【威胁通告】AG公司科技威胁情报周报（2021.08.30-2021.09.05）

2021-09-07

一、威胁通告

勒索软件使用Exchange1day误差撒播全剖析（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）

【宣布时间】2021-08-3113:00:00GMT

【概述】

克日，AG公司科技CERT监测发明多起使用MicrosoftExchange多个误差（ProxyShell）举行攻击的清静事务，并有新晋的LockFile勒索病毒组织使用ProxyShell与PetitPotam误差对企业域情形举行攻击，最终导致多家单位域内主机被批量执行勒索加密。

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. Marketo组织窃取了PUMA公司1GB的数据

【概述】

8月29日，研究职员发明，Marketo组织窃取了PUMA公司1GB的数据，该组织作为一个“被盗数据市场”的运营商，差别于典范的勒索软件集团，他们是通过阻止受害者的网络，加密种种数据存储上的可用文件来分发恶意代码，破损IT运营服务。窃取PUMA公司的敏感数据在暗网平台上举行果真拍卖。其中包括链接到公司产品治理门户内部治理应用程序的源代码，攻击者可以使用这些数据来策划对公司更重大的攻击。

【参考链接】

https://ti.nsfocus.com/security-news/IlMOp

2. 攻击者向用户分发虚伪的电子邮件举行网络垂纶运动

【概述】

克日，研究职员检测到多起以新冠疫苗COVID-19为主题的网络垂纶运动。攻击者使用虚伪的网络垂纶电子邮件为诱饵向用户发送恶意结构的样本链接诱骗用户点击，此次诱饵文件名字为“Certification-Vaccination-Status-Form.pdf”，受害者通过点击诱饵文件启动PowerShell程序并执行恶意剧本后，程序会从指定的网络地点请求并获取后续的PowerShell恶意剧本，会将目的员工带到一个冒充MicrosoftOutlookWeb应用程序登录页面的恶意域，最终他们将被带到一个冒充受信托品牌的被挟制网页。

【参考链接】

https://ti.nsfocus.com/security-news/IlMOj

3. 波士顿公共图书馆遭到黑客攻击

【概述】

研究职员批注，波士顿公共图书馆盘算机网络遭到黑客严重攻击，导致该图书馆整个系统中止，受影响的系统已下线，暂停了公共盘算机和公共打印服务，以及一些在线资源。现在，该图书馆仍然开放，但大部分电子功效处于离线状态，现在所有的事情站点都在手动处置惩罚生意。

【参考链接】

https://ti.nsfocus.com/security-news/IlMOi

4. 攻击者使用KonniRAT恶意软件攻击俄罗斯

【概述】

MalwarebytesLabs的研究职员发明了一个正在举行的恶意软件运动，此次攻击运动的目的是俄罗斯。攻击者使用两份俄语编写的武器化文件作为诱饵，其中一份使用俄罗斯与朝鲜半岛之间的商业和经济问题，第二份文件以俄罗斯-蒙古政府间委员会的聚会为诱饵。当攻击者启用宏后，它执行的熏染链将最先安排一个经由严重混淆的新KonniRAT变体，攻击者试图在文档内容的末尾隐藏其主要运动最先的恶意JS，并没有将其直接放入宏中，以阻止被AV产品检测到并隐藏其他们的主要意图。

【参考链接】

https://ti.nsfocus.com/security-news/IlMO1

5. 闪电贷黑客窃取了金融平台CREAM Finance 2900万美元的加密钱币工业

【概述】

克日，研究职员发明，闪电贷黑客从金融平台CREAMFinanceDefi窃取了凌驾2900万美元的加密钱币资产。CREAMFinanceDefi是一种去中心化借贷协议，供小我私家、机构和协议会见金融服务。它向被动持有ETH或wBTC的用户允许收益。在攻击运动中，攻击者在其“闪电贷”功效中举行了“重入攻击”，窃取了418,311,571个AMP代币和1,308.09个ETH代币。黑客在转移资产历程中通过重新借用Amp代币举行了500ETH的闪贷，然后在17笔单独的生意中更新第一个借入资产。提供了一个示例事务，黑客使500ETH的flashloan和存入的资金作为典质。CREAMFinance宣布，已经暂停Amp代币的供应和借用合约来阻止黑客使用。

