昨日,明朝万达安元实验室发布了2021年第十二期《安全通告》。
该份报告收录了2021年12月最新的网络安全前沿新闻和最新漏洞追踪,其中重点内容包括:
美国 TRUE Health 遭到攻击泄露超过 6 万公民的信息
美国新墨西哥州的医疗保险公司 RUE Health 确认其遭到网络攻击,泄露 62983 个公民的信息。攻击发生在 10 月 5 日,未经授权的第三方访问了 True Health New Mexico 系统。可能泄露了姓名、出生日期、年龄、地址、邮件地址、保险信息、医疗信息、社会安全号码、账户 ID,及供应商信息、服务日期和供应商识别号等。该公司将为所有可能受影响的个人提供为期 24 个月的补充信用监控。
Fortinet发布2021 年威胁态势演变趋势的分析报告
11 月 26 日,Fortinet 发布 2021 年威胁态势演变趋势的分析报告。过去一年中,攻击者不断增加对关键基础设施以及各行各业的攻击力度,与此同时,也在持续改进他们的攻击方法。威胁态势中出现的新趋势包括,随着 Linux 越来越流行,它逐渐成为攻击者的主要目标;当攻击者使用新的技术,如 RAT 和 rootkit 等,只要成功就立即会有其他攻击者使用相同的方式发动攻击。
APWG发布2021年Q3网络钓鱼活动趋势的分析报告
APWG 在 11 月 22 日发布了 2021 年 Q3 网络钓鱼活动趋势的分析报告。报告指出,APWG 在年 7 月份检测到了 260642 次钓鱼活动,是历史上攻击最多的一个月;自 2020年初以来,钓鱼活动的数量翻了一番;针对金融机构和支付服务商的攻击占所有攻击总数的 34.9%,针对加密货币目标的钓鱼占 5.6%;2021 年,受到攻击的品牌数量有所增加从每月 400 多个增加到 700 多个;针对巴西的钓鱼攻击从 Q2 的 4275 次上升 7741 次。
Kaspersky披露APT37利用Chinotto攻击韩国的活动
Kaspersky 在 11 月 29 日披露朝鲜黑客组织 APT37(又称 ScarCruft 或Temp.Reaper)在近期的攻击活动。ScarCruft 从 2012 年开始活跃,主要针对韩国的官方机构或公司。此次活动开始于 2021 年 8 月,初始感染媒介是鱼叉式钓鱼活动,之后利用 IE 浏览器中的两个漏洞在韩国的网站中安装自定义恶意软件 BLUELIGHT,发起水坑攻击。活动还利用了恶意软件 Chinotto,它具有针对 PowerShell、Windows 和 Android 的多个变体。
Trend Micro发现利用合法RAT分发SpyAgent的活动
11 月 29 日,Trend Micro 公开了关于 SpyAgent 攻击活动的研究。攻击者首先会在虚假的加密货币相关网站分发伪造成加密货币钱包、矿工软件或冲浪插件的 Dropper。此次活动中,SpyAgent 的新变体利用了俄罗斯合法的远程访问工具 (RAT) Safib Assistant。此外,还利用了 DLL 侧加载漏洞,通过恶意 DLL 篡改 RAT 调用的各种 API 函数,对用户隐藏 RAT 窗口。之后,恶意 DLL 会返回 RAT 的 ID,攻击者可以利用该 ID 连接并控制目标设备。
研究团队称超过30万Google Play用户已感染多个银行木马
安全公司 ThreatFabric 表示在 2021 年 8 月至 11 月期间,4 个不同的银行木马已感染超过 30 万个 Google Play 用户。研究人员称,检测到的恶意 dropper 伪装 2FA 身份验证器、二维码扫描器和 PDF 文档扫描仪等应用,旨在安装 Anatsa(又名TeaBot)、Alien、ERMAC 和 Hydra。这些木马可以使用自动转账系统 ATS,在用户不知情的情况下窃取用户密码和基于 SMS 的 2FA 身份验证代码、屏幕截图等信息,甚至窃取用户银行账户中资金。目前,这些应用已从 Google Play 中删除。暗网市场Cannazon遭到大规模DDoS攻击后永久关闭2021 年 11 月 23 日,暗网市场 Cannazon 的管理员宣布将永久关闭该网站。据悉,该网站在 11 月初遭到了大规模 DDoS 攻击,管理员通过减少订单数量和关闭部分系统以缓解问题。但这在社区中引起了轰动,用户担心这是一场退出骗局。管理员在发布关闭通告时,对于这种处理方法表示歉意,称没有公开攻击活动是为了保护用户和社区,以防止供应商试图发动加密货币退出骗局。