安全态势周刊

News information

安全态势周刊-六方云(AI基因·威胁免疫)——第147期

<<返回

2021年04月06日 10:51

一、业界动态

Mimecast发布疫情期间攻击活动的态势分析报告

Mimecast发布了疫情期间攻击活动的态势分析报告。该报告详细介绍了在COVID流行的第一年(2020年3月至2021年2月)中针对远程工作者的攻击活动。报告指出,在这一年攻击量激增了48%,其中攻击的峰值出现在2020年10月。在2020年3月,居家办公趋势的出现的时候,不安全的点击次数增长了3倍。此外,美国人打开可疑邮件的可能性是英国和德国人的两倍;公司的计算机用于个人业务的使用率增加了60%。

https://www.mimecast.com/resources/press-releases/dates/2021/3/the-year-of-social-distancing/

2020年全球网络安全演习

网络安全演习成为各国发现防护漏洞、提升安全能力的重要途径。过去一年来,美国、欧盟、日本、澳大利亚与东盟等国家均举办了例行或新的网络安全演习。本篇主要聚焦于政府及行业的网络安全演习,以飨读者。

https://www.secrss.com/articles/30287

2020 年网络犯罪开始转向 Ransomware 2.0

据外媒报道,从历史上看,勒索软件依赖于加密数据,然后借此索要赎金。但F-Secure的一份新报告显示,2020年,偷窃数据的勒索软件有所增加,这让攻击者对受害者有了更大的影响力。如果组织首先拒绝支付赎金来解密他们的数据,那么攻击者就会威胁泄漏被盗的信息并增加受害者的压力。

https://www.cnbeta.com/articles/tech/1108407.htm

 

二、关键基础设施

Ovarro TBox RTU中存在包括RCE在内的多个漏洞

安全公司Claroty的安全研究员Uri Katz发现Ovarro的TBox远程终端单元(RTU)存在5个漏洞。TBox是用于控制监控和数据采集(SCADA)应用的自动化解决方案,涉及电力、石油和天然气、运输和加工等行业。这些漏洞分别为代码执行漏洞CVE-2021-22646、可导致TBox崩溃的CVE-2021-22642、可解密登录密码的CVE-2021-22640、可更改或删除配置文件的CVE-2021-22648和可窃取硬编码的加密密钥的CVE-2021-22644。

https://thehackernews.com/2021/03/flaws-in-ovarro-tbox-rtus-could-open.html

印度ECU Worldwide感染Mount Locker,2TB数据泄露

ECU Worldwide是无营运船的公共承运人(NVOCC),主要从事集装箱的拼箱运输(LCL),是印度最大的上市公司之一。该公司在2月16日报告其遭到了网络攻击,导致部分在线平台和电子邮件系统暂时中断。勒索软件团伙Mount Locker于上周日在其数据泄露网站发帖称他们从ECU窃取了2TB的数据,但仍未公开有关这些数据的任何信息,因此尚不清楚泄露数据的类型。

https://www.freightwaves.com/news/hackers-threaten-shipping-firm-ecu-worldwide-with-data-leak

 

三、安全事件

Talos发现多个将恶意软件伪装成游戏外挂的攻击活动

研究人员称在多个活动中发现了几个看起来像游戏补丁、调整器或修改器的小工具带有模糊的恶意软件。从2010年开始活跃的商用RAT XtremeRAT就是其中之一,可用来窃取文档、记录键盘输入、捕获屏幕截图、使用摄像头或麦克风录制音频以及通过远程shell与受害者互动等。此外,攻击者还使用了复杂的基于VisualBasic的加密器和Shellcode来阻止分析和检测,并隐藏其payload。

https://www.bleepingcomputer.com/news/security/malware-hidden-in-game-cheats-and-mods-used-to-target-gamers/

IoT设备商Ubiquiti遭到攻击,数据库和源代码泄露

网络设备和物联网(IoT)设备提供商Ubiquiti遭到攻击,数据库和源代码泄露。1月11日,该公司披露其第三方云提供商泄露了其客户的帐户凭据。但近期,匿名为Adam的举报者透露事件远比看上去严重得多。攻击者可以root管理员权限访问所有Ubiquiti AWS帐户,包括所有S3数据桶、应用程序日志、数据库和用户凭据,以及伪造单点登录(SSO)Cookie和远程访问所需的密钥、完整的源代码控制内容和签名密钥。

https://krebsonsecurity.com/2021/03/whistleblower-ubiquiti-breach-catastrophic/

恶意软件导致美国八个州汽车无法年检

近日,排放测试公司Applus Technologies遭遇恶意软件(很可能是勒索软件)攻击,导致包括康涅狄格州、乔治亚州、爱达荷州、伊利诺伊州、马萨诸塞州、犹他州和威斯康星州等八个州的车辆无法进行年检。

https://www.secrss.com/articles/30300

勒索凶猛!澳大利亚最大电视台之一停播超24小时

疑似国家支持的黑客团伙发动猛烈攻击,导致澳大利亚九号电视台(Nine Network)停播超24个小时。这也成为澳大利亚有史以来最大规模的媒体事故。

https://mp.weixin.qq.com/s/vkusIlvNvfViFszq2JxcUQ

PHP的Git服务器被黑客入侵,源代码被插入后门代码

2021年3月28日,有身份不明人士入侵了PHP编程语言的官方Git服务器http://git.php.net,并上传了未经授权的更新包,而包中源代码被插入了秘密后门代码。

https://mp.weixin.qq.com/s/p9ckSXp7gYNCtjRQKD7Qvg

 

四、漏洞事件

NPM库Netmask组件存在漏洞,可影响数万个应用程序

该组件每周下载量超过300万次,截至现在累计下载量已超过2.38亿次,约有27.8万个GitHub存储库依赖于netmask。该漏洞被追踪为CVE-2021-28918,十进制IPv4地址包含前导零时,网络掩码处理混合格式IP地址的方式。攻击者可以通过影响应用程序解析的IP地址,则该漏洞可能会引起各种漏洞,例如导致服务器端请求伪造(SSRF)和远程文件包含(RFI)。目前,该漏洞已被修复。

https://www.bleepingcomputer.com/news/security/critical-netmask-networking-bug-impacts-thousands-of-applications/

Apache Druid远程代码执行漏洞(CVE-2021-26919)预警

3月29日,Apache发布了Apache Druid远程代码执行漏洞的风险通告,漏洞CVE编号:CVE-2021-26919。攻击者可通过构造恶意MySQL服务器,利用该漏洞在目标服务器上执行远程代码,从而控制目标服务器。该漏洞危害较大且影响范围广。建议受影响用户及时将Druid升级至0.20.2版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

https://mp.weixin.qq.com/s/t7xb9TtqIXB9LYz8t2HQrw