【威胁通告】AG公司科技威胁情报周报（2021.10.25-2021.10.31）

2021-11-01

一、威胁通告

CODESYS V2多个高危误差通告（CVE-2021-30188、CVE-2021-34595、CVE-2021-34596）

【宣布时间】2021-10-28 20:00:00 GMT

【概述】

克日，CodeSys官方宣布4份清静更新通告，修复了codesys V2的10个误差，其中AG公司科技格物实验室提交的3个误差被评为高危，并获得官方致谢。这3个误差的攻击路径均为codesys runtime支持的私有通讯协议，使用这些误差，轻则可能导致目的产品爆发拒绝服务、宕机等效果，重则可使目的执行恶意攻击者体例的使用代码，以此影响生产、一连潜在、窃取敏感数据、发动定点攻击等。

【链接】

https://nti.nsfocus.com/threatWarning

GitLab 远程下令执行误差（CVE-2021-22205）

【宣布时间】2021-10-28 17:00:00 GMT

【概述】

克日，AG公司科技监测到有研究职员披露了GitLab 远程下令执行误差(CVE-2021-22205)的使用程序，且发明由于GitLab保存未授权的端点，导致该误差在无需举行身份验证的情形下即可举行使用，社区版(CE)和企业版(EE)皆受影响。4月15日，GitLab官方宣布清静更新修复了此GitLab下令执行误差（CVE-2021-22205），由于GitLab中的ExifTool没有对传入的图像文件的扩展名举行准确处置惩罚，攻击者通过上传特制的恶意图片，可以在目的服务器上执行恣意下令。CVSS评分为9.9，现在已发明在野使用，请相关用户尽快接纳步伐举行防护。GitLab 是由GitLab Inc.开发的一个用于客栈治理系统的开源项目，使用Git作为代码治理工具，可通过Web界面会见果真或私人项目。

【链接】

https://nti.nsfocus.com/threatWarning

Windows Update Assistant 权限提升0day漏）

【宣布时间】2021-10-28 18:00:00 GMT

【概述】

10月28日，AG公司科技CERT监测发明趋势科技的零日妄想 (ZDI) 披露了Windows Update Assistant 目录毗连权限提升误差。由于Windows Update Assistant 中保存特定缺陷，具有低权限身份的外地攻击者可通过建设目录毗连，使用Windows Update Assistant来删除文件，乐成使用此误差的攻击者可在目的系统上提升为治理员权限并执行恣意代码。此误差现在处于0day状态，微软官方暂未宣布防护步伐。

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. 黑客从Cream Finance窃取了价值1.3亿美元的加密钱币资产

【概述】

研究职员发明CREAM Finance 是一种去中心化借贷协议，供小我私家、机构和协议会见金融服务。它向被动持有 ETH 或 wBTC 的用户允许收益，攻击者从中心化金融 (DeFi) 平台窃取了价值 1.3 亿美元的加密钱币资产，该公司也证实了此次袭击。据专家称，攻击者可能使用了平台闪贷功效中的误差，然后将被盗资金转移到他们控制的钱包中，然后再通过其他钱包举行拆分。凭证 CipherTrace 最近宣布的一篇文章体现，DeFi 攻击对攻击者来说变得很是有利可图，到 2021 年 7 月，DeFi 攻击总数抵达 3.61 亿次，占 2021 年所有主要黑客攻击的 76%。

【参考链接】

https://ti.nsfocus.com/security-news/IlMYL

2. 攻击者使用新的根恶意软件获取用户敏感数据

【概述】

研究职员发明了一种新的生根恶意软件，该恶意软件漫衍在 Google Play 和著名的第三方市肆（如亚马逊应用市肆和三星 Galaxy Store）上，他们将恶意软件命名为“AbstractEmu”，由于它使用了代码笼统和反仿真检查，以阻止在剖析时运行。通过使用生根历程获得对 Android 操作系统的特权会见，攻击者可以默默地授予自己危险的权限或装置其他恶意软件——这些办法通常需要用户交互。提升的权限还允许恶意软件会见其他应用程序的敏感数据，这在正常情形下是不可能的。可是攻击者使用AbstractEmu 将自己伪装成许多差别的应用程序：包括适用程序应用程序，例如密码治理器，以及应用程序启动器或数据掩护程序等系统工具，这些对用户来说似乎都是适用的，从而降低了用户的小心性。

