安全态势周刊

News information

安全态势周刊-六方云(AI基因·威胁免疫)——第129期

<<返回

2020年11月23日 10:23

一、业界动态

Intel 471发布暗网中25种主要RaaS产品的分析报告

Intel 471发布了有关暗网中的25种主要RaaS产品的分析报告。Intel 471表示,它根据RaaS的复杂程度、功能和历史将这些勒索软件分为三个层次。第一层为当今最著名的勒索软件,包括REvil、Netwalker、DopplePaymer、Egregor(Maze)和Ryuk。第二层为勒索软件世界的新兴代表,包括Avaddon、Conti、Clop、DarkSide、Mespinoza(Pysa)、RagnarLocker、Ranzy(Ako)、SunCrypt和Thanos。第三层为新发布的RaaS产品,包括CVartek.u45、Exorcist、Gothmog、Lolkek、Muchlove、Nemty、Rush、Wally、Xinof、Zeoticus和ZagreuS。

https://public.intel471.com/blog/ransomware-as-a-service-2020-ryuk-maze-revil-egregor-doppelpaymer/

思科Talos披露新RAT CRAT或与APT Lazarus有关

思科Talos披露RAT CRATCRAT恶意软件家族的新版本,或与APT Lazarus有关。此次发现的新版本包含多种RAT功能、插件和多种检测逃避技术,其指标,战术、技术和程序(TTP)也与LazarusGroup的相似。该恶意软件作为独立的RAT,从其C2服务器下载并激活其他恶意插件,CiscoTalos已经发现了多个插件,包括勒索软件、屏幕捕获、剪贴板监视和键盘记录器组件。

https://blog.talosintelligence.com/2020/11/crat-and-plugins.html

绕过VPN和防火墙?苹果给自家APP留后门

苹果公司新推出的macOS操作系统版本Big Sur的一项“新功能”引起了安全人士的关注和担忧。该功能允许某些(约50个)Apple应用程序绕过内容过滤器和VPN。安全专家们认为这是一种危险的做法,攻击者可以利用这项新功能来绕过防火墙,访问人们的系统并暴露其敏感数据。

https://www.secrss.com/articles/27171

西门子发布能源基础设施事件响应手册

西门子公司发布了《模拟能源行业的网络攻击:事件响应手册》,该手册模拟了能源行业的网络攻击,以教育监管者、公用事业以及IT和OT安全专家。

https://new.siemens.com/us/en/company/press/siemens-stories/energy/simulating-a-cyberattack-on-the-energy-industry-a-playbook-for-incident-response.html

 

二、关键基础设施

kaspersky发布Snake对工控行业的攻击分析报告

kaspersky ICS CERT发布了有关Snake对工控行业的攻击分析报告。报告主要发现包括,该恶意软件使用nmon.bat文件进行启动;所识别的所有Snake样本之间的唯一区别是代码中嵌入的域名和IP地址;只有当嵌入在恶意软件代码中的IP地址与从同样嵌入在恶意软件代码中的域名解析的IP地址相匹配时,恶意软件才会加密数据;对于每次攻击,嵌入在恶意软件代码中的IP地址和域名组合都是唯一的。

https://ics-cert.kaspersky.com/alerts/2020/06/17/targeted-attacks-on-industrial-companies-using-snake-ransomware/

Schneider发布有关Linux恶意软件Drovorub的安全公告

Schneider发布了一个安全公告,警告其用户注意Linux恶意软件Drovorub。早在今年8月,NSA和FBI联合发布警报并对该恶意软件进行了分析。据称,该恶意软件属于俄罗斯网络间谍组织APT28,是一种模块化恶意软件,包括植入物、内核模块rootkit、文件传输工具、端口转发模块和命令与控制(C2)服务器,可用来窃取文件、建立后门并远程控制目标计算机。Schneider敦促客户实施纵深防御策略,以保护Trio Q数据广播和Trio J数据广播设备免受Drovorub攻击。

https://securityaffairs.co/wordpress/110920/cyber-crime/drovorub-linux-malware.html

