安全态势周刊

News information

安全态势周刊-六方云(AI基因·威胁免疫)——第120期

<<返回

2020年09月14日 10:26

一、业界动态

ACSC发布《2019–2020年度网络威胁报告》

澳大利亚网络安全中心(ACSC)已发布有关2019-2020年主要网络威胁和统计数据的年度报告。该报告强调指出,网络钓鱼和鱼叉钓鱼仍然是黑客获取个人信息或用户证书以进入网络或传播恶意内容的最常见方法,勒索软件已成为对企业和政府的重大威胁。黑客通常通过鱼叉式钓鱼非法获取用户登录和证书,然后利用远程桌面协议(RDP)服务安装勒索软件。

https://us-cert.cisa.gov/ncas/current-activity/2020/09/10/acsc-releases-annual-cyber-threat-report-2019-2020

CISA警告针对全球金融和商业组织的DDoS攻击活动

网络安全和基础架构安全局(CISA)警告针对全球金融和商业组织的DDoS攻击活动。攻击者通过向目标主机或网络发送流量致其无法响应或崩溃,即可阻止目标用户访问,从而完成DoS攻击。在DDoS攻击中,传入流量来自许多不同的来源,因此无法通过阻止单个来源来阻止攻击。受害组织的资源和服务将无法访问,因此或将导致损失时间和金钱。

https://us-cert.cisa.gov/ncas/current-activity/2020/09/04/dos-and-ddos-attacks-against-multiple-sectors

《2020年中国网络安全十大创新方向》报告发布

国家网络安全宣传周--信息安全产业创新发展论坛上,北京赛博英杰有限公司董事长谭晓生正式发布《2020年中国网络安全十大创新方向》报告。

https://mp.weixin.qq.com/s/YRrpQ-J6UqV4xDNBRBzFTQ

2020上半年中国IT安全硬件市场同比下滑10.4%

IDC《2020年第二季度中国IT安全硬件市场跟踪报告》显示,2020年第二季度中国IT安全硬件市场厂商整体收入约为5.84亿美元(约合41.4亿元人民币),2020上半年整体中国IT安全硬件市场厂商整体收入约为9.83亿美元(约合69.2亿元人民币),上半年厂商收入规模较去年同期下滑10.4%。

https://www.secrss.com/articles/25413

 

二、关键基础设施

CodeMeter中存在严重漏洞,可导致OT供应链攻击

Claroty发现西门子等顶级ICS供应商使用的第三方工业组件CodeMeter中存在6个严重的漏洞,或将导致OT供应链攻击,这些漏洞的CVSS评分均为10.0。CISA表示,攻击者成功利用这些漏洞后可更改和伪造许可证文件,导致拒绝服务情况,潜在地实现远程执行代码、读取堆数据并阻止依赖CodeMeter的第三方软件的正常运行。其中最严重的漏洞可通过破坏CodeMeter通信协议和内部AP以I远程执行代码,实现ICS系统的完全接管。

https://www.infosecurity-magazine.com/news/critical-bugs-enable-ot-supply/

巴基斯坦电力公司感染Netwalker导致在线服务中断

巴基斯坦最大的私人电力公司K-Electric感染Netwalker,导致计费和在线服务中断。自9月7号,K-Electric客户开始无法访问在线服务,该公司也在尝试通过登台站点重新路由用户,但依然没能解决问题。后由当地安全公司得知,其遭到了Netwalker勒索软件攻击。此次网络攻击发生在9月7日上午,它主要针对的是K-Electric的在线计费服务,而非电力供应系统,以此索要385万美元的赎金。

https://www.bleepingcomputer.com/news/security/netwalker-ransomware-hits-pakistans-largest-private-power-utility/

SK海力士和LG电子遭黑客攻击,机密资料大量外泄

据韩国《东亚日报》10日消息,SK海力士和LG电子9日遭到一个黑客团体的网络软件攻击,内部机密资料大量外泄。被黑客入侵的文件中相当一部分包含客户交易信息等机密资料,因此有可能产生进一步的损失。

https://www.secrss.com/articles/25469

 

