近日,明朝万达安元实验室发布了2021年第十期《安全通告》。
该份报告收录了今年10月最新的网络安全前沿新闻和最新漏洞追踪,其中重点内容包括:
网络安全前沿新闻
◑ Apple 发布紧急更新修复iOS 和iPadOS 中内存损坏 0day
Apple 在 10 月 11 日发布紧急更新,修复了 iOS 15.0.2 和 iPadOS 15.0.2 中的内存损坏 0day。该漏洞追踪为 CVE-2021-30883,是 IOMobileFrameBuffer 中的一个内存损坏漏洞,可用来在目标设备执行命令。Apple 在安全公告中称该漏洞已在针对手机和 iPad 的攻击中被广泛利用。此外,在漏洞公开不久,研究人员Saar Amar 就发布了关于该漏洞的技术文章和利用漏洞的 PoC。
◑ Windows 11 与非 ASCII 字符的应用存在兼容性问题
微软近日发布的 Windows 11 已知问题文档显示,Win11 与非 ASCII 字符的应用存在兼容性问题。微软称,非 ASCII 字符的应用可能无法在受影响的系统上正常运行,并可能导致其他问题,包括蓝屏错误等。更糟糕的是,具有非 ASCII 字符的注册表项可能也无法修复。微软正深入调查该问题,并将在未来提供解决方案。如果用户的注册表中有使用非 ASCII 字符的应用程序,微软将不会向用户推送 Windows 11 升级。
◑ McAfee 发布 2021 年第二季度威胁态势的分析报告
McAfee 在 10 月 4 日发布了 2021 年第二季度威胁态势的分析报告。报告指出,在2021 年 Q2,勒索软件 REvil/Sodinokibi 的占比高达 73%,而 DarkSide 的攻击目标从石油、天然气和化工行业扩展到了法律服务、批发和制造行业。遭到勒索攻击最多的行业为政府机构,其次是电信、能源和媒体与通信行业。与 2021 年 Q1 相比,垃圾邮件的数量增幅最大,为 250%,其次是恶意脚本(125%)和恶意软件(47%)。
◑ Check Point 发布 2021 年全球威胁态势的分析报告
Check Point 发布了 2021 年全球威胁态势的分析报告。在全球范围内,与 2020 年相比,2021 年组织每周遭到的攻击数量增加了 40%,该数值从 2020 年 3 月开始显著增加,到 2021 年 9 月达到峰值,全球每个组织平均每周遭到超过 870 次攻击,是 2020 年 3 月的两倍多。遭到攻击最多的仍然是教育和研究行业,每个组织每周平均遭到 1468 次攻击(比 2020 年增加 60%),其次是政府和军工行业为 1082 次(增加 40%)和医疗行业为 752 次(增加 55%)。
◑ 研究团队发现Linux 恶意挖矿软件的新变体瞄准华为云
TrendMicro 的研究人员发现以前用于针对 Docker 容器的 Linux 恶意挖矿软件的新变体,开始针对像华为云这样的新云服务提供商。具体地说,新样本已经注释掉了防火墙规则创建功能,并继续使用网络扫描器来寻找其他具有 api 相关端口的主机。华为云是较新的云提供商,声称它已经为超过 300 万客户提供服务。研究人员已将此次攻击通知该公司,但尚未收到回复。
◑ Webroot 发布关于 2021 年最恶劣的恶意软件的报告
Webroot 表示,2021 年是网络威胁占据新闻头条的一年,勒索软件勒索已从一种趋势演变为一种新常态。该公司在其报告中列出的 2021 年最恶劣的恶意软件包括:著名的僵尸网络 LemonDuck、勒索软件 REvil、银行木马 Trickbot、银行木马和信息窃取程序 Dridex、勒索软件 Conti、渗透测试工具 Cobalt Strike,以及 Hello Kitty 和 DarkSide。
◑ 厄瓜多尔最大私人银行Banco Pichincha 遭到攻击
