【威胁通告】AG公司科技威胁情报周报（2021.08.02-2021.08.08）

2021-08-09

一、威胁通告

LinuxKernel恣意代码执行误差通告（CVE-2021-3490）

【宣布时间】2021-08-0218:00:00GMT

【概述】

克日，AG公司科技CERT监测到有研究职员果真披露了eBPF中的一个恣意代码执行误差（CVE-2021-3490）的细节信息和PoC，并演示使用此误差在Ubuntu20.10和21.04上实现外地权限提升，该误差是由于Linux内核中按位操作（AND、OR和XOR）的eBPFALU32界线跟踪没有准确更新32位界线，造成Linux内核中的越界读取和写入，从而导致恣意代码执行。官方已于5月11号宣布修复版本，请相关用户实时接纳步伐防护。ExtendedBerkeleyPacketFilter（eBPF）是一种内核手艺（从Linux4.x最先），允许程序运行而无需改变内核源代码或添加特另外�？�。它是Linux内核中的一种轻量级的沙盒虚拟机（VM），可以在其中运行使用特定内核资源的BPF字节码。

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. 攻击者使用鱼叉式网络垂纶手艺向用户分发电子邮件攻击企业用户

【概述】

研究职员称，攻击者使用鱼叉式网络垂纶手艺向企业用户传入电子邮件，通过使用域名仿冒等方法攻击企业用户，虽然网络垂纶攻击一直是网络清静领域的常态，然而，情形正在爆发转变，随着攻击者从针对小我私家转向以企业和组织为目的，今天的网络垂纶攻击比1996年、2006年甚至2016年的攻击要重大得多。

最近有报道称，攻击者提倡的网络垂纶运动主要针对全球自然气和石油、能源、媒体、IT和电子行业的企业，攻击者通过给这些企业传入电子邮件，使用了诱骗和域名仿冒等手艺，传入的电子邮件看起来像是从真实公司发送的。攻击者还通过全心制作特定文本，按名称引用公司高管并包括真实的公司地点和公司徽标，从而避开了“古板”网络垂纶新闻的散布式泛化要领。

【参考链接】

https://ti.nsfocus.com/security-news/IlMJO

2. 攻击者攻击意大利新冠肺炎疫苗预约系统

【概述】

研究职员称，在医疗保健系统的网络攻击中，攻击者攻击意大利拉齐奥地区的新冠疫苗预约系统。现在，该地区的Facebook页面已经不可运行，攻击者已经禁用了该地区卫生保健机构的系统。据报道，意大利除了疫苗接种预约系统外，尚有许多系统都受到了攻击者攻击。

【参考链接】

https://ti.nsfocus.com/security-news/IlMJE

3. 攻击者使用勒索软件攻击美国危害投资公司

【概述】

研究职员称，攻击者攻击了美国危害投资公司AdvancedTechnologyVentures（ATV）。以及窃取了公司投资者的数据信息。报道称，攻击者在数据加密之前窃取了美国危害投资公司存储在两台服务器上的财务信息。2021年7月9日，公司从其第三方信息手艺提供商处获悉，公司存储财务报告信息的两台相同的ATV服务器泛起异�Ｔ硕�。公司很快确定服务器已被攻击者攻击加密。2021年7月26日，公司相识到有证据批注服务器的内容遭到未经授权的会见和泄露。

【参考链接】

https://ti.nsfocus.com/security-news/IlMJI

4. 攻击者设立呼叫中心向用户分发恶意软件BazaLoader

【概述】

研究职员称，攻击者通过设立呼叫中心向用户分发恶意软件，3月30日，MalwareTrafficAnalysis宣布了对BazaCall号码的通话录音，呼叫中心员工将受害者指导到一个网站，在那里受害者被指导输入订阅号码。Carroll和Hacker写道，订阅号或其他编号可作为执行和跟踪运动的职员的标识符。然后，呼叫中心员工将受害者指导到一个看起来像正当企业的网站。然后指示受害者下载文件，例如Excel电子表格。在音频通话中，显示忠言后会指导用户启用宏。最终，受害者被见告他们的订阅已乐成作废，但现实上装置了BazaLoader恶意软件。

【参考链接】

https://ti.nsfocus.com/security-news/IlMJu

5. 俄罗斯GRU针对美国和全球组织网络暴力攻击

【概述】

最近，俄罗斯军事情报机构GRU对美国和全球组织提倡网络暴力攻击。GRU作为俄罗斯的军事情报部分，自2019年以来一直在举行网络暴力攻击。它攻击的目的是美国和全球的政府和私营部分。研究职员称，攻击者通过提交大宗登录信息来侵入网络，登录信息包括电子邮件和其他有用的帐户凭证，当攻击者攻击乐成时，他们会会见受�；さ氖�，数据包括资助网络攻击者在目的实体内横向移动的凭证。例如，凭证可用于初始会见、权限提升、长期性和防御规避。

