【威胁通告】尊龙凯时科技威胁情报周报(2021.07.26-2021.08.01)
2021-08-02
一、 威胁通告
Exim远程代码执行漏洞通告(CVE-2020-28020)
【发布时间】2021-07-2718:00:00GMT
【概述】
5月份Qualys公开披露了Exim邮件服务器中的21个安全漏洞,这些漏洞影响Exim在2004年之后开发的所有版本,且大多数可以在默认配置中被利用,尊龙凯时科技近日监测到有部分漏洞细节与PoC被公开,其中最严重的为Exim整数溢出漏洞(CVE-2020-28020),该漏洞源于receive_msg函数,攻击者可以通过”\\n”绕过Exim对邮件头大小的限制,从而造成整数溢出,未经身份验证的攻击者可利用此漏洞造成拒绝服务或远程代码执行。目前漏洞详情与概念验证程序已公开,请相关用户及时采取措施进行防护。Exim是一款邮件传输代理软件(MTA),可实现邮件的路由、转发和投递。主要被构建在类Unix操作系统上发送和接收电子邮件,包括Solaris、AIX、Linux等;Exim可以处理大量互联网流量,由于其具有配置灵活的特点,通常会与其他应用软件搭配使用。
【链接】
https://nti.nsfocus.com/threatWarning
二、 热点资讯
1. 攻击者利用Wiper攻击东京奥运会
【概述】
据TheRecord报道,在2021年东京奥运会开幕式之前,日本安全公司研究人员检测到一种以奥运会为主题的恶意软件Wiper,攻击者利用Wiper恶意软件攻击东京奥运会,使用URL应用程序访问XVideos视频门户上的内容,专家认为,实施此功能是为了诱使专家相信内容感染是在访问网站时发生的。同时删除受感染系统上的文件。该恶意软件仅针对用户文件夹下的数据,恶意软件的目标是使用Ichitaro日语文字处理器创建的文件,这种情况表明它是为日本用户开发的。恶意软件还实现了规避和反分析功能,以防止恶意代码被分析。该恶意软件还能够从受感染的计算机中删除自身及其存在的证据。”
【参考链接】
https://ti.nsfocus.com/security-news/4qYS2
2. 勒索软件团伙利用KaseyaVSA的0day漏洞攻击管理服务商
【概述】
7月2号,勒索软件团伙Revil利用KaseyaVSA远程管理应用的0day漏洞对多个管理服务提供商和企业发动了大规模的攻击,对约60个管理服务提供商和约1500家企业进行了加密,攻击者在完成攻击后,获取通用解密器。之后,勒索软件团伙开出价格:通用解密器需要7000万美元,解密所有受感染的托管服务提供商需要500万,解决一个受害者网络上扩展的加密需要4万美元。随后,REvil勒索软件团伙却神秘消失,也关闭了他们的支付网站和基础设施。当时大部分受害者还没有支付赎金,勒索软件团伙的消失也使得那些需要购买解密器的公司无法进行购买。7月22日,Kaseya发出声明,他们从一个“受信任的第三方”收到了对应上次勒索攻击的通用解密器,现在也已经分发给了受到影响的顾客。尽管Kaseya并未透露密钥来源,但它们向BleepingComputer表示,被分发的确是攻击的通用解密密钥,能让所有托管服务提供商及其客户免费解密文件。
【参考链接】
https://ti.nsfocus.com/security-news/4qYTn
3. 攻击者利用PlugX变体来攻击MS-ExchangeServer
【概述】
2021年3月,研究人员在监测MicrosoftExchangeServer攻击时,发现了一种PlugX新变体,攻击者利用PlugX新变体攻击MicrosoftExchangeServer。该PlugX变体是作为一个被攻击服务器利用后远程访问工具(RAT)传送到其中一台服务器。PlugX变体独特之处在于对核心源代码的更改。
【参考链接】
https://ti.nsfocus.com/security-news/4qYT9
4. PrayingMantis利用Web应用程序中的漏洞窃取服务器数据
【概述】
一个新发现名为PrayingMantis的威胁组织正通过利用面向互联网的Web应用程序中的漏洞窃取凭据和其他数据。在某些情况下,该组织利用CheckboxSurvey中的零日漏洞攻击用于Web托管的WindowsInternet信息服务器。最新报告显示,在利用漏洞后,该组织部署了一个恶意软件来收集系统信息,并部署额外的JavaScript恶意软件并执行HTTP和SQL流量转发。额外的有效载荷随后会收集凭据并危害更多易受攻击的服务器。“
【参考链接】
https://ti.nsfocus.com/security-news/4qYSP
5. 攻击者利用图片攻击巴布克勒索软件团伙的论坛
【概述】
根据报告称,Babuk勒索软件运营商遭受了勒索软件攻击,攻击者利用他们的论坛狂欢图片对Babuk勒索软件运营商展开大规模攻击,6月底,BabukLocker勒索软件在网上泄露信息,攻击者可以使用它来创建自己的勒索软件版本。
