绿盟科技威胁周报(2022.11.28-2022.12.04)
2022-12-12 17:19:40 Author: blog.nsfocus.net(查看原文) 阅读量:17 收藏

阅读: 21

一、 威胁通告

  • Snapd本地权限提升漏洞(CVE-2022-3328)

【发布时间】2022-12-02 19:00:00 GMT

【概述】

12月2日,绿盟科技CERT监测到Qualys发布了一个存在于Snapd中的本地权限提升漏洞(CVE-2022-3328)。由于snap-confine 中的must_mkdir_and_open_with_perms()函数中存在条件竞争漏洞,拥有普通用户权限的攻击者通过结合Multipath权限提升漏洞(CVE-2022-41974)与Multipath符号连接漏洞(CVE-2022-41973),可将/tmp目录绑定到文件系统中的任意目录,最终可实现将普通用户权限提升至ROOT权限。CVSS评分为7.8,目前漏洞细节已公开,请相关用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatWarning

二、 热点资讯

  1. 黑客利用诈骗软件对用户进行敏感信息窃取

【标签】不区分行业

【概述】

Google Play 和 Apple App Store 上的 280 多个 Android 和 iOS 应用程序以具有欺诈性的条款使用户陷入贷款漩涡,并采用各种方法对借款人进行勒索和骚扰。为了实现该行为的勒索企图,这些应用程序从手机中窃取了通常贷款不需要提供的大量隐私数据。安全研究员说,在安装欺诈性贷款应用程序后,用户被要求授予风险权限,使欺诈者能够访问设备上的敏感信息,如联系人列表、短信内容、照片、媒体等。在他们进行贷款后,由于大部分人无力偿还,应用程序运营商则开始利用第一阶段窃取的数据对他们进行骚扰,从通讯录中联系他们的家人和朋友并透露债务情况,甚至运营商将从用户设备上盗取的图片经过编辑发送给联系人,对贷款人造成极大的困扰。对此,安全研究院表示,他们还需要进行更多的检查,以防止这些应用程序的运营商以不同的名字重新向应用程序商店提交这类应用程序。同时提醒用户在下载时也应该保持警惕,防止不合规的条款盗取自身的信息。

【参考链接】

https://ti.nsfocus.com/security-news/IlOe3

  1. LastPass再次被黑客攻击导致客户数据泄露

【标签】不区分行业

【概述】

LastPass最近在其使用的第三方云存储服务中检测到一些异常活动,此存储服务器在 LastPass 和 GoTo 之间共享 (以前称为 LogMeIn)。与此同时,该公司还开始了自己的调查,该公司发现了攻击的起源,并追踪其范围。他们根据调查认为新的安全事件与数据泄露直接相关。新的安全事件中威胁行为者利用上次黑客攻击的信息来访问LastPass客户数据的某些元素。因为该公司不会将其解密密钥存储在其服务器上,这些密钥保存在最终用户的设备上,保管库是端到端加密的。由于 LastPass 本身无法访问加密密钥, 这可能意味着密码保管库的内容是安全的,所以他们表示,黑客没有窃取其用户的密码。值得注意的是,LastPass尚未透露有关违规行为的进一步细节,他们仍在调查事件的范围,以确定黑客究竟访问了用户的哪些数据。

【参考链接】

https://ti.nsfocus.com/security-news/IlOdX

  1. 朝鲜ScarCruft APT组织利用新海豚后门攻击韩国

【标签】政府

【概述】

安全研究员发现了一个名为Dolphin的以前未记录的后门,该后门被与朝鲜有关的ScarCruft组织(又名APT37,Reaper和Group123)用于针对韩国目标的攻击。安全研究员表示,Dolphin 后门支持广泛的间谍功能,包括监控驱动器和便携式设备以及泄露感兴趣的文件、键盘记录和截屏以及从浏览器窃取凭据。该后门用于针对选定的目标,它是使用不太复杂的恶意软件提供的。海豚滥用Google云端硬盘云存储进行命令和控制通信。在他们的调查过程中,他们发现后门的持续发展以及恶意软件作者试图逃避检测,经过他们分析的早期Dolphin版本的一个显着功能是能够修改受害者登录的Google和Gmail帐户的设置以降低其安全性,最有可能保持对受害者电子邮件收件箱的访问。安全研究员表示,该后门能够修改受害者登录的Google和Gmail帐户的设置,以降低其安全性并避免检测。

