【威胁通告】AG公司科技威胁情报周报（2021.08.09-2021.08.15）

2021-08-16

一、威胁通告

微软8月清静更新多个产品高危误差通告（CVE-2021-36936、CVE-2021-36947、CVE-2021-26424）

【宣布时间】2021-08-1215:00:00GMT

【概述】

8月11日，AG公司科技CERT监测到微软宣布8月清静更新补丁，修复了46个清静问题，涉及Windows、MicrosoftOffice、ASP.NETCore、MicrosoftVisualStudio、Azure等普遍使用的产品，其中包括权限提升、远程代码执行等高危误差类型。本月微软月度更新修复的误差中，严重水平为要害（Critical）的误差有7个，主要（Important）误差有39个。其中有3个为0day误差，有2个误差信息已在上月宣布：Windows权限提升误差（CVE-2021-36934）WindowsPrintSpooler远程代码执行误差（CVE-2021-34481）

【链接】

https://nti.nsfocus.com/threatWarning

WindowsPrintSpooler远程代码执行0day误差通告（CVE-2021-36958）

【宣布时间】2021-08-1215:00:00GMT

【概述】

北京时间8月11日，AG公司科技CERT监测到微软宣布8月清静更新补丁，其中包括了在7月16日紧迫宣布的WindowsPrintSpooler权限提升误差（CVE-2021-34481），对应的补丁编号为KB5005652，微软同时将误差名称修改为远程代码执行。当WindowsPrintSpooler服务不准确地执行特权文件操作时，攻击者使用此误差可以使用SYSTEM权限运行恣意代码。有外洋研究职员在装置了最新补丁的Windows系统上举行测试，发明此次更新的CVE-2021-34481清静补丁无效，当受害者毗连并装置攻击者控制的打印机时，可乐成触发此误差

【链接】

https://nti.nsfocus.com/threatWarning

INFRAHALT：NicheStackTCP/IP客栈多个高危误差通告（CVE-2020-25928、CVE-2021-31226、CVE-2020-25927）

【宣布时间】2021-08-1114:00:00GMT

【概述】

克日，JFrog和Forescout的研究职员宣布了一份团结报告，果真披露了在NicheStackTCP/IP客栈中发明的14个清静误差(统称为INFRA:HALT)，这些误差可导致远程代码执行、拒绝服务、信息走漏、TCP诱骗或DNS缓存中毒。研究职员体现，乐成使用INFRA:HALT误差的攻击者可能会破损修建物的HVAC系统或接受用于制造和其它要害基础设施的控制器，导致OT和ICS装备离线并被挟制，并且攻击者可以通过挟制的装备撒播恶意软件。

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. 攻击者使用Hive病毒勒索软件攻击多家外洋企业

【概述】

克日，研究职员发明了一个HIVE病毒勒索软件的样本，该勒索病毒样本会将终端上的文件加密，并留下勒索信息，且攻击者使用HIVE勒索病毒样本在加密文件前举行数据窃取，Hive勒索病毒接纳AES+RSA加密算法，在执行后，受害者终端上大部分文件会被加密成*.hive的文件。并且会在每一个目录下留下一个HOWTODECRYPT的文本文档，受害者可凭证文档中的账号密码上岸黑客提供的网站后用赎金换取解密密钥。凭证外洋媒体报道，加拿大商业地产公司AltusGroup正是遭受Hive勒索攻击导致数据泄露。且不到一个月，该勒索团伙已宣布了多家企业的数据信息。

【参考链接】

https://ti.nsfocus.com/security-news/IlMKy

2. 攻击者使用Glowworm窃听虚拟聚会的敏感信息

【概述】

随着越来越多的营业通过MicrosoftTeams、Zoom、Skype等平台，研究职员发明了一种全新的针对电子通讯攻击前言Glowworm，攻击者可使用Glowworm窃听Zoom和其他虚拟聚会的敏感对话，它会将装备功耗引起的装备电源指示灯LED强度的转变将其转换为音频。

【参考链接】

https://ti.nsfocus.com/security-news/IlMKv

3. 短信网络垂纶诈骗团伙冒充就业机构窃取用户信息

【概述】

商业委员会体现，短信网络垂纶诈骗团伙正在冒充就业和劳工机构，诱使用户点击恶意链接，这些恶意链接称为网络垂纶文本，被称为重新提交或验证失业救援金的表格链接，短信中的恶意链接将目的受害者引诱类似就业机构的链接。当受害者点击恶意链接时，诈骗团伙会窃取小我私家信息，甚至救援金。研究职员体现，这些网络垂纶攻击将在未来几个月内一连保存，阻碍企业事情。因此，组织必需继续就社会工程战略对员工举行培训，并为用户建设实时报告网络垂纶新闻的机制。

【参考链接】

https://ti.nsfocus.com/security-news/IlMKt

4. LoakBit勒索软件团伙针对埃森哲公司举行攻击

【概述】

咨询公司埃森哲证实，它受到了勒索软件团伙LockBit的攻击，在其暗网中，LockBit声称已经窃取了凌驾6TB的数据库，提供了埃森哲数据库出售，并要求支付5000万美元作为赎金。据事务部称，在赎金支付倒计时竣事时，走漏站点显示了一个名为W1的文件夹，其中包括据称从公司窃取的PDF文档荟萃。并且LockBit声称已经获得埃森哲网络的会见权限，并准备走漏从埃森哲服务器窃取的文件。