之后,勒索软件团伙闯入华盛顿特区大都会警察局,在华盛顿特区警察局遭到袭击后,攻击者对其文件进行加密并向华盛顿特区警察局索要400万美元的赎金。5月底,Babuk勒索软件运营商将他们的勒索软件泄漏站点更名为Payload.bin,并开始向其他团伙提供使用从受害者那里窃取的数据。
【参考链接】
https://ti.nsfocus.com/security-news/4qYSM
6. 攻击者利用勒索软件攻击南非物流公司
【概述】
南非大型铁路、港口和管道公司TransnetSOCLtd宣布遭到破坏性网络攻击。7月22日,南非物流公司TransnetSOC受到攻击者破坏性网络攻击,因此该公司停止了所有港口码头的运营。Transnet透露:“港口码头在整个系统中运行,但集装箱码头除外,因为卡车运输方面的Navis系统受到了影响。”
针对这次攻击,该公司告诉其员工在另行通知之前,所有员工关闭笔记本电脑和台式机,并且不得访问他们的电子邮件,以防止威胁蔓延。该公司的一份声明中写道。“正在努力减少停机时间,以确保受影响的系统尽快重新启动并运行,”由于这次攻击,TransnetSOCLtd网站关闭。
【参考链接】
https://ti.nsfocus.com/security-news/4qYSV
7. 攻击者利用发送恶意电子邮件攻击Zimbra服务器
【概述】
攻击者通过发送恶意电子邮件来攻击Zimbra服务器,研究人员表示,Zimbra网络邮件服务器有两个漏洞,攻击者会利用这些漏洞查看所有使用这款协作工具的企业中所有员工的收件箱和发件箱。由于Zimbra处理大量消息的高度敏感性,因此有超过200,000家企业、一千家政府和金融机构以及数亿用户使用在Zimbra网站中的电子邮件和协作工具,每天都在交换电子邮件。报告称,“当攻击者访问员工的电子邮件帐户时,通常会产生严重的安全隐患。”“除了交换的机密信息和文件外,电子邮件帐户通常与其他允许重置密码的敏感帐户相关联。
【参考链接】
https://ti.nsfocus.com/security-news/4qYSJ
8. 攻击者利用加密恶意软件LemonDuck攻击Windows、Linux设备
【概述】
根据Microsoft365Defender威胁情报团队的一份新报告,攻击者利用LemonDuck加密挖掘恶意软件攻击Windows和Linux设备。该恶意软件允许攻击者窃取凭据并在受感染的系统上进行一系列恶意活动。该恶意软件通过漏洞利用、网络钓鱼电子邮件、USB设备和暴力攻击在不同国家进行传播。
LemonDuck恶意软件对企业的威胁还在于它是一种跨平台威胁。它是针对Linux系统和Windows设备的僵尸恶意软件家族之一,”恶意软件可以使用新的漏洞,据研究人员称,LemonDuck恶意软件背后的威胁行为者几乎可以立即利用新漏洞并有效地开展诈骗活动。例如,他们在2020年在基于电子邮件的攻击中使用了COVID-19主题诱饵。今年,他们热衷于利用MSExchangeServer漏洞访问未修补的系统。
【参考链接】
https://ti.nsfocus.com/security-news/4qYSL
9. 黑客组织部署恶意软件攻击androids和Windows用户
【概述】
Hack-for-hire组织StrongPity部署了androids恶意软件,以瞄准叙利亚电子政务网站的访问者。在这次最新的活动中,黑客组织使用wateringhole技术入侵叙利亚的电子政务网站,然后用木马版本替换官方应用程序。攻击者随后使用该应用程序从受害者的设备中窃取文件。
除了该恶意软件的androids版本外,攻击者还部署了一款针对Windows用户的应用程序。正在为这两个应用程序版本开发新功能。首先攻击者从MalwareHunterTeamTwitter上共享的一个线程中了解到该样本。根据线程了解到共享样本是叙利亚电子政务androids应用程序的木马化版本,该应用程序会窃取联系人列表并收集具有特定特征的文件,来自受害者设备的文件扩展名。
【参考链接】
https://ti.nsfocus.com/security-news/4qYRY
10. MicrosoftHyper-V中的一个关键漏洞信息
【概述】
SafeBreach的研究人员报告说,有关MicrosoftHyper-V中一个关键缺陷的详细信息,跟踪为CVE-2021-28476,该缺陷可以触发DoS并在其上执行任意代码。该漏洞存在于MicrosoftHyper-V的网络交换机驱动程序中,它影响Windows10和WindowsServer2012到2019。CVE-2021-28476漏洞的严重性评分为9.9,微软已于5月解决了该漏洞。攻击者可以通过从虚拟机向Hyper-V主机发送特制数据包来利用此漏洞。
【参考链接】