安全态势周刊

News information

安全态势周刊-六方云(AI基因·威胁免疫)——第109期

<<返回

2020年06月29日 20:01

一、业界动态

澳洲ACCC发布报告,该国去年有超过2.5万起钓鱼攻击事件

澳大利亚ACCC下属的Scamwatch发布了Scamwatch Targeting scams:自2009年以来对欺诈活动的回顾报告,统计2019年该国发生了超过2.5万起钓鱼攻击事件。在2019年,网络钓鱼是最常见的欺诈手段,总共报告了有25168起事件,在所报告中有513起造成了财务损失,总计150万澳元。而造成损失最大的攻击类型为企业电子邮件泄露(BEC)诈骗,损失1.32亿澳元,其次为造成了1.26亿澳元损失的投资诈骗和8300万澳元的约会诈骗。而诈骗的主要途径依然为电话(69522起),其次是电子邮件(40277起),短信(27894起)和互联网(11776起)。

https://www.zdnet.com/article/australians-reported-25000-phishing-scams-to-the-accc-last-year/

Sberbank发现黑客利用人工智能开发新型银行木马

俄罗斯联邦储蓄银行(Sberbank)副董事长Stanislav Kuznetsov表示,黑客正在利用人工智能创造新一代的银行木马,使得银行木马变得更加复杂、更难被识别。Kuznetsov表示,由于黑客攻击,到今年年底为止俄罗斯经济可能会损失约3.5万亿卢布(500亿美元),明年的损失金额可能会翻倍。他还指出,黑客更偏向于使用物联网设备,以及对密码持有至发起攻击,其中最常见的盗窃渠道是手机应用(43%)、银行卡(42%)、网络服务(7%),还有自动取款机、pos终端和短信银行。

https://www.ehackingnews.com/2020/06/sberbank-says-cyber-criminals-using.html

刷新历史记录!欧洲某银行遭遇每秒8.09亿数据包DDoS攻击

欧洲某银行遭大规模 DDoS 攻击,其网络遭遇每秒8.09亿数据包的洪水攻击。该攻击可能是史上最大规模的 DDoS 攻击,尽管并非带宽密集型攻击且攻击速度仅为418Gbps(比特/秒)。根据攻击方法的不同,DDoS 攻击的强度可由三种方式衡量:BPS(每秒传送位数)、PPS(每秒传送的数据包数)或 RPS(每秒的请求数量)。BPS 旨在耗尽互联网管道,PPS 针对的是数据中心/云中的网络设备,而 RPS 攻击针对的是运行 web 应用的边缘服务器。

https://www.secrss.com/articles/23434

实力吊打国家黑客:从密码喷洒到完全控制网络只需几天

微软发布报告,详述了复杂的黑客组织如何能在不到一周的时间里,通过密码喷洒攻击一路完全控制网络。

https://www.secrss.com/articles/21361

 

二、关键基础设施

工业交换机漏洞分析

本文详细分析了Phoenix Contact交换机中FL SWITCH 3xxx、FL SWITCH 4xxx和FL SWITCH 48xx系列设备的CVE-2018-10731漏洞。此漏洞存在于设备的 Web界面中,可以在不知道设备凭据的情况下执行任意代码,CVSS3.0等级评分为9分。

https://mp.weixin.qq.com/s/dqxeOikuAuyNjJH8bPkbVg

 

三、安全事件

韩国LG集团疑被勒索软件攻击,数据和代码或泄露

Maze勒索软件团伙声称已破坏并锁定了LG电子的网络。并窃取了涉及LG与美国大公司的项目专有信息,而其中之一似乎就是AT&T

https://mp.weixin.qq.com/s/unjxWilSvi89oO91MyMrtA

DarkCrewFriends回归,利用内容管理系统构建僵尸网络

研究人员发现,黑客组织DarkCrewFriends回归,并瞄准内容管理系统来构建僵尸网络。研究人员发现,该黑客组织正在利用一个不受限制的文件上传漏洞来破坏网站的PHP服务器,并在受害者服务器上发现了下载和执行两个.AFF文件的命令,当他们下载这两个文件时,发现它们实际上是PHP和Perl文件。分析人员总结道,攻击者利用IRC协议感染服务器来创建僵尸网络,这会对受害者的基础设施产生很严重的影响。

