一、业界动态
IBM发布针对COVID-19疫苗供应链的攻击活动的报告
IBM X-Force发布了针对COVID-19疫苗供应链的攻击活动的报告。在COVID-19开始时,IBM X-Force成立了威胁情报特别工作组,致力于追踪针对疫苗供应链运转的组织的网络威胁,该团队最近发现了一场针对与COVID-19冷链相关组织的全球钓鱼活动。此次攻击活动跨越六个国家,目标可能与全球疫苗免疫联盟(Gavi)的冷链设备优化平台(CCEOP)项目有关,或与国家间谍组织有关。
https://securityintelligence.com/posts/ibm-uncovers-global-phishing-covid-19-vaccine-cold-chain/
Carding Action 2020行动破获一起大规模诈骗案件
网络安全公司Group-IB与欧洲的匈牙利、英国和意大利当局合作,发起Carding Action 2020行动,破获一起大规模信用卡交易诈骗案件。该活动针对多个暗网市场,在信用卡交易商店和暗网交易平台上查找与买卖被盗卡详细信息有关的欺诈者,旨在减轻和防止金融机构和持卡人遭受损失,目前约阻止了4000万欧元的损失。国际刑警组织宣布逮捕了三名来自尼日利亚的嫌疑人,据信他们是一个攻击了150个政府组织和公司的团伙的成员。
https://www.hackread.com/authorities-disrupt-dark-web-credit-card-trading-scam/
Unit4发布有关全球企业进行数字化转型的分析报告
企业云应用公司Unit4发布有关全球企业进行数字化转型的分析报告。报告指出,为响应用户不断增长的需求,全球84%的决策者正在加速其数字化转型计划,并希望在未来有更多的灵活性来远程工作。在Covid-19期间,49%的决策者称在规划方面变得更加灵活,42%承认创新的步伐已经加快,35%的人表示这加快了他们向云计算转移的投资。此外,随着远程工作的过渡,60%的受访者表示他们在封锁期间生产力更高。
https://www.unit4.com/news/unit4-study-reveals-organizations-are-accelerating-digital-strategies-people-led
二、关键基础设施
研究团队发现StruxureWare存在6个新的0day
TIM红队研究团队(RTR)发现StruxureWare存在6个新的0day,目前已被其制造商施耐德电气修复。此次发现的漏洞分别为不受限制的文件上传漏洞(CVE-2020-7569),可导致远程代码执行;XML外部实体引用的限制不当(CVE-2020-7572),可导致敏感数据泄露;Windows未引用搜索路径(CVE-2020-28209);存储型跨站点脚本漏洞(CVE-2020-7570);反射型跨站点脚本漏洞(CVE-2020-7571)和访问控制不当(CVE-2020-7573)。
https://securityaffairs.co/wordpress/111692/hacking/schneider-electric-zero-days.html
伊朗黑客入侵了以色列供水设施的HMI系统
工业网络安全公司OTORIO的研究人员透露,一群伊朗黑客在以色列水厂获得了不受保护的ICS的访问权限。威胁参与者访问了一个未经安全保护的人机界面(HMI)系统,并发布了一段黑客攻击视频。黑客在2020年12月1日晚发布的一段视频中声称,他们已经攻破了以色列的一处供水设施,很可能是循环水。12月2日,管理员对访问的系统进行了安全保护,但它仍然暴露在网上。OTORIO专家说,策划这次攻击的伊朗黑客团伙名为“UnidentifiedTEAM”,通过他们的电报频道公布了这次入侵。这个组织还访问了其他美国网站,包括德克萨斯州的一个政府教育网站。
https://ask.wandouxueyuan.com/intelligence/5851
三、安全事件
研究团队发现僵尸网络Xanthe利用DockerAPI感染Linux