【参考链接】

https://ti.nsfocus.com/security-news/IlMJA

6. 攻击者通太过发网络垂纶电子邮件攻击WeTransfer文件托管系统

【概述】

研究职员称，攻击者使用向系统发送网络垂纶电子邮件攻击WeTransfer文件托管系统，此攻击的主要目的是检索受害者的Office365电子邮件凭证。经视察，网络垂纶电子邮件似乎是由WeTransfer发送的，由于它的发件人名称为Wetransfer，问题为“审查通过WeTransfer发送的文件”。这种相似性足以让人遐想到真正的WeTransfer电子邮件，并且很容易诱骗用户。电子邮件正文还多次引用目的组织以使其看起来正当。电子邮件正文显示WeTransfer与受害者共享了两个文件，并且有一个链接可以审查它们。当受害者单击“审查文件”时，该链接会将他们指导至一个据称是MicrosoftExcel的网络垂纶页面。

【参考链接】

https://ti.nsfocus.com/security-news/4qYTY

7. 攻击者使用纯数据泄露模子泄露客户数据

【概述】

俄语组织Conti对爱尔兰卫生服务机构提倡勒索软件攻击，同月DarkSide对总部位于美国的ColonialPipeline以及REvil于7月对远程治理软件公司Kaseya提倡攻击之后，拜登政府一直在接纳行动，越提议劲地破损勒索软件商业模式。白宫还呼吁俄罗斯政府没有对在其境内运动的警员接纳更多步伐，并威胁要破损此类行动，除非莫斯科接纳行动。

别的，“攻击者一直在瞄准纯数据泄露模子，这是攻击者追捕的一个很好的目的”McArdle说。“另外，'我们会告诉您所有的客户我们即将泄露您的数据。'尤其是在受到严酷羁系的行业，例如医疗保健或类似行业，若是您遭到破损，可能会损失一大笔钱。”

【参考链接】

https://ti.nsfocus.com/security-news/4qYUd

8. 攻击者使用MicrosoftExchange服务器攻击亚洲电信公司

【概述】

攻击者使用MicrosoftExchange服务器攻击亚州电信公司，并泄露了亚州电信公司数百GB数据，以网络客户的敏感通讯。

Cyber??eason体现，与其他网络攻击一样，这些APT运动使用了MicrosoftExchange服务器中的缺陷来会见目的网络，然后继续破损要害资产信息，包括具有敏感呼叫详细纪录数据的域控制器和计费系统。

这些攻击主要损害了亚洲电信公司的数据，但这些攻击可能会伸张到其他地区的电信公司，若是攻击者决议将其目的从特工运动改为滋扰，他们将有能力中止任何受影响电信客户的通讯。

【参考链接】

https://ti.nsfocus.com/security-news/IlMJx

9. B2B营销公司泄露了美国人数以百万的数据

【概述】

研究职员体现，B2B营销公司OneMoreLead在设置过失的Elasticsearch服务器上袒露了多达1.26亿美国人的数据。并通知了OneMoreLead供应商，之后供应商对数据举行了�；�。OneMoreLead将所有信息存储在一个不清静的数据库中，该公司已将其完全开放。因此，姓名、电子邮件地点和事情场合信息会袒露给任何拥有网络浏览器的人。若是攻击者发明了这个数据库，它将成为种种犯法运动的金矿，从金融诓骗和身份偷窃，到针对美国公司和政府机构的大规模网络垂纶攻击。”

【参考链接】

https://ti.nsfocus.com/security-news/IlMJN

10. 攻击者使用恶意软件LittleLooter攻击伊朗刷新运动的受害者

【概述】

研究职员继续跟踪疑似伊朗威胁组织ITG18的基础设施和运动。自从于2020年5月首次报告该组织以来，发明了一个恶意工具，我们将其命名为Android恶意软件LittleLooter。LittleLooter仅被视察到被ITG18使用。从2020年8月到2021年5月，X-Force研究职员视察到ITG18使用LittleLooter恶意软件攻击了伊朗刷新主义运动的多名受害者。

X-Force研究职员发明ITG18从2020年夏末到2021年春季针对伊朗小我私家果真报告了他们的OPSEC过失，但ITG18继续在开放服务器和开放目录中保存包括泄露的受害者信息的存档文件。X-Force的新剖析显示，ITG18从约莫20名与伊朗刷新运动结盟的人窃取了约莫120GB的信息。

【参考链接】

https://ti.nsfocus.com/security-news/IlMJJ

<<上一篇

【威胁通告】AG公司科技威胁情报月报（2021年7月）

>>下一篇

【威胁通告】AG公司科技威胁情报周报（2021.08.09-2021.08.15）