【威胁通告】尊龙凯时科技威胁情报周报(2021.11.01-2021.11.07)
2021-11-08
一、 威胁通告
Linux Kernel远程代码执行漏洞通告(CVE-2021-43267)
【发布时间】2021-11-05 18:00:00 GMT
【概述】
近日,尊龙凯时科技CERT监测到有研究人员公开披露了Linux内核TIPC模块中的一个堆溢出漏洞(CVE-2021-43267);由于TIPC功能模块对用户提供的 MSG_CRYPTO消息类型大小验证不足,造成 Linux 内核中的越界写入,从而导致攻击者利用该漏洞堆溢出实现本地或远程代码执行。CVSS评分为9.8,请相关用户及时采取措施防护。TIPC(透明进程间通信)是一种用于专门为集群内通信设计的网络通信协议,它可以配置为通过 UDP 或直接通过以太网传输消息;支持用于不同目的的各种类型的消息,保证消息传递有序、无丢失。TIPC 模块随主要的Linux 发行版一起提供,但需要用户加载才能启用该协议。
【链接】
https://nti.nsfocus.com/threatWarning
二、 热点资讯
1. Quickfox VPN提供的服务导致100万用户的数据被泄露
【概述】
研究人员表示免费的虚拟私人网络(VPN)服务商Quickfox提供了从国外访问中国网站的服务,它泄露了超过一百万用户的个人身份信息(PII)。尽管Quickfox已经在Kibana设置了访问权限,但是没有为他们的Elasticsearch服务器设置同样的安全措施,这意味着,任何人都可以使用浏览器和互联网来访问Quickfox的日志,并提取Quickfox用户的敏感信息。研究人员还发现,中国、印度尼西亚、日本、哈萨克斯坦和美国的Quickfox的用户都受到了影响,并补充说此次共有5亿条记录和100GB的数据被泄露。并提到,被泄露的数据分为两类,主要是电子邮件和电话号码等PII,同时也有大约30万名Quickfox用户设备上的软件信息。泄漏的数据会暴露用户设备上安装的其他软件的名称、文件位置、安装日期和版本号。目前还不清楚为什么VPN要收集这些数据,因为这些数据对其功能来说是不必要的,而且这也不是其他VPN服务的标准做法。
【参考链接】
https://ti.nsfocus.com/security-news/IlN02
2. 攻击者通过网络钓鱼网站瞄准网络犯罪新手
【概述】
研究人员表示多个网络犯罪团伙似乎通过网络钓鱼攻击瞄准了该领域相对较新的进入者,这些团伙以分析师所谓的“同类相食方式”冒充地下卡店——例如 Joker\\'s Stash、BriansClub、Uniсс、Ferum Shop 和 ValidCC——来欺骗新手以获得金钱收益。其中SPAGETTI 的创建者使用了一个名为 briansclub[.]ru 的网络钓鱼域。分析师指出,除了通过帐户激活费欺诈赚钱外,它还通过其网站传播恶意软件,在支付了假 briansclub[.]ru 的激活费后,用户会看到一条“成功”消息,并被要求从一个名为“panelcontrol.rar”的存档链接下载一个“受保护”的应用程序,存档包含两个文件:“PanelControl.exe”和“LitePanel.exe”。分析师说,前者没有提供对卡片商店面板的访问权限,而是启动了一个名为 Taurus Project 的窃取程序。
【参考链接】
https://ti.nsfocus.com/security-news/IlMZy
3. 加州诊所遭受的网络攻击将导致大量健康数据泄露
【概述】
最近对社区医疗中心(北加州的一个非营利性社区健康中心网络)的网络攻击可能会破坏超过 656,000 个人的个人身份信息和受保护的健康信息。截至周二,CMC 事件尚未发布在卫生与公共服务部的HIPAA 违规报告工具网站上,该网站列出了影响 500 或更多个人的健康数据泄露,同时声明称,可能被泄露的个人信息包括姓名、邮寄地址、社会安全号码、出生日期、人口统计信息和由 CMC 维护的医疗信息。然而,该事件将成为今年迄今为止发布到 HHS 网站的第12大健康数据泄露事件。
【参考链接】
https://ti.nsfocus.com/security-news/IlMZY
4. 攻击者利用 WSL 功能将ELF 部署为WINDOWS加载程序
【概述】
WSL是适用于 Linux 的 Windows 子系统 (WSL) 是 Windows 操作系统中的一种资源,它允许用户在运行 Windows 操作系统的机器上执行 Linux 命令行,适用于 Linux 的 Windows 子系统使用称为 Bash.exe 的应用程序,它会在 Windows 操作系统界面内启动一个 Linux 对话框。这可能被视为在 Windows 中运行的“外壳”应用程序。研究人员表示有一个新的攻击链正在发生,攻击者以 WSL 环境为目标。这些文件是用 Python 3 编写的,然后在 PyInstaller 的帮助下,转换为 Debian Linux 的 ELF 可执行文件。这些文件充当加载器,运行嵌入在样本中或从远程服务器检索的有效负载,然后注入到正在运行的进程中。这种技术可以使参与者在受感染的机器上获得不被注意的立足点。ELF 加载器有两种变体:第一种完全用 Python 编写,而第二种使用 Python 通过 ctypes 调用多个 Windows API 并启动 PowerShell 脚本以在主机上执行进一步的操作。一些示例包括由 Meterpreter 等开源工具生成的轻量级负载。在其他情况下,这些文件会尝试从远程 C2 下载 shellcode。
