【威胁通告】AG公司科技威胁情报周报（2021.07.26-2021.08.01）

2021-08-02

一、威胁通告

Exim远程代码执行误差通告（CVE-2020-28020）

【宣布时间】2021-07-2718:00:00GMT

【概述】

5月份Qualys果真披露了Exim邮件服务器中的21个清静误差，这些误差影响Exim在2004年之后开发的所有版本，且大大都可以在默认设置中被使用，AG公司科技克日监测到有部分误差细节与PoC被果真，其中最严重的为Exim整数溢出误差（CVE-2020-28020），该误差源于receive_msg函数，攻击者可以通过”\\n”绕过Exim对邮件头巨细的限制，从而造成整数溢出，未经身份验证的攻击者可使用此误差造成拒绝服务或远程代码执行。现在误差详情与看法验证程序已果真，请相关用户实时接纳步伐举行防护。Exim是一款邮件传输署理软件（MTA），可实现邮件的路由、转发和投递。主要被构建在类Unix操作系统上发送和吸收电子邮件，包括Solaris、AIX、Linux等；Exim可以处置惩罚大宗互联网流量，由于其具有设置无邪的特点，通�；嵊肫渌τ萌砑钆涫褂�。

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. 攻击者使用Wiper攻击东京奥运会

【概述】

据TheRecord报道，在2021年东京奥运会开幕式之前，日本清静公司研究职员检测到一种以奥运会为主题的恶意软件Wiper，攻击者使用Wiper恶意软件攻击东京奥运会，使用URL应用程序会见XVideos视频门户上的内容，专家以为，实验此功效是为了诱使专家信托内容熏染是在会见网站时爆发的。同时删除受熏染系统上的文件。该恶意软件仅针对用户文件夹下的数据，恶意软件的目的是使用Ichitaro日语文字处置惩罚器建设的文件，这种情形批注它是为日本用户开发的。恶意软件还实现了规避和反剖析功效，以避免恶意代码被剖析。该恶意软件还能够从受熏染的盘算机中删除自身及其保存的证据。”

【参考链接】

https://ti.nsfocus.com/security-news/4qYS2

2. 勒索软件团伙使用KaseyaVSA的0day误差攻击治理服务商

【概述】

7月2号，勒索软件团伙Revil使用KaseyaVSA远程治理应用的0day误差对多个治理服务提供商和企业发动了大规模的攻击，对约60个治理服务提供商和约1500家企业举行了加密，攻击者在完成攻击后，获取通用解密器。之后，勒索软件团伙开出价钱：通用解密器需要7000万美元，解密所有受熏染的托管服务提供商需要500万，解决一个受害者网络上扩展的加密需要4万美元。随后，REvil勒索软件团伙却神秘消逝，也关闭了他们的支付网站和基础设施。其时大部分受害者还没有支付赎金，勒索软件团伙的消逝也使得那些需要购置解密器的公司无法举行购置。7月22日，Kaseya爆发声明，他们从一个“受信托的第三方”收到了对应上次勒索攻击的通用解密器，现在也已经分发给了受到影响的主顾。只管Kaseya并未透露密钥泉源，但它们向BleepingComputer体现，被分发简直是攻击的通用解密密钥，能让所有托管服务提供商及其客户免含混密文件。

【参考链接】

https://ti.nsfocus.com/security-news/4qYTn

3. 攻击者使用PlugX变体来攻击MS-ExchangeServer

【概述】

2021年3月，研究职员在监测MicrosoftExchangeServer攻击时，发明了一种PlugX新变体，攻击者使用PlugX新变体攻击MicrosoftExchangeServer。该PlugX变体是作为一个被攻击服务器使用后远程会见工具(RAT)传送到其中一台服务器。PlugX变体奇异之处在于对焦点源代码的更改。

【参考链接】

https://ti.nsfocus.com/security-news/4qYT9

4. PrayingMantis使用Web应用程序中的误差窃取服务器数据

【概述】

一个新发明名为PrayingMantis的威胁组织正通过使用面向互联网的Web应用程序中的误差窃取凭证和其他数据。在某些情形下，该组织使用CheckboxSurvey中的零日误差攻击用于Web托管的WindowsInternet信息服务器。最新报告显示，在使用误差后，该组织安排了一个恶意软件来网络系统信息，并安排特另外JavaScript恶意软件并执行HTTP和SQL流量转发。特另外有用载荷随后会网络凭证并危害更多易受攻击的服务器。“

【参考链接】

https://ti.nsfocus.com/security-news/4qYSP

5. 攻击者使用图片攻击巴布克勒索软件团伙的论坛

【概述】

凭证报告称，Babuk勒索软件运营商遭受了勒索软件攻击，攻击者使用他们的论坛狂欢图片对Babuk勒索软件运营商睁开大规模攻击，6月尾，BabukLocker勒索软件在网上泄露信息，攻击者可以使用它来建设自己的勒索软件版本。