【参考链接】
https://ti.nsfocus.com/security-news/IlML0

5. Strongpity使用Android恶意软件攻击叙利亚电子政府网站

【概述】

StrongPity使用Android恶意软件攻击叙利亚电子政务网站，然后用木马版本替换官方应用程序，随后使用该应用程序从受害者的装备中窃取文件。StrongPity通过使用差别的证书对恶意版本的应用程序举行署名，将其重新打包以使其看起来像原始版本。它会调解应用程序以请求对受熏染装备的特殊权限，添加恶意组件以触发熏染。恶意软件继续通过下令控制服务器通讯，将加密的有用载荷生涯到Android目录中，然后解密文件。StrongPity从受害者的装备网络数据，例如隐私数据和有关可用Wi-Fi网络的信息。报告指出，在Windows版本中，攻击者使用相同的战略重新打包应用程序的原始版原来熏染受害者并窃取数据。

【参考链接】

https://ti.nsfocus.com/security-news/IlMLp

6. 攻击者使用WarzoneRAT恶意软件举行鱼叉式网络垂纶运动

【概述】

研究职员发明，攻击者使用受熏染的WordPress网站，使用WarzoneRAT恶意软件举行新的鱼叉式网络垂纶运动攻击全球制造商，新的鱼叉式网络垂纶运动始于一家位于英国的在线食物配送服务制造商，攻击者给该制造商传入一封伪装成“FoodHub.co.uk”的自界说电子邮件，看似来自制造商正当客户的虚伪电子邮件地点，电子邮件正文包括订单和运输信息，以及一个采购订单PowerPoint文件。威胁行为者通常将全球制造商和其他供应商作为攻击目的，不但是为了攻击他们，并且是为了窃取到该企业客户的信息。

【参考链接】

https://ti.nsfocus.com/security-news/IlMLu

7. 攻击者使用FlyTrap安卓恶意软件攻击Facebook等社交媒体帐户

【概述】

研究职员发明了一种名为FlyTrap的新型Android木马，该木马通过第三方应用市肆中被使用的应用、侧载应用和被挟制的Facebook帐户撒播给10,000多名受害者。自3月以来，攻击者使用FlyTrap恶意软件通过GooglePlay市肆和第三方应用程序市场分发的恶意应用程序撒播到至少144个国家/地区。FlyTrap使用JavaScript注入通过登录原始正当域来挟制Facebook会话，这些被挟制的Facebook会话可用于撒播恶意软件，通过木马的链接，以及使用受害者的地理位置详细信息举行宣传或虚伪宣传运动，并且经常被攻击者用来将恶意软件从一个受害者撒播到另一个受害者。

【参考链接】

https://ti.nsfocus.com/security-news/IlMKO

8. 攻击者窃取了100万张信用卡信息

【概述】

攻击者通过多种方法窃取了100万张信用卡的信息，好比销售点刷卡器、以及针对网站的Magecart攻击和信息窃取木马是他们窃守信用卡数据的主要工具。报道称，攻击者在Cyber??sixgill公司监控的地下信用卡市场上出售了凌驾4500万张信用卡信息。然后，使用这些信用卡举行网上购物，包括购置礼物卡，但通过这些信用卡信息很难追查到他们的行踪。

【参考链接】

https://ti.nsfocus.com/security-news/IlMKP

9. 黑客在加密钱币抢劫案中窃取了PolyNetwork公司6亿美元

【概述】

行业领先的中心化金融平台DeFi之一PolyNetwork已成为网络抢劫的受害者，基于区块链的DeFi网络遭受了最大的数字资产偷窃之一，攻击者窃取了该公司价值6.11亿美元的加密钱币。据PolyNetwork称，来自BinanceChain、Polygon和Ethereum的资产被盗并转移到三个差别的钱包。别的，PolyNetwork已鞭策Binance、OKEx、HuobiGlobal、Uniswap、CirclePay、Tether和BitGo等受影响的区块链和加密钱币生意所连忙未来自攻击者地点的任何代币列入黑名单。

【参考链接】

https://ti.nsfocus.com/security-news/IlML1

10. Exchange服务器受到ProxyShell的自动攻击

【概述】

研究职员发明，Microsoft Exchange服务器受到ProxyShell的自动攻击，Exchange Server恒久以来一直是黑客的主要目的，互联网上有凌驾400,000台Exchange服务器通过端口443受到攻击。通过Shodan扫描发明了30,000多个易受攻击的Exchange服务器，并且思量到可用信息的数目。这些攻击使任何未经身份验证的攻击者能够发明明文密码，甚至通过端口 443 在Microsoft Exchange 服务器上执行恣意代码，该端口由约莫 400,000 台 Exchange 服务器袒露在 Internet 上。

【参考链接】

https://ti.nsfocus.com/security-news/IlMLv

<<上一篇

【威胁通告】AG公司科技威胁情报周报（2021.08.02-2021.08.08）

>>下一篇

【威胁通告】AG公司科技威胁情报周报（2021.07.26-2021.08.01）