一、业界动态
六方云赢得近百套AI安全产品大单
六方云全流量威胁检测与回溯系统(以下简称“神探”)凭借AI安全的显著效果,在某重点关基行业成功斩获近百套产品大单!此项目的成功签订,为后续在关基行业的开拓建立了标杆案例,也充分证明六方云AI安全技术路线不但做到了战略上的前瞻性和正确性,且技术也步入了国际一流行列,领先国内!
https://mp.weixin.qq.com/s/hquZy6b9z7CjjIvW_n5f6g
DTEX发布2021年远程工作的安全分析报告
DTEX system发布了2021年远程工作的安全分析报告。报告显示,近75%的组织担心在家工作会带来安全风险,73%的组织认为远程工作者禁用了VPN后,他们的活动将变得不可见。此外,当用户将其工作电脑用于个人用途和公司用途时,增加了驱动下载的风险(25%),用户更容易受到家庭网络钓鱼的攻击(15%)。组织优先考虑远程员工活动可视性(34%),然后是改进的网络分析(30%)和杀毒以及端点检测和响应。
https://www.dtexsystems.com/blog/2021-remote-workforce-security-report-organizations-still-lack-confidence-in-security-practices/
FBI发布有关黑客劫持智能设备的攻击活动的警报
FBI发布了有关黑客劫持智能设备的攻击活动的警报。FBI称,黑客会利用先前在其他公司发生数据泄露时泄漏的凭据,来劫持受害者的智能设备,例如具有视频和音频功能的家庭监控设备。然后报假警,称受害者住所处有犯罪活动。黑客会通过劫持的设备观看直播视频,并利用摄像头和扬声器与出警的警察进行交互。有时,黑客还会在共享平台上进行实时直播。FBI称,他们现在正在与设备供应商合作,以帮助用户为设备设置更好的密码。
https://www.zdnet.com/article/fbi-pranksters-are-hijacking-smart-devices-to-live-stream-swatting-incidents/
工业和信息化部关于印发《工业互联网标识管理办法》的通知
为促进工业互联网标识解析体系健康有序发展, 规范工业互联网标识服务,保护用户合法权益,保障标识解析体系安全可靠运行,根据《中华人民共和国网络安全法》《中华人民共和国电信条例》《互联网信息服务管理办法》《互联网域名管理办法》《电信业务经营许可管理办法》《通信网络安全防护管理办法》等法律法规和规章,制定本办法。
https://mp.weixin.qq.com/s/zdUzfh3KNQ4p1mchHLO61A
新恶意软件可利用Imgur来解码Cobalt Strike脚本
新恶意软件可利用图像托管服务Imgur下载合法的图像,来解码Cobalt Strike脚本。新的恶意软件使用带有宏的Word文件从GitHub下载PowerShell脚本,该脚本将从Imgur下载实际PNG文件。之后,利用像Invoke-PSImage这样的工具来使用PNG文件中的像素值编码PowerShell脚本,并生成一行命令来执行payload,最终获得Cobalt Strike脚本。研究人员推测此恶意软件可能与主要针对中东实体的APT组织MuddyWater有关。
https://www.bleepingcomputer.com/news/security/github-hosted-malware-calculates-cobalt-strike-payload-from-imgur-pic/
二、关键基础设施
日本军工企业川崎重工遭到攻击,或将导致数据泄露
日本军工企业川崎重工遭到攻击,或将导致数据泄露。川崎重工(Kawasaki)称,2020年6月11日有未经授权的第三方从泰国办事处访问了日本的服务器,在发现该问题后两个站点之间的所有通信都被停止。随后,该公司又发现了其他海外站点(印度尼西亚、菲律宾和美国)未经授权访问日本服务器的情况,并切断通信。川崎称此次攻击使用了先进技术而没有留下任何痕迹和证据,但公司数据或许已经泄露。所有被终止的通信于11月30日恢复正常。
https://securityaffairs.co/wordpress/112765/data-breach/kawasaki-heavy-industries-cyber-attack.html
Aspen发布有关数字基础设施的分析报告
Aspen发布了有关数字基础设施的分析报告。2020年,网络安全已成为每个行业以及美国政府的难题,该报告指出了新任总统政府有许多机会可以增加网络安全工作并提高人们的意识,以创建更具弹性的数字基础架构。该报告旨在帮助决策者确定优先级、规划和执行可操作的网络安全计划,从教育和劳动力、保护基础设施、供应链安全、测评网络安全和促进业务合作几个方面进行分析。
