【威胁通告】AG公司科技威胁情报周报（2021.10.18-2021.10.24）

2021-10-25

一、威胁通告

Oracle全系产品10月主要补丁更新通告（CVE-2021-22931、CVE-2021-3711、CVE-2021-22926）

【宣布时间】2021-10-21 10:00:00 GMT

【概述】

2021年10月20日，AG公司科技监测发明Oracle官方宣布了10月主要补丁更新通告CPU（Critical Patch Update），此次共修复了419个差别水平的误差，此次清静更新涉及Oracle MySQL、Oracle Weblogic Server、Oracle Java SE、Oracle FusionMiddleware、Oracle Retail Applications等多个常用产品。Oracle强烈建议客户尽快应用要害补丁更新修复程序，对误差举行修复。

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. 攻击者使用 Discord 基础设施举行恶意攻击

【概述】

Check Point Research (CPR) 发明了一种多功效恶意软件，能够截取屏幕截图、下载和执行其他文件以及执行键盘纪录——所有这些都是通过使用 Discord 的焦点功效。Discord 机械人功效强盛、友好且很是节约时间。然而，能力越大责任也越大，Discord的bot框架很容易被恶意使用。研究职员发明，其中Discord Bot API 是一个简朴的 Python 实现，它简化了修改并缩短了开发历程，可以轻松地将机械人酿成一个简朴的远程会见木马来窃守信息。

【参考链接】

https://ti.nsfocus.com/security-news/IlMXw

2. 攻击者针对美国军事防务机构举行Office 365特工攻击

【概述】

研究职员发明了一个名为DEV-0343的网络组织攻击了美国和以色列的国防手艺公司、波斯湾的入境口岸以及与中东有关的全球海上运输公司。该威胁组织的攻击方法主要是接受微软Office 365账户。攻击者似乎一直在从事网络特工运动，同时该组织与伊朗有联系，并且网络攻击者正在对Office 365账户举行大面积的密码喷洒攻击。它是一种针对在线账户使用大宗用户名和一系列差别密码举行攻击的历程，攻击者希望找到准确的密码并获得对受密码�；ふ嘶У幕峒ㄏ�。

【参考链接】

https://ti.nsfocus.com/security-news/IlMXy

3. 黑客使用cookie窃取恶意软件挟制YouTube创作者的帐户

【概述】

黑客使用虚伪的相助时机（即杀毒软件、VPN、音乐播放器、照片编辑或网络游戏的演示）挟制了 YouTube 创作者的频道，一旦挟制了频道，攻击者要么将其出售给出价最高的人，要么将其用于加密钱币诈骗妄想。研究职员发明，恶意软件在上岸页面伪装成软件下载 URL，通过电子邮件或 Google Drive 上的 PDF 或包括网络垂纶链接的 Google 文档发送。并确定了约莫 15,000 个演员帐户，其中大部分是为此运动建设的，还视察到，攻击者将目的推向 WhatsApp、Telegram 或 Discord 等新闻应用程序，由于谷歌能够通过 Gmail 阻止网络垂纶妄想，运行冒充软件后，将执行 cookie 窃取恶意软件。恶意软件从受熏染的机械窃取浏览器 cookie 并将其发送到 C2 服务器。一旦在目的系统上交付，恶意软件就会被用来窃取他们的凭证和浏览器 cookie，从而允许攻击者在转达 cookie 攻击中挟制受害者的帐户。

【参考链接】

https://ti.nsfocus.com/security-news/IlMXv

4. 攻击者使用Telegram Bot窃取PayPal账户资金

【概述】

新的研究发明，网络犯法分子正在使用Telegram机械人窃取一次性密码token（OTP）并通过银行和在线支付系统（包括PayPal、Apple Pay和Google Pay）诓骗群众。并体现威胁行为者正在使用Telegram机械人和频道以及一系列战略来获取帐户信息，包括致电受害者、冒充银行和正当服务等，同时通过社会工程，威胁行为者还诱骗人们通过移动装备向他们提供OTP或其他验证码，然后骗子用这些代码来骗取用户账户中的资金。

【参考链接】

https://ti.nsfocus.com/security-news/IlMXm

5. 宏碁一周内遭遇二次数据泄露

【概述】

科技巨头宏碁在一周内遭到两次黑客攻击，统一个威胁者 (Desorden) 最初入侵了其在印度的一些服务器，现在它声称也入侵了台湾的一些系统。该事务是在威胁行为者在一个地下网络犯法论坛上宣布销售凌驾60 GB数据的广告后披露的。攻击者现在声称已于10月 15日入侵了宏碁台湾的服务器，并窃取了内部数据，包括员工和产品信息。

