【威胁通告】尊龙凯时科技威胁情报周报(2021.02.22-2021.02.28)
2021-03-01
一、 威胁通告
VMware多个高危漏洞(CVE-2021-21972、CVE-2021-21974)
【发布时间】2021-02-25 10:00:00 GMT
【概述】
2021年2月23日,VMware官方发布安全通告,披露了vSphere Client、ESXi的两个高危漏洞。CVE-2021-21972:vSphere Client(HTML5)在vCenter Server插件vRealize Operations中包含一个远程执行代码漏洞,CVSSv3评分9.8。受影响的vRealize Operations插件为默认安装。CVE-2021-21974:ESXi中使用的OpenSLP存在堆溢出漏洞,CVSSv3评分8.8。与ESXi处于同一网段中且可以访问427端口的攻击者可触发OpenSLP服务中的堆溢出问题,从而导致远程执行代码。
【链接】
https://nti.nsfocus.com/threatWarning
二、 热点资讯
1. 恶意扩展程序FriarFox会侦听Firefox和Gmail相关数据
【概述】
近日网络攻击通过利用名为FriarFox恶意扩展程序控制了受害者的Gmail帐户,该自定义恶意程序是Mozilla Firefox浏览器的扩展程序。研究人员称,在2021年1月和2月观察到的威胁运动针对藏族组织,并与TA413有关,TA413是一个与中国有关的威胁组织。
【参考链接】
https://threatpost.com/malicious-mozilla-firefox-gmail/164263/
2. 俄罗斯黑客组织部署IronPython恶意软件加载程序
【概述】
俄罗斯黑客组织Turla正在部署一个基于IronPython的恶意软件加载器,称为IronNetInjector,新的加载器通过利用IronPython直接使用.NET Framework API以及Python库的能力来提供ComRAT(一种远程访问木马),具有混淆恶意软件代码以及加密和解密NET注入器和有效载荷的功能。
【参考链接】
https://www.inforisktoday.com/russian-hacking-group-deploys-ironpython-malware-loader-a-16044
3. KUBERNETESZAO集群遭挖矿木马突袭
【概述】
TeamTNT是一个主要入侵在线容器并通过挖矿和DDoS进行牟利的攻击团伙。2021年年初,该团伙被发现入侵了某Kubernetes集群,通过结合脚本和现有工具,最终在容器内植入挖矿木马。针对Kubernetes集群的攻击事件及后续发生在集群内部的木马传播事件,以呈现网络黑产团伙针对在线集群的攻击方式。
【参考链接】
4. LazyScripter威胁组织分析报告
【概述】
LazyScripter是一个新威胁组织,可追溯至2018年的针对性垃圾邮件活动,使用网络钓鱼诱饵,邮件主题不仅针对寻求移民到加拿大就业的人,而且还针对航空公司。
【参考链接】
https://blog.malwarebytes.com/malwarebytes-news/2021/02/lazyscripter-from-empire-to-double-rat/
5. LAZARUS既往攻击工具TORISMA与DRATZARUS分析
【概述】
在今年1月由Google披露的一起APT攻击活动中,朝鲜APT组织Lazarus对世界各国的安全研究人员进行了长期的渗透攻击。伏影实验室对该事件中出现的攻击载荷进行了深入分析,并将主体木马程序命名为STUMPzarus。STUMPzarus与Lazarus组织既往攻击工具在代码逻辑、通信格式、CnC格式等方面的高度相似性,并由此总结了Lazarus组织开发者在程序设计上的大量特征。在关联过程中,我们主要参照的Lazarus组织攻击载荷包括Torisma下载者木马和DRATzarus远控木马。
【参考链接】
http://blog.nsfocus.net/analysis-of-torisma-and-dratzarus-the-former-attack-tools-of-lazarus/
6. APT32威胁组织用间谍软件攻击人权捍卫者
【概述】
与越南有关的APT32(又名海莲花)组织在2018年2月至2020年11月之间针对越南权捍卫者(HRD)和一个非营利组织(NPO)人权组织开展了长期网络间谍活动。APT32是一个从2014开始活跃至今的威胁组织,主要针对私企、政府机构、持不同政见人士和新闻工作者,重点关注越南、菲律宾、老挝等东南亚国家。
【参考链接】
https://securityaffairs.co/wordpress/114973/malware/apt32-spyware-human-rights-defenders.html
7. 上万名微软电子邮件用户遭钓鱼攻击
【概述】
近期有针对至少10000个微软电子邮件用户的网络钓鱼攻击,攻击者冒充来自知名的邮件快递公司,包括FedEx和DHL Express,旨在窃取用户的凭据信息。
【参考链接】
https://threatpost.com/microsoft-fedex-phishing-attack/164143/
8. FIN11网络犯罪组织支持针对FTA服务器的攻击
【概述】
FireEye专家认为针对Accellion File Transfer Appliance(FTA)服务器的一系列攻击与网络犯罪组织UNC2546(也称为FIN11)相关。自2020年12月中旬开始,攻击者利用Accellion File Transfer Appliance(FTA)软件中的多个零日漏洞在目标网络上部署名为DEWMODE的外壳,从目标系统中窃取敏感数据,然后利用CLOP勒索软件要求受害者以比特币形式支付赎金。
【参考链接】
https://securityaffairs.co/wordpress/114933/apt/fin11-fta-servers-atatcks.html
9. 十万名CityBee用户的登录凭据遭泄漏
【概述】
近期著名的汽车共享平台CityBee遭受数据泄露,包含超过110,313的敏感数据。其中是其注册客户的登录凭据的个人数据,包括姓名、个人密码、电话号码、电子邮件、居住地址、驾驶执照号码、加密密码等。
【参考链接】
https://www.hackread.com/citybee-database-login-credentials-leaked-online/