【威胁通告】AG公司科技威胁情报周报（2021.08.23-2021.08.29）

2021-08-30

一、威胁通告

AtlassianConfluence远程代码执行误差通告（CVE-2021-26084）

【宣布时间】2021-08-2619:00:00GMT

【概述】

克日，AG公司科技CERT监测到Atlassian官方宣布了ConfluenceServerWebworkOGNL注入误差（CVE-2021-26084）的清静通告，远程攻击者在经由身份验证或在特定情形下未经身份验证的情形下，可结构OGNL表达式举行注入，实现在ConfluenceServer或DataCenter上执行恣意代码，CVSS评分为9.8。请相关用户尽快接纳步伐举行防护。AtlassianConfluence是Atlassian公司出品的专业wiki程序。它可以作为一个知识治理的工具，通过它能够实现团队成员之间的协作和知识共享。

【链接】

https://nti.nsfocus.com/threatWarning

XStream多个高危误差通告（CVE-2021-39141、CVE-2021-39144、CVE-2021-39139）

【宣布时间】2021-08-2315:00:00GMT

【概述】

克日，AG公司科技监测到XStream官方宣布清静通告，果真了XStream中的14个清静误差，攻击者可以使用这些误差造成拒绝服务、SSRF、远程执行恣意代码。XStream是一个Java工具和XML相互转换的工具，在将JavaBean序列化、或将XML文件反序列化时，它不需要其它辅助类和映射文件，这使得XML序列化不再繁琐。CVE-2021-39140:攻击者可以使用已处置惩罚的输入流并替换或注入工具，这会导致一个无休止的循环，从而造成拒绝服务攻击。CVE-2021-39144:攻击者可以操作已处置惩罚的输入流并替换或注入工具，从而在服务器上远程执行下令。CVE-2021-39139、CVE-2021-39141、CVE-2021-39145、CVE-2021-39146、CVE-2021-39147、CVE-2021-39148、CVE-2021-39149、CVE-2021-39151、CVE-2021-39153、CVE-2021-39154：攻击者可以使用已处置惩罚的输入流并替换或注入工具，从而执行从远程服务器加载的恣意代码。CVE-2021-39150、CVE-2021-39152：攻击者可以使用已处置惩罚的输入流并替换或注入工具，从而实现服务端请求伪造。

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. ShinyHunters组织窃取教育、政府和军事实体的敏感信息

【概述】

ShinyHunters是一个网络犯法地下组织，研究职员批注，该组织主要在Raid论坛上运作，将教育、政府和军事实体职员作为攻击的目的，以窃取公司有用的OAuth令牌信息，使用令牌信息破损公司的云基础设施并绕过任何因素身份验证机制。这些凭证或API密钥、令牌信息随后被滥用以会见数据库并网络敏感信息以转售牟利或在黑客论坛上免费宣布。攻击者总共窃取了凌驾112万个属于标准普尔100指数组织、教育、政府和军事实体的唯一电子邮件地点。ShinyHunters组织最先以20万美元的起价出售据称包括7000万AT&T客户小我私家信息的数据库，只管这家美国电信提供商否定其系统遭到破损。

【参考链接】

https://ti.nsfocus.com/security-news/IlMMV

2. 巴西百货打扮公司LojasRenner被勒索软件团伙RansomExxenner袭击

【概述】

巴西最大的打扮公司LojasRenner遭遇勒索软件团伙RansomExx攻击，影响了打扮公司的IT基础设施。RansomExxenner勒索软件团伙入侵了巴西百货打扮公司的网络并对员工和客户小我私家敏感数据举行了复制或加密，然后以在网上宣布隐私数据为要挟，向受害方索要10亿美元赎金，据巴西新闻媒体报道，该公司因此次袭击被迫关闭了天下所有实体店。

【参考链接】

https://ti.nsfocus.com/security-news/IlMLN

3. 诺基亚子公司SACWireless遭到Conti勒索软件团伙攻击

【概述】

克日，诺基亚子公司SACWireless遭遇Conti勒索软件团伙暴力攻击，Conti勒索软件团伙通过安排了有用载荷并加密了无线系统之后，获得了诺基亚子公司系统的会见权限，乐成入侵该公司网络，将恶意文件上传到其云存储，然后安排了勒索软件来加密诺基亚子公司系统上的文件，窃取了该公司现任和去职员工的250GB小我私家信息。

【参考链接】

https://ti.nsfocus.com/security-news/IlMNA

4. 黑客通过改动PC制造商的更新软件攻击华硕电脑

【概述】

报道称，黑客通过改动PC制造商的更新软件攻击数百万台华硕电脑，为了发动攻击，黑客通过“liveupdate01s.asus.com”和“liveupdate01.asus.com”渗透并提供华硕自己的官方服务器上的恶意更新，他们还想法用“ASUSTekComputerInc.”下的正当软件证书签署了他们的恶意更新。凭证我们的统计数据，凌驾57,000名卡巴斯基用户在某个时间点下载并装置了后门版本的华硕的更新软件，并且可能影响全球凌驾一百万用户。

