【威胁通告】AG公司科技威胁情报周报（2021.09.06-2021.09.12）

2021-09-13

一、威胁通告

MicrosoftMSHTML远程代码执行误差（CVE-2021-40444）

【宣布时间】2021-09-0913:00:00GMT

【概述】

克日，AG公司科技CERT监测到微软宣布清静通告披露了MicrosoftMSHTML远程代码执行误差，攻击者可通过制作恶意的ActiveX控件供托管浏览器泛起引擎的MicrosoftOffice文档使用，乐成诱导用户翻开恶意文档后，可在目的系统上以该用户权限执行恣意代码。微软在通告中指出已检测到该误差被在野使用，请相关用户接纳步伐举行防护。

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. AVOSLockerRansomware运营商攻击太平洋都会银行

【概述】

PacificCityBank是一家美国太平洋都会银行，专注于位于加利福尼亚州的韩裔美国人社区，并提供商业银行服务，该银行遭到AVOSLockerRansomware运营商的攻击，并且从金融机构窃取了敏感文件。2021年9月4日，勒索软件团伙将该银行信息添加到其泄密站点，并宣布了一些屏幕截图作为攻击的证据。

【参考链接】

https://ti.nsfocus.com/security-news/IlMPI

2. RagnarLocker勒索软件团伙窃取台湾威刚公司1.5TB的数据

【概述】

RagnarLocker勒索软件团伙乐成窃取台湾威刚公司1.5TB的数据，被盗数据包括敏感信息，如保密协议、财务文件、条约和其他文件。该公司拒绝支付黑客要求的赎金。若是受害者试图联系执法机构，RagnarLocker勒索软件团伙威胁要泄露被盗数据。该组织在其暗网走漏站点上宣布了一条新闻，宣布了其新战略，若是受害者试图联系执法机构，RagnarLocker勒索软件运营商威胁要泄露被盗数据。

【参考链接】

https://ti.nsfocus.com/security-news/IlMPS

3. BladeHawk组织针对库尔德族群Android用户有针对性提倡攻击

【概述】

研究职员发明，BladeHawk组织针对库尔德族群Android用户有针对性提倡攻击。该组织使用两个商业AndroidRAT工具，划分是888RAT和SpyNote。使用Android888RAT能够执行从其C&C服务器收到的42个下令，从装备中窃取和删除文件、截取屏幕截图、获取装备位置、垂纶Facebook凭证、获取已装置的应用程序列表、窃取用户照片、照相、纪录周围的音频和电话、拨打电话、窃取短信信息、窃取装备的联系人列表、发送短信等。

【参考链接】

https://ti.nsfocus.com/security-news/IlMPW

4. 攻击者使用Conti勒索软件攻击HSE爱尔兰国家卫生服务提供商

【概述】

研究职员发明，针对爱尔兰国家卫生服务提供商HealthServiceExecutive的勒索软件攻击运动，攻击中使用了Conti勒索软件，此次攻击对HSE的系统造成了普遍破损，攻击者声称从HSE窃取了700GB患者的小我私家数据，包括小我私家文件、电话号码、联系人、人为单和银行对帐单，然后要求支付2000万美元，但爱尔兰总理迈克尔·马丁拒绝支付任何赎金，并告诉天下媒体，政府没有与袭击者相同。然而，一周后，被指控的攻击者向HSE提供了一个解密密钥，条件是它支付1900万美元的赎金或果真其患者数据。

【参考链接】

https://ti.nsfocus.com/security-news/IlMPN

5. REvil勒索软件运营商攻击Kaseya基于云的MSP平台

【概述】

REvil勒索软件团伙袭击了Kaseya基于云的MSP平台，影响了MSP及其客户。该团伙破损了KaseyaVSA的基础设施，然后推出了VSA内部安排服务器的恶意更新，以在企业网络上安排勒索软件。该组织要求提供价值7000万美元的比特币来解密所有受Kaseya供应链勒索软件攻击影响的系统。这次袭击引起了媒体和警员政府的注重，增添了对该组织的压力。

【参考链接】

https://ti.nsfocus.com/security-news/IlMQf

6. 攻击者使用Trojan.Win32.BreakWi恶意软件攻击伊朗网络清静公司

【概述】

克日，研究职员发明，攻击者使用Trojan.Win32.BreakWi恶意软件攻击伊朗网络清静公司，伊朗铁路蹊径与都会生长系统部成为网络攻击的目的。黑客在天下各地车站的信息板上显示火车延误或作废的信息，并鞭策旅客拨打电话以获取更多信息，之后，伊朗蹊径和都会化部的网站泛起“网络中止”后阻止服务，攻击者在网络清静公司网络中开发并安排了至少3种差别版本的工具（Meteor、Stardust、Comet）。攻击主要有用载荷是msapp.exe，其目的是锁定受害者机械并擦除其内容使其阻止服务。执行时恶意软件会隐藏此可执行文件的控制台窗口。

【参考链接】

https://ti.nsfocus.com/security-news/IlMQj

7. APT组织使用GoldenSAML攻击获取对ActiveDirectory的会见权限

【概述】

APT组织使用GoldenSAML攻击来绕过身份验证控制并会见Office365情形。大大都受害者接纳混淆身份验证模子，破损ADFS服务器令牌署名证书会导致会见Azure/Office365情形。默认情形下，证书的有用期为一年，这允许APT组织以AD中的任何用户身份坚持长期性并重新进入Azure/Office365情形，而不管任何密码重置或多重身份验证。

【参考链接】

https://ti.nsfocus.com/security-news/IlMQ8

8. 俄罗斯互联网服务提供商Yandex受到大规模拒绝服务（DDOS）攻击

【概述】

美国公司Cloudflare证实了大规模DDoS攻击的事务，此次攻击的目的是俄罗斯互联网服务提供商Yandex，Yandex公司服务器遭遇俄罗斯网史上最强的一次DDoS攻击，该公司体现，此次攻击一连时间长达6小时，导致互联网已陷入瘫痪。影响了大宗的社交媒体用户。

【参考链接】

https://ti.nsfocus.com/security-news/IlMQz

9. 新西兰多个银行和邮局遭到DDOS攻击

【概述】

研究职员批注，新西兰多个银行和邮局遭到一连的漫衍式拒绝服务DDOS攻击，此次攻击导致该国的银行和邮局的网站已经关闭，部分营业已经中止，包括应用程序、网上银行、电话银行和网站已经中止。其他受害者包括澳新银行新西兰有限公司，周三，ANZ Bank New Zealand Ltd.在 Facebook 上发帖称，它履历了一次中止，影响了对其部分在线服务的会见。官员们体现他们正在与网络攻击作斗争。一些受影响的组织能够使他们的服务重新上线，但他们仍然遇到间歇性中止。

【参考链接】

https://ti.nsfocus.com/security-news/IlMQB

10. SANGKANCIL黑客窃取了CITY4U网站700万以色列人的小我私家信息

【概述】

9月7日，以色列地方政府的CITY4U网站被一名名为SANGKANCIL的黑客入侵，该黑客声称已经窃取了该网站700万以色列人的详细信息。在他的Telegram帐户中，他分享了一些随机照片，其中包括几位以色列公民的小我私家详细信息，例如身份证及其照片、地点、全名、电话号码、工业税支付情形等。

【参考链接】

https://ti.nsfocus.com/security-news/IlMQp

<<上一篇

【威胁通告】AG公司科技威胁情报周报（2021.08.30-2021.09.05）

>>下一篇

【威胁通告】微软9月清静更新多个产品高危误差通告