【参考链接】
https://ti.nsfocus.com/security-news/IlMZA
5. Lockean 勒索软件组织对法国公司发起钓鱼攻击
【概述】
法国网络安全官员首次确定了一个勒索软件“附属组织”,该组织对过去两年对法国公司的一长串攻击负责。CERT-FR 官员表示,该组织通常会租用以前通过 Emotet 网络钓鱼电子邮件感染的企业网络的访问权限,他们将在其中部署 QakBot 恶意软件,然后部署 CobaltStrike 后开发框架,Lockean运营商随后将使用AdFind、 BITSAdmin和 BloodHound等工具在网络内横向移动,以扩大他们对公司系统的访问和控制。然后,该组织将使用 RClone 实用程序从受害网络复制敏感文件,然后部署文件加密勒索软件。
【参考链接】
https://ti.nsfocus.com/security-news/IlN00
6. Conti网络犯罪团伙在暗网网站泄露大量名人数据
【概述】
研究人员发现攻击者在一个暗网网站上泄露了 69,000 份机密文件,其中包括与唐纳德·特朗普、奥普拉·温弗瑞和大卫·贝克汉姆有关的文件,并且泄露的约11,000人数据涉及 Graff 的富有客户,勒索软件参与者要求数千万英镑的赎金,以阻止进一步发布敏感信息。同时泄露的文件包括客户名单、发票、收据和信用票据,该名单包括国际巨星,如汤姆汉克斯、塞缪尔杰克逊和亚历克鲍德温等。
【参考链接】
https://ti.nsfocus.com/security-news/IlMZx
7. 多伦多交通委员会 (TTC) 遭到勒索软件攻击
【概述】
多伦多交通委员会周五宣布,多伦多运输委员会公共交通机构的系统已感染勒索软件,攻击于周四晚上开始,并中断了其活动。安全漏洞影响了该机构的内部电子邮件服务器、Wheel-Trans 预订、平台屏幕上的车辆信息、应用程序、TTC Vision 通信系统以及其他内部系统,司机被迫使用经典的基于无线电的通信系统进行通信。TTC 还宣布取消了周六在 St. Clair 和 College 站之间的 1 号线地铁关闭,该关闭将用于完成轨道工程。
【参考链接】
https://ti.nsfocus.com/security-news/IlMZz
8. 美国物理治疗中心大量医疗保健信息被泄露
【概述】
美国一家理疗中心宣布,在一次安全事件中,超过 6,500 名患者的个人数据遭到破坏。总部位于明尼苏达州明尼阿波利斯的 Viverant PT 表示,当前和以前的患者和员工的个人身份信息 (PII) 受到数据泄露的影响。据报道,大量医疗保健信息被泄露,包括患者姓名、地址、出生日期、社会安全号码、驾驶执照号码和医疗记录号码。其他可能被访问的数据包括诊断或治疗信息、带有密码或安全码的支付卡号、健康保险信息、带或不带密码或路由号码的金融帐号以及数字签名。
【参考链接】
https://ti.nsfocus.com/security-news/IlMZJ
9. Chaos 勒索软件团伙利用Minecraft 替代列表攻击日本游戏玩家
【概述】
Minecraft 是世界上最受欢迎的游戏之一,到 2021 年 8 月,它的月活跃玩家超过 1.4 亿。网络犯罪分子正试图利用这种流行度,Chaos Ransomware 团伙通过宣传的虚假 Minecraft 替代列表瞄准日本游戏玩家的 Windows 设备在游戏论坛上。研究人员注意到,攻击中使用的Chaos勒索软件变种不仅会加密某些文件,还会破坏其他文件,使它们无法恢复,如果游戏玩家成为攻击的牺牲品,选择支付赎金仍可能导致数据丢失。并表示Chaos 勒索软件变种隐藏在一个文件中,假装包含“Minecraft Alt”帐户列表。在这种情况下,该文件是一个可执行文件,但它使用一个文本图标来欺骗潜在的受害者,使其误以为它是一个充满 Minecraft 已泄露用户名和密码的文本文件,打开可执行文件后,恶意软件将被执行并在受感染机器上搜索小于 2,117,152 字节的文件以对其进行加密。勒索软件将四个随机字符附加到加密文件的文件名中,这些字符选自“abcdefghijklmnopqrstuvwxyz1234567890”。 具有指定文件扩展名的大于 2,117,152 字节的文件被随机字节填充,这使得在不支付赎金的情况下无法恢复它们。与其他勒索软件一样,Chaos 勒索软件的这种变体也会从受感染的机器中删除卷影副本。
【参考链接】
https://ti.nsfocus.com/security-news/IlMZ3
10. 攻击者利用恶意软件PixStealer攻击巴西的pix支付系统和巴西银行
【概述】
9月末,研究人员在谷歌应用商店发现了一系列针对Pix支付系统和巴西银行的恶意软件,其中一个版本可以直接窃取目标钱包,研究人员将其命名为PixStealer。PixStealer恶意软件的内部名称是Pag Cashback 1.4。该软件在谷歌应用商店上伪装成PagBank Cashback进行传播。包名为com.pagcashback.beta,表示应用程序可能仍处于测试阶段。PixStealer非常小,只具有最低权限,没有与C“现金返还”功能,该服务名为com.gservice.autobot.Acessibilidade,在授权可访问性服务后,恶意软件显示信息的同时调用并打开PagBank进行同步。受害者打开银行帐户并输入凭据后,恶意软件会通过访问权限单击“显示”按钮来查询受害者的当前余额后进行资金转移。
【参考链接】
https://ti.nsfocus.com/security-news/IlMZ4