https://www.aspeninstitute.org/publications/a-national-cybersecurity-agenda-for-resilient-digital-infrastructure/
三、安全事件
黑客在暗网泄露金融公司Staircase的敏感数据
黑客在暗网泄露奥克兰金融公司Staircase的敏感数据。本月初Staircase遭到NetWalker的攻击,并被勒索约15万美元。因未按时支付赎金,目前黑客已在多个第三方文件共享网站上公开盗走的数据。该公司称,目前已将此次泄漏事件告知其客户,并在协助当地警方对此事进行调查。
https://www.stuff.co.nz/business/industries/123831316/hackers-publish-client-data-stripped-from-auckland-financial-services-company-on-dark-web
黑客利用Facebook广告窃取61.5万个用户登录凭据
ThreatNix的研究人员发现黑客利用Facebook广告发起钓鱼攻击,窃取61.5万个用户登录凭据。在该攻击活动中黑客以尼泊尔电信的名义发布Facebook广告,承诺赠送3 GB的流量。当用户点击连接后,将被重定向到一个静态Github页面,这是伪造成Facebook登录页面的钓鱼页面。被盗的凭据将通过Firestore数据库和GoDaddy上托管的域传回给攻击者。此次活动主要针对来自埃及、菲律宾、巴基斯坦和尼泊尔等国家的用户,总共影响超过615000个人。
https://www.hackread.com/hackers-phish-login-credentials-with-facebook-ads/
家电公司惠而浦感染Nefilim,其数据被加密并泄露
家电公司惠而浦(Whirlpool)感染勒索软件Nefilim,其数据被加密并泄露。此次攻击发生在周末,黑客窃取的数据包括与员工福利、住宿要求、医疗信息要求和背景调查等有关的文档,随后加密了其设备。目前,惠而浦的系统已完全恢复,并声称没有任何与消费者有关的信息泄露。
https://www.bleepingcomputer.com/news/security/home-appliance-giant-whirlpool-hit-in-nefilim-ransomware-attack/
芬兰议会的系统遭到攻击,或与间谍活动有关
芬兰议会称其遭到网络攻击,多个议员的电子邮件帐户遭到入侵。攻击发生在2020年秋天,同一时间,俄罗斯黑客组织APT28攻击了部分挪威议会代表和员工的电子邮件帐户。芬兰中央刑警(KRP)称这次攻击并未对议会内部的IT系统造成任何损害,但也不是意外入侵,可能是国家黑客进行的网络间谍活动的一部分。目前,KRP表示不能确定受害者数量,也没有提供更多细节。
https://www.zdnet.com/article/finland-says-hackers-accessed-mps-emails-accounts/
四、漏洞事件
SolarWinds修复Orion中的漏洞(CVE-2020-10148)
SolarWinds修复了Orion中被追踪为CVE-2020-10148的RCE漏洞。该漏洞是由于SolarWinds Orion API身份验证能够被绕过,攻击者可以通过在Request.PathInfoURI请求中使用特定参数来利用此漏洞,最终攻击者可以远程执行未经身份验证的API命令。目前,SolarWinds已经发布了此漏洞的安全更新,以修复SUNBURST和SUPERNOVA漏洞。
https://www.bleepingcomputer.com/news/security/solarwinds-releases-updated-advisory-for-new-supernova-malware/
Nintendo 3DS存在可导致MiTM攻击的漏洞
研究人员发现Nintendo 3DS存在严重的漏洞,可能导致MiTM攻击。该漏洞位于Nintendo 3DS对数字证书的处理中,建立SSL/TLS连接时SSL系统模块未正确验证x509证书,从而允许攻击者伪造证书来执行MitM攻击,或欺骗受信任的服务器,例如欺骗eShop服务器并窃取用户信息,欺骗与游戏服务器的连接等。该漏洞影响了所有固件版本为11.13或更低的Nintendo 3DS控制台,目前已被修复。
https://latesthackingnews.com/2020/12/27/critical-vulnerability-in-nintendo-3ds-console-could-allow-mitm-attacks/