研究团队发现了一个名为Xanthe的门罗币加密僵尸网络,可利用配置错误的Docker API来感染Linux系统。该恶意软件可利用多种方法进行传播,如收集客户端证书以通过SSH传播到目标主机。此外,Xanthe具有四个用来绕过检测并增加持久性的附加模块,分别为进程隐藏模块(libprocesshider.so);禁用其他矿工和安全服务的shell脚本(xesa.txt);用于删除Docker容器中的竞争性Docker目标加密木马的shell脚本(fczyo)和XMRig二进制文件(以及JSON配置文件config.json)。
https://threatpost.com/misconfigured-docker-servers-xanthe-malware/161732/
AspenPointe医院遭攻击,近30万患者敏感数据泄露
美国非营利性医院AspenPointe遭攻击,近30万患者敏感数据泄露。该医院称,其检测到了于2020年9月12日至9月22日之间对网络未经授权的访问,之后立即展开调查。调查于11月10日结束,发现黑客能够访问患者的敏感数据,包括姓名、出生日期、驾照号码、银行帐户信息、社会保险号、医疗补助编号、就诊日期、入院日期、出院日期和诊断代码。该事件已于11月19日报告给卫生和公众服务部公民权利办公室,总共影响到295617个患者。
https://www.infosecurity-magazine.com/news/aspenpointe-cyber-attack/
宾夕法尼亚州特拉华县已向Doppel支付50万美元的赎金
宾夕法尼亚州特拉华县的系统遭到DoppelPaymer勒索软件攻击,现已支付500000美元的赎金。特拉华县发布警报称,攻击导致部分系统中断,但该县的选举局和紧急服务部门并没有受到影响。当地媒体称,勒索软件团伙可以访问包含警方报告、工资、采购和其他数据库的系统,并索要50万美元的赎金。费城6abc电台称该县已准备支付赎金,因为其已经为此类攻击投保。
https://www.bleepingcomputer.com/news/security/pennsylvania-county-pays-500k-ransom-to-doppelpaymer-ransomware/
黑客利用黑匣子攻击从意大利的ATM机中窃取80万欧元
黑客组织利用新的黑匣子攻击技术从意大利的至少35台ATM中窃取80万欧元。黑匣子攻击是一种中奖攻击,旨在通过黑匣子设备发送命令来迫使ATM分配现金。在这种攻击中,攻击者将黑盒设备与ATM物理连接,利用它向机器发送命令。据悉,该团伙在米兰、蒙扎、博洛尼亚、摩德纳、罗马、维泰博、曼托瓦、维琴察和帕尔马省均设有后勤基地。
https://securityaffairs.co/wordpress/111659/cyber-crime/black-box-attack-italy.html
四、漏洞事件
谷歌披露iOS中可通过Wi-Fi接管附近任意设备的漏洞
Google Project Zero披露iOS中可通过Wi-Fi接管附近任意设备的漏洞。该漏洞被跟踪为CVE-2020-3843,是一个双重释放漏洞,黑客利用该漏洞可以访问照片和其他敏感数据,包括电子邮件和私人消息。攻击者将目标锁定在AirDrop BTLE框架上,通过强制使用存储在设备中的联系人的哈希值来启用AWDL接口,然后触发缓冲区溢出以获得对设备的访问权,并以根用户身份植入恶意代码,实现对设备的完全控制。尚不清楚该漏洞是否被在野利用,但相关厂商已发布修复程序。
https://securityaffairs.co/wordpress/111788/mobile-2/iphone-devices-hack.html
Cisco Talos披露WebKit中多个严重的漏洞
Cisco Talos披露WebKit浏览器引擎存在多个严重的漏洞。这些漏洞与WebKit的WebSocket、AudioSourceProviderGStreamer和ImageDecoderGStreamer功能有关。分别为WebSocket代码执行漏洞(CVE-2020-13543),可通过触发释放后使用漏洞来远程执行代码;ImageDecoderGStreamer释放后使用漏洞(CVE-2020-13584),可导致远程执行代码,以及被追踪为CVE-2020-13543的漏洞。
https://www.securityweek.com/webkit-vulnerabilities-allow-remote-code-execution-malicious-websites