【威胁通告】AG公司科技威胁情报周报（2022.01.10-2022.01.16）

2022-01-17

一、威胁通告

HTTP协议栈远程代码执行误差通告（CVE-2022-21907）

【宣布时间】2022-01-14 15:00:00 GMT

【概述】

1月12日，AG公司科技CERT监测到微软宣布月度清静更新，其中修复了一个HTTP协议栈远程代码执行误差（CVE-2022-21907）。由于HTTP协议栈（HTTP.sys）中的HTTP Trailer Support功效保存界线过失可导致缓冲区溢出。未经身份验证的攻击者通过向Web服务器发送特制的HTTP数据包，从而在目的系统上执行恣意代码。该误差被微软提醒为“可蠕虫化”，无需用户交互便可通过网络举行自我撒播，CVSS评分为9.8。现在已发明可造成目的主机蓝屏瓦解的误差使用泛起，请相关用户尽快接纳步伐举行防护。

【链接】

https://nti.nsfocus.com/threatWarning

Apache Dubbo远程代码执行误差通告（CVE-2021-43297）

【宣布时间】2022-01-13 11:00:00 GMT

【概述】

1月12日，AG公司科技CERT监测发明Apache宣布清静通告，修复了Dubbo一个远程代码执行误差（CVE-2021-43297）。由于在Dubbo的hessian-lite中保存反序列化误差，未经身份验证的攻击者可使用该误差在目的系统上远程执行恣意代码。大大都 Dubbo 用户默认使用 Hessian2作为序列化/反序列化协议，在Hessian 捕获到异常时，Hessian将会注销一些用户信息，这可能会导致远程下令执行。请相关用户尽快接纳步伐举行防护。 Apache Dubbo 是一款微服务开发框架，它提供了RPC通讯与微服务治理两大概害能力。使应用可通过高性能的 RPC 实现服务的输出和输入功效，可以和 Spring 框架无缝集成。

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. Squirrelwaffle使用ProxyShell和ProxyLogon提倡电子邮件攻击

【概述】

研究职员视察了最近爆发在中东的几起与 Squirrelwaffle 相关的攻击事务发明所有攻击都源自内部安排的 Microsoft Exchange 服务器，这些服务器似乎容易受到 ProxyLogon 和 ProxyShell 的攻击。经剖析后体现三个Exchange服务器上的IIS日志中都发明了误差CVE-2021-26855、CVE-2021-34473和CVE-2021-34523被使用的痕迹，ProxyLogon(CVE-2021-26855)和 ProxyShell(CVE-2021-34473和 CVE-2021-34523) 攻击中使用了相同的CVE。

【参考链接】

https://ti.nsfocus.com/security-news/IlNca

2. FIN7集团对使用BadUSB装备的美国公司提倡攻击

【概述】

联邦视察局 (FBI) 忠言美国公司，FIN7 网络犯法集团正在使用BadUSB装备瞄准美国国防工业。并体现该团伙正在使用带有LilyGO标记的武器化USB 装备，这些装备通过美国邮政服务和团结包裹服务公司发送给受害者。目的用户将USB拇指驱动器插入盘算机后，会触发BadUSB攻击，并且装备充当键盘（HID Emulator USB）向系统发送下令。

【参考链接】

https://ti.nsfocus.com/security-news/IlNcb

3. 新的Zloader运动使用微软的署名验证对用户提倡攻击

【概述】

研究职员发明Zloader新运动的证据于 2021 年 11 月上旬左右首次泛起，熏染链中包括的手艺包括使用正当远程治理软件 (RMM) 以获得对目的盘算机的初始会见权限。然后，恶意软件使用微软的数字署名验证要领将其有用载荷注入署名系统 DLL 中，以进一步逃避系统的防御。这一证据批注，Zloader 运动的开发者在防御规避方面举行了许多迭代，并且仍在每周更新他们的要领。

