六方云知识库

安全态势周刊-六方云(AI基因·威胁免疫)——第119期

2020年09月07日 10:20

一、业界动态

工信部通报101款APP侵犯用户权益,轻松筹等平台上榜

工业和信息化部官网发布关于侵害用户权益行为的APP通报。蛋壳公寓、轻松筹、宝宝树孕育、ZAKER新闻、网易公开课、驾考宝典、美丽说、蚂蚁短租、快剪辑、360清理大师、得物、搜狐视频、映客直播等101款APP存在侵害用户权益行为。这些应用软件主要涉及问题是违规收集个人信息,另外还涉及APP强制、频繁、过度索取权限,强制用户使用定向推送功能,超范围收集个人信息等问题。

http://tech.cnr.cn/techgd/20200831/t20200831_525234083.shtml

英国政府管理的450多个域名被放入DNS的黑名单中

GitHub用户tg12发现,英国政府管理的450多个GOV.UK域名被放入了DNS的黑名单中,这可造成电子邮件通信问题。多个政府机构、理事会和公益机构都依赖GOV.UK域名为英国居民提供在线服务。通常情况下,收件人的邮件提供商可能会查找域名系统的黑名单列表(DNSBL),并将符合列表的邮件移动到垃圾邮件文件夹中。因此,这种情况不仅会影响组织的声誉,而且还会导致合法的电子邮件传递出现问题。

https://www.bleepingcomputer.com/news/security/over-400-govuk-domains-found-on-spam-blacklists/

新的恶意软件KryptoCibule可窃取加密货币,针对Windows

ESET的研究人员发现,新的恶意软件KryptoCibule可窃取加密货币,针对Windows。该恶意软件主要通过盗版软件和游戏种子进行分发,瞄准了捷克共和国和斯洛伐克的受害者。KryptoCibule具有三重威胁,它可以在受感染的机器上挖掘Monero和以太坊货币,也可以通过替换剪贴板中的钱包地址来劫持交易,并且可以窃取与加密货币相关的文件。根据ESET的说法,最新版本的KryptoCibule结合使用了XMRig和kawpowminer,通过Tor代理连接到操作员控制的挖掘服务器。

https://threatpost.com/triple-threat-cryptocurrency-rat-mines-steals-harvests/158906/

APWG发布2020年第二季度钓鱼活动趋势报告

反网络钓鱼工作组(APWG)于本周一发布2020年第二季度钓鱼活动趋势报告。据报告,2020年Q2黑客组织在每次BEC攻击中平均获利8万美元,远高于Q1的5.4万美元。此外,APWG还发现了一个新的俄罗斯BEC组织Cosmic Lynx,该组织自2019年7月以来一直活跃,其针对六大洲的46个实体开展了200多次攻击活动,每次攻击的平均获利为127万美元。

https://www.zdnet.com/article/average-bec-attempts-are-now-80k-but-one-group-is-aiming-for-1-27m-per-attack/

 

二、关键基础设施

CenturyLink路由问题导致Steam和Discord等服务中断

CenturyLink BGP路由问题已引发了整个互联网的连锁反应,从而导致Cloudflare、Amazon、Garmin、Steam、Discord和Blizzard等众多网络服务中断。此次中断大约在美国东部标准时间上午6点开始,大量用户报告其在美国的服务发生中断。CenturyLink表示,是其Level3 CA3数据中心的问题导致此故障,并正在调查此问题,目前服务也正在缓慢恢复中。

https://www.bleepingcomputer.com/news/technology/centurylink-routing-issue-led-to-outages-on-hulu-steam-discord-more/

 

三、安全事件

黑客利用QNAP NAS中三年前的RCE漏洞创建后门

黑客正在扫描运行QNAP固件版本的网络附加存储(NAS)设备,试图利用QNAP在先前版本中修复的远程代码执行(RCE)漏洞创建后门。该漏洞允许未经身份验证的远程攻击者使用authLogout.cgi可执行文件来进行身份验证,因为该漏洞不能过滤特殊字符并调用系统函数来运行命令字符串,因此它可以允许远程注入代码执行。目前尚未确定攻击者的最终目标,但他们会在受感染的设备上部署两个有效负载,其中之一是TCP/1234端口上的反向shell。

https://www.bleepingcomputer.com/news/security/hackers-are-backdooring-qnap-nas-devices-with-3-year-old-rce-bug/