https://threatpost.com/darkcrewfriends-returns-botnet/156963/

Microsoft Edge 未经允许静默导入 Firefox 数据

有用户发现通过 Windows Update 更新到设备的新版 Edge 会出现从 Firefox 导入数据的情况,即便用户未授权 Edge 进行此操作。

http://hackernews.cc/archives/31278

BlueLeaks 曝光了美国数百个警察部门内部文件 总容量接近 270 GB

美国各地警察部门的数十万份潜在敏感文件在网上泄露。这个被称为 “BlueLeaks “并可在网上搜索的集合,源于德克萨斯州一家网页设计和托管公司的安全漏洞,该公司维护着一些州的执法数据共享门户。该集合总容量近270GB,是分布式拒绝秘密(DDoSecrets)的最新发布,DDoSecrets是维基解密的另一种选择。

http://hackernews.cc/archives/31261

恶意软件Shlayer Mac回归,可绕过macOS内置安全防护

安全公司Intego的研究人员发现了恶意软件Shlayer Mac的新变体,其可以通过Google搜索结果传播。该新变种伪装成Adobe Flash Player安装程序(.DMG磁盘映像)以躲避杀毒软件的检测。Intego表示,该恶意病毒可以绕过苹果内置的macOS安全防护,当他们利用VirusTotal上所有的杀毒引擎对该恶意软件的安装程序和有效负载进行检测时,发现检测率为0/60。目前,尚不明确有多少个站点已被用来传播该恶意软件。

https://securityaffairs.co/wordpress/105028/malware/shlayer-mac-malware-search-engines.html

黑客正在暗网出售超过23万印尼COVID-19患者的病历

威胁情报公司Cyble的安全研究人员在暗网上发现了超过23万多名印度尼西亚COVID-19患者的病例。此次泄露的数据包括姓名、地址、现住地址、电话号码、公民身份、诊断日期、结果、结果日期等。Cyble通过分析数据已确认其真实性,并在其数据泄露监视和通知服务AmiBreached.com中对了该记录建立了索引。

https://securityaffairs.co/wordpress/105043/deep-web/indonesian-covid-19-patients-leak.html

 

四、漏洞事件

Apache Dubbo反序列化远程代码执行漏洞(CVE-2020-1948)

2020年6月23日Apache官方发布通告,修复了一个Apache Dubbo远程代码执行漏洞(CVE-2020-1948)。该漏洞源于Apache Dubbo Provider存在反序列化漏洞,攻击者可以发送带有无法识别的服务名或方法名及某些恶意参数负载的RPC请求,当恶意参数被反序列化时将导致恶意代码执行。该漏洞影响了所有使用2.7.6或更低版本的Dubbo用户。

https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

Apache Tomcat HTTP/2 DoS 漏洞,影响多个版本

HTTP/2 请求的特制序列可能会在数秒内引发较高的 CPU 使用率,如果有足够数量的此类请求在并发 HTTP/2 连接上进行连接时,服务器可能无响应,即造成拒绝服务。

https://www.oschina.net/news/116728/tomcat-http-2-dos

联发科芯片Rootkit漏洞 (CVE-2020-0069)

该漏洞存在于MediaTek Command Queue驱动(CMDQ命令队列驱动),允许本地攻击者实现对物理内存地址的任意读写,从而导致权限提升。

https://mp.weixin.qq.com/s/ohMZkfyS_B_HVg3Xm0THbQ

Apache SkyWalking SQL注入漏洞 (CVE-2020-9483)

Apache SkyWalking 是一款应用性能监控(APM)工具,对微服务、云原生和容器化应用提供自动化、高性能的监控方案。其官方网站显示,大量的国内互联网、银行、民航等领域的公司在使用此工具。近日,监测到Apache SkyWalking发布更新修复了一个SQL注入漏洞。远程攻击者可以通过Apache SkyWalking默认开放的未授权GraphQL接口构造恶意请求包进行注入,成功利用此漏洞可造成敏感数据泄漏。鉴于该漏洞影响较大,建议客户尽快自查修复。

https://nosec.org/home/detail/4482.html