六方云知识库

六方云 安全态势周刊丨第206期

2022年07月05日 10:00

01.

业界动态


1、国家网信办发布《互联网用户账号信息管理规定》

6月27日,国家互联网信息办公室发布《互联网用户账号信息管理规定》,自2022年8月1日起施行。出台《规定》,旨在加强对互联网用户账号信息的管理,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康发展。《规定》明确了账号信息注册和使用规范,要求互联网信息服务提供者应当制定和公开互联网用户账号信息管理规则、平台公约,明确账号信息注册、使用和管理相关权利义务。

http://www.cac.gov.cn/2022-06/26/c_1657868775333429.htm


2、Symantec发布关于加载程序Bumblebee的分析报告

6月28日,Symantec发布了关于恶意软件加载程序Bumblebee的分析报告。通过分析最近涉及Bumblebee的攻击中使用的其它三个工具,研究人员将其与Conti、Quantum和Mountlocker 在内的许多勒索团伙联系起来。根据这些较早的攻击中使用的TTPs推测,Bumblebee可能是作为Trickbot和BazarLoader的替代加载程序推出的。此外,这些被调查的攻击的另一个共同点是合法软件使用的增加,ConnectWise、Atera、Splashtop和AnyDesk等远程桌面工具经常出现在此类攻击中。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/bumblebee-loader-cybercrime


3、Kaspersky发布关于8个主要勒索团伙的TTP的分析报告

Kaspersky在6月23日发布了关于8个主要勒索团伙的TTP的分析报告。攻击者通常试图找到错误配置和存在漏洞的面向公众的应用程序,以便获得初始访问权,常见的目标包括微软Exchange服务器、Sharepoint服务器、VPN和其它网络服务;最常被利用的漏洞是ProxyShell 漏洞CVE-2021-34473、CVE-2021-34523和CVE-2021-31207。

https://securelist.com/modern-ransomware-groups-ttps/106824/


4、谷歌分析2022在野0day利用情况

截止到2022年6月15日,我们已经检测并披露了18个在野利用0day。分析这些0day 时,我们发现至少有9个是之前已修复的漏洞。在2022年上半年已遭利用的0day中,至少有一半本可通过更全面的打补丁和回归测试得以阻止。另外4个0day是2021年在野0day的变体。距离原始在野0day被修复12个月之后,攻击者又带着原始0day的变体卷土重来。

https://www.secrss.com/articles/44245



02.

关键基础设施



1、伊朗最大的钢铁生产商KSC称其被攻击导致运营活动中断

据6月28日报道,伊朗最大的钢铁生产商Khouzestan Steel Company(KSC)确认其遭到了网络攻击。攻击发生在本周一,当时其网站无法访问,该公司立刻中断了运营。其首席执行官声称他们已成功抵御此次攻击,受影响的网站将很快恢复并重新上线。然而,伊朗当地媒体Jamaran表示,这次攻击没有成功,是因为当它发生时,工厂由于停电而无法运作。

https://www.hackread.com/iran-largest-steel-producer-hit-by-cyberattack/



03.

安全事件



1、新木马ZuoRAT主要针对位于北美和欧洲的SOHO路由器

Lumen Black Lotus Labs在6月28日透露,自2020年以来,新的多级远程访问木马ZuoRAT已被用于通过位于北美和欧洲的SOHO路由器攻击远程工作人员。攻击者首先通过扫描已知的未修补漏洞对路由器的进行初始访问,然后安装Cobalt Strike beacons,以及2个自定义后门:基于C++的CBeacon,主要针对Windows系统;基于Go的GoBeacon,针对Linux和Mac系统。ZuoRAT还可以监控DNS和HTTPS流量,来劫持请求并使用生成的预设规则将目标重定向到恶意域,以干扰取证分析。

https://www.bleepingcomputer.com/news/security/new-zuorat-malware-targets-soho-routers-in-north-america-europe/


2、乌克兰的电信运营商和供应商遭到DarkCrystal RAT的攻击

乌克兰政府计算机应急响应小组(CERT-UA)在6月24日发布通告,揭示了DarkCrystal RAT针对乌克兰电信运营商的恶意软件活动。此次活动利用了以“免费初级法律援助”为主题的垃圾邮件,及附件“失踪军人家庭成员的行动算法LegalAid.rar”。RAR文档包含Algorithm_LegalAid.xlsm,当打开文档并激活宏时,将执行PowerShell命令,然后下载并运行.NET引导加载程序MSCommonll.exe,它又会下载并运行恶意软件DarkCrystal RAT。根据收件人的地址和域管理DarkCrystal RAT,研究人员推断攻击目标是乌克兰的电信运营商和供应商。

https://securityaffairs.co/wordpress/132651/malware/cert-ua-darkcrystal-rat-attacks.html


3、日本46万信息U盘丢失,官员道歉

近日,日本尼崎市工作人员因醉酒丢失包含46万日本公民的姓名、住址、交税金额等敏感个人信息的U盘一事引发关注。该市官员召开记者会公开道歉,却又不慎透露U盘密码位数和组成,引发网友群嘲。

https://www.secrss.com/articles/44214



04.