电信公司AT&T大量ESBC设备遭到僵尸网络EwDoor攻击研究团队在 11 月 30 日公开新僵尸网络 EwDoor 的攻击活动。此次活动主要针对电信公司 AT&T EdgeMarc 企业会话边界控制器(ESBC)边缘设备,利用了 4 年前的命令注入漏洞(CVE-2017-6079)。在僵尸网络切换到其它 C2 之前的短短 3 小时内,共检测到约5700 台设备被感染。目前,研究人员已确认 EwDoor 的 3 个变体,可分为 DDoS 攻击和Backdoor 两大类,并推测其主要目的是 DDoS 攻击,以及收集通话记录等敏感信息。沃尔沃公司遭到Snatch的勒索攻击导致研发数据泄露12 月 10 日,瑞典汽车制造商沃尔沃称其服务器遭到勒索攻击,部分研发数据已经泄露。沃尔沃表示,目前正在对此事展开调查,客户的个人数据并不会受到影响,但公司的运营可能受到影响。虽然该公司尚未透露有关此次事件的其它细节,但勒索运营团伙 Snatch 已于 11 月 30 日将该公司添加到其数据泄露网站的目录中,并公开了被盗文件的截图和 35.9 MB 的数据。Wordfence发现针对160万个 WordPress网站的大规模攻击Wordfence 在 12 月 9 日公开了近期针对超过 160 万个 WordPress 网站的大规模攻击活动。这些攻击主要针对 4 个插件(PublishPress Capabilities 和 Kiwi Social Plugin 等)和15 个 Epsilon 框架主题(Shapely 和 NatureMag Lite 等)。通过启用 users_can_register 选项,并将 default_role 选项设置为管理员,攻击者就可以注册为管理员并接管该网站。研究人员建议用户立即更新受影响插件,其中 NatureMag Lite 没有可用补丁,需要立即卸载。Cofense发现针对德国金融行业的新一轮钓鱼活动12 月 9 日,Cofense 发现在过去几周中,利用二维码针对德国金融行业的新一轮钓鱼活动。此次活动使用的邮件中并没有明文 URL,而是通过 QR 码将用户重定向到钓鱼网站,以绕过安全软件的检测。因为 QR 码的目标是移动用户,这些用户很少受到安全工具的保护,这提高了攻击的有效性。攻击成功后,便会窃取目标的银行地址、代码、用户名和 PIN 等信息,主要针对的两个金融机构是 Sparkasse 和 Volksbanken Raiffeisenbanken。Lookout发现针对近400家金融机构分发Anubis的活动12 月 14 日,Lookout 发现了针对 394 家金融机构分发 Android 银行木马 Anubis 的活动。Anubis 于 2016 年首次出现,作为开源银行木马在俄罗斯黑客论坛上发布。在此次活动中,攻击者冒充法国电信公司 Orange SA 的帐户管理应用,瞄准大通银行、富国银行、美国银行和第一资本等金融机构的客户。研究人员称,此次攻击不仅仅针对大型银行的客户,还针对虚拟支付平台和加密钱包,该活动目前仍处于测试和优化阶段。VulcanForge声称其遭到攻击损失高达近1.4亿美元
游戏公司 VulcanForge 在本周一称其遭到了网络攻击,损失高达 1.35 亿美元。该公司称,攻击者已经获得了 96 个钱包的私钥,并窃取了 450 万 PYR(VulcanForge 的代币,可在其整个游戏系统中使用)。此外,攻击者出售了大量 PYR,使 PYR 的价格下跌 22%(从 31 美元降到 24 美元)。这是近十几天内发生的第三起加密货币失窃事件,三次攻击造成的总损失金额约为 4.04 亿美元。
亚马逊AWS云服务再次宕机影响Twitch 和 Zoom等应用12 月 15 日,亚马逊 AWS 云服务再次宕机。此中断开始于太平洋时间上午 7:43 左右,主要影响了 US-WEST-1 和 US-WEST-2 区域,导致 Twitch、Zoom、PSN、Xbox Live、Doordash、Quickbooks Online 和 Hulu 等大量平台和网站关闭。截至 12 月 15 日 11:27 ,亚马逊称Internet 连接的问题已经解决,服务运行正常。12 月 7 日,亚马逊 AWS 云服务宕机,影响了 Netflix、Roku 和 Amazon Prime 的等应用。