【参考链接】

https://ti.nsfocus.com/security-news/IlMNy

5. OnePercentGroup组织使用CobaltStrike勒索软件攻击美国公司

【概述】

OnePercentGroup组织使用CobaltStrike勒索软件对美国公司提倡攻击，通过网络垂纶邮件攻击公司客户，将IcedID银行木马有用载荷投放到目的系统上，然后在受熏染的系统上投放和装置CobaltStrike勒索软件，并在公司系统网络中横向移动。据视察，一旦勒索软件乐成安排，该组织就会窃取到美国公司系统客户的文件，OnePercent组织对窃取到的文件举行加密并在其文件名后附加一个随机的八字符扩展名，并添加唯一命名的赎金说明，通过洋葱路由器网络和clearnet宣布被盗数据，要挟受害者以虚拟钱币支付赎金。

【参考链接】

https://ti.nsfocus.com/security-news/IlMNp

6. ViceSociety组织窃取罗尔住民的文件和小我私家敏感信息

【概述】

ViceSociety组织攻击的目的是公立学区和教育机构，它实验双重勒索模式，该组织窃取了日内瓦湖畔瑞士小镇罗尔6,200名住民千兆字节的数据文件和小我私家详细信息，泄露的数据包括非瑞士国民的姓名、地点、出生日期、社会清静号码和居留允许信息，学校纪录以及熏染Covid-19的儿童的信息，并在组织内部的数据泄露站点上宣布从受害者那里窃取的数据。

【参考链接】

https://ti.nsfocus.com/security-news/IlMNR

7. SparklingGoblin组织使用SideWalk勒索软件攻击美国电脑零售公司

【概述】

研究职员发明，一家位于美国的电脑零售公司成为SparklingGoblin组织攻击的目的，SparklingGoblin组织主要以专门针对东亚和东南亚实体的网络攻击而著名。该组织使用SideWalk恶意软件将恶意代码注入到公司正当程序，并使用Windows系统上.NET加载器安排恶意软件，该加载器认真从公司系统磁盘上读取加密的代码，对其举行解密，并使用历程手艺将其注入正当历程，使用Cloudflare作为C&C服务器，然后SideWalk与C&C服务器建设通讯，使用Google Docs作为死循环剖析器，恶意软件从Google Docs文档中检索加密的IP地点。

【参考链接】

https://ti.nsfocus.com/security-news/IlMNQ

8. 攻击者使用Mirai僵尸网络对Cloudflare金融客户举行DDOS攻击

【概述】

研究职员发明了有史以来最大的DDOS攻击，攻击者使用Mirai僵尸网络对Cloudflare金融领域的客户举行DDOS攻击，通过使用僵尸网络在短时间内能爆发大宗的攻击流量，攻击流量来自全球125个国家/地区的20,000多个机械人，凭证机械人的源IP地点，险些15%的攻击来自印度尼西亚，另外17%来自印度和巴西。攻击者试图通过使用多个漫衍式位置的虚伪请求让服务变得云云忙碌以致于崩�；蜃柚�，从而攻击Cloudflare金融客户的网站，阻止客户使用服务。

【参考链接】

https://ti.nsfocus.com/security-news/IlMMS

9. 攻击者使用SharePoint共享文件攻击Office365

【概述】

研究职员发明，攻击者在网络垂纶运动中使用SharePoint共享文件作为诱饵举行攻击，此次攻击运动的目的是Office365，其目的是骗取受害者的证书，攻击者通过发送电子邮件并在信息中伪造了目的用户名的发件人地点作为诱饵，这封电子邮件提醒收件人有一个共享文件请求，这小我私家可能是他们的同事，并在文件中包括了一个网络垂纶页面的链接。研究职员指出，为了使信件显得越发真实可信，听说该文件还包括了某种正当类型的营业内容，如员工报告、奖金或价钱清单。若是用户点击这个恶意邮件，最终会被指导到一个垂纶页面，页面要求他们用自己的正当凭证登录Office365。

【参考链接】

https://ti.nsfocus.com/security-news/IlMO7

10. 菲律宾人权同盟卡拉帕坦Karapatan遭受了严重的DDOS攻击

【概述】

菲律宾人权同盟卡拉帕坦Karapatan遭受了严重且一连的DDoS攻击，这次攻击是在针对媒体Bulatlat和Altermidya的DDoS攻击浪潮爆发仅一个月之后爆发的，DDoS攻击爆发在由Karapatan配合主理的在线团结运动StopTheKillingsPH时代，这次攻击是通过漫衍在俄罗斯、乌克兰、印度尼西亚和中国的30,000个机械人署理的。攻击者多次修改了攻击战略，这标记着天下各地的人权组织和提倡者呼吁阻止菲律宾的杀戮。

【参考链接】

https://ti.nsfocus.com/security-news/IlMO9

<<上一篇

【威胁通告】Atlassian?Confluence?远程代码执行误差（CVE-2021-26084）通告

>>下一篇

【威胁通告】AG公司科技威胁情报月报（2021年8月）