AG公司科技威胁情报周报（2021.01.11-2021.01.17）

2021-01-18

一、威胁通告

甜睡多年的incaseformat蠕虫病毒被叫醒

【宣布时间】2021-01-13 22:00:00 GMT

【概述】

2021年1月13日，AG公司科技应急响应团队接到天下多个客户反响熏染所谓的incaseformat病毒，涉及政府、医疗、教育、运营商等多个行业，且熏染主机多为财务治理相关应用系统。熏染主机体现为所有非系统分区文件均被删除，由于被删除文件分区根目录下均保存名为incaseformat.log的空文件，因此网络上将此病毒命名为incaseformat。从搜索引擎效果来看，该病毒最早泛起时间为2009年，主流杀毒软件厂商均将此病毒命名为Worm.Win32.Autorun，从名称可以判断该病毒为Windows平台通过移动介质撒播的蠕虫病毒。病毒文件运行后，首先复制自身到Windows目录下（C:\\\\windows\\\\tsay.exe），文件图标伪装为文件夹。病毒文件将在主机重启后运行，并最先遍历所有非系统分区下目录并设置为隐藏，同时建设同名的病毒文件。别的还会通过修改注册表，实现不显示隐藏文件及隐藏已知文件类型扩展名。最后对非系统分区下所有文件执行删除操作，并建设incaseformat.log文件。

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. Apache Flink 目录遍历误差

【概述】

2021年1月06日，安识科技A-Team团队监测到Apache Flink 宣布了目录穿越的误差通告，CVE编号为CVE-2020-17518，CVE-2020-17519。Apache Flink是一个开源流处置惩罚框架，其焦点是用Java和Scala编写的漫衍式流数据流引擎。攻击者使用该误差可实现远程读取服务器恣意文件，远程写入恣意文件，保存极大的清静隐患。安识科技建议宽大用户实时升级Apache Flink最新版本，以免遭受此误差攻击。

【参考链接】

https://www.secpulse.com/archives/151162.html

2. Ryuk勒索软件利润1.5亿美元

【概述】

研究职员说，Ryuk勒索软件背后的运营商使用的加密钱币钱包和该团伙的分支机构持有凌驾1.5亿美元。清静公司HYAS的首席研究员Brian Carter和Advanced Intelligence的首席执行官Vitali Kremez报告说，他们已经确定了Ryuk网络犯法团伙及其隶属公司用来吸收受害者勒索软件付款的61个比特币地点。研究职员在一份新报告中说，该集团用于转移资金的两个比特币生意所是总部位于亚洲的Huobi和Binance。该小组还使用鲜为人知的交流方法。

【参考链接】

https://www.inforisktoday.com/ryuk-ransomware-profits-150-million-a-15726

3. 推特永世性地暂停了总统特朗普的账户

【概述】

Twitter永世阻止了唐纳德·特朗普总统的账户，担心他的推文可能引发新一波暴力。为了回应对美国国会大厦的袭击，周三总统的帐户最初被暂停了12个小时，该社交媒体平台体现，其决议是由于“严重违反我们的公民诚信政策”引起的。在仔细审查@realDonaldTrump帐户中的最新Tweet及其周围的情形（特殊是怎样在Twitter上和在Twitter之外吸收息争释它们）之后，由于可能会进一步煽惑暴力，我们已永世停用该帐户。该公司在一条推文中宣布。

【参考链接】

https://securityaffairs.co/wordpress/113197/social-networks/twitter-donald-trump-account-suspended.html

4. 比特币市值飙升催生Golang语言挖矿木马围攻云主机

【概述】

受近期比特币暴涨发动数字虚拟币整体市值飙升影响，挖矿木马十分活跃。近期已捕获较多使用golang语言编写的种种剧本木马，这些木马使用多个差别linux服务器组件的高危误差或弱密码入侵云服务器挖矿。对这些挖矿木马举行剖析溯源，发明分属差别的黑产团伙控制，有点“千军万马一窝蜂携误差武器弱口令武器抢占云主机挖矿淘金”的意思。

【参考链接】

https://www.freebuf.com/articles/system/260483.html

5. 物联网清静，基于差分隐私的数据宣布

【概述】

物联网会感知大宗数据，感知数据通常需要宣布和共享。但数据在宣布和共享时面临重大的隐私泄露危害。随着数据挖掘手艺的一直提高，经由隐私�；さ奈锪葜械拿舾行畔⒁苍嚼丛饺菀妆皇萃诰蛘呋袢�，因此，怎样�；ば际葜械囊轿侍�，成为了一个新的研究热门。

【参考链接】

http://mp.weixin.qq.com/s?__biz=MzkyMzAwMDEyNg===2247507354=4=e50eb37196e29117285541d67fa4465a=c1e951cbf69ed8ddb4f0098863919fd78e40285b473190bab85357ab8926f73c55937c553e8a#rd

6. 易受攻击的数据库袒露了团结国雇员的数据

【概述】

一组自力的清静研究职员体现，属于团结国情形妄想署（UNEP）的GitHub存储库中的误差袒露了100,000多条员工纪录，包括小我私家身份信息，联系方法和其他敏感数据�Ｇ樾问鹑险嫘魍沤峁那樾卧硕�。一群新的品德黑客Sakura Samurai在其报告中指出，该误差源自袒露了GitHub存储库凭证的端点。“这些凭证使我们能够下载GitHub存储库，识别大宗用户凭证和小我私家身份信息。总共，我们识别了100,000个以上的私职员工纪录，”约翰逊·杰克逊（John Jackson）说，他是美国清静研究职员之一。

【参考链接】

https://www.inforisktoday.com/vulnerable-database-exposed-un-employees-data-a-15744

7. TikTok将青少年账户保密

【概述】

该公司宣布，年岁在13至15岁之间的帐户将默认使用隐私设置，以及其他清静步伐。盛行的视频共享社交媒体公司TikTok已决议提高针对未成年人的隐私�；げ椒�。TikTok的受接待水平是由青少年推动的-该公司在2019年报告称，其26.5个月度用户中约有60％年岁在16岁至24岁之间，而这些最新步伐是为了让其最小的用户更清静地使用该平台。

【参考链接】

https://threatpost.com/tiktok-teen-accounts-private/163040/

8. COVID-19疫苗文件泄露

【概述】

上个月在欧洲药品治理局的一次网络攻击中被盗的有关COVID-19疫苗和药品的文件（包括一些包括小我私家信息的文件）已在互联网上泄露。该机构位于荷兰，认真评估和授权欧盟的药物和疫苗-包括用于COVID-19的药物和疫苗。EMA在周二宣布的最新声明中说，一项视察已确定“一些与第三方拥有的COVID-19药品和疫苗有关的不法会见文件已经在互联网上走漏”。

【参考链接】

https://www.inforisktoday.com/covid-19-vaccine-documents-personal-data-leaked-a-15754

9. “SolarLeaks”网站声称提供攻击受害者的数据

【概述】

一个新的走漏站点声称正在出售来自Cisco，FireEye，Microsoft和SolarWinds的数据，这些数据是通过SolarWinds供应链攻击被盗的。虽然这四个组织都是受害人，但清静专家质疑该提议是否正当，并指出，该提议与包括俄罗斯在内的先前旨在阻止黑客攻击归因的起劲相平行。

【参考链接】

https://www.inforisktoday.com/solarleaks-site-claims-to-offer-attack-victims-data-a-15751

<<上一篇

【清静通告】紫金桥跨平台实时数据库未授权会见误差

>>下一篇

【清静通告】Oracle全系产品2021年1月要害补丁更新