安全态势周刊

News information

安全态势周刊-六方云(AI基因·威胁免疫)——第132期

<<返回

2020年12月14日 10:37

一、业界动态

Talos发布2020年秋季事件响应态势的分析报告

Cisco Talos发布了2020年秋季事件响应态势的分析报告。报告指出,勒索软件在威胁领域仍占据主导地位,顶级勒索软件团伙是Maze和Sodinokibi。黑客攻击范围广泛,包括农业,食品和饮料,医疗,教育,能源和公用事业,工业分销,执法,地方政府,制造业和技术。主要目标是制造业。此外,由于COVID-19的爆发,针对卫生保健组织的攻击活动激增。

https://blog.talosintelligence.com/2020/12/quarterly-ir-report-fall-2020-q4.html

金立的子公司在超过2000万部手机中安装恶意软件

金立(Gionee)的子公司智普科技在超过2000万部手机中安装恶意软件。据悉,该恶意软件是在2018年12月至2019年10月期间安装的,该公司使用了一款名为Story Lock Screen的伪造的应用程序感染设备,以便通过推送广告等非法手段获利,影响了近2175万台设备。此外,该公司还使用名为Dark Horse的程序在受影响的金立手机上安装和更新恶意软件,并以此获利高达420万美元。

https://www.hackread.com/gionee-implanted-malware-20-million-phones/

Adrozek恶意软件每天可感染3万多台电脑

微软警告称,一种名为Adrozek的恶意软件正在推动一场新的浏览器劫持和凭证窃取的活动。这种恶意软件在其高峰时期,每天能够感染3万多台设备。在受感染的计算机上,Adrozek会将广告注入搜索引擎结果页面,并且可以劫持MicrosoftEdge,GoogleChrome,YandexBrowser和MozillaFirefox。该恶意软件利用从其操控者控制的服务器下载的恶意脚本,在更改被劫持的网络浏览器的设置和组件后注入广告。微软365Defender研究团队说:“建议在其设备上发现此威胁的终端用户重新安装其浏览器。”

https://ask.wandouxueyuan.com/intelligence/5882

 

二、关键基础设施

PickPoint遭到攻击,近三千个包裹储物柜被打开

12月4日下午莫斯科PickPoint遭到了攻击,2732个包裹寄物柜的门被强制打开。PickPoint是本地快递服务公司,其在莫斯科和圣彼得堡维护着8000多个包裹柜的网络。一名黑客利用尚未被发现的漏洞,强行打开了近三分之一的PickPoint储物柜的门,导致上万个包裹被盗。此次攻击的原因尚未被查明,PickPoint表示已通知当局,并正在努力恢复其网络。

https://www.zdnet.com/article/hacker-opens-2732-pickpoint-package-lockers-across-moscow/

富士康墨西哥工厂遭勒索软件攻击

援引外媒 Bleeping Computer 报道,位于墨西哥的富士康工厂遭到了“DoppelPaymer”勒索软件的攻击,并在暗网上出售窃取的文件。据悉窃取的文件包括常规的业务文档和报告,但不包含任何财务信息或者员工的个人信息。

https://www.cnbeta.com/articles/tech/1063189.htm

全球第三大飞机制造商Embraer遭勒索攻击,内部数据泄露

据外媒报道,巴西航空工业公司被认为是继波音和空客之后的当今第三大飞机制造商,上个月遭到勒索软件的攻击。巴西航空工业公司的文件被共享在一个由勒索软件团伙RansomExx(也被称为Defray777)管理的暗网网站上。

https://new.qq.com/omn/20201208/20201208A01WOP00.html

 

三、安全事件

FireEye确认遭到APT攻击,已发布声明并开源相关工具

FireEye称其遭到了由国家赞助的高度复杂的黑客的攻击,攻击者未经授权访问其Red Team工具。FireEye表示这是一次拥有一流进攻能力的国家的攻击,与以往事件不同,此次攻击专门针对和攻击FireEye。经调查,攻击者访问了用于测试客户安全性的Red Team评估工具,但其中并没有包含0day漏洞。目前CISA尚未收到有关这些工具被恶意使用的报告,FireEye开发了300多种对策,以减少此事件的潜在影响。

https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html

哈萨克斯坦第三次强制在其公民设备上安装根证书

哈萨克斯坦政府以网络安全演习为幌子,强迫首都努尔苏丹的公民在其设备上安装数字证书。如果不安装政府的根证书,公民将无法访问Google、Twitter、YouTube、Facebook、Instagram和Netflix等网站。一旦安装,该证书将允许政府通过一种称为MitM(中间人)的技术来拦截用户设备发出的所有HTTPS流量。这是哈萨克斯坦政府自2015年以来第三次强制在其公民设备上安装根证书。

https://www.zdnet.com/article/kazakhstan-government-is-intercepting-https-traffic-in-its-capital/

黑客窃取意大利Leonardo SpA的10GB军事机密

黑客窃取国防公司Leonardo SpA的10 GB军事机密,现已被意大利警方逮捕。Leonardo是世界上最大的国防承包商之一,其30%的股份属于意大利经济和财政部。此次泄露的信息涉及到行政会计管理、人力资源、资本货物的采购和分配、民用飞机零部件和军用飞机的设计、员工个人信息。据悉,黑客使用USB密钥向94个工作站分发cftmon.exe木马,并以正版Windows文件命名该木马以绕过检测。

https://www.bleepingcomputer.com/news/security/police-arrest-two-in-data-theft-cyberattack-on-leonardo-defense-corp/

 

四、漏洞事件

GE Healthcare上百款型号的设备存在MDHexRay漏洞

安全公司CyberMDX发现,GE Healthcare上百款型号的设备存在MDHexRay漏洞。该漏洞被追踪为CVE-2020-25179,严重程度为9.8分,影响了该公司十几条产品线的100多个CT、x光、MRI设备型号的设备。MDHexRay漏洞存在的原因是软件在每次安装中都使用默认凭据,以向GE的服务器进行身份验证,但凭据是公开可用的,黑客可能会滥用这些帐户来获取医院和诊所内部的医疗设备。

https://www.zdnet.com/article/account-with-default-creds-found-in-100-ge-medical-device-models/

研究团队披露四个开源TCP/IP库中的33个漏洞Amnesia:33

Forescout的研究团队披露了四个开源TCP/IP库中的33个漏洞,并将它们命名为Amnesia:33。这四个开源库分别为uIP、FNET、picoTCP和Nut/Net,影响了150多家供应商的产品。Forescout表示,黑客可利用这33个漏洞发起远程代码执行(RCE)攻击以控制目标设备,拒绝服务(DoS)攻击以影响公司业务运营,信息泄漏(infoleak)攻击以获取潜在的敏感信息,DNS缓存中毒攻击以将设备指向恶意网站。

https://www.zdnet.com/article/amnesia33-vulnerabilities-impact-millions-of-smart-and-industrial-devices/

PS Now Windows应用存在任意代码执行漏洞

Parsia Hakimian发现PlayStation Now(PS Now)的Windows应用程序中存在安全漏洞,可被用来执行任意代码。Hakimian称攻击者可以通过psnowlauncher.exe在端口1235上启动本地的WebSocket服务器, 并使用其在启动后生成的AGL Electron应用在PS NOW用户的计算机上运行恶意代码。由于AGL加载的JavaScript将能够在机器上生成进程并不检查加载的URL,这可能导致任意代码的执行。

https://www.bleepingcomputer.com/news/security/playstation-now-bugs-let-sites-run-malicious-code-on-windows-pcs/