漏洞事件



1、CODESYS发布更新,修复ICS自动化软件中的11漏洞

据媒体6月28日报道,CODESYS修复了ICS自动化软件中的11个漏洞。CoDeSys是根据国际工业标准IEC 61131-3对控制器应用程序进行编程的开发环境。研究人员称,攻击者可以利用这些漏洞触发拒绝服务(DoS)条件、泄露信息、执行任意代码或者进行其它恶意活动。其中两个漏洞(CVE-2022-31805和CVE-2022-31806)最为严重,CVSS评分为9.8, 分别与在PLC 上执行操作之前使用明文验证密码,以及默认情况下未能启用密码保护有关。

https://securityaffairs.co/wordpress/132685/security/codesys-ics-automation-software-flaws.html


2、Apache Tomcat拒绝服务漏洞 (CVE-2022-29885)

近日Apache Tomcat拒绝服务漏洞(CVE-2022-29885)的PoC在互联网上公开,当Apache Tomcat开启集群配置,且通过NioReceiver通信时,无论服务端是否配置EncryptInterceptor,攻击者均可构造特制请求导致目标服务器拒绝服务。

https://lists.apache.org/thread/2b4qmhbcyqvc7dyfpjyx54c03x65vhcv


3、微软云服务爆容器逃逸漏洞,攻击者可接管Linux集群

微软修复了旗下应用程序托管平台Service Fabric(SF)的容器逃逸漏洞“FabricScape”。利用此漏洞,恶意黑客可以提升至root权限,夺取主机节点控制权,进而危及整个SF Linux集群。

https://www.bleepingcomputer.com/news/security/microsoft-azure-fabricscape-bug-let-hackers-hijack-linux-clusters/



05.

政策监管



1、深圳出台我国首部规范智能网联汽车管理法规

6月23日下午,深圳市七届人大常委会第十次会议在举行第三次全体会议后闭幕。会议表决通过《深圳经济特区智能网联汽车管理条例》等五部法规。近年来,智能网联汽车成为全球的创新热点,但原有针对传统汽车的法律制度以及监管模式,已难以适应行业发展的需要。《深圳经济特区智能网联汽车管理条例》是深圳在新兴产业领域的重要立法,也是我国首部规范智能网联汽车管理的法规,对智能网联汽车的道路测试和示范应用、准入和登记、使用管理等作了全面规定,推动产业高质量可持续发展。

http://www.szrd.gov.cn/rdyw/ldtpxw/content/post_824942.html


2、《个人信息出境标准合同规定(征求意见稿)》公开征求意见

为了规范个人信息出境活动,保护个人信息权益,促进个人信息跨境安全、自由流动,依据《中华人民共和国个人信息保护法》,网信办起草了《个人信息出境标准合同规定(征求意见稿)》,并于6月30日发布向社会公开征求意见的通知。


《规定》(征求意见稿)明确个人信息处理者依据《中华人民共和国个人信息保护法》第三十八条第一款第(三)项,与境外接收方订立合同向中华人民共和国境外提供个人信息的,应当按照本规定签订个人信息出境标准合同。

http://www.cac.gov.cn/2022-06/30/c_1658205969531631.htm


3、拜登签署《联邦轮换网络劳动力计划法案》

为各机构提供应对网络人员配置危机的切实解决方案,乔·拜登(Joe Biden)总统将签署通过《联邦轮换网络劳动力计划法案》。根据这项新法律的规定,人事管理办公室必须建立一个跨机构的轮岗劳动力发展计划,允许雇员在单个公职内的单一职位之外工作。这个想法是,随着网络安全专业人员跨部门流动,各机构将从知识转移和解决高级威胁的协作努力中受益。该计划还可以用作招聘和保留工具。从理论上讲,网络安全专业人员将在不同部门获得丰富的经验,从而增加职业机会并促进每个人专业网络的扩展。

https://mp.weixin.qq.com/s/KVlbpEDJn9te0NJhOlMADQ


more

手机扫码打开

logo