一、业界动态
美国和保加利亚联合捣毁NetWalker,至少盈利2760万美元
在欧洲刑警组织破获Emotet僵尸网络的同一天,美国和保加利亚当局联合捣毁了2020年最活跃的勒索软件团伙之一NetWalker的基础设施。此次行动逮捕了一名加拿大嫌疑人Vachon Desjardins,还缴获了托管着数据泄露网站的服务器。据美国当局称,NetWalker已攻击了来自27个不同国家的至少305名受害者。McAfee称NetWalker已盈利超过2500万美元,而区块链分析公司Chainalysis表示NetWalker 2020年盈利可能超过4600万美元,仅次于Ryuk、Maze、Doppelpaymer和Sodinokibi。
https://securityaffairs.co/wordpress/113944/cyber-crime/netwalker-ransowmare-dismantled.html
谷歌称朝鲜黑客已利用社交网络瞄准安全研究人员
Google威胁分析小组发现朝鲜黑客已利用社交网络瞄准安全研究人员。黑客首先在Twitter、LinkedIn、Telegram、Discord和Keybase等社交网络上利用多人的个人资料,以伪造的身份接触安全研究人员。在建立了初步的交流之后,黑客会询问目标研究人员是否愿意在漏洞研究上进行合作,然后给研究人员一个Visual Studio项目。该项目包含了安装恶意软件的代码,成功安装后可充当后门并与远程命令和控制服务器联系,等待命令。此外,该恶意软件与朝鲜著名黑客组织Lazarus有关。
https://www.zdnet.com/article/google-north-korean-hackers-have-targeted-security-researchers-via-social-media/
SonicWall警告利用其VPN产品中0day的攻击活动
安全厂商SonicWal发布紧急通知,警告利用其VPN产品中0day的攻击活动。该漏洞位于Secure Mobile Access(SMA)VPN设备及NetExtender VPN客户端中,可被用来对公司的内部系统进行协同攻击。SonicWall尚未发布有关该漏洞的详细信息,但根据缓解措施判断,其可能是是身份验证漏洞,可被用来在可公开访问的设备上远程利用。
https://www.bleepingcomputer.com/news/security/sonicwall-firewall-maker-hacked-using-zero-day-in-its-vpn-device/
Emotet将于4月25日自动卸载
欧洲刑警组织宣布捣毁了臭名昭著的Emotet僵尸网络后,即将向受感染的设备分发Emotet“自毁模块”,在2021年4月25日从受感染设备上自动卸载该恶意软件。
https://www.secrss.com/articles/28995
二、关键基础设施
WestRock感染勒索软件,IT和OT系统均被破坏
美国包装公司WestRock感染勒索软件,IT和OT系统均被破坏。攻击于1月23日被发现,并及时采取了应急响应措施。WestRock表示系统正在恢复中,但攻击已经导致公司部分业务的延误。WestRock没有透露有关此次事件的更多详细信息,尚不清楚攻击的程度以及事故中受到影响的OT系统类型。该事件被披露后,本周一上午WestRock股票的价格下跌了4%以上。
https://www.securityweek.com/packaging-giant-westrock-says-ransomware-attack-impacted-ot-systems
三、安全事件
Intel确认由于其内部错误导致财务信息泄露
Intel确认由于其公司网络没有受到攻击,是内部错误导致财务信息泄露。不久前,该公司称新闻编辑室的网站遭到攻击,黑客窃取了其季度收益报告。该报告原定于周四在华尔街交易所收盘后几个小时发布,现不得不在收盘前进行公布。直到周五,Intel发表声明表示并没有黑客入侵,此次泄露是由于内部错误导致URL被无意间公开并被第三方访问。目前,该公司股价周五收盘跌幅超过9%。
https://securityaffairs.co/wordpress/113794/data-breach/intel-data-leak-2.html
Perl编程语言官方网站域名被攻击者劫持
攻击者接管了Perl编程网站域名perl.com,并将其指向与恶意软件活动相关的IP地址。Perl.com域创建于1994年,是Perl编程语言的官方网站。攻击者将该域IP地址从151.101.2.132更改为35.186.238.10。35.186.238.101与一个用于恶意软件活动的域有关,包括Locky勒索软件的分发。被劫持后不久,perl.com还在afternic.com上以19万美元的价格被售卖。发布在Perl博客的声明建议用户不要访问该域,并表示正在努力恢复该域。
https://ask.wandouxueyuan.com/intelligence/6077
零售巨头牛奶集团遭勒索攻击,赎金高达3000万美元
REvil勒索软件组已在2021年1月14日左右入侵了牛奶集团的网络和加密设备,索要赎金高达3000万美元。
https://mp.weixin.qq.com/s/auwWpuPm3hvzXo53EQGI7A
四、漏洞事件
Google修复Golang Windows中的代码执行漏洞
Google工程师修复了Golang Windows中的代码执行漏洞。该漏洞被追踪为CVE-2021-3115,是由于用户运行go get命令获取存储库时编译过程的工作方式所导致的。Go的exec.Command函数调用GCC编译器时可能会启动攻击者隐藏在其应用程序源中的恶意gcc.exe,而非合法的GCC编译器。此外,此次更新还修复了加密漏洞(CVE-2021-3114),以及 CVE-2021-3114和CVE-2021-3115漏洞。
https://www.bleepingcomputer.com/news/security/google-fixes-severe-golang-windows-rce-vulnerability/
Microsoft发布微码更新,修复多款Intel CPU中的漏洞
Microsoft针对Windows 10 20H2、 2004、 1909以及更老的版本发布了微码更新,以修复影响多个Intel CPU系列的漏洞。微码补丁经常被用于修复硬件安全漏洞,如Spectre、Meltdown、微架构数据采样(MDS)和Platypus漏洞。此次微码更新新增了七个CPU系列,包括第十代英特尔酷睿处理器家族、彗星湖S(6+2)、彗星湖S(10+2)、U62彗星湖、U6+2彗星湖、冰湖Y42/U42 ES2 SUP和Lakefield。
https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-new-windows-10-intel-cpu-microcode-updates/
Sudo漏洞BaronSamedit无需密码可提权至root权限
安全审计公司Qualys发现Sudo漏洞BaronSamedit无需密码可提权至root权限,已有近十年的历史。该漏洞是由于sudo错误地在参数中转义了反斜杠导致基于堆的缓冲区溢出漏洞,被追踪为CVE-2021-3156,允许任何本地用户(无论是否在sudoers文件中)无需进行身份验证获得root权限。在过去两年中发现了另外两个Sudo漏洞(CVE-2019-14287和CVE-2019-18634),但是此次披露的漏洞是三个中最危险的一个。
https://www.zdnet.com/article/10-years-old-sudo-bug-lets-linux-users-gain-root-level-access/
SAP Solution Manager远程代码执行漏洞 (CVE-2020-6207) 预警
国外研究员披露关于SAP Solution Manager远程代码执行漏洞(CVE-2020-6207)的利用脚本。SAP官方已于2020年3月发布安全公告修复该漏洞,攻击者可构造恶意请求控制SAP Solution Manager旗下所有机器,执行任意命令。该漏洞影响较大,建议广大用户及时更新至最新版本修复该漏洞,做好自查以及预防工作,以免遭受黑客攻击。
https://github.com/chipik/SAP_EEM_CVE-2020-6207
