六方云知识库

安全态势周刊-六方云(AI基因·威胁免疫)——第150期

2021年05月17日 10:44

一、业界动态

信通院发布《移动数字广告与互联网反欺诈蓝皮报告》

报告全面梳理我国数字广告及移动互联网流量现状与面临的挑战,并对流量欺诈场景、流量反欺诈核心技术及发展趋势进行深入探讨。

http://www.caict.ac.cn/kxyj/qwfb/ztbg/202105/P020210512494218439534.pdf

Office 365隔离来自Google和LinkedIn等域的合法邮件

微软在Microsoft 365管理中心表示,某些用户的Office 365的Exchange Online Protection&Defender会将来自多个域名(包括Google和LinkedIn)的合法电子邮件隔离或标记为恶意电子邮件。目前,微软已解决了该问题并重新发送被隔离的邮件。此外,微软11日发布的Outlook更新导致全球范围内的用户无法查看或创建电子邮件,特别是在创建新邮件时,每次按Enter键,先前编写的所有内容都将被删除。微软建议用户回滚到4月的版本,或在安全模式下启动Outlook。

https://www.bleepingcomputer.com/news/microsoft/microsoft-office-365-is-blocking-emails-from-google-linkedin-domains/

Unit42发布有关DarkSide勒索团伙的分析报告

Unit42发布了有关DarkSide勒索团伙的分析报告。DarkSide是世界上最知名的黑客组织之一,近期针对美国一家主要的管道公司进行了攻击。与其他勒索软件团伙一样,DarkSide最近也采用了勒索软件即服务(RaaS)模型。该团伙使用的工具包括:合法的远程监视和管理(RMM)工具,例如AnyDesk和TeamViewer;密码管理应用,例如Dashlane和LastPass;凭证窃取工具Mimikatz等工具。

https://unit42.paloaltonetworks.com/darkside-ransomware/

暗网遭遇重大安全危机:超27%的出口流量曾被监控

一项关于暗网基础设施的最新研究显示,某位未知攻击者曾在2021年2月上旬设法控制了整个Tor网络(即暗网)出口容量的27%以上。

https://mp.weixin.qq.com/s/ytRVCU7NaNGLy9x-qccyxA

 

二、关键基础设施

最大燃油运输管道停运后,美政府推动能源基础设施网络安全立法

11日,白宫发布情况说明,表示拜登政府已发起全政府努力,以解决此事件,确保关键能源供应链安全。12日,拜登签署《改善国家网络安全行政令》(Executive Order on Improving the Nation’s Cybersecurity),明确网络事件的预防、响应、评估和修复是保障国家和经济安全的首要任务和必要条件。

https://www.secrss.com/articles/31184

 

三、安全事件

微软披露针对航空航天行业的鱼叉式网络钓鱼活动

微软披露近期针对航空航天和旅游行业的鱼叉式网络钓鱼活动。此次攻击中,黑客伪装成航空、旅游和货运公司,使用了新的加载程序Snip3,在目标系统中安装Revenge RAT、AsyncRAT、Agent Tesla和NetWire RAT等payload。为了绕过检测,Snip3还使用了攻击手段,包括:用'remotesigned'参数执行PowerShell代码;使用Pastebin和top4top进行分段;运行的时候在终端编译RunPE加载程序。

https://www.bleepingcomputer.com/news/security/microsoft-threat-actors-target-aviation-orgs-with-new-malware/

Cleafy发现恶意软件TeaBot已攻击欧洲的60多家银行

意大利Cleafy的安全团队发现恶意软件TeaBot已攻击欧洲的60多家银行。该恶意软件仍处于开发的早期阶段,但具备远程控制目标设备、窃取登录凭据、发送和拦截SMS消息等功能。该恶意软件支持6种不同的语言,包括德语、英语、意大利语、法语、西班牙语和荷兰语。到目前为止,Cleafy已确定意大利、西班牙、德国、比利时和荷兰等多个欧洲国家的60多家银行遭到了攻击。

https://www.hackread.com/teabot-android-malware-steals-data-sms/

东芝子公司惨遭勒索攻击:攻击者疑为DarkSide

东芝技术公司的法国子公司当地时间14日在推特上表示,它在5月4日遭到了勒索软件的攻击。

https://www.secrss.com/articles/31219

土耳其科尼亚市政府遭到攻击,100万居民的信息泄露

土耳其科尼亚市政府的网络遭到攻击,100万居民的信息泄露。科尼亚是土耳其科尼亚省的首府,城市人口超过100万,是土耳其宗教最保守的大都会之一。某市政官员证实了此次攻击,但并未透露其规模,Sözcü报纸则称,约有100万人的ID和其他个人信息已经泄露,主要涉及那些向市政当局发送过邮件的人。目前,名为Maxim Gorki的的黑客已在暗网上公开了这些信息。

https://www.dailysabah.com/turkey/investigations/cyberattack-steals-info-of-one-million-in-turkeys-konya

 

四、漏洞事件

研究人员披露FragAttacks,影响近24年所有Wi-Fi设备

比利时安全研究员Mathy Vanhoef披露了被统称为FragAttacks的多个漏洞,影响了1997年至今的所有Wi-Fi设备(包括计算机、智能手机和智能设备)。在这些漏洞中,有3个是Wi-Fi 802.11标准在帧聚合和帧碎片功能上的设计缺陷,而其他漏洞则是Wi-Fi产品中的编程错误。Vanhoef称,实验结果显示每个Wi-Fi产品都存在至少一个漏洞且大多数产品存在多个漏洞,只有NetBSD和OpenBSD不受影响,因为它们不支持A-MSDU的接收。

https://securityaffairs.co/wordpress/117819/hacking/wifi-fragattacks.html

关于Windows操作系统HTTP协议栈存在远程代码执行漏洞的预警通报

Windows10、Windows Server操作系统HTTP协议栈存在远程代码执行漏洞,漏洞编号为CVE-2021-31166。

https://msrc.microsoft.com/update-guide/releaseNote/2021-May

 


more

手机扫码打开

logo