三、安全事件

黑客可用特制的Win10主题发起Hash传递攻击,窃取用户凭证

黑客可用特制的Win10主题和主题包发起Hash传递攻击,窃取用户凭证。安全研究员Jimmy Bayne发现,攻击者可以创建特制的.theme文件(Win10主题设置文件),并将主题设置更改为使用远程身份验证所需的资源。当Windows尝试访问需要进行身份验证的远程资源时,它将通过发送已登录帐户的NTLM散列和登录名来自动尝试登录共享。然后,攻击者可以使用特殊脚本收集凭据并对其进行散列处理,获得明文形式的密码。

https://www.bleepingcomputer.com/news/microsoft/windows-10-themes-can-be-abused-to-steal-windows-passwords/

阿根廷移民局系统感染Netwalker导致服务暂停4小时

阿根廷的官方移民局DirecciónNacional de Migraciones遭到了Netwalker勒索软件攻击,导致其服务暂停4小时。通过评估中央数据中心和分布式服务器的基础结构情况,发现此次攻击活动已经影响了其基于MS Windows的系统文件以及用户文件和共享文件夹中存在的Microsoft Office文件。为防止勒索软件感染其他设备,移民局关闭了其使用的计算机网络,这也导致边境过境点的服务暂停了4个小时。

https://www.bleepingcomputer.com/news/security/ransomware-attack-halts-argentinian-border-crossing-for-four-hours/

托管数据中心巨头Equinix遭到勒索软件攻击

全球最大的托管数据中心和互联网连接提供商Equinix宣布,它受到了Netwalker勒索软件的攻击。

https://ask.wandouxueyuan.com/intelligence/5427

雷蛇公司数据泄露暴露约10万客户的详细信息

据一位研究人员称,雷蛇公司(Razer)估计有10万名客户的私人信息被曝光。安全顾问BobDiachenko偶然发现了一个配置错误的Elasticsearch云集群,该云集群将雷蛇的一部分基础设施暴露在公共互联网上,任何人都可以看到。其中包含了大量可被网络罪犯使用的信息,包括全名、电子邮件、电话号码、客户内部ID、订单号、订单详细信息、账单和发货地址。

https://baijiahao.baidu.com/s?id=1677692204974420713

纽卡斯尔大学感染DoppelPaymer导致IT系统中断数周

英国纽卡斯尔大学表示,其在8月30日上午遭到网络攻击,导致IT系统中断,预计数周之后才可恢复。此次攻击导致该大学除通讯系统(电子邮件、Team、Canvas和Zoom)以外的所有系统,要么不可用,要么被限制。黑客组织DoppelPaymer称此次攻击由其发起,并发布了750Kb的被盗数据,作为其数据泄漏站点的证据。

https://www.bleepingcomputer.com/news/security/ransomware-gang-says-they-are-behind-newcastle-university-attack/

 

四、漏洞事件

启用Hyper-V的Win10系统中存在0day,可创建文件

逆向工程师Jonas Lykkegaard在启用了Hyper-V的Windows 10系统中发现了一个新的0day,该漏洞可被利用在受影响的操作系统中创建文件。在Hyper-V处于活动状态时,攻击者可利用该漏洞在\ system32中创建文件,并且不需要进行提权。由于文件的创建者也是所有者,因此攻击者可以使用该文件将恶意代码注入系统内部,并在需要时使用提升的权限执行该恶意代码。CERT/CC漏洞分析师Will Dormann  表示,攻击者几乎不需要做任何努力便可以利用该漏洞。

https://www.bleepingcomputer.com/news/security/windows-10-sandbox-activation-enables-zero-day-vulnerability/

德国威步公司旗下工业安全软件被爆6个严重漏洞

工业网络安全公司Claroty研究人员发布博客文章称,在威步(Wibu-Systems)的CodeMeter第三方许可证管理组件中发现了六个关键漏洞,这些漏洞可能使众多行业的用户面临操作技术(OT)网络的接管。

https://www.secrss.com/articles/25458

研究人员发现TeamTNT可利用Weave Scope接管云主机

Intezer的研究人员发现黑客组织TeamTNT利用开源工具Weave Scope,可完全接管目标的云主机。据Intezer描述,TeamTNT首先通过一个暴露的Docker API进入目标系统,以创建一个干净的Ubuntu容器,并将其配置到受害者服务器上,从而获得对主机上的文件的访问权限。之后,其将设置一个名为hilde的本地用户,并进行提权以通过SSH连接到服务器。最后安装Weave Scope,并通过端口4040连接到Weave Scope显示界面并获得控制权。

https://www.bleepingcomputer.com/news/security/hackers-use-legit-tool-to-take-over-docker-kubernetes-platforms/