP,感染流程就是从木马化的应用开始的,安装包伪装成一个 DeFi 钱包程序,但其中包含了恶意木马。
【参考链接】
https://ti.nsfocus.com/security-news/IlNqA
- 攻击者利用Purple Fox恶意程序对用户设备发起攻击
【标签】运营商
【概述】
Purple Fox 是一个存在了很久的恶意程序,自 2018 年以来就一直开始活跃。用户的设备似乎成为伪装成合法应用程序安装程序的恶意负载的目标。调查显示,用户的设备通过伪装成合法应用程序安装程序的木马化程序包成为攻击目标。安装程序在网上积极分发,以欺骗用户并增加整体僵尸网络基础设施。其他研究人员也报告了Purple Fox最近的活动及其最新的有效载荷。运营商正在使用新的恶意程序更新他们的武器库,包括他们似乎在不断升级的远程访问木马FatalRAT的变体。他们还试图改进其签名的 Rootkit 武器库,以便能够绕过安全检测机制。
【参考链接】
https://ti.nsfocus.com/security-news/IlNqa
- 攻击者对非洲银行部署恶意软件
【标签】金融
【概述】
攻击者对非洲银行业的网络活动正在利用网络钓鱼电子邮件和HTML走私技术来部署恶意软件。据报道,整个西非发生了一系列攻击,攻击者冒充潜在雇主,引诱受害者下载恶意文件。一直在跟踪该活动的研究人员指出,他们在“2022 年初”首次发现了这些攻击,当时一家未透露姓名的西非银行的一名员工收到一封电子邮件,声称来自另一家非洲银行的招聘人员,其中包含工作机会的相关信息。这些电子邮件包含HTML文件,如果打开,会提示用户下载 ISO 文件,该文件又包含执行恶意软件的Visual Basic脚本。这种称为 HTML走私的技术使攻击者能够将恶意文件走私到电子邮件网关安全之外。
【参考链接】
https://ti.nsfocus.com/security-news/IlNqz
- 攻击者利用恶意文档对俄罗斯客户发起攻击
【标签】金融
【概述】
西方国家对俄罗斯的银行和企业进行了多轮制裁,也在国际媒体上引起了热议。这也为攻击者提供了机会,利用相关话题进行针对性攻击。近日,研究人员发现冒充美国证券交易委员会(SEC)发送相关话题的恶意文档,研究认为是Cloud Atlas发起的攻击行动,该组织自2014年被发现时已经活跃了多年,经常使用恶意样本攻击大使馆、航空业组织等政府单位。
【参考链接】
https://ti.nsfocus.com/security-news/IlNpY
- 恶意软件利用Spring4Shell感染易受攻击的Web服务器
【标签】不区分行业
【概述】
近日,有研究显示,Mirai恶意软件正在利用Spring4Shell漏洞感染易受攻击的web服务器,并进行DDoS(分布式拒绝服务)攻击。研究人员观察到,攻击开始活跃于几天前,其主要针对的是位于新加坡的易受攻击的web服务器。对此,研究人员分析这很有可能是攻击者在全球范围内扩大行动之前做的初步测试。攻击者利用Spring4Shell,通过一个特别设计的请求,将一个JSP web shell编写到web服务器的webroot中,如此就可以使用这个请求在服务器上远程执行命令。
【参考链接】
https://ti.nsfocus.com/security-news/IlNqn
- 黑客利用恶意软件对野外用户发起攻击
【标签】企业
【概述】
研究人员称有两种不同的信息窃取恶意软件FFDroider和Lightning Stealer能够窃取数据并发起进一步的攻击。FFDroider 旨在将被盗的凭据和cookie发送到命令与控制服务器,在受害者的机器上伪装自己看起来像即时消息应用程序Telegram。FFDroider通过破解版的安装程序和免费软件进行分发,其主要目的是窃取与流行社交媒体和电子商务平台相关的cookie和凭据,并使用掠夺的数据登录帐户并获取其他与个人帐户相关的信息。该恶意软件针对的Web浏览器包括Google Chrome、Mozilla Firefox、Internet Explorer和Microsoft Edge。目标网站包括Facebook、Instagram、Twitter、亚马逊、eBay和Etsy。
【参考链接】
https://ti.nsfocus.com/security-news/IlNq7
- 匿名者黑客组织入侵俄罗斯文化部并泄露446GB数据
【标签】政府
【概述】近期,黑客组织Anonymous入侵了俄罗斯文化部,并通过DDoSecrets平台泄露了来源于文化部的446 GB数据,之后DDoSecrets平台公布了整个俄罗斯政府泄露的超过700GB的数据,其中就有超过50万封的电子邮件。本次泄露的数据主要由以下三块构成,其中占比最大的是俄罗斯文化部,作为俄罗斯国家有关艺术、电影摄影、档案、版权、文化遗产和审查政策的部门,本次被泄露的数据大小为446GB(包含23万封电子邮件)。
【参考链接】
https://ti.nsfocus.com/security-news/IlNql
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。