【参考链接】

https://ti.nsfocus.com/security-news/IlNcw

4. 与印度有关的攻击者Patchwork使用Ragnatela提倡垂纶攻击

【概述】

在最近的一次运动中，一名与印度有关的攻击者被追踪为 Patchwork（又名 Dropping Elephant），他使用了 BADNEWS 后门的新变体，称为 Ragnatela（意大利语中的“蜘蛛网”），Patchwork 小组使用武器化的 RTF 文件举行了鱼叉式网络垂纶运动，以删除 BADNEWS (Ragnatela) 远程治理木马 (RAT) 的变种。恶意 RTF 文件冒充巴基斯坦政府并使用 Microsoft 公式编辑器中的误差来转达和执行最终有用负载 (RAT)。

【参考链接】

https://ti.nsfocus.com/security-news/IlNcu

5. 在线预订服务平台FlexBooker大宗用户数据遭泄露

【概述】

凭证新闻称，在线预订服务平台 FlexBooker披露数据泄露事务，超370万账户遭到黑客入侵，被盗数据信息在暗网被出售。而攻击爆发在圣诞节前夕，该事务由一个自称为 Uawrongteam 的组织提倡，他们宣布了包括身份证、驾照、照片的档案和文件链接。威胁者声称被盗的数据库包括客户信息，包括姓名、电子邮件、电话号码、散列密码和密码盐。

【参考链接】

https://ti.nsfocus.com/security-news/IlNcx

6. 攻击者使用新型勒索软件Night Sky针对企业提倡攻击

【概述】

克日，清静研究职员宣布忠言称，一个名为“Night Sky”的新型勒索软件正再活跃，它以企业网络为目的，并在双重勒索攻击中窃取数据。并且在攻击之后，勒索软件会在每个文件夹中安排一个名为NightSkyReadMe.hta的勒索条子，该文件中的信息包括联系电子邮件，受害者协商页面的硬编码凭证，登录Rocket.Chat以便举行联系的凭证。

【参考链接】

https://ti.nsfocus.com/security-news/IlNcy

7. 攻击者使用SysJoker 后门恶意软件对Windows、Linux 和macOS提倡攻击

【概述】

研究职员忠言说，一种可能通过恶意 npm 包分发的全新多平台恶意软件正在低调撒播，Linux 和 Mac 版本在 VirusTotal 中完全未被检测到。该后门被称为 SysJoker，用于在目的机械上建设初始会见权限。装置后，它可以执行后续代码以及其他下令，恶意行为者可以通过这些下令举行后续攻击或转向进一步进入公司网络。

【参考链接】

https://ti.nsfocus.com/security-news/IlNcG

8. 攻击者通过微软Azure、AWS云服务撒播远程会见木马

【概述】

研究职员发明，最近一项使用公共云基础设施的运动正在安排的不是一个，而是三个商业远程会见木马 (RAT)。Nanocore、Netwire 和 AsyncRAT 有用负载正在从公共云系统安排，这种滥用行为使攻击者能够使用包括 Microsoft Azure 和 Amazon Web Services (AWS) 在内的供应商治理的云服务资源来抵达恶意目的。

【参考链接】

https://ti.nsfocus.com/security-news/IlNcT

9. 攻击者使用RedLine信息窃取器的新变种提倡攻击

【概述】

研究职员发明，RedLine 信息窃取器的新变种正通过电子邮件举行撒播，以COVID-19 Omicron 病例计数器应用程序作为诱饵。RedLine 的目的是存储在浏览器上的用户账户凭证、VPN密码、信用卡详细信息、cookies、IM内容、FTP凭证、加密钱币钱包数据和系统信息。

【参考链接】

https://ti.nsfocus.com/security-news/IlNcW

10. Ciox Health的大宗患者数据遭泄露

【概述】

凭证最近的 Ciox Health 通知，未经授权的人在 2021 年 6 月 24 日至 7 月 2 日时代会见了 Ciox 员工的电子邮件帐户。据该公司称，攻击者可能已使用该会见权限下载与受熏染帐户相关的电子邮件和附件。账户信息与账单盘问和客户服务请求相关，它可能包括患者姓名、提供者姓名、出生日期、服务日期、康健包管信息、临床信息或社会包管或驾驶执照号码。

【参考链接】

https://ti.nsfocus.com/security-news/IlNdb

<<上一篇

【威胁通告】AG公司科技威胁情报周报（2022.01.03-2022.01.09）

>>下一篇

【威胁通告】AG公司科技威胁情报周报（2022.01.17-2022.01.23）