一、业界动态
NSA和CISA联合发布Kubernetes安全加固指南
为了帮助系统管理员更好地保护开源容器编排工具Kubernetes,美国国家安全局(National Security Agency)和网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)发布了一份新报告,“Kubernetes加固指南”详细描述了Kubernetes环境面临的威胁,并提供了配置指南以最小化风险。
https://mp.weixin.qq.com/s/W0cbO5t_0LJW5ZrenOk5ew
Kaspersky披露新的黑客团伙GhostEmperor
Kaspersky披露了一个新的黑客团伙GhostEmperor,主要针对东南亚地区的目标,包括政府机构和几家电信公司。该团伙的入侵活动依赖于Cheat Engine开源项目的一个组件,它能够绕过Windows驱动程序强制签名机制。该团伙之所以与众不同,是因为它使用了一个以前不为人知的Windows内核模式的rootkit,并且采用了复杂的多阶段恶意软件框架,旨在对目标服务器进行远程控制。
https://securityaffairs.co/wordpress/120721/apt/ghostemperor-chinese-speaking-threat-actor.html
Zoom为和解美国用户的集体诉讼愿意支付8600万美元
视频会议公司Zoom已同意支付8600万美元,来和解美国用户的集体诉讼。该诉讼于2020年3月在加利福尼亚北区的美国地方法院提出,其指控Zoom通过与Facebook、谷歌和LinkedIn共享个人数据侵犯了数百万用户的隐私,还指责Zoom谎称自己提供端到端加密,并未能阻止黑客发起“Zoombomb”会话。如果此次提议的和解获得批准,Zoom将支付参与诉讼的订阅者15%的订阅退款或25美元(以数额较大者为准),而其他用户可获得15美元。
https://www.bbc.com/news/business-58050391
Kaspersky发布2021年Q2 APT攻击态势的分析报告
Kaspersky发布了2021年Q2 APT攻击态势的分析报告。报告指出,最近几个月发生了多起供应链攻击,其中不乏攻击技术含量低但同样成功,例如BountyGlad、CoughingDown和针对Codecov的攻击。APT团伙主要使用社会工程攻击初步入侵目标网络,也有部分组织利用零日漏洞攻击网络。APT组织还会不断刷新和更新他们的工具集:不仅包括新平台,还包括使用的其它语言。
https://securelist.com/apt-trends-report-q2-2021/103517/
二、关键基础设施
意大利能源公司ERG遭到勒索软件LockBit 2.0攻击
意大利能源公司ERG称其遭到了勒索软件攻击。ERG是意大利领先的风电运营商,也是欧洲市场十大陆上运营商之一。该公司称,由于发现攻击后迅速安装了内部安全程序,因此其信息和通信技术(ICT)基础设施只发生了几次轻微的中断,且目前正在缓解这些中断。La Repubblica报道称,此次攻击是由勒索团伙LockBit 2.0组织的。
https://www.bleepingcomputer.com/news/security/energy-group-erg-reports-minor-disruptions-after-ransomware-attack/
三、安全事件
黑客公开电子艺界EA的数据,包括FIFA 21游戏源码
黑客在暗网公开电子艺界EA的数据,包括FIFA 21游戏源码、FrostBite游戏引擎和调试工具源代码等信息。该事件最初于6月10日披露,当时黑客声称窃取了该公司780GB的数据,并愿意以2800万美元的价格出售。但因为被盗数据大多是源代码对网络犯罪团伙来说没有任何价值,因此并未找到买家。之后黑客试图勒索EA,在7月14日发布了1.3GB的FIFA源代码作为样本,并在2周后公开了全部数据。
https://therecord.media/hackers-leak-full-ea-data-after-failed-extortion-attempt/
Comparitech称某开放的数据库泄露美国3500万公民信息