【参考链接】

https://ti.nsfocus.com/security-news/IlMYO

3. 攻击者使用恶意NPM库熏染用户系统举行攻击

【概述】

研究职员发明攻击者再次向官方 NPM 存储库宣布了另外两个盗版库，这些库模拟了游戏公司 Roblox 的正当软件包，目的是分发窃取凭证、装置远程会见木马并使用勒索软件熏染受熏染的系统。发明名为“ noblox.js-proxy ”和“ noblox.js-proxies ”的虚伪包模拟了一个名为“ noblox.js ”的库，这是一个在 NPM 上可用的 Roblox 游戏 API 包装器，每周下载量靠近 20,000 次，关于每其中毒的库，划分下载了 281 次和 106 次。并体现noblox.js-proxy 的作者首先宣布了一个良性版本，厥后在帖子中改动了混淆文本，现实上是一个批处置惩罚（.bat）剧本- 装置 JavaScript 文件；该 Batch 剧本反过来从 Discord 的内容交付网络 (CDN) 下载恶意可执行文件，这些可执行文件认真禁用反恶意软件引擎、在主机上实现长期性、窃取浏览器凭证，甚至安排具有勒索软件功效的二进制文件。

【参考链接】

https://ti.nsfocus.com/security-news/IlMYN

4. 攻击者出售 5000 万莫斯科司机的数据

【概述】

攻击者正在一个黑客论坛上以 800 美元的价钱出售一个包括 5000 万条莫斯科司机纪录的数据库。攻击者声称已从外地警方的内部职员那里获得数据，他们宣布了一个数据库纪录样本，其中包括汽车型号、注册和 VIN 号、注册日期、发念头功率、车主姓名、日期出生，电话号码。被盗数据跨越 2006 年和 2019 年，外地媒体已证实其真实性。攻击者还向购置数据库的人提供包括 2020 年信息的文件。

【参考链接】

https://ti.nsfocus.com/security-news/IlMXO

5. 攻击者使用垃圾邮件发送恶意软件Qakbot和Cobalt Strike

【概述】

最近，一种称为“SQUIRRELWAFFLE”的新威胁正在通过垃圾邮件运动更普遍地撒播，使用新的恶意软件加载程序熏染系统。这是一个恶意软件家族，其撒播越来越频仍，可能成为垃圾邮件领域的下一个大玩家。SQUIRRELWAFFLE 为攻击者提供了对系统及其网络情形的起源驻足点，然后可凭证攻击者选择实验将其会见钱币化的方法来增进进一步的破损或其他恶意软件熏染。在许多情形下，这些熏染还被用来传送和熏染其他恶意软件（如Qakbot和渗透测试工具Cobalt Strike）的系统。研究职员发明由于电子邮件自己似乎是对现有电子邮件线程的回复。这些电子邮件通常包括指向托管在攻击者控制的 Web 服务器上的恶意 ZIP 档案的超链接，回复新闻所针对的语言通常与原始电子邮件线程中使用的语言相匹配，这批注保存一些动态外地化。虽然大大都电子邮件都是用英语编写的，但在这些运动中使用其他语言批注这种威胁并不限于特定的地理区域。

【参考链接】

https://ti.nsfocus.com/security-news/IlMYg

6. 多个运营商恶意网络和共享用户的大宗隐私数据

【概述】

美国联邦商业委员会 (FTC) 研究发明，美国六家互联网服务提供商 (ISP) 无缘由网络和共享客户的小我私家数据信息，并遮掩消耗者滥用其大宗敏感数据。FTC研究中提到六家运营商划分是 AT Mobility、Cellco Partnership（又名 Verizon Wireless）、Charter Communications Operating、Comcast（又名 Xfinity）、T-Mobile US 和 Google Fiber，包括与这些公司相关联的三个广告实体：AT 的 Appnexus （又名Xandr），Verizon 的 Verizon Online 和 Oath Americas （又名 Verizon Media）。FTC指出，这六家公司现在控制着美国约莫 98% 的移动互联网市场，并将触角从牢靠电话网络和移动互联网服务，延伸至语音、内容、智能装备、广告和剖析服务等其他领域，以便网络更多客户数据信息。而令人担心的是，几个运营商之间整合跨产品线的数据，再团结小我私家应用程序的使用和网络浏览数据来定向推送广告；将消耗者凭证种族和性取向等差别标准举行分门别类，并向第三方共享着实时位置数据。

