六方云知识库

安全态势周刊-六方云(AI基因·威胁免疫)——第80期

2019年12月02日 10:09

一、业界动态

1.2019 年 Q3 逾 12000 名谷歌用户受政府黑客攻击

据谷歌威胁分析小组(TAG)报道显示:超过90%的目标用户受到“钓鱼邮件”的攻击。这些数据源于 TAG 追踪黑客组织而得出的结论,这些黑客组织通过向立场不同的政客、记者、人权学家发送邮件,来进行情报收集、知识产权窃取、破坏性网络攻击以及传播虚假信息等一系列行为。

https://thehackernews.com/2019/11/google-government-hacking.html

2.微软警告新恶意软件Dexphot已感染8万多台计算机

微软警告新恶意软件Dexphot已感染了8万多台计算机。Dexphot是一个挖矿软件,自2018年10月以来一直在感染Windows计算机。该恶意软件在今年6月中旬达到活动高峰,并从那时起缓慢下降。微软表示下降的原因是已部署了提高检测率并阻止攻击的措施。根据微软研究人员的说法,Dexphot是一种第二阶段有效荷载,它被释放在以前被ICLoader感染的计算机上。ICLoader通常捆绑在破解软件或盗版软件中传播。

https://www.zdnet.com/article/microsoft-says-new-dexphot-malware-infected-more-than-80000-computers/

3.欧洲网络安全局发布有关智能汽车的安全报告

欧洲网络安全局(ENISA)发布有关智能汽车的安全报告。该报告是对2017年的研究报告《智能汽车网络安全性和弹性-实践与建议》的更深入分析,旨在通过识别新出现的威胁和发布缓解指南来促进联网和(半)自动驾驶汽车的网络安全。该报告称部署智能运输系统和自动驾驶汽车所需的V2V及V2I接口扩大了潜在的攻击面和攻击媒介。该报告预测随着智能汽车越来越受到高级机器学习和人工智能的影响,网络威胁带来的风险数量将会增加。针对智能汽车的攻击可能会导致车辆停滞、道路交通事故、财务损失、敏感/个人数据泄露甚至危害道路使用者的安全。

https://www.infosecurity-magazine.com/news/enisa-publishes-report-on-smart/

4.三分之一的漏洞利用工具包迁移到无文件攻击

在最近发布的一份报告中,Malwarebytes研究人员表示漏洞利用工具包正在改变其策略。当前活动的9个EK中至少有3个正在使用无文件攻击,这是EK首次广泛采用该技术。利用此技术的EK包括Magnitude、Underminer和Purple Fox,虽然与Spelevo、Fallout和RIG等广泛使用的EK相比这些都是小型EK,但三分之一的主要EK正在使用无文件技术这一事实表明了未来几个月和几年EK市场的发展方向。该公司还表示越来越多的EK不再利用Flash Player漏洞。

https://www.zdnet.com/article/exploit-kits-are-slowly-migrating-toward-fileless-attacks/

5.流行商用远控木马厂家Imminent关闭,写马卖马买马一条龙被端

欧洲刑警组织今天宣布关闭Imminent Monitor RAT背后的网络犯罪组织构建的攻击网络,Imminent Monitor RAT,一个商业远控,可让网络犯罪分子远程完全控制受害者的计算机。

https://mp.weixin.qq.com/s/4v5mkpcgp8CRvKE70ytKQg

6.盘点近几年勒索病毒使用过的工具和漏洞

通过盘点,可以看到,大量的工具、漏洞、社工与爆破被应用在勒索病毒攻击活动中。实际上,勒索病毒是一个高度经济化的产物。

https://www.freebuf.com/articles/system/219837.html

 

二、工业安全

1.工控系统再迎大波澜,伊朗APT组织将其作为重点攻击目标

前段时间,在弗吉尼亚州阿灵顿举行的CyberwarCon会议上,有安全研究专家指出,伊朗黑客组织APT33活动及攻击目标发生变化,将攻击重点从IT网络转移到包括电力、制造和炼油厂等在内的工业控制系统。虽然还没有直接证据,但综合考虑到APT33的历史以及美伊之间持续发生的网络战争,APT33攻击目标向关键基础设施转移不得不引起我们持续性关注。

https://mp.weixin.qq.com/s/glIjbA1xZMWODLPw9lDhAA

 

