尊龙凯时

【威胁通告】尊龙凯时科技威胁情报周报（2021.09.06-2021.09.12）

2021-09-13

一、威胁通告

MicrosoftMSHTML远程代码执行漏洞（CVE-2021-40444）

【发布时间】2021-09-0913:00:00GMT

【概述】

近日，尊龙凯时科技CERT监测到微软发布安全通告披露了MicrosoftMSHTML远程代码执行漏洞，攻击者可通过制作恶意的ActiveX控件供托管浏览器呈现引擎的MicrosoftOffice文档使用，成功诱导用户打开恶意文档后，可在目标系统上以该用户权限执行任意代码。微软在通告中指出已检测到该漏洞被在野利用，请相关用户采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatWarning

二、热点资讯

1. AVOSLockerRansomware运营商攻击太平洋城市银行

【概述】

PacificCityBank是一家美国太平洋城市银行，专注于位于加利福尼亚州的韩裔美国人社区，并提供商业银行服务，该银行遭到AVOSLockerRansomware运营商的攻击，并且从金融机构窃取了敏感文件。2021年9月4日，勒索软件团伙将该银行信息添加到其泄密站点，并发布了一些屏幕截图作为攻击的证据。

【参考链接】

https://ti.nsfocus.com/security-news/IlMPI

2. RagnarLocker勒索软件团伙窃取台湾威刚公司1.5TB的数据

【概述】

RagnarLocker勒索软件团伙成功窃取台湾威刚公司1.5TB的数据，被盗数据包含敏感信息，如保密协议、财务文件、合同和其他文件。该公司拒绝支付黑客要求的赎金。如果受害者试图联系执法机构，RagnarLocker勒索软件团伙威胁要泄露被盗数据。该组织在其暗网泄漏站点上发布了一条消息，宣布了其新战略，如果受害者试图联系执法机构，RagnarLocker勒索软件运营商威胁要泄露被盗数据。

【参考链接】

https://ti.nsfocus.com/security-news/IlMPS

3. BladeHawk组织针对库尔德族群androids用户有针对性发起攻击

【概述】

研究人员发现，BladeHawk组织针对库尔德族群androids用户有针对性发起攻击。该组织利用两个商业androidsRAT工具，分别是888RAT和SpyNote。利用androids888RAT能够执行从其C&C服务器收到的42个命令，从设备中窃取和删除文件、截取屏幕截图、获取设备位置、钓鱼Facebook凭据、获取已安装的应用程序列表、窃取用户照片、拍照、记录周围的音频和电话、拨打电话、窃取短信信息、窃取设备的联系人列表、发送短信等。

【参考链接】

https://ti.nsfocus.com/security-news/IlMPW

4. 攻击者利用Conti勒索软件攻击HSE爱尔兰国家卫生服务提供商

【概述】

研究人员发现，针对爱尔兰国家卫生服务提供商HealthServiceExecutive的勒索软件攻击活动，攻击中使用了Conti勒索软件，此次攻击对HSE的系统造成了广泛破坏，攻击者声称从HSE窃取了700GB患者的个人数据，包括个人文件、电话号码、联系人、工资单和银行对帐单，然后要求支付2000万美元，但爱尔兰总理迈克尔·马丁拒绝支付任何赎金，并告诉全国媒体，政府没有与袭击者沟通。然而，一周后，被指控的攻击者向HSE提供了一个解密密钥，条件是它支付1900万美元的赎金或公开其患者数据。

【参考链接】

https://ti.nsfocus.com/security-news/IlMPN

5. REvil勒索软件运营商攻击Kaseya基于云的MSP平台

【概述】

REvil勒索软件团伙袭击了Kaseya基于云的MSP平台，影响了MSP及其客户。该团伙破坏了KaseyaVSA的基础设施，然后推出了VSA内部部署服务器的恶意更新，以在企业网络上部署勒索软件。该组织要求提供价值7000万美元的比特币来解密所有受Kaseya供应链勒索软件攻击影响的系统。这次袭击引起了媒体和警察当局的注意，增加了对该组织的压力。

【参考链接】

https://ti.nsfocus.com/security-news/IlMQf

6. 攻击者利用Trojan.Win32.BreakWi恶意软件攻击伊朗网络安全公司

【概述】

近日，研究人员发现，攻击者利用Trojan.Win32.BreakWi恶意软件攻击伊朗网络安全公司，伊朗铁路道路与城市发展系统部成为网络攻击的目标。黑客在全国各地车站的信息板上显示火车延误或取消的信息，并敦促乘客拨打电话以获取更多信息，之后，伊朗道路和城市化部的网站出现“网络中断”后停止服务，攻击者在网络安全公司网络中开发并部署了至少3种不同版本的工具（Meteor、Stardust、Comet）。攻击主要有效载荷是msapp.exe，其目的是锁定受害者机器并擦除其内容使其停止服务。执行时恶意软件会隐藏此可执行文件的控制台窗口。

【参考链接】

https://ti.nsfocus.com/security-news/IlMQj

7. APT组织使用GoldenSAML攻击获取对ActiveDirectory的访问权限

【概述】

APT组织使用GoldenSAML攻击来绕过身份验证控制并访问Office365环境。大多数受害者采用混合身份验证模型，破坏ADFS服务器令牌签名证书会导致访问Azure/Office365环境。默认情况下，证书的有效期为一年，这允许APT组织以AD中的任何用户身份保持持久性并重新进入Azure/Office365环境，而不管任何密码重置或多重身份验证。

【参考链接】

https://ti.nsfocus.com/security-news/IlMQ8

8. 俄罗斯互联网服务提供商Yandex受到大规模拒绝服务（DDOS）攻击

【概述】

美国公司Cloudflare证实了大规模DDoS攻击的事件，此次攻击的目标是俄罗斯互联网服务提供商Yandex，Yandex公司服务器遭遇俄罗斯网史上最强的一次DDoS攻击，该公司表示，此次攻击持续时间长达6小时，导致互联网已陷入瘫痪。影响了大量的社交媒体用户。

【参考链接】

https://ti.nsfocus.com/security-news/IlMQz

9. 新西兰多个银行和邮局遭到DDOS攻击

【概述】

研究人员表明，新西兰多个银行和邮局遭到持续的分布式拒绝服务DDOS攻击，此次攻击导致该国的银行和邮局的网站已经关闭，部分业务已经中断，包括应用程序、网上银行、电话银行和网站已经中断。其他受害者包括澳新银行新西兰有限公司，周三，ANZ Bank New Zealand Ltd.在 Facebook 上发帖称，它经历了一次中断，影响了对其部分在线服务的访问。官员们表示他们正在与网络攻击作斗争。一些受影响的组织能够使他们的服务重新上线，但他们仍然遇到间歇性中断。

【参考链接】

https://ti.nsfocus.com/security-news/IlMQB

10. SANGKANCIL黑客窃取了CITY4U网站700万以色列人的个人信息

【概述】

9月7日，以色列地方当局的CITY4U网站被一名名为SANGKANCIL的黑客入侵，该黑客声称已经窃取了该网站700万以色列人的详细信息。在他的Telegram帐户中，他分享了一些随机照片，其中包含几位以色列公民的个人详细信息，例如身份证及其照片、地址、全名、电话号码、财产税支付情况等。

【参考链接】

https://ti.nsfocus.com/security-news/IlMQp

<<上一篇

【威胁通告】尊龙凯时科技威胁情报周报（2021.08.30-2021.09.05）

>>下一篇

【威胁通告】微软9月安全更新多个产品高危漏洞通告