Sendgrid用户账户遭到入侵并被用于分发恶意软件

电子邮件服务提供商Sendgrid大量客户的帐户遭到入侵,这些帐户的密码被破解并出售给恶意攻击者,以用于分发恶意软件或网络钓鱼攻击。更糟糕的是,通过Sendgrid帐户发送的电子邮件中包含的恶意链接都是模糊的,因此收件人并不清楚当他们点击链接时是谁窃取了其信息。Sendgrid表示,其正在努力增强安全防护,除了要求用户使用用户名和密码外,还使用多种形式的2FA。

https://krebsonsecurity.com/2020/08/sendgrid-under-siege-from-hacked-accounts/

劳埃德银行客户受到钓鱼邮件和SMS钓鱼短信攻击

律师事务所格里芬·劳(GriffinLaw)进行的一项调查显示,劳埃德银行(LloydsBank)客户正受到复杂的电子邮件和SMS短信网络钓鱼活动的攻击。在电子邮件骗局中,分发了使用劳埃德标志和品牌的逼真电子邮件,然后,用户被重定向到一个名为Lloyds[Dot]bank[Dot]unusual-login[Dot]com的欺诈站点,然后该网站会要求用户提供登录信息,包括密码、账户信息、安全码和其他个人数据。在该骗局的SMS版本中,用户会收到一条文本,试图诱使他们访问同一欺诈性网站。

https://ask.wandouxueyuan.com/intelligence/5395

西昌市百名学生中考志愿遭篡改

据公安部网安局公众号消息,日前,四川西昌警方破获一起恶意篡改中考志愿的案件。吉洛某某升学无望,某日,他看见班主任在微信群里发布《2020年度初三毕业生名单》,就使用自己的手机登录凉山州中考志愿填报系统,通过猜密码的方式,对照名单逐一尝试登陆。篡改了上百名同学的中考志愿。目前,嫌疑人吉洛某某已被刑拘。

https://www.secrss.com/articles/25258

挪威议会内部邮件系统被黑,大量机密信息泄露

挪威议会会长 Marianne Andreassen 表示黑客攻破了当选代表和员工等的邮件账户,并窃取多种信息。Andreassen 指出目前正在调查此事,因此无法判断攻击的幕后黑手或者被黑账户的数量。挪威情报机构在推特账户上表示目前正在调查此事。

https://www.secrss.com/articles/25224

 

四、漏洞事件

英特尔发布微代码安全更新,主要适用于Win10系列

Microsoft发布了Intel微代码更新,以修复Intel CPU中的硬件漏洞。此次更新发布了八个可选更新,主要针对Windows 10 2004、1909、1903、1809、1803、1709、1703和1607等版本,修复了Amber Lake、Avoton、Broadwell和Cascade Lake等56款CPU中漏洞。此外,英特尔微码更新并不能通过Windows Update安装,必须手动安装。

https://www.bleepingcomputer.com/news/microsoft/new-intel-microcode-updates-for-windows-10-fix-cpu-hardware-bugs/

Cisco Jabber存在远程执行代码漏洞,现已被修复

Watchcom的Olav Sortland Thoresen发现Windows版Cisco Jabber中存在严重的代码执行漏洞,现已被修复。该漏洞被跟踪为CVE-2020-3495, CVSS为9.9分,是由于传入消息内容的输入验证不正确引起的。经过身份验证的远程攻击者可以使用恶意的可扩展消息和状态协议(XMPP)消息利用该漏洞,成功利用后攻击者可在目标系统上执行任意程序。思科产品安全事件响应小组(PSIRT)表示,该漏洞目前尚未被广泛利用。

https://www.bleepingcomputer.com/news/security/cisco-fixes-critical-code-execution-bug-in-jabber-for-windows/

90亿信用卡曝出协议漏洞:黑客无需密码即可盗刷

最近,研究人员发现了EMV协议中的漏洞,该漏洞使攻击者可以实施中间人攻击进行欺诈性交易。

https://arxiv.org/pdf/2006.08249.pdf

 


more

手机扫码打开

logo