 

三、安全事件

黑客可利用思科Webex中漏洞隐蔽地加入会议

黑客可利用思科Webex视频会议应用中的三个漏洞,以虚假用户的身份潜入并参加Webex会议,而其他参与者看不到。IBM研究人员表示,这些漏洞存在于建立新的Webex会议时的握手过程中,被追踪为CVE-2020-3441、CVE-2020-3471和CVE-2020-3419。攻击者结合使用可以幽灵用户身份参加Webex会议,并对其他与会者不可见;在被踢后仍留在房间内;获取有关会议参与者的信息,例如姓名、电子邮件地址和IP地址。

https://www.zdnet.com/article/cisco-webex-bugs-allow-attackers-to-join-meetings-as-ghost-users/

澳洲当局发布预警卫生部门需注意防范SDBBot RAT

澳大利亚政府发布安全警报,警告卫生部门需注意防范SDBBot RAT。澳大利亚网络安全中心(ACSC)表示,最近使用SDBBot远程访问工具(RAT)对澳大利亚卫生部门的针对性活动有所增加,并督促该部门的组织检查其网络安全防御措施。虽然ACSC没有提供任何关于该攻击活动的细节,但SDBBot RAT或许与黑客组织TA505有关。此外,ACSC还发现SDBBot由3个部分组成,分别为一个建立持久性的安装程序、一个下载额外组件的加载程序以及RAT本身。

https://www.zdnet.com/article/australian-government-warns-of-possible-ransomware-attacks-on-health-sector/

圆通多位“内鬼”有偿租借员工账号,1300余万条公民个人信息被泄露

针对圆通多位“内鬼”有偿租借员工账号,泄露公民信息一事,圆通速递方面11月17日回应称,已报案,相关嫌疑人于9月落网,对此案件暴露的问题深表歉意,坚决配合打击非法售卖和使用快递用户信息的行为。

https://mp.weixin.qq.com/s/XTv7i8JJKczjnIaUR6x3xg

 

四、漏洞事件

Citrix SD-WAN存在多个漏洞,可导致远程代码执行

Citrix SD-WAN存在多个漏洞,可导致远程代码执行和系统接管。第一个漏洞为stop_ping中未经验证的路径遍历和shell注入漏洞(CVE-2020–8271),可使未经身份验证的攻击者获得root权限。第二个漏洞为ConfigEditor身份验证绕过漏洞(CVE-2020–8272),与CakePHP将URI转换为端点函数参数有关。第三个漏洞为CreateAzureDeployment中的Shell注入漏洞(CVE-2020–8273)。研究人员表示,攻击者结合使用这三个漏洞可成功接管系统网络。

https://threatpost.com/citrix-sd-wan-bugs-remote-code-execution/161274/

Safari的链接共享功能可修改标题,可能被滥用

iOS版本Apple Safari浏览器中的链接共享功能使iPhone、iPad和iPod Touch用户可以在共享部分网页时更改标题,该功能可被滥用制造假新闻。当使用Safari浏览网页时,用户可以分享部分文本摘要而不是整个页面,也可以控制和编辑该文本。在通过iMessage与其他iPhone用户共享该页面时,生成的链接预览为该文本的内容而非网页的原始标题。该功能可被用来制造并传播虚假新闻,目前尚未被修复。

https://www.bleepingcomputer.com/news/security/apple-ios-safari-feature-can-be-used-to-share-fake-news-headlines/

XStream远程代码执行漏洞 (CVE-2020-26217) 预警

XStream发布了XStream远程代码执行漏洞的风险通告。漏洞编号:CVE-2020-26217。攻击者向XStream发送精心构造的XML格式数据,绕过XStream的黑名单防御,在目标服务器中执行任意代码。该漏洞是CVE-2013-7285漏洞的变体,漏洞危害较大。建议受影响用户及时升级补丁修复该漏洞,做好资产自查以及预防工作,以免遭受黑客攻击。

https://x-stream.github.io/CVE-2020-26217.html