【威胁通告】AG公司科技威胁情报周报（2022.01.03-2022.01.09）

2022-01-10

一、威胁通告

飞致云MeterSphere开源测试平台远程代码执行误差

【宣布时间】2022-01-06 17:00:00 GMT

【概述】

1月6日，AG公司科技CERT监测发明FIT2CLOUD飞致云宣布通告，修复了MeterSphere一站式开源一连测试平台保存的远程代码执行误差。由于自界说插件功效处保存缺陷，未经身份验证的攻击者可使用该误差在目的系统上远程执行恣意代码。请相关用户尽快接纳步伐举行防护。 MeterSphere是由杭州飞致云信息科技有限公司开发的一站式开源一连测试平台, 涵盖测试跟踪、接口测试、性能测试、团队协作等功效。兼容 JMeter、Postman、Swagger 等开源、主流标准，助力开发和测试团队使用云弹性举行高度可扩展的自动化测试。

二、热门资讯

1. 攻击者滥用MSBuild绕过检测和植入恶意软件

【概述】

研究职员一周内第二次发明滥用MSBuild的恶意软件运动。攻击运动受限使用有用的账户来举行RDP会见，然后通过远程Windows服务（SCM）来在网络中撒播，最后滥用MSbuild task特征来推送Cobalt Strike beacon到其他主机。

【参考链接】

https://ti.nsfocus.com/security-news/IlNbj

2. 攻击者使用勒索软件攻击Impresa葡萄牙

【概述】

葡萄牙媒体公司 Impresa 因成为勒索软件攻击的受害者而登上新闻头条。新闻人士称，该出书公司遭到了一个名为Lapsus$的勒索软件组织的攻击。该黑客组织以出书公司的服务器为目的，对 Impresa 网站、Expresso和SIC网站爆发了焦点影响。并体现Lapsus$ 要求受影响的金额为500万美元，若是未支付，可能会导致严重效果，例如将被盗数据出售给黑客或将信息泄露给公司的相助同伴和客户。

【参考链接】

https://ti.nsfocus.com/security-news/IlNbg

3. 攻击者使用虚伪 Telegram 应用装置程序撒播Purple Fox 后门

【概述】

攻击者正在使用 Telegram 新闻应用程序的受熏染装置程序撒播 Purple Fox 后门。研究职员指出，与使用正当软件撒播恶意软件的类似运动差别，该运动的检测率很是低。经剖析，装置程序是一个名为“Telegram Desktop.exe”的编译后的 AutoIt（一种类似 BASIC 的免费软件剧本语言，用于自动执行 Windows GUI 和通用剧本）剧本。执行剧本后，它会在 C:\\Users\\Username\\AppData\\Local\\Temp\\ 下建设一个名为“TextInputh”的新文件夹，并删除正当的 Telegram 装置程序和恶意下载程序 (TextInputh.exe)。执行时TextInputh.exe会在C:\\Users\\Public\\Videos\\目录下建设一个名为“1640618495”的文件夹，然后从C2下载以下文件到新建的文件夹中

【参考链接】

https://ti.nsfocus.com/security-news/IlNbD

4. 连锁旅馆McMenamins 在勒索软件攻击后大宗数据被泄露

【概述】

旅馆连锁店 McMenamins 在最近的勒索软件攻击后披露了数据泄露。据该公司称，攻击者窃取了在 2010 年 7 月 1 日至 2021 年 12 月 12 日时代受雇的小我私家数据。被盗员工的数据可能包括姓名、地点、电话号码、电子邮件地点、出生日期、种族、民族、性别、残疾状态、医疗纪录、绩效和纪律纪录、社会清静号码、康健包管妄想选择、收入金额和退休供款金额。

【参考链接】

https://ti.nsfocus.com/security-news/IlNbv

5. 美国在线市肆 PulseTV 大宗客户信用卡数据被泄露

【概述】

美国在线市肆 PulseTV仍在视察支付卡网络和执法部分的清静误差，并正在通知州羁系机构和受影响的客户。PulseTV 以为，只有在 2019 年 11 月 1 日至 2021 年 8 月 31 日时代使用信用卡在网站上购置产品的客户才会受到影响�？赡芤研孤兜男畔ǎ喝⑹占氐恪⒌缱佑始氐恪⒅Ц犊ê拧⒅Ц犊ㄓ杏闷凇⒅Ц犊ㄇ寰猜� (CVV)

