【威胁通告】AG公司科技威胁情报周报（2021.12.13-2021.12.19）

2021-12-20

一、威胁通告

微软12月清静更新多个产品高危误差通告（CVE-2021-43890、CVE-2021-43883、CVE-2021-43215）

【宣布时间】2021-12-16 14:00:00 GMT

【概述】

12月15日，AG公司科技CERT监测到微软宣布12月清静更新补丁，修复了67个清静问题，涉及Windows、Microsoft Office、Microsoft Visual Studio、Microsoft PowerShell等普遍使用的产品，其中包括权限提升、远程代码执行等高危误差类型。本月微软月度更新修复的误差中，严重水平为要害（Critical）的误差有7个，主要（Important）误差有60个，其中包括6个0day误差：Windows AppX Installer诱骗误差(CVE-2021-43890)NTFS Set Short Name权限提升误差（CVE-2021-43240）Windows Print Spooler权限提升误差（CVE-2021-41333）Windows Mobile Device Management权限提升误差（CVE-2021-43880）Windows Installer权限提升误差（CVE-2021-43883）Windows Encrypting File System (EFS) 权限提升误差（CVE-2021-43893）请相关用户尽快更新补丁举行防护，完整误差列表请参考附录。

【链接】

https://nti.nsfocus.com/threatWarning

Windows Active Directory域服务权限提升误差通告（CVE-2021-42287、CVE-2021-42278）

【宣布时间】2021-12-14 15:00:00 GMT

【概述】

12月13日，AG公司科技CERT监测发明有研究职员果真了Active Directory Domain Services权限提升误差（CVE-2021-42287、CVE-2021-42278）的 PoC。微软官方已在11月的清静更新宣布了以上误差的修复补丁，请相关用户尽快接纳步伐举行防护。

【链接】

https://nti.nsfocus.com/threatWarning

VMware 多个产品保存 Log4j2远程代码执行误差通告（CVE-2021-44228）

【宣布时间】2021-12-14 13:00:00 GMT

【概述】

克日，AG公司科技CERT监测到VMware 宣布清静通告，VMware的众多产品受Apache Log4j2远程代码执行误差（CVE-2021-44228）的影响。由于Apache Log4j2某些功效保存递归剖析功效，未经身份验证的攻击者通过发送特殊结构的数据请求包，可在受影响的 VMware 产品中执行恣意代码。误差PoC已果真，且发明在野使用，建议相关用户尽快接纳步伐举行排查与防护。

【链接】

https://nti.nsfocus.com/threatWarning

Apache Log4j2 远程代码执行误差处置惩罚手册（CVE-2021-44228）

【宣布时间】2021-12-16 14:00:00 GMT

【概述】

12月9日，AG公司科技CERT监测到网上披露Apache Log4j远程代码执行误差（CVE-2021-44228），由于Apache Log4j2某些功效保存递归剖析功效，未经身份验证的攻击者通过发送特殊结构的数据请求包，可在目的服务器上执行恣意代码。误差PoC已在网上果真，默认设置即可举行使用，该误差影响规模极广，建议相关用户尽快接纳步伐举行排查与防护。12月10日，AG公司科技CERT发明Apache Log4j 2.15.0-rc1 版本仅修复LDAP和增添了host白名单，非默认设置下可以被绕过使用；官方对此宣布了Apache Log4j 2.15.0-rc2版本（与官网的2.15.0稳固版相同）举行修复，增添了对urI异常的处置惩罚。12月12日，官方又宣布了Apache Log4j 2.15.1-rc1版本，直接禁用了JNDI功效，若是相关营业需要用到lookup功效，建议升级到此版本并手动将log4j2.formatMsgNoLookups默认设置为false。Apache Log4j2是一款开源的Java日志框架，被普遍地应用在中心件、开发框架与Web应用中，用来纪录日志信息。

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. “Karakurt”网络犯法团伙专注于数据偷窃和勒索

【概述】

研究职员详细先容了一个名为 Karakurt 的重大的出于经济念头的攻击者的运动。该整体的运动于 2021 年 6 月首次被发明，但该整体在 2021 年第三季度越发活跃。对与该攻击者相关的攻击链的剖析批注，它主要使用 VPN 凭证来获得对目的网络的初始会见权限。在最初的攻击中，该组织通过使用盛行的后开发工具 Cobalt Strike 获得了长期性。在最近的攻击中，该组织开启了 VPN IP 池或 AnyDesk 软件以建设长期性并阻止检测。一旦获得对目的网络的会见权限，该组织就会使用种种工具来提升权限，包括 Mimikatz 或 PowerShell 来窃取包括 Active Directory 数据的ntds.dit，可是，大大都攻击中的威胁组会使用先前获得的凭证提升权限。关于数据泄露，该组织使用 7zip 和 WinZip 举行压缩，以及使用 Rclone 或 FileZilla (SFTP) 将数据上传到 Mega.io 云存储。

【参考链接】

https://ti.nsfocus.com/security-news/IlN7O

2. 攻击者大规模攻击针对160万个WordPress网站

【概述】

研究职员发明，针对凌驾160 万个WordPress 站点的大规模攻击浪潮已经确定，他们报告了36 小时内凌驾 1370万次攻击，重点是使用四个差别的WordPress插件和几个Epsilon框架主题。研究职员体现，攻击者的目的是四个单独的插件，其中包括未经身份验证的恣意选项更新误差。