Comparitech发现一个未受保护的Elasticsearch数据库泄露了芝加哥、圣地亚哥和洛杉矶约3500万居民的详细信息。研究人员怀疑该数据库可能是某营销公司数据抓取的结果,存储在了配置错误的服务器上。其于2021年6月26日被发现,在7月27日仍然可以访问,目前无法确定该数据库的所有者,亚马逊网络服务(AWS)不得不进行干预并将其强行关闭。此次泄露的信息包括性别、姓名、种族、出生日期、婚姻状况、邮件地址、联系信息、资产、购物习惯、媒体偏好、宠物、爱好和兴趣以及收入和净资产等。
https://www.hackread.com/household-data-database-us-residents-exposed/
Conti合作伙伴因心怀不满公开该团伙C2地址等信息
Conti的合作伙伴因对利益分配不公而心怀不满,公开了该团伙的C2地址等机密信息。Conti作为RaaS,其核心团队管理恶意软件和Tor站点,然后招募合作伙伴执行网络漏洞和加密设备。通常核心团队赚取赎金的20-30%,而其它人赚取剩余部分。此次公开了Cobalt Strike C2服务器的IP地址和一个113 MB的档案,其中包括黑客工具、俄文手册、培训材料和帮助文档。公开者称,他们之所以发布这些材料,是因为他在攻击中只获得了1500美元的报酬,而其他成员则赚取了数百万美元。
https://www.bleepingcomputer.com/news/security/angry-conti-ransomware-affiliate-leaks-gangs-attack-playbook/
四、漏洞事件
研究人员披露Cobalt Strike中拒绝服务漏洞的细节
SentinelLabs研究人员披露了Cobalt Strike中拒绝服务漏洞的细节。Cobalt Strike是合法的渗透测试工具,主要作为红队的攻击框架,同时也被黑客用于攻击活动。该漏洞追踪为CVE-2021-36798(并称为Hotcobalt),攻击者可以利用该漏洞在目标服务器上注册假beacon,然后向服务器发送虚假任务来耗尽可用内存而使服务器崩溃,进而导致目标无法与C2通信,干扰红队(或黑客)的操作。HelpSystems公司在Cobalt Strike 4.4中修复了漏洞。
https://www.bleepingcomputer.com/news/security/new-cobalt-strike-bugs-allow-takedown-of-attackers-servers/
研究人员披露TCP/IP中统称为INFRA:HALT的14个漏洞
研究人员披露了在NicheStack TCP/IP堆栈中发现的统称为INFRA:HALT的14个安全漏洞,影响了超过200家供应商制造的OT设备。这些漏洞可以导致远程代码执行、拒绝服务 (DoS)和信息泄露、TCP欺骗和DNS缓存中毒。其中最严重的漏洞为CVE-2020-25928和CVE-2020-31226,评分分别为9.8和9.1,影响了堆栈的DNS客户端和HTTP服务器组件,可用来在目标设备上执行代码并完全控制它。
https://thehackernews.com/2021/08/critical-flaws-affect-embedded-tcpip.html
Armis披露PTS系统中的统称为PwnedPiper的漏洞
安全公司Armis披露SwissLog的TransLogic PTS(气动管系统) 中统称为PwnedPiper的9个漏洞,影响全美80%的医院。TransLogic PTS用于在大中型医院中长距离运送医疗物品,已在北美2300多家医院使用。这些漏洞中最严重的是未经身份验证、未加密、未签名的固件升级漏洞(CVE-2021-37160),可用来在系统上安装恶意固件来完全控制目标系统。此外,还有提权漏洞(CVE-2021-37167)、DoS漏洞(CVE-2021-37166)和tcpTxThread中的三倍堆栈溢出(CVE-2021-37164)等漏洞。
https://thehackernews.com/2021/08/pwnedpiper-pts-security-flaws-threaten.html
亚马逊/谷歌DNS托管服务爆出严重漏洞,可窃取企业内网敏感信息
Black Hat USA 2021,云安全厂商Wiz公司两位安全研究员Shir Tamari与Ami Luttwak披露一项影响托管DNS服务商的新问题。利用这个bug,攻击者可以劫持平台节点、拦截部分传入的DNS流量并据此映射客户的内部网络。
https://mp.weixin.qq.com/s/8x0v47H6aGIUP2t8saxe_A