之后，勒索软件团伙突入华盛顿特区大都会警员局，在华盛顿特区警员局遭到袭击后，攻击者对其文件举行加密并向华盛顿特区警员局索要400万美元的赎金。5月尾，Babuk勒索软件运营商将他们的勒索软件走漏站点更名为Payload.bin，并最先向其他团伙提供使用从受害者那里窃取的数据。

【参考链接】

https://ti.nsfocus.com/security-news/4qYSM

6. 攻击者使用勒索软件攻击南非物流公司

【概述】

南非大型铁路、口岸和管道公司TransnetSOCLtd宣布遭到破损性网络攻击。7月22日，南非物流公司TransnetSOC受到攻击者破损性网络攻击，因此该公司阻止了所有口岸码头的运营。Transnet透露：“口岸码头在整个系统中运行，但集装箱码头除外，由于卡车运输方面的Navis系统受到了影响。”
针对这次攻击，该公司告诉其员工在另行通知之前，所有员工关闭条记本电脑和台式机，并且不得会见他们的电子邮件，以避免威胁伸张。该公司的一份声明中写道。“正在起劲镌汰�；奔洌匀繁Ｊ苡跋斓南低尘】熘匦缕舳⒃诵校�”由于这次攻击，TransnetSOCLtd网站关闭。

【参考链接】

https://ti.nsfocus.com/security-news/4qYSV

7. 攻击者使用发送恶意电子邮件攻击Zimbra服务器

【概述】

攻击者通过发送恶意电子邮件来攻击Zimbra服务器，研究职员体现，Zimbra网络邮件服务器有两个误差，攻击者会使用这些误差审查所有使用这款协作工具的企业中所有员工的收件箱和发件箱。由于Zimbra处置惩罚大宗新闻的高度敏感性，因此有凌驾200,000家企业、一千家政府和金融机构以及数亿用户使用在Zimbra网站中的电子邮件和协作工具，天天都在交流电子邮件。报告称，“当攻击者会见员工的电子邮件帐户时，通�；岜⒀现氐那寰惨�。”“除了交流的神秘信息和文件外，电子邮件帐户通常与其他允许重置密码的敏感帐户相关联。

【参考链接】

https://ti.nsfocus.com/security-news/4qYSJ

8. 攻击者使用加密恶意软件LemonDuck攻击Windows、Linux装备

【概述】

凭证Microsoft365Defender威胁情报团队的一份新报告，攻击者使用LemonDuck加密挖掘恶意软件攻击Windows和Linux装备。该恶意软件允许攻击者窃取凭证并在受熏染的系统上举行一系列恶意运动。该恶意软件通过误差使用、网络垂纶电子邮件、USB装备和暴力攻击在差别国家举行撒播。
LemonDuck恶意软件对企业的威胁还在于它是一种跨平台威胁。它是针对Linux系统和Windows装备的僵尸恶意软件家族之一，”恶意软件可以使用新的误差，据研究职员称，LemonDuck恶意软件背后的威胁行为者险些可以连忙使用新误差并有用地开展诈骗运动。例如，他们在2020年在基于电子邮件的攻击中使用了COVID-19主题诱饵。今年，他们热衷于使用MSExchangeServer误差会见未修补的系统。

【参考链接】

https://ti.nsfocus.com/security-news/4qYSL

9. 黑客组织安排恶意软件攻击Android和Windows用户

【概述】

Hack-for-hire组织StrongPity安排了Android恶意软件，以瞄准叙利亚电子政务网站的会见者。在这次最新的运动中，黑客组织使用wateringhole手艺入侵叙利亚的电子政务网站，然后用木马版本替换官方应用程序。攻击者随后使用该应用程序从受害者的装备中窃取文件。

除了该恶意软件的Android版本外，攻击者还安排了一款针对Windows用户的应用程序。正在为这两个应用程序版本开发新功效。首先攻击者从MalwareHunterTeamTwitter上共享的一个线程中相识到该样本。凭证线程相识到共享样本是叙利亚电子政务Android应用程序的木马化版本，该应用程序会窃取联系人列表并网络具有特定特征的文件，来自受害者装备的文件扩展名。

【参考链接】

https://ti.nsfocus.com/security-news/4qYRY

10. MicrosoftHyper-V中的一个要害误差信息

【概述】

SafeBreach的研究职员报告说，有关MicrosoftHyper-V中一个要害缺陷的详细信息，跟踪为CVE-2021-28476，该缺陷可以触发DoS并在其上执行恣意代码。该误差保存于MicrosoftHyper-V的网络交流机驱动程序中，它影响Windows10和WindowsServer2012到2019。CVE-2021-28476误差的严重性评分为9.9，微软已于5月解决了该误差。攻击者可以通过从虚拟机向Hyper-V主机发送特制数据包来使用此误差。

【参考链接】

https://ti.nsfocus.com/security-news/4qYTp

<<上一篇

【清静通告】Exim 远程代码执行误差（CVE-2020-28020）通告

>>下一篇

【威胁通告】Linux Kernel恣意代码执行误差（CVE-2021-3490）通告