【参考链接】

https://ti.nsfocus.com/security-news/IlOdV

  1. 荷兰软件公司敏感数据遭泄露

【标签】互联网

【概述】

安全研究人员发现荷兰软件公司 ENC Security一直在泄露关键业务数据。安全研究员表示。该公司已经泄露其配置和证书文件一年多了,泄露的数据对威胁行为者来说简直就是一座金矿。但该公司表示,第三方供应商的错误配置导致了这个问题,并在收到通知后立即修复了它。泄漏服务器中的数据包括销售渠道的简单邮件传输协议(SMTP)凭据,单一支付平台的Adyen密钥,电子邮件营销公司的Mailchimp API密钥,许可支付API密钥,HMAC消息身份验证代码以及以.pem格式存储的公钥和私钥。

【参考链接】

https://ti.nsfocus.com/security-news/IlOdH

  1. 亚洲航空公司遭到勒索软件攻击

【标签】航空运输业

【概述】

亚洲航空集团遭到了Daixin Team团伙的勒索软件攻击。该团伙告诉DataBreaches网站,他们已获得了500万乘客和所有雇员的个人数据。令人唏嘘的是,目前不知道Daixin Team索要多少赎金,才肯提供解密密钥、删除他们窃取的所有数据,并将已发现和已利用的漏洞通知亚洲航空集团。该团伙表示在锁定文件时,他们避免了锁定XEN和RHEL,这些是飞行设备(雷达、空中交通管制等设备)的主机。如果攻击的后果可能危及生命,他们会避免加密或销毁任何东西。该团伙补充说明到,除了在他们专门的泄露网站上泄露乘客和雇员的数据外,该团伙计划在黑客论坛上私下免费提供有关亚洲航空网络的信息,包括后门,而他们并不打算为未来的负面后果承担责任。DataBreaches分别于昨天和今天上午向亚洲航空集团的数据保护主管发送了电子邮件,但均未收到回复。

【参考链接】

https://ti.nsfocus.com/security-news/IlOcj

  1. 黑客在黑色星期五销售期间构建欺诈网站并窃取用户数据

【标签】不区分行业

【概述】

威胁行为者正在托管以黑色星期五主题为中心的恶意活动网站,电子商务、加密货币和旅游是首要目标。研究人员发现,各种语言的网络犯罪论坛上充斥着关于黑色星期五的讨论。 根据相关安全研究人员的说法,他们还发现了一个以太坊赠品诈骗网站,虽然一些行为者宣传他们的恶意服务与活动,但其他人则试图使用它们。该安全研究员补充到,受损的个人身份信息(PII)和银行凭证可用于执行未经授权的交易和社会工程攻击。他们冒充合法网站、谷歌、Facebook广告服务以及恶意应用程序的传播都是常见的攻击类型。这一调查表明,网站克隆是各种复杂程度的黑客用来托管合法网站的虚假副本的常用技术。标志性的黑色星期五促销现已成为全球主题,各种级别和专业知识的网络犯罪分子都试图发起恶意活动。而这些活动中的大多数歪曲或冒充提供销售和服务的流行品牌和公司,以欺骗公众。对此,安全研究人员告诫不要接受免费赠品、有吸引力的交易或看似可疑的第三方解决方案。

【参考链接】

https://ti.nsfocus.com/security-news/IlOdd

  1. 印度最大的医院AIIMS遭到勒索软件攻击导致业务中断

【标签】医疗

【概述】

印度最大公立医院之一AIIMS遭到疑似勒索软件攻击,此次中断影响到数百位使用基础医疗保健服务的患者和医生,波及患者入院、出院和计费等系统。医院方面表示,此次网络攻击是因为黑客修改了受感染文件的扩展名。AIIMS管理人员接受采访时表示,由于负责记录患者数据的服务器停止工作,该机构只能转向手动操作,包括手写病患记录。中断还导致排队周期延长,应急处置工作也开始出现失误。一位住院医生表示,有很多采血样本无法发送,没法进行影像学研究,也看不到之前的报告和图像。大量操作只能以手动方式完成,但这样既耗时也更容易出错。据相关新闻报道显示,印度国家信息中心的一支团队正与印度计算机应急响应小组密切合作,帮助AIIMS尽快恢复系统。与此同时,包括中央调查局和德里警局情报整合与战略行动部在内的多个执法机构,也在着手调查这起事件的幕后黑手。警方已经就此事提出正式控告,但目前还不清楚的是,恶意黑客能否访问到患者的细节数据。