【参考链接】

https://ti.nsfocus.com/security-news/IlNbw

6. Broward Health 公共卫生系统大宗用户数据遭泄露

【概述】

Broward Health 公共卫生系统披露了一起影响凌驾 130 万人的大规模数据泄露事务。凭证视察，攻击者破损了允许会见系统以提供服务的第三方医疗提供商。从而攻击者获得了患者信息的会见权限，这些信息可能包括姓名、出生日期、地点、电话号码、财务或银行账户信息、社会清静号码、包管信息和帐号、包括病史、病情、治疗和诊断在内的医疗信息，病历号码、驾照号码和电子邮件地点。

【参考链接】

https://ti.nsfocus.com/security-news/IlNbE

7. 攻击者使用新型恶意软件Rootkit对惠普 iLO 固件提倡攻击

【概述】

克日研究职员首次发明 rootkit 病毒（也称为 iLOBleed）正针对惠普企业服务器睁开攻击，能够从远程熏染设施并擦除数据。并体现针对 iLO 的恶意软件很是难以防控，由于它以高权限运行(高于操作系统中的任何会见级别)，可以做到不被治理员和检测软件察觉。通过改动此�？�，允许恶意软件在重新装置操作系统后继续保存。

【参考链接】

https://ti.nsfocus.com/security-news/IlNbK

8. 攻击者使用APT33新型恶意远控软件LittleLooter提倡攻击

【概述】

近期，研究职员监测到一款名为“WhatsApp.apk”的虚伪社交软件，着实是一款恶意窃密软件，疑惑用户下载，远程控制用户手机,并窃取用户的隐私数据。研究职员剖析发明是APT33组织的新型远控软件，凭证其恶意行为将其命名为“LittleLooter”。并体现“WhatsApp”是全球着名的通讯社交软件，但此应用主要是外洋的用户群体，并未在海内应用市场上架，用户在乐成装置虚伪的“WhatsApp”后，也无法翻开，恶意软件会删除自身的界面的图标，并且提醒“未装置该应用”，但此恶意软件并没有删除，在后台依然保存。

【参考链接】

https://ti.nsfocus.com/security-news/IlNbM

9. 黑客在凭证填充攻击中窃取了17家公司的客户帐户

【概述】

纽约州总审查长办公室已向17家大型组织发出警报，称其凌驾 100 万客户的帐户在凭证填充攻击中遭到黑客攻击。凭证填充是一种网络攻击形式，黑客正在接受大宗用户名和密码数据库，其中许大都据库在最近的数据泄露中被盗，并使用自动化要领将帐户登录“塞入”其他在线服务。攻击者的主要目的是获取尽可能多的帐户的会见权限，以网络与这些帐户相关联的小我私家和财务信息，然后这些信息可能会在黑客论坛或暗网市场上出售。
别的，被盗的私人数据可能会被攻击者用来举行身份偷窃或举行不法购置。

【参考链接】

https://ti.nsfocus.com/security-news/IlNbX

10. 攻击者使用谷歌文档谈论功效中的误差举行攻击

【概述】

研究职员发明，攻击者正在使用 Google Docs 的“谈论”功效在主要针对 Outlook 用户的网络垂纶运动中发送恶意链接。据报道，到现在为止，攻击者已经使用谷歌基于云的文字处置惩罚应用程序的功效，攻击了来自 100 多个差别 Gmail 帐户的 30 个租户的 500 多个收件箱。攻击者通过向包括“@”的文档添加谈论来定位 Google Docs 用户，该文档会自动向该人的收件箱发送一封电子邮件。并体现，那封来自谷歌的电子邮件包括文本和恶意链接。

【参考链接】

https://ti.nsfocus.com/security-news/IlNc7

<<上一篇

【威胁通告】AG公司科技威胁情报周报（2021.12.27-2022.01.02）

>>下一篇

【威胁通告】AG公司科技威胁情报周报（2022.01.10-2022.01.16）