绿盟威胁情报周报(20200824~20200830)
2020-09-02 11:21:44 Author: blog.nsfocus.net(查看原文) 阅读量:344 收藏

阅读: 7

一、威胁通告

【发布时间】2020-08-26 10:00:00 GMT

【概述】

8月24日,Qemu更新安全补丁修复了一个虚拟机逃逸漏洞(CVE-2020-14364),此漏洞为QEMU USB模拟器中的数组越界读写造成,漏洞位于./hw/usb/core.c中,当程序处理来自客户机的USB数据包时,如果在do_token_in 与do_token_out中’USBDevice->setup_len’超过了USBDevice->data_buf[4096],则存在此问题。越界后读取某一个堆之后 0xffffffff 的内容,从而强行终止虚拟化进程,进而实现虚拟机逃逸。

【链接】

https://nti.nsfocus.com/threatWarning

二、热点资讯

  1. 伊朗黑客利用Dharma勒索软件攻击企业

【概述】

网络安全公司Group-IB的研究人员发现了一个新的勒索软件活动,该活动据说是由在伊朗的波斯语黑客组织发起。他们针对俄罗斯,日本,印度和中国的企业,利用远程桌面协议(RDP)部署Dharma勒索软件。Dharma勒索软件变体对文件进行加密,从而对公司发​​起攻击。

【参考链接】

  1. API是网络犯罪的下一个前沿领域

【概述】

API使系统更易于运行,也使黑客也更容易攻击。随着API的使用激增,网络犯罪分子越来越多地利用API安全漏洞进行欺诈和窃取数据。API使一切变得更加容易,从数据共享,到系统连接,到关键特性和功能的交付,但它们还使不良行为者(及其部署的不良机器人)更容易进行攻击。

【参考链接】

  1. 美国当局捣毁盗版黑客网络Sparks Group

【概述】

一个名为Sparks Group的版权和侵权黑客犯罪网络,已被美国当局Europol和Eurojust拆除。这个庞大的网络遍布18个国家,这些黑客参与了发布尚未发布的数字内容。不仅如此,而且他们还侵犯了蓝光光盘的版权保护,然后将其复制并上传到在线服务器,开放给所有人复制和分发。自2016年以来,该涉嫌纵容网络侵犯了版权,并在发布日期之前分发了数百部电视节目和电影,最终导致制作公司和工作室损失数百万美元。

【参考链接】

https://www.hackread.com/online-piracy-hackers-network-sparks-group-dismantled/

  1. Advantech WebAccess / NMS的任意文件上传漏洞被利用

【概述】

Advantech WebAccess / NMS是用于网络管理系统(NMS)的基于Web浏览器的软件包。该软件包存在一个任意文件上传漏洞。未经身份验证的远程攻击者,可以通过向目标服务器提交请求来利用此漏洞。成功利用该漏洞可能导致任意文件上传。

【参考链接】

  1. 俄罗斯公民意图向美国公司植入勒索软件,最终被FBI逮捕

【概述】

一位27岁的俄罗斯小伙,借助俄罗斯护照和旅游签证进入了美国 ,随后用WhatsApp帐户联系了美国目标公司的一名员工。他让该名员工帮助他将恶意软件手动安装到该公司的计算机网络中,还要求员工通过分享有关公司基础架构的信息来参与定制恶意软件的开发。该俄罗斯小伙要求安装的恶意软件是为了从该公司的网络中提取数据,使攻击者能在以后威胁该公司,要求该公司支付赎金。最终,该俄罗斯小伙被FBI逮捕。

【参考链接】

https://www.anquanke.com/post/id/215809

  1. 恶意SDK通过iOS应用程序欺诈用户

【概述】

Snyk的IT安全研究人员已经在iOS MintegralAdSDK(也称为SourMint)中发现了恶意功能。Snyk研究人员声称,SourMint除了广告欺诈之外,还损害了iOS用户的隐私。

【参考链接】

https://www.hackread.com/malicious-sdk-defrauding-stealing-ios-apps-data/

  1. 新黑客组织通过3ds Max漏洞进行攻击

【概述】

来自Bitdefender的安全研究人员发现了一个新的黑客组织,该组织目前针对全球公司,将恶意软件隐藏在恶意3Ds Max插件中。8月初,Autodesk发布了有关名为“PhysXPluginMfx”的恶意插件的安全警告,是MAXScript漏洞的一种变体。

【参考链接】

  1. Freepik公司数据泄露与SQL注入攻击有关

【概述】

Freepik公司表示,SQL注入攻击导致Freepik图形资源应用程序和Flaticon图标数据库平台的用户泄露了830万个电子邮件地址和370万个哈希密码。

【参考链接】

https://www.inforisktoday.com/massive-freepik-data-breach-tied-to-sql-injection-attack-a-14880

  1. 警惕Gafgyt僵尸网络对国内Linux服务器及IoT设备的攻击

【概述】

腾讯安全威胁情报中心检测到有境外IP针对国内Linux服务器的远程命令注入攻击。黑客通过批量扫描80、5555、60001端口来发现易受攻击的Linux服务器、android设备以及监控摄像头设备,并利用多个漏洞进行攻击,攻击成功后下载Gafgyt家族僵尸网络木马。

【参考链接】

https://s.tencent.com//research/report/1101.html

  1. Lemon_Duck 加密矿工针对云应用和Linux

【概述】

Lemon Duck加密矿工是的加密劫持者有效载荷之一。创建者不断使用新的威胁向量和混淆技术来更新代码,以逃避检测,并且该矿工本身是“无文件的”,这意味着它保持在内存中,并且在受害者的文件系统上没有留下任何痕迹。

【参考链接】

https://news.sophos.com/en-us/2020/08/25/lemon_duck-cryptominer-targets-cloud-apps-linux/


文章来源: http://blog.nsfocus.net/threat-weekly-report-0902/
如有侵权请联系:admin#unsafe.sh