六方云知识库

安全态势周刊-六方云(AI基因·威胁免疫)——第166期

2021年09月06日 10:04

一、业界动态

CNNIC发布第48次《中国互联网络发展状况统计报告》

中国互联网络信息中心(CNNIC)于8月27日在京发布第48次《中国互联网络发展状况统计报告》。报告显示,截至今年6月,中国网民规模达10.11亿,较2020年12月增长2175万,互联网普及率达71.6%;互联网基础资源加速建设,截至6月,中国IPv6地址数量达62023块/32;中国农村网民规模为2.97亿,农村地区互联网普及率为59.2%,较2020年12月,城乡互联网普及率差异缩小4.8%。

http://finance.people.com.cn/n1/2021/0828/c1004-32210949.html

黑客出售可在多个品牌的GPU上执行的技术并发布PoC

攻击者利用恶意软件可以从受感染系统的图形处理单元(GPU)中执行代码。虽然该方法并不新鲜,但迄今为止此类攻击要么来自学术界,要么是未经完善的。而今年8月,有黑客在论坛中出售相关的PoC,这标志着此类攻击可能已过渡到新的复杂级别。目前,卖家只提供了该技术的概述,说它使用GPU内存缓冲区来存储恶意代码并执行,并表示该技术与2015年5月发布的基于GPU的恶意软件JellyFish并不相同。

https://bleepingcomputer.com/news/security/cybercriminal-sells-tool-to-hide-malware-in-amd-nvidia-gpus/

暗藏后门的USB-C to Lightning数据充电线将大规模生产销售

用户可能想不到USB-C to Lightning充电线也可以用来监视设备。Hak5开始销售正常工作的USB-CUSB-A充电线,但它们还可用于远程入侵您的笔记本电脑、平板电脑或手机。名为MG的安全研究人员于2019年底首次展示了该充电线,其设计看起来像标准的 USB电缆。然而,它确实包含一个芯片、WiFi 功能、一个网络服务器和一个键盘记录器,以及远程控制它所连接的计算机的鼠标和键盘的能力。

https://www.secrss.com/articles/34082

 

二、关键基础设施

台湾摩莎生产的铁路设备存在大量漏洞,黑客可实施操控或破坏

中国台湾工业网络和自动化公司Moxa生产的铁路和其他类型的无线通信设备受到近60个漏洞的影响。Atos(阿托斯)旗下的网络安全咨询公司SEC Consult透露,该公司的一名研究人员在Moxa设备上发现了两个新的漏洞,以及几个过时的第三方软件组件,在这批组件上发现了数十个漏洞。

https://www.securityweek.com/flaws-moxa-railway-devices-could-allow-hackers-cause-disruptions

海上钻井平台网络安全状况堪忧

工业网络安全公司Naval Dome与荷兰皇家壳牌(Royal Dutch Shell)的海上部门合作进行了针对海上深水钻井平台的网络安全风险研究,形成的研究报告在8月16日于休斯顿举行的海上技术大会上发布。报告认为,深水钻井平台通常没有做好保护自己免受网络攻击的准备,钻机需要的不仅仅是防火墙和杀毒软件。面对网络攻击泛化和勒索肆虐的态势,深水钻井平台面临真正的网络安全挑战和明显的应对不足。

https://mp.weixin.qq.com/s/s_yogWVKq9CoIKoZQVYA1g

 

三、安全事件

曼谷航空公司确认其遭到LockBit的勒索软件攻击

泰国的第三大航空公司曼谷航空在承认其遭到了LockBit的勒索软件攻击。8月25日,LockBit团伙在其数据泄露网站称已窃取曼谷航空200多GB的数据,并给了该公司五天的时间来支付赎金。但因为曼谷航空对谈判并不感兴趣,于是该团伙在上周六公开了全部数据。此次泄露的大部分数据与业务相关,但泰国航空公司表示,攻击者还窃取了部分乘客的个人身份信息。

https://therecord.media/bangkok-air-confirms-passenger-pii-leak-after-ransomware-attack/

Malwarebytes发现APT37使用Konni RAT攻击俄罗斯

Malwarebytes Labs研究人员于8月23日发布研究,称其发现了朝鲜APT37利用Konni RAT对俄罗斯进行的恶意软件活动。该活动使用了两个诱饵文件,涉及到俄罗斯与朝鲜半岛之间的贸易和经济问题,以及俄罗斯和蒙古委员会的会议。此外,研究人员还发现了APT37针对其他国家的攻击,包括日本、尼泊尔、蒙古和越南等。

https://securityaffairs.co/wordpress/121625/apt/konni-rat-target-russia.html

暗网正兜售僵尸网络源代码,买家可接管已感染设备

Phorpiex僵尸网络背后的犯罪团伙已经关停业务,并将该僵尸网络的源代码放在暗网网络犯罪论坛上直接出售。

https://mp.weixin.qq.com/s/vVyhwpdyGnsJWuE516ea8w

 

四、漏洞事件

研究人员发现Linphone SIP中可导致DoS的零点击漏洞

研究人员于本周二披露了Linphone会话发起协议(SIP)堆栈中的一个零点击漏洞。该漏洞追踪为CVE-2021-33056,CVSS评分为7.5,涉及到belle-sip组件中的空指针解引用漏洞。攻击者可以利用该漏洞向SIP消息标头(例如To、From和Diversion)添加正斜杠("

https://thehackernews.com/2021/09/linphone-sip-stack-bug-could-let.html

研究人员披露Exchange中新漏洞ProxyToken的细节

Zero Day Initiative公开了Microsoft Exchange中新漏洞ProxyToken的细节。该漏洞由越南邮电集团VNPT-ISC的研究人员于2021年3月发现,并已由Microsoft在2021年7月的周二补丁更新中解决。该漏洞追踪为CVE-2021-33766,CVSS评分为7.3。漏洞存在于Exchange的委托身份验证功能中,未经身份验证的攻击者可以利用该漏洞配置用户的邮箱。

https://thehackernews.com/2021/08/new-microsoft-exchange-proxytoken-flaw.html

Unit42发布Mirai在野利用WebSVN中命令注入漏洞的报告

Unit42在8月30日发布了有关Mirai的新变体在野利用WebSVN中命令注入漏洞的分析报告。该漏洞追踪为CVE-2021-32305,于2021年5月被发现并修复。在其概念证明发布后的一周内,即2021年6月26日,研究人员发现攻击者利用该漏洞安装恶意软件Mirai的变体的活动。此外,报告还列出了有关该活动的IoC等技术相关信息。

https://unit42.paloaltonetworks.com/cve-2021-32305-websvn/

 

 


more

手机扫码打开