FBI称攻击者积极利用Zoho中漏洞CVE-2021-4451512 月 17 日,FBI 发布警报称有 APT 组织自 10 月下旬开始一直在积极利用 Zoho 中的漏洞 CVE-2021-44515。这是 ManageEngine Desktop Central 中的身份验证绕过漏洞,可用来绕过身份验证并执行任意代码。FBI 称,该团伙入侵 Desktop Central 服务器后安装覆盖其合法功能的 webshell,然后下载利用工具,列举域用户和群组,进行网络侦察,最后试图横向移动和转储凭证。新的僵尸网络Abcbot主要针对中国的云服务提供商12 月 21 日,Cado Security 发现新僵尸网络 Abcbot 在过去几个月主要针对中国云服务提供商,包括阿里云、百度、腾讯和华为云等。Abcbot 首先会安装一个 Linux bash 脚本,来禁用 SELinux 安全保护,并创建后门。然后扫描目标主机中是否存在其它恶意软件,如果发现则会删除其它恶意软件的相关进程。除此之外,Abcbot 还会删除 SSH 密钥并仅保留自己的密钥,以保证其对目标主机的独占访问。Google发布12月份更新,修复 chrome中的多个漏洞Google 在 12 月 6 日发布 chrome 安全更新,总计修复 22 个漏洞。其中较为严重的是 Web 应用程序中的释放后使用漏洞(CVE-2021-4052)、UI 组件中的释放后使用漏洞(CVE-2021-4053)、WebRTC 中的越界写入漏洞(CVE-2021-4079)以及 V8 中的类型混淆漏洞(CVE-2021-4078)。此外,还修复了扩展中的堆缓冲区溢出漏洞(CVE-2021-4055) 和 ANGLE 中的堆缓冲区溢出漏洞(CVE-2021-4058)等。SonicWall发布更新,修复 SMA100系列中多个漏洞SonicWall 在 12 月 7 日发布更新,修复 SMA 100 系列设备中的多个漏洞。此次修复的最为严重的漏洞是基于堆栈的缓冲区溢出漏洞(CVE-2021-20038),CVSS 评分为 9.8,由于设备的 Apache httpd 服务器中的 HTTP GET 方法的环境变量使用了 strcat()函数导致的;其次是缓冲区溢出漏洞(CVE-2021-20045),CVSS 评分 9.4。此外,还修复了缓冲区溢出漏洞(CVE-2021-20043)和认证命令注入漏洞(CVE-2021-20039)等。西部数据发布更新修复SanDisk SecureAccess中漏洞Western Digital 在上周三发布安全更新,修复 SanDisk SecureAccess 中的漏洞CVE-2021-36750。SanDisk SecureAccess(现在更名为 SanDisk PrivateAccess)用来在 SanDiskUSB 闪存驱动器上存储和保护重要文件,其使用了单向加密 hash 和可预测 salt,这使其容易遭到字典攻击;还使用了计算量不足的 hash,使用户密码易被暴力破解。公司称这些问题已经通过使用 PBKDF2-SHA256 和随机 salt 修复,建议用户立即更新。Google 发布紧急更新,修复Chrome中已被利用的漏洞12 月 13 日,Google 发布紧急更新,修复了 Chrome 中的 5 个漏洞。安全公告表示,此次修复的 V8 JavaScript 引擎中的释放后使用漏洞(CVE-2021-4102)已被在野利用,可导致任意代码执行或沙箱逃逸。此外,还修复了 Mojo 中的数据验证不足漏洞(CVE-2021-4098)和 Swiftshader 中的释放后使用漏洞(CVE-2021-4099)等多个漏洞。由于该 0day 已被在野利用,研究人员强烈建议立即安装 Chrome 补丁。Adobe发布12月更新,修复多个产品中超过60个漏洞12月14日,Adobe 发布本月的周二补丁,修复多个产品中超过 60 个漏洞。其中较为严重的是 Experience Manager 中的 XXE 漏洞(CVE-2021-40722),CVSS评分为9.8,可导致任意代码执行。此外,还修复了 Photoshop 中可导致任意代码执行越界写入漏洞(CVE-2021-43018)和缓冲区溢出漏洞(CVE-2021-44184),以及 Media Encoder 中的越界读取(CVE-2021-43757)等多个漏洞。