【参考链接】

https://ti.nsfocus.com/security-news/IlMOx

6. LockBit勒索软件组织攻击曼谷航空公司

【概述】

8月30日，LockBit勒索软件组织乐成攻击了曼谷航空公司的内部系统，窃取了该公司103GB与其客户有关的小我私家数据，被盗数据包括姓名、国籍、性别、电话号码、电子邮件、地点、联系信息、护照信息、历史旅行信息、部分信用卡信息和航空公司旅客的特殊膳食信息。攻击者在其泄密网站上宣布了一条新闻，若是曼谷航空公司不支付赎金，就会泄露被盗数据，新闻还显示他们有更多的数据要泄露。

【参考链接】

https://ti.nsfocus.com/security-news/IlMOC

7. 诈骗者通过冒充OpenSea公司员工窃取数字资产

【概述】

OpenSea是一个基于区块链的数字资产市场，诈骗者冒充OpenSea公司员工以窃取数字资产，OpenSea用户和艺术家JeffNicholas成为该圈套的受害者，攻击者从Ledger钱包中窃取了他持有的数字资产以及价值约14,600美元的4.5以太币。攻击的方法是，诈骗者使用Discord谈天平台提供客户支持，人们被见告去OpenSeaDiscord并宣布他们的支持票，攻击者正在监视这些渠道，然后联系冒充OpenSea支持的人，并提供有关他们支持索赔的信息。

【参考链接】

https://ti.nsfocus.com/security-news/IlMOA

8. 攻击者使用开放重定向链接引诱用户会见恶意网站获取Office365凭证

【概述】

凭证最近宣布的一份研究报告称，保存“普遍”的网络垂纶运动，诓骗者使用开放重定向链接引诱用户会见恶意网站，以获取Office365凭证。除了使用社会工程手艺模拟生产力工具和服务来引诱用户点击之外，诓骗者还会安排一个恶意的CAPTCHA验证页面，资助引诱用户点击恶意链接并资助诓骗者避开某些清静工具，用户会单击重定向链接，这会翻开一个他们必需填写的虚伪CAPTCHA站点，一旦受害者完成伪造的CAPTCHA页面，用户就会被发送到一个恶意域，该域旨在看起来像一个正当的Office365或其他登录网站�；嵋笥没淙肓酱纹局�，以确保诓骗者网络准确的用户名和密码组合。一旦用户第二次输入密码，该页面就会定向到一个正当的Sophos网站，该网站声称该电子邮件已被释放，从而为攻击增添了另一层正当性。

【参考链接】

https://ti.nsfocus.com/security-news/IlMOF

9. 英国电信公司遭受DDOS攻击

【概述】

英国两家基于互联网的电信公司VoipUnlimited和Voipfone在其网站上报告说，它们已经遭到了漫衍式拒绝服务DDOS一连的攻击，导致公司系统焦点网络已经中止了服务，以及中止了呼叫、注册和客户门户会见等服务，造成的服务瘫痪每小时损失低于1000英镑，攻击前言“一直转变”，其网络团队正在凭证需要应用缓解步伐。

【参考链接】

https://ti.nsfocus.com/security-news/IlMPu

10. FIN7团伙使用Word文档来投放恶意负载攻击美国销售点服务提供商

【概述】

Anomali Threat Research 专家监测了最近由FIN7团伙举行的鱼叉式网络垂纶攻击运动，此次攻击的目的是美国销售点 (PoS) 服务提供商，该团伙通过接纳Word文档来投放恶意负载攻击链侵入PoS服务商网络，攻击链始于一个 Microsoft Word 文档 (.doc)，其中包括一个声称使用 Windows 11 Alpha 制作的诱饵图像。该图像要求收件人启用编辑和启用内容以会见其内容，启用宏后，将执行高度混淆的 VBA 宏以检索 JavaScript 负载。恶意剧本还会检查虚拟机以避免在虚拟化情形中举行剖析，为了阻止发明，该组织还在 VBA 宏中插入垃圾数据。

【参考链接】

https://ti.nsfocus.com/security-news/IlMPj

<<上一篇

【威胁通告】AG公司科技威胁情报月报（2021年8月）

>>下一篇

【威胁通告】AG公司科技威胁情报周报（2021.09.06-2021.09.12）