一、业界动态
安全漏洞后未及时报告,工信部暂停阿里云合作6个月
作为工信部网络安全威胁信息共享平台合作单位,阿里云公司由于发现阿帕奇Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理,被工信部暂停作为合作单位6个月。暂停期满后,工信部将根据阿里云公司整改情况,研究恢复其上述合作单位。
https://www.ithome.com/0/593/978.htm
Conti团伙已武器化Log4Shell并建立完整的攻击链
安全公司Advanced Intelligence称Conti成为首个将Log4j2武器化的专业级勒索运营团伙,现已拥有完整的攻击链。截至12月20日,该团伙的该攻击链为:Emotet -> Cobalt Strike -> Human Exploitation -> 缺少ADMIN$共享 -> Kerberoast -> VMWare vCenter服务器。Conti自8月份开始进行了多次更新,包括使用新的后门和备份删除策略等。
https://threatpost.com/conti-ransomware-gang-has-full-log4shell-attack-chain/177173/
谷歌分析Apache Log4j漏洞的影响规模
研究人员发现,截至 2021 年 12 月 16 日,来自 Maven Central 的 35,863 个可用软件包依赖于存在漏洞的 log4j 代码。这意味着 Maven Central 上超过 8% 的软件包至少有一个版本受漏洞影响(此数字不包括所有 Java 软件包,例如直接分发的二进制文件)
https://mp.weixin.qq.com/s/xV4r8CDN2rhus0P-al5fEg
二、关键基础设施
趋势科技发现Tropic Trooper针对运输行业的攻击活动
趋势科技在12月14日发现间谍组织Tropic Trooper(也称Earth Centaur)针对运输行业的攻击活动。此次活动始于2020年7月,瞄准了运输行业的公司和官方机构。研究人员将入侵过程分为多个阶段:攻击存在漏洞的IIS服务器和Exchange并安装shell;利用该shell安装.NET加载程序Nerapack和第一阶段后门Quasar;然后,根据受害者类型分发第二阶段后门,包括ChiserClient和SmileSvr等;最后,还会试图破坏内网、转储凭据并清除日志。
https://www.trendmicro.com/en_us/research/21/l/collecting-in-the-dark-tropic-trooper-targets-transportation-and-government-organizations.html
三、安全事件
Symantec发现首个用Rust编写的勒索软件Noberus
Symantec在12月16日公开首个用Rust编写的勒索软件Noberus。可疑的攻击活动开始于11月3日,但勒索软件直到11月18日才被安装。该勒索软件利用了合法的远程访问程序ConnectWise,执行典型的双重勒索软件攻击,并为加密文件添加扩展名.sykffle。Symantec称,在此次攻击活动中总共发现了3个Noberus变体,已感染至少261台设备。
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/noberus-blackcat-alphv-rust-ransomware
新的僵尸网络Abcbot主要针对中国的云服务提供商
12月21日,Cado Security发现新僵尸网络Abcbot在过去几个月主要针对中国云服务提供商,包括阿里云、百度、腾讯和华为云等。Abcbot首先会安装一个Linux bash脚本,来禁用SELinux安全保护,并创建后门。然后扫描目标主机中是否存在其它恶意软件,如果发现则会删除其它恶意软件的相关进程。除此之外,Abcbot还会删除SSH密钥并仅保留自己的密钥,以保证其对目标主机的独占访问。
https://securityaffairs.co/wordpress/125872/malware/abcbot-botnet-chinese-providers.html
美国西弗吉尼亚州医疗机构MHS称其遭到BEC攻击
美国西弗吉尼亚州的Monongalia Health System(MHS)在12月21日发布通告,称其遭到了BEC攻击。MHS开始并不知道其已遭到攻击,直到一家供应商称在今年7月28日没有收到付款,该机构才开始展开调查。调查发现,攻击者在5月10日至8月15日入侵了多个MHS员工的邮件帐户,并访问了邮件及其附件,然后使用某MHS承包商的帐户冒充MHS来骗取资金。此外,攻击还泄露了部分患者和员工的信息。
https://www.infosecurity-magazine.com/news/bec-attack-on-monongalia-health-1/
Clop团伙公开英国警务系统PNC中1300万公民的信息
每日邮报在12月19日报道,勒索运营团伙Clop已攻击IT公司Dacoll,其子公司NDI Technologies为英国90%的警察提供服务。攻击发生在10月5日,Clop入侵了Dacoll并获取了英国Police National Computer(PNC)的访问权限,其中涉及1300万公民的信息。因为Dacoll拒绝支付赎金,攻击者已在其数据泄露网站公开窃取的数据。
https://www.dailymail.co.uk/news/article-10325189/Russian-hackers-leak-confidential-UK-police-data-dark-web-ransom-rejected.html
四、漏洞事件
移动通信切换过程中的新漏洞影响2G以来的所有移动网络
研究人员在 2G、3G、4G 和 5G 移动通信网络的“切换程序”(handover)中发现了新漏洞,攻击者可以利用这些漏洞强制目标手机连接到伪基站并通信窃听。纽约大学阿布扎比分校的研究人员 Evangelos Bitsikas 和 Christina 的最新论文中披露这一安全漏洞,切换是现代移动蜂窝网络的基础机制,攻击者可以利用该机制使用低成本设备发起拒绝服务 (DoS) 和中间人 (MitM) 攻击。
https://mp.weixin.qq.com/s/S8LN5ypUCasRh9cMQ40RWg