厄瓜多尔最大的私人银行 Banco Pichincha 遭到了网络攻击,系统暂时关闭。此次攻击导致银行的业务大面积中断,包括 ATM、网上银行、应用程序、电子邮件系统和自助服务。该银行在服务中断的两天后发布声明,称其遭到了网络攻击,但并未公开此次攻击的性质。据研究人员称这是一次勒索软件攻击,攻击者在银行的系统中安装了 Cobalt Strike beacon。
◑ IDC 发布 2021 上半年中国 IT 安全服务市场跟踪报告
IDC 在 10 月 12 日发布了 2021 上半年中国 IT 安全服务市场跟踪报告。IDC 定义的网络安全服务市场分别由安全咨询服务、IT 安全教育与培训服务、托管安全服务和安全集成服务四个子市场构成。报告显示,2021 上半年中国 IT 安全服务市场厂商整体收入约为 11.1 亿美元(约合 71.5 亿元人民币),厂商收入规模较去年同期实现翻倍增长, 涨幅高达 110%,较 2019 年同比增长 38%,中国 IT 安全服务市场正式进入需求全面爆发期。
◑ 巴西Hariexpress 数据库配置错误泄露 17.5 亿条用户记录
Safety Detectives 在 10 月 13 日披露,巴西电商集成平台 Hariexpress 泄露了超过610 GB 数据。此次事件是由于 Elasticsearch 服务器配置错误导致的,其中包含了超过1751023279 条用户记录。据研究人员称,他们在 5 月 12 日发现了泄露的数据,经过分析当时这些数据已公开了一个多月。直至目前该数据库仍未得到保护,Hariexpress 也未对此事作出回应。
◑ 澳大利亚当局将采取删除被盗文件的方式解决数据问题
澳大利亚政府在 10 月 15 日发布了一项新的勒索软件行动计划,是澳大利亚为期十年的《2020 年网络安全战略》中的一部分。为了更有力地打击勒索软件攻击活动,澳大利亚当局发布了《2021年监视法修正案》。其中规定澳大利亚联邦警察和刑事情报委员会有权删除与犯罪活动相关的数据,这允许执法部门删除在勒索软件攻击期间被盗并存储在攻击者服务器上的数据,以防止数据泄露问题。
◑ Kaspersky 发布 APT 组织IronHusky 攻击活动的分析报告
Kaspersky 在10 月12 日发布了关于APT 组织IronHusky 攻击活动的分析报告。2021 年 8 月下旬和 9 月上旬,研究人员检测到在多个 Windows 服务器上利用了Win32k 驱动程序中的释放后使用漏洞 CVE-2021-40449 的攻击活动。该活动还利用了恶意软件MysterySnail,其代码的相似性和 C2 的重用使得研究人员将此次活动与 2012 年的 APT 组织 IronHusky 关联起来。
◑ CISA 和 FBI 联合发布关于水务系统网络威胁的安全公告
美国 CISA、FBI、EPA 和 NSA 在 10 月 14 日发布了联合网络安全公告(CSA) ,详细说明了美国水务系统(WWS)行业所面临的网络威胁。公告强调了正在进行的针对 WWS 行业的 IT 和 OT 网络、系统和设备的攻击活动,该活动可能会影响相关公司提供清水、饮用水和有效处理废水的能力。CISA 还发布了 WWS 行业的网络风险和资源信息图,指出了该行业面临的信息技术和运营技术风险。
◑ 3D 打印平台 Thingiverse 泄露超过 22 万用户的信息
Have I Being Pwned(HIBP)在 10 月 14 日发文称,3D 打印平台 Thingiverse 泄露了约 228000 名用户的详细信息。此次泄露的信息包括电子邮件地址、用户名、IP、DoB 和密码,HIPB 表示这些信息已在黑客论坛上公开。Thingiverse 的母公司 MakerBot 淡化了这一事件,称这是内部的人为错误导致了一些非敏感信息的泄露,并表示已通知受影响的用户修改他们的密码。