【参考链接】

https://ti.nsfocus.com/security-news/IlOd7

  1. APT-C-09(摩诃草)组织针对巴基斯坦最新攻击活动

【标签】政府

【概述】

APT-C-09(摩诃草)(又称白象、Patchwork、Dropping Elephant)是一个疑似具有南亚国家背景的APT组织,从2015年至今,该组织一直处于活跃状态,长期保持着针对巴基斯坦等周边国家的政府、医疗、军事、科研等领域的网络攻击活动。该组织善于抓住热点事件及政府工作会议作为诱饵,并采用鱼叉式网络攻击手段投递攻击载荷,本次捕获的样本以2022年总理赈灾基金和跨部门研讨会的AML/CFT报名表格为诱饵,释放BADNEWS最新变种木马程序进行窃密行动。此外,本次攻击活动主要以巴基斯坦为攻击目标,载荷加入了巴基斯坦时区校验以及更可靠的加密方式,并且ShellCode加入反调试手段。相关安全研究院表示该组织在本次攻击中投递带有CVE-2017-11882漏洞的恶意RTF文档,并携有伪装内容。该安全研究院补充道,该组织不会因为一次攻击行动的暴露而停止活动,反而会持续更新其载荷,后期其也将持续关注该组织的攻击武器。

【参考链接】

https://ti.nsfocus.com/security-news/IlOd3

  1. 黑客利用 RansomBoggs勒索软件袭击了乌克兰实体

【标签】政府

【概述】

安全研究人员观察到针对乌克兰组织的多次攻击,涉及一个新的勒索软件系列,被跟踪为RansomBoggs勒索软件。该安全研究院首次检测到攻击后就立即向相关安全部门发出警报。他们发现勒索软件是用.NET编写的,相关安全研究员注意到部署类似于以前归因于与俄罗斯有关的Sandworm APT组织的攻击。该组织还是NotPetya勒索软件的作者,该勒索软件曾袭击过全球数百家公司,造成了数十亿美元的损失。根据该安全研究院的进一步调查,该黑客组织使用 PowerShell 脚本传播勒索软件,其被该研究院跟踪为POWERGAP,并用于在四月份针对乌克兰实体的攻击中部署CaddyWiper雨刮器。而使用的勒索软件在CBC模式下使用AES-256加密文件,并将.chsch扩展名附加到加密文件中,然后密钥被 RSA 加密并写入 aes.bin。该安全研究院还表示名为Prestige的勒索软件针对乌克兰和波兰实体发起的类似恶意活动,该活动也是因为Sandworm APT组织。

【参考链接】

https://ti.nsfocus.com/security-news/IlOcN

  1. 伊朗法尔斯通讯社网站被黑客入侵

【标签】政府

【概述】

来自Black Reward Team的黑客还声称已从该网站的服务器和计算机上删除了近250TB的数据。黑客还声称已经获得了新闻社发送给最高领袖办公室的机密公告和指令。被攻击的法尔斯是由伊斯兰革命卫队(IRGC)管理的伊朗政府支持的新闻机构。根据黑客组织发布的消息,受损数据还包括录音电话、与行政对话和新闻文件夹相关的内部门户信息、图像档案以及新闻机构的财务文件。黑客还发布了一段视频关于该机构的一名记者在该机构的办公室的不雅行为。此外,这不是该黑客团伙第一次攻击国家或支持它的机构。据 相关新闻报道显示,该组织之前就已入侵过伊朗核电生产和开发公司的电子邮件系统,并威胁说,如果政府不停止镇压抗议者,将公布其文件。对此,法尔斯否认了黑客所描述的黑客攻击的程度。

【参考链接】

https://ti.nsfocus.com/security-news/IlOcf

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。


文章来源: http://blog.nsfocus.net/weeklyreport49/
如有侵权请联系:admin#unsafe.sh