安全态势周刊

News information

安全态势周刊-六方云(AI基因·威胁免疫)——第173期

<<返回

2021年11月08日 10:11

一、业界动态

美国宣布制裁四大黑客工具公司

美国商务部曾发布新的出口管制规定,要求各企业除非获得商务部许可,禁止向中俄等国出售黑客工具。时隔不到两周,今天美国商务部“扔下了第二只鞋”,宣布美国政府已经制裁了四家主要的开发和销售间谍软件和其他黑客工具的公司。这四家主要的黑客工具公司包括以色列的NSO Group和Candiru、俄罗斯安全公司Positive Technologies和新加坡的Computer Security Initiative Consultancy(CSIC)。

https://www.secrss.com/articles/35736

MITRE和CISA联合发布2021年CWE最常见硬件漏洞清单

MITRE和CISA在10月28日联合发布了2021年CWE最常见硬件漏洞清单。该清单的目标是通过CWE提高对常见硬件漏洞的认识,使得设计人员和程序员在产品开发生命周期的早期避免重要的漏洞,从源头上预防硬件安全问题。其中,常见的漏洞包括:片上系统 (SoC) 上共享资源隔离不当(CWE-1189)、片上调试和测试接口访问控制不当(CWE-1191)和锁位(lock-bit)防篡改不当(CWE-1231)等。

https://cwe.mitre.org/scoring/lists/2021_CWE_MIHW.html

国际刑警组织发布2021年非洲网络威胁的评估报告

国际刑警组织于10月25日发布了2021年非洲网络威胁的评估报告,旨在提供非洲最常见的威胁的信息。非洲约有5亿互联网用户,占总人口的38%。最常见的5种威胁分别是在线诈骗、数字勒索、商业电子邮件入侵、勒索软件攻击以及僵尸网络。通过分析非洲2021年1月至5月收到的垃圾邮件的IP地址,发现它们主要来自南非、摩洛哥、肯尼亚和突尼斯。

https://www.interpol.int/News-and-Events/News/2021/INTERPOL-report-identifies-top-cyberthreats-in-Africa

有子公司的企业更容易遭遇网络攻击

CyCognito委托Osterman Research进行调研的结果表明,相比没有子公司或子公司数量较少的企业,子公司数量众多的跨国企业更容易受到网络安全威胁,且更难以管理风险。

https://www.secrss.com/articles/35814

 

 

二、关键基础设施

无人机攻击电网已成现实

据CNN近日获得的一份联邦执法公报显示,2020年7月一架无人机在宾夕法尼亚州一个变电站附近坠毁,可能是为了损坏或扰乱电力设备。联邦调查局、国土安全部和国家反恐中心10月28日的备忘录称,这起事件是已知的首个“可能在美国用于专门针对能源基础设施的改装无人机系统”的案例。该声明是基于对2017年无人机事件的审查。备忘录显示,电力供应或设备没有受到损害。目前还不清楚谁负责操控坠落在变电站附近屋顶上的无人机。目前已有ABC、CNN、连线、TheDrive等多家媒体进行了报道。这一蹊跷的针对宾夕法尼亚州变电站的明显有袭击意图的事件,凸显了无人机对关键基础设施构成的真正威胁。

https://www.secrss.com/articles/35819

 

 

三、安全事件

新钓鱼活动通过Discord传播,主要针对Steam玩家

研究团队于11月3日公开了通过Discord消息传播的新一轮钓鱼活动。此次活动宣称,如果用户关联了他们的Steam帐户,则可以免费订阅Nitro。当用户点击链接关联其帐户时,会被重定向到伪装成合法Discord页面的钓鱼网站。之后,用户输入的steam凭据便会发送到攻击者的服务器,并被用于窃取游戏物品或宣传其它骗局。此次活动与2019年针对steam的钓鱼活动相似,当时是以免费的游戏为诱饵。

https://www.bleepingcomputer.com/news/security/beware-free-discord-nitro-phishing-targets-steam-gamers/

研究团队称僵尸网络Pink已感染超过160万台中国的设备

研究团队在10月29日披露了在过去六年发现的最大僵尸网络的细节。因为其大量的函数名称以pink为首,所以取名Pinkbot。该僵尸网络已感染了超过160万台设备,其中96%位于中国。它主要针对基于MIPS的光纤路由器,利用第三方服务的组合,例如GitHub、P2P网络和C2服务器,还对部分域名的解析查询采取了DNS-Over-HTTPS的方式。研究人员称,迄今为止,PinkBot发起了近百次DDoS攻击。

https://thehackernews.com/2021/11/researchers-uncover-pink-botnet-malware.html

加拿大多地遭到网络攻击,大部分医院的IT系统中断

加拿大纽芬兰和拉布拉多省遭到了网络攻击。此次攻击影响了Central Health、Eastern Health、Western Health和Labrador-Grenfell的医疗系统。此外,攻击还影响了该地区的通信,公民无法致电医疗中心或拨打911。虽然所有医院的IT中断的程度不尽相同,但几乎所有医院都发生了中断。加拿大当局目前并没有透露攻击的类型,但据悉这是勒索软件造成的。

https://www.bleepingcomputer.com/news/security/canadian-province-health-care-system-disrupted-by-cyberattack/

德国汽车零配件龙头遭勒索攻击,生产系统瘫痪 员工被迫休假

勒索软件攻击令IT系统陷入瘫痪,德国跨国企业Eberspächer Group被迫让部分工厂员工回家带薪休假,公司管理层及IT团队则继续处理相关事宜。

https://www.secrss.com/articles/35488

 

 

四、漏洞事件

开源电信堆栈软件FreeSwitch中被曝多个高危漏洞

安全研究员公开了位于开源的电信堆栈软件 FreeSwitch 中五个漏洞的详情。这些漏洞都是由德国电信安全咨询公司 Enable Security 发现的,可导致运行 FreeSwitch 软件的系统发生拒绝服务、认证问题和信息泄露问题。

https://portswigger.net/daily-swig/multiple-flaws-in-telecoms-stack-software-freeswitch-uncovered

GitLab服务器被利用发动DDoS攻击

GitLab 的自托管服务器漏洞被利用发动DDoS攻击,攻击流量一度超过1 Tbps。Google安全工程师发现了这次DDoS攻击,攻击者利用了编号为 CVE-2021-22205的漏洞去控制服务器,GitLab已在今年4月将其修复,但不是所有自托管服务器打上了补丁。漏洞位于 ExifTool库内,该软件库被用于移除上传到Web服务器中的图像元数据。GitLab在社区版 GitLab Community Edition (CE) 和企业版 Enterprise Edition (EE)中使用了ExifTool。有大约6万GitLab自托管服务器联网,其中约3万没有打补丁。利用此漏洞的POC于今年6月公布,而攻击也始于6月。

https://therecord.media/gitlab-servers-are-being-exploited-in-ddos-attacks-in-excess-of-1-tbps/