【参考链接】

https://ti.nsfocus.com/security-news/IlMXi

6. 攻击者在恶意运动中使用大宗商品RAT攻击阿富汗和印度

【概述】

Cisco Talos最近发明了一个威胁行为者，它使用政治和政府为主题的恶意域来针对印度和阿富汗的实体。这些攻击使用 dcRAT 和 QuasarRAT for Windows，通过使用CVE-2017-11882（Microsoft Office 中的内存损坏误差）和 AndroidRAT 的恶意文档来攻击移动装备。攻击者还在攻击的初始侦探阶段使用自界说文件枚举器和熏染器，然后通过安排种种商品 RAT（例如 DcRAT 和 QuasarRAT）举行攻击。

【参考链接】

https://ti.nsfocus.com/security-news/IlMXl

7. 黑客滥用苹果公司企业应用程序偷取140万美元的加密钱币

【概述】

黑客使用社交媒体、约会应用程序、加密钱币和滥用苹果公司企业开发者妄想，从毫无戒心的受害者那里偷取了至少140万美元。其中名为CryptoRom诓骗的实验相当直接，在通过社交媒体或现有数据应用程序获得受害者的信托后，用户被愚弄到一个看起来像苹果应用市肆的网站，然后被见告下载一个移动装备治理程序，装置一个修改版的加密钱币生意所，诱使其投资，然后骗走现金。

【参考链接】

https://ti.nsfocus.com/security-news/IlMWU

8. 攻击者冒充DoT举行了为期两天的垂纶诈骗攻击

【概述】

威胁者在为期两天的网络垂纶攻击运动中冒充美国交通部（USDOT），他们通过使用多种战略，为了使攻击运动看起来更正当，他们还建设了虚伪的联邦网站的域名，来逃避清静检测。研究职员共发明了41封垂纶邮件，这些邮件都以国会最近通过的1万亿美元基础设施计划中的项目投标为诱饵举行诈骗。此次攻击运动主要以工程、能源和修建等行业的公司为攻击目的，这些公司可能会与美国交通部相助，并向潜在的受害者发送诈骗电子邮件，一旦进入这个冒充的美国交通部网站，受害者就会被约请点击一个 "点击这里投标 "按钮，还会泛起一个带有微软标记和 "用你的电子邮件提供商登录 "指示的凭证网络表格。第一次实验输入凭证时会遇到ReCAPTCHA验证，正当网站一样平常会将其作为网站的清静组件，然而，攻击者在这时就已经获取了凭证，若是受害者第二次实验输入证书，就会泛起一个过失信息，然后他们会被指导到真正的美国交通部网站，垂纶者经常将这一步作为最后一步来举行执行。

【参考链接】

https://ti.nsfocus.com/security-news/IlMX9

9. 黑客窃取了阿根廷全体生齿的政府ID数据库

【概述】

一名黑客入侵了阿根廷政府的IT网络，并窃取了该国所有生齿的身份证详细信息，这些数据现在正在私人圈子中出售。上个月爆发的黑客攻击目的是 RENAPER，它代表 Registro Nacional de las Personas，翻译为 National Registry of Persons。该机构是阿根廷内政部的一个主要组成部分，其使命是向所有公民发放国民身份证，并将这些数据以数字名堂存储为其他政府机构可会见的数据库，作为大大都政府盘问的支柱用于公民的小我私家信息。凭证黑客在线提供的样本，他们现在可以会见的信息包括全名、家庭住址、出生日期、性别信息、身份证签发和到期日期、劳工识别码、Trámite号码、公民号码和政府照片身份证。

【参考链接】

https://ti.nsfocus.com/security-news/IlMX8

10. TeamTNT在Docker Hub上安排恶意Docker镜像

【概述】

研究职员最近发明了一项运动，其中 TeamTNT 威胁加入者安排了带有嵌入式剧本的恶意容器映像（托管在 Docker Hub 上），以下载 Zgrab 扫描器和 massscanner，划分用于横幅抓取和端口扫描的渗透测试工具。使用恶意 Docker 镜像中的扫描工具，威胁行为者实验扫描受害者子网中的更多目的并执行进一步的恶意运动。其中犯法团伙继续将 Docker Hub、GitHub 和其他包括包括恶意剧本和工具的容器映像和软件组件的共享存储库作为目的。他们通常旨在撒播 coinminer 恶意软件，挟制受害者的盘算机资源来挖掘加密钱币。

【参考链接】

https://ti.nsfocus.com/security-news/IlMX5

<<上一篇

【威胁通告】Oracle全系产品10月主要补丁更新通告

>>下一篇

【威胁通告】GitLab?远程下令执行误差 (CVE-2021-22205)