三、安全事件

1.勒索软件渗透纽约警察局的指纹数据库 导致系统关闭

据外媒Softpedia报道,在一个承包商连接到网络以配置数字显示器后,勒索软件感染了运行纽约警察局(NYPD)指纹数据库的计算机。该事件发生在2018年10月,导致NYPD在总共23台计算机上发现感染后,关闭了LiveScan指纹跟踪系统。但是,该部门官员声称该感染“从未执行”,这意味着勒索软件没有造成任何损害,但是NYPD出于谨慎考虑而决定使该系统关闭。

https://www.cnbeta.com/articles/tech/915159.htm

2.西班牙安全厂商Prosegur遭到勒索软件Ryuk攻击

西班牙安全厂商Prosegur在一份声明中宣布遭勒索软件攻击,整个公司的网络都已关闭。尽管没有得到官方确认,但BleepingComputer了解到该攻击影响了Prosegur在欧洲的所有地点。在Twitter上的更新中,Prosegur确认导致其服务中断的恶意软件是Ryuk,并将事件标记为“一般性攻击”。该公司表示已采取最大程度的安全措施阻止该恶意软件在其内部及客户端网络中传播。作为预防措施,该公司将继续限制通信,直到确认其系统已干净,并正在努力以最快的速度恢复受影响的服务。

https://www.bleepingcomputer.com/news/security/ryuk-ransomware-forces-prosegur-security-firm-to-shut-down-network/

3.TrickBot新变种可窃取OpenSSH和OpenVPN密钥

Palo Alto Networks的Unit 42研究团队发现TrickBot的新变种更新了密码窃取模块,可用于窃取OpenSSH私钥以及OpenVPN密码和配置文件。该模块并不是新增加的,早在2018年11月研究人员就发现了可从多个浏览器和应用程序中窃取密码的模块。该模块在2月份进行了升级,可以窃取VNC、PuTTY及RDP服务中的身份验证凭据。现在11月份研究人员发现该模块正在通过HTTP POST请求将OpenSSH私钥以及OpenVPN密码和配置文件发送到C2服务器。这表明自2016年10月被发现以来,TrickBot一直在更新其功能和模块。

https://www.bleepingcomputer.com/news/security/trickbot-trojan-getting-ready-to-steal-openssh-and-openvpn-keys/

4.中国安全厂商在哈萨克斯坦发现了大量黑客行动

近日,中国网络安全厂商奇虎360发布了一份报告,揭露了一个针对哈萨克斯坦国家的大规模黑客攻击行动。奇虎360表示,该黑客小组名为Golden Falcon(或APT-C-34),是一个新成立的组织,但据卡巴斯基调查发现,Golden Falcon实际上是黑客组织DustSquad的别名,该组织自2017年以来就一直活跃。

https://mp.weixin.qq.com/s/6z7vuNdUx5rr6Hm_NlcGDw

 

四、漏洞事件

1.Apache Solr RCE 漏洞的 PoC 利用代码在线曝光

Apache Solr 是一个用Java编写的高度可靠,可扩展且容错的开源搜索引擎,可提供分布式索引,复制和负载平衡查询,自动故障转移和恢复,集中式配置等。安全公告称,此问题最初被命名为“solr.in.sh 含有未注释行”,并告诉用户检查其  solr.in.sh 文件。后来由于远程执行代码的风险,他们升级了此漏洞并取得了CVE编号。

https://securityaffairs.co/wordpress/94378/hacking/apache-solr-rce-exploit.html

2.卡巴斯基修复Web Protection功能中的多个漏洞

卡巴斯基修复了一些漏洞,这些漏洞影响了其杀毒软件、Internet安全、安全云等产品中的Web Protection功能。根据研究人员Wladimir Palant的描述,卡巴斯基Web Protection功能需要与主应用程序进行通信,并且使用一个Web域不知道的密钥来确保安全通信。然而由于存在漏洞,网站可以很容易地获取此密钥,并像Web Protection一样与Kaspersky应用程序建立连接和发送命令。如果没有安装卡巴斯基的浏览器插件,卡巴斯基将直接将其脚本注入到网页中。该漏洞(CVE-2019-15685)可用于静默禁用广告拦截和跟踪保护功能。在7月份卡巴斯基修复此漏洞后,研究人员发现又引入了新的问题,包括可导致杀毒软件崩溃的漏洞(CVE-2019-15686)以及信息泄露的漏洞(CVE-2019-15687)。卡巴斯基在11月28日发布了新的修复补丁。

https://www.securityweek.com/kaspersky-patches-several-vulnerabilities-web-protection-features

3.vBulletin预认证远程代码执行漏洞分析

近期,vBulletin披露了一个最新的0 day漏洞细节,这个漏洞分配的CVE编号为CVE-2019-16759。与此同时,Unit 42的安全研究人员也在网上发现了有很多攻击者正在利用该漏洞来实施攻击。在该漏洞的帮助下,未经身份验证的攻击者将能够访问和控制运行了v5.0.0至v5.5.4版本vBulletin的服务器,并且阻止网络管理员访问这些服务器。目前,使用了vBulletin的网站数量大约有10万多个,其中包括很多大型企业、组织和论坛,因此该漏洞应当立刻被修复。

https://www.freebuf.com/vuls/218880.html

 


more

手机扫码打开

logo