【参考链接】

https://ti.nsfocus.com/security-news/IlN7S

3. 攻击者对使用二维码的德国银行客户提倡网络垂纶攻击

【概述】

最近发明的一项运动中使用的信息使用二维码来诱骗两家Geman 金融机构Sparkasse和Volksbanken Raiffeisenbanken的用户，并窃取数字银行信息。并体现网络垂纶邮件经由全心制作，内容结构合理，并带有银行标记。威胁行为者使用差别的社会工程技巧来诱骗吸收者，例如要求他们赞成银行实验的数据政策更改或要求他们审查新的清静程序。然而，在最近的攻击中，骗子使用二维码而不是要求收件人扫描它们的按，。使用二维码使电子邮件过滤器难以将邮件标记为恶意邮件。

【参考链接】

https://ti.nsfocus.com/security-news/IlN7P

4. “Seedworm”攻击者攻击亚洲和中东的电信公司

【概述】

研究职员体现，最新运动中的一次典范攻击始于攻击者破损目的网络，然后试图窃取凭证以横向移动，以便可以将 webshell安排到Exchange服务器上。研究职员体现，最新运动中的一次典范攻击始于攻击者破损目的网络，然后试图窃取凭证以横向移动，以便可以将 webshell安排到Exchange 服务器上。研究职员剖析了8月最先的针对中东一家电信公司的特定攻击。研究职员说，在这种情形下，第一个妥协的证据是建设了一项服务来启动一个未知的 Windows 剧本文件 (WSF)。攻击者随后使用剧本发出种种域、用户发明和远程服务发明下令，并最终使用 PowerShell 下载和执行文件和剧本。研究职员还体现，攻击者还安排了一种远程会见工具，似乎可以盘问其他组织的 Exchange 服务器。

【参考链接】

https://ti.nsfocus.com/security-news/IlN8k

5. 攻击者使用TinyNuke 银行恶意软件针对法国组织提倡攻击

【概述】

研究职员发明了一项专门针对在法国开展营业的法国实体和组织的运动，其中包括银行恶意软件TinyNuke。攻击者使用以发票为主题的诱饵针对制造、工业、手艺、金融和其他笔直领域的实体。

【参考链接】

https://ti.nsfocus.com/security-news/IlN8f

6. 攻击者使用Log4j误差组建botnet针对Linux装备提倡攻击

【概述】

研究职员使用Anglerfish和Apacket蜜罐先后捕获到2波使用Log4j误差组建botnet的攻击，快速的样天职析批注它们划分用于组建Muhstik和Mirai botnet，针对的都是Linux装备。并体现新Muhstik变种增添了一个后门�？閘dm，它具有增添SSH后门公钥的能力。

【参考链接】

https://ti.nsfocus.com/security-news/IlN7Q

7. 攻击者使用Aclip后门攻击航空公司

【概述】

研究职员视察到对一家亚洲航空公司的攻击，他们评估该攻击很可能被国家资助的敌手使用使用Slack的新后门入侵。攻击者使用Slack上的免费事情空间，这是一种正当的新闻转达和协作应用程序，可能会混淆操作通讯，从而使恶意流量或具有潜在恶意意图的流量被忽视。

【参考链接】

https://ti.nsfocus.com/security-news/IlN8y

8. 攻击者使用Anubis特洛伊木马攻击银行客户

【概述】

研究职员体现新运动伪装成Orange Telecom帐户治理应用程序，以提供Anubis银行恶意软件的最新版本。大通银行、富国银行、美国银行和第一资源的客户以及近400家其他金融机构正成为伪装成法国电信公司Orange SA官方账户治理平台的恶意应用程序的目的。一旦下载，恶意软件（一种银行木马Anubis的变种）就会窃取用户的小我私家数据以将其偷取。

【参考链接】

https://ti.nsfocus.com/security-news/IlN8x

9. 攻击者使用Agent Tesla新变种对韩国提倡网络垂纶攻击

【概述】

研究职员近期发明了针对韩国提倡攻击的网络垂纶攻击，邮件使用韩文誊写并要求收件人翻开附件中的 PowerPoint 文件以审查采购订单，该恶意PowerPoint 文件会撒播 Agent Tesla 的新变种。Agent Tesla 是一个 .Net 编写的恶意软件，主要用于从失陷主机上窃取敏感信息，如剪贴板数据、键盘按键纪录、软件凭证（浏览器、邮件、VPN、FTP、即时通讯软件等）、屏幕截图等。

【参考链接】

https://ti.nsfocus.com/security-news/IlN8V

10. 黑客使用恶意IIS服务器�？榍匀icrosoft Exchange凭证

【概述】

研究职员发明攻击者正在Microsoft Exchange Outlook Web Access 服务器上安排一个以前未被发明的二进制文件，一个名为“ Owowa ”的 Internet 信息服务 ( IIS ) 网络服务器�？�，目的是窃取凭证并启用远程下令执行。

【参考链接】

https://ti.nsfocus.com/security-news/IlN8H

<<上一篇

【威胁通告】微软12月清静更新多个产品高危误差通告

>>下一篇

【威胁通告】AG公司科技威胁情报周报（2021.12.20-2021.12.26）