◑ Unit 42 发布利用 Interactsh 的攻击活动的分析报告
Unit 42 在 10 月 14 日披露了利用开源工具 Interactsh 的攻击活动。该工具可以生成特定的域名,以帮助用户测试漏洞利用是否成功。从 2021 年 4 月中旬开始,研究人员注意到一些漏洞利用尝试活动使用的payload 具有相同域名但子域不同。经过调查,发现来源于 Interactsh,该工具于今年 4 月 16 日发布,在 4 月 18 日就出现了利用它的攻击尝试。
◑ Continuity 发布关于存储安全态势的分析报告
Continuity 在近期发布了关于存储安全态势的分析报告。报告分析了银行、金融服务、运输、医疗保健等行业客户的 423 个存储系统,总共发现了 6300 多个安全问题。平均每台设备上存在 15 个漏洞,其中 3 个是存在重大风险的关键漏洞。最常见的安全风险为使用易受攻击的协议、未修复的漏洞、访问权限问题、不安全的用户管理和日志记录不足等。
◑ CISA、FBI 和NSA 发布 BlackMatter 的预警公告
10 月 18 日,CISA、FBI 和 NSA 发布了勒索软件 BlackMatter 的联合网络安全咨询(CSA)。自今年 7 月以来,勒索软件 BlackMatter 已攻击了美国的多个与关键基础设施相关的公司,例如食品和农业行业。该 CSA 分析了 BlackMatter 的样本并结合了来自第三方的信息,提供了攻击者的策略、技术和程序,并概述缓解措施,以帮助组织改进针对此类攻击的保护、检测和响应措施。
◑ 黑客声称已窃取新加坡Fullerton 40 多万客户的信息
攻击者于10 月11 日开始,在暗网上以600 美元的价格出售新加坡医疗公司Fullerton 的数据。攻击者声称已获取了 40 多万客户,并公开了姓名、身份证号码、银行账户和病史等信息作为样本。但是在上周五(10 月 22 日),攻击者删除了有关数据出售的信息。该公司在 10 月 19 日称,此次泄露是由于其供应商 Agape 前不久的违规行为导致的,目前仍未确定受影响人员的数量和身份。
◑ SEON 发布关于全球网络犯罪威胁态势的分析报告
SEON 在 10 月 25 日发布了关于全球网络犯罪威胁态势的分析报告。报告对全球近100 个国家和地区进行分析,发现网络安全性最强的国家是丹麦,其次是德国、美国、挪威、英国、加拿大、瑞典和澳大利亚等国。相反,最不安全的国家是缅甸,其次是柬埔寨、洪都拉斯、玻利维亚和蒙古等国。报告还指出了 2020 年美国最常见的网络犯罪类型分别是网络钓鱼和欺诈(32.96%)、未付款或未交付(14.87%)和敲诈勒索 (10.48%)。
◑ Microsoft 发布 NOBELIUM 团伙攻击活动的分析报告
Microsoft 威胁情报中心在 10 月 25 日发布了关于NOBELIUM 团伙攻击活动的分析报告。NOBELIUM 是 2020 年 12 月针对 SolarWinds 的供应链攻击的幕后黑手,自 2021 年 5 月以来,该团伙在美国和欧洲发起了有针对性的供应链攻击。此次活动并未利用任何漏洞,而是利用密码喷射、令牌盗窃、API 滥用和鱼叉式网络钓鱼等多种技术来窃特权帐户的凭据,从而在云环境中横向移动。
◑ Neustar 发布 2021 年 9 月全球威胁态势的统计报告
Neustar 国际安全委员会(NISC)发布了 2021 年 9 月全球威胁态势的统计报告。报告显示,72%的组织在过去 12 个月内至少经历过一次 DNS 攻击,其中最常见的 DNS 攻击类型DNS 劫持 (47%)、DNS 洪泛反射或放大攻击等DDoS 攻击(46%)、DNS 隧道(35%) 和缓存中毒(33%)。2021 年 7 月至 8 月,DDoS 是最受关注的问题,其次是系统入侵和勒索软件。