安全态势周刊

News information

安全态势周刊-六方云(AI基因·威胁免疫)——第174期

<<返回

2021年11月15日 11:01

一、业界动态

十二部门联合印发《关于开展IPv6技术创新和融合应用试点工作的通知》

中央网信办、国家发展改革委、工业和信息化部、教育部、科技部、公安部、财政部、住房和城乡建设部、水利部、中国人民银行、国务院国资委、国家广电总局印发《关于开展IPv6技术创新和融合应用试点工作的通知》,联合组织开展IPv6技术创新和融合应用试点工作,聚焦重点领域,优先方向和瓶颈问题,探索IPv6全链条、全业务、全场景部署和创新应用,以点促面,整体提升IPv6规模部署和应用水平。

https://www.secrss.com/articles/35938

多国执法部门展开的Cyclone行动成功打击Clop团伙

相关部门公开了关于Cyclone行动的最新消息。这是为期30个月的国际执法行动,由国际刑警组织协调,并联合了乌克兰和美国执法部门。行动的主要目标是Clop,它曾多次攻击了韩国的公司和美国的学术机构。Cyclone行动获得了CDI、Kaspersky、Fortinet和Group-IB等公司的帮助,在乌克兰逮捕了6名嫌疑人,并没收了185000美元的现金。如果罪名成立,这6名嫌疑人将面临最高八年的监禁。

https://www.bleepingcomputer.com/news/security/operation-cyclone-deals-blow-to-clop-ransomware-operation/

超过80%的关键基础设施公司遭到网络入侵

据Skybox security称,尽管在过去三年中都遭受了破坏,但关键基础设施(CNI)组织中的大多数IT和安全领导人都低估了网络威胁的规模。

https://www.secrss.com/articles/35966

 

二、关键基础设施

Intel 471发布针对交通运输行业的攻击的分析报告

Intel 471在11月2日发布了针对交通运输行业的攻击的分析报告。研究人员发现,大量黑客在暗网出售运输和物流组织的访问权限,并推断他们是利用远程访问解决方案(包括远程桌面协议RDP、VPN、Citrix和SonicWall等)中的漏洞获得的。报告指出,物流行业逐渐成为攻击目标,攻击可能会对全球经济造成严重的连锁反应,一次成功的攻击可能会使整个行业停滞,因此相关组织要主动修复漏洞以避免此类攻击。

https://intel471.com/blog/shipping-companies-ransomware-credentials

澳大利亚供水设施被植入后门长达9个月

据澳大利亚昆士兰州审计署日前发布的年度财务审计报告,SunWater公司遭遇入侵长达9个月,自己却始终毫无察觉。虽然报告中没有直接点名,但澳大利亚广播公司就此事向当局发出质询,确认受害者正是SunWater。

https://www.bleepingcomputer.com/news/security/hackers-undetected-on-queensland-water-supplier-server-for-9-months/

  

三、安全事件

Cisco发现APT Kimsuky针对韩国智库的攻击活动

Cisco Talos观察到自今年6月以来,朝鲜APT组织Kimsuky针对韩国智库的攻击活动。Kimsuky自2012年以来一直活跃,曾攻击了位于韩国、日本和美国的目标。此次活动使用Blogspot来分发三种类型的初始感染媒介:beacons、文件过滤器和植入脚本,其中植入脚本又会安装信息收集模块、键盘记录模块和文件注入模块。此外,Kimsuky还使用了Gold Dragon、Babyshark、Appleseed等多个恶意软件。

https://blog.talosintelligence.com/2021/11/kimsuky-abuses-blogs-delivers-malware.html

ESET发现Lazarus利用盗版的IDA Pro分发恶意软件

ESET团队于11月10日发现朝鲜黑客团伙Lazarus利用盗版IDA Pro攻击安全研究人员的活动。研究人员通常使用逆向工程应用IDA Pro来分析漏洞和恶意软件,而此次发现的IDA Pro 7.5版本包含了两个名为idahelp.dll和win_fw.dll的恶意DLL。其中,win_fw.dll将在Windows任务调度程序中创建一个新任务,该任务将启动idahelper.dll,然后idahelper.dll将连接到devguardmap[.]org网站并下载远程访问木马NukeSped的payload。

https://www.bleepingcomputer.com/news/security/lazarus-hackers-target-researchers-with-trojanized-ida-pro/

研究人员发现冒充安全公司Proofpoint的钓鱼活动

Armorblox的研究团队于11月4日披露了冒充网络安全公司Proofpoint的钓鱼活动。这些钓鱼邮件的主题为“Re:Payoff Request”,声称包含一份通过Proofpoint发送的抵押贷款相关文件,旨在窃取目标的Microsoft Office 365和Google Gmail凭据。该邮件是从被盗的个人帐户发送的,发件人的域名域为“sdis34[.]fr”,这是法国南部的一个消防救援部门,而钓鱼页面托管在greenleafproperties[.]co[.]uk域。

https://www.armorblox.com/blog/proofpoint-credential-phishing/

知名券商Robinhood泄露700万用户资料

美国知名互联网股票交易平台Robinhood已经证实,遭到黑客攻击,有超过500万个客户电子邮件地址、200万个客户姓名以及一小批更为具体的客户身份数据被恶意人士掌握。该公司在官方博客中披露,某恶意黑客于11月3日通过电话对一名客服代表展开社会工程攻击,成功访问到客户支持系统,并获得了上述客户姓名、电子邮件地址以及310位客户的具体身份数据(包括全名、出生日期及邮政编码)。

https://techcrunch.com/2021/11/09/robinhood-data-breach/

 

四、漏洞事件

统称为NUCLEUS:13的多个漏洞影响西门子RTOS

Forescout和Medigate的研究人员在11月9日披露了Nucleus中13个漏洞的细节。Nucleus是西门子的实时操作系统(RTOS),通常运行在医疗设备、汽车、智能手机、物联网设备、工业plc等设备的片上系统(SoC)。这些漏洞统称为NUCLEUS:13,影响了Nucleus TCP/IP堆栈。其中,最严重的是影响了FTP服务器组件的远程代码执行漏洞(CVE-2021-31886),CVSS评分为9.8,是由于对USER命令长度的验证不正确导致的。
https://therecord.media/nucleus13-vulnerabilities-impact-siemens-medical-industrial-equipment/

BusyBox中14个新漏洞影响数百万基于Unix的设备

软件开发公司JFrog和安全公司Claroty在11月9日联合披露了BusyBox中14个漏洞的细节。BusyBox被称为嵌入式Linux的“瑞士军刀”,可将各种常见的Unix应用或小程序(例如cp、ls、grep)组合成一个可执行文件。这些漏洞存在于BusyBox 1.16到1.33.1的多个版本,影响了数百万基于Unix的设备。其中较为严重的是awk中的DoS漏洞CVE-2021-42383、CVE-2021-42384和CVE-2021-42385等。

https://securityaffairs.co/wordpress/124429/hacking/busybox-vulnerabilities.html