【参考链接】

https://ti.nsfocus.com/security-news/IlMYl

7. 攻击者通过UltimaSMS订阅诓骗运动针对数百万 Android 用户

【概述】

研究职员在 Google Play 市肆中发明了一个普遍保存的优质短信圈套，被称为 UltimaSMS，该名称来自他们发明的第一个名为Ultima Keyboard 3D Pro 的应用程序。攻击者使用虚伪照片编辑器、垃圾邮件阻挡器、相机过滤器、游戏和其他应用程序，并通过 Instagram 和 TikTok 渠道举行推广，其中大部分下载是由中东地区的用户举行的，例如埃及、沙特阿拉伯和巴基斯坦。装置应用程序后，他们会检查自己的位置、国际移动装备识别码 (IMEI) 和电话号码，以确定用于诈骗的国家/地区代码和语言。当受害者翻开应用程序时，会显示一个屏幕，要求输入他们某些信息，在输入所要求的详细信息后，用户订阅了高级 SMS 服务，凭证国家和移动运营商的差别，每月可收取 40 美元以上的用度实验诓骗。

【参考链接】

https://ti.nsfocus.com/security-news/IlMYd

8. 攻击者使用Ranzy Locker勒索软件攻击Windows系统

【概述】

联邦视察局宣布了一个快速警报，忠言已经危害了数十家美国公司的 Ranzy Locker 勒索软件的运动。Ranzy Locker 勒索软件运营商最常使用的攻击前言是针对远程桌面协议 (RDP) 凭证的蛮力实验。在最近的攻击中，该组织还使用了已知的 Microsoft Exchange Server 误差并使用网络垂纶新闻来攻击盘算机网络。一旦获得对目的网络的会见权限，勒索软件团伙就会实验定位敏感数据，包括客户信息、PII 相关文件和财务纪录。Ranzy Locker 勒索软件针对 Windows 系统，包括服务器和虚拟机。在某些情形下，该组织实验了双重勒索模式，威胁受害者若是不支付赎金就泄露被盗数据。

【参考链接】

https://ti.nsfocus.com/security-news/IlMYe

9. 黑客使用盛行的BillQuick计费软件安排勒索软件

【概述】

网络清静研究职员周五披露了一个名为BillQuick的时间和计费系统的多个版本中的一个现已修补的要害误差，该误差正被攻击者起劲使用，在易受攻击的系统上安排勒索软件。黑客可以使用它来会见客户的 BillQuick 数据并在他们的外地 Windows 服务器上运行恶意下令。从实质上讲，该误差源于 BillQuick Web Suite 2020 构建 SQL 数据库盘问的方法，使攻击者能够通过应用程序的登录表单注入特制的 SQL，可用于在底层 Windows 操作系统上远程天生下令外壳并实现代码执行。

【参考链接】

https://ti.nsfocus.com/security-news/IlMY2

10. 黑客团伙冒充清静公司实验网络攻击

【概述】

研究职员发明，由于勒索软件已成为一个有利可图的领域，并且FIN7之前有与“Combi Security”等虚伪公司相助的履历，因此该组织建设了一家名为Bastion Secure的“网络清静公司”来招募正当的IT专家，研究职员向Bastion Secure发送了一份求职申请并被聘用，研究职员发明其招聘历程很是典范，包括面试、签署条约和保密协议以及基本培训。可是，在执行现实使命时，很显着Bastion Secure正在寻找一些人来举行网络犯法运动。好比，他们为员工提供对企业网络的会见权限，并要求新员工网络与企业治理员帐户、备份等相关的信息。他们还为员工提供Carbanak和Lizar/Tirion这类著名的后开发工具，将其伪装成“下令治理器”，开展渗透测试运动，然而，Bastion Secure并没有提供开展这些渗透测试运动的任何执法文件，因此研究职员判断其通过渗透测试方法损害受害公司，并通过不法手段获取会见权限，实验勒索攻击运动。

【参考链接】

https://ti.nsfocus.com/security-news/IlMXP

<<上一篇

【威胁通告】GitLab?远程下令执行误差 (CVE-2021-22205)

>>下一篇

【威胁通告】AG公司科技威胁情报月报（2021年10月）