昨日,明朝万达安元实验室发布了2021年第四期《安全通告》。
该份报告收录了今年4月最新的网络安全前沿新闻和最新漏洞追踪,其中重点内容包括:
网络安全前沿新闻
—— news ——
Asteelflash电子制造商遭遇勒索软件攻击
日期: 2021年04月02日
等级: 高
涉及组织: Asteelflash
法国领先的电子制造服务公司Asteelflash遭到了REvil勒索软件团伙的网络攻击,该团伙要求支付2400万美元的赎金,REvil允许攻击者访问Tor协商页面进行网络攻击。
一种Android恶意软件隐藏为系统更新应用程序来监视你
日期: 2021年03月29日
等级: 高
涉及组织: whatsapp
研究人员发现了一种新的“复杂的”安卓间谍软件应用程序,将自己伪装成软件更新。该恶意软件是一种远程访问特洛伊木马(RAT),能够窃取GPS数据和短信、联系人列表、通话日志、获取图像和视频文件、秘密录制基于麦克风的音频、劫持移动设备的摄像头拍照、查看浏览器书签和历史记录、窃听电话、窃取手机上的操作信息,包括存储统计数据和已安装应用程序的列表,即时通讯内容也面临风险。
相关安全建议
1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
2. 条件允许的情况下,设置主机访问白名单
3. 及时对系统及各个服务组件进行版本升级和补丁更新
4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
5. 各主机安装EDR产品,及时检测威胁
Facebook5.33亿用户数据被发布
日期: 2021年04月03日
等级: 高
涉及组织: facebook
5.53亿Facebook用户的数据,包括电话号码、Facebookid、全名、出生日期和其他信息都被发布在网上。安全公司哈德逊洛克(hudsonrock)的首席技术官阿隆加尔在推特上发布了这个数据。加尔公布了受影响用户的国家名单,根据他的名单,美国有3230万受影响用户,英国有1150万。
MobiKwik遭遇重大漏洞,350万用户KYC数据曝光
日期: 2021年03月29日
涉及组织: twitter, tor browser, linkedin
印度移动支付服务MobiKwik在2021年3月初发现重大数据泄露事件后,数百万用户共8.2TB的数据开始在暗网上流传。
泄露的数据包括敏感的个人信息,如:客户姓名、散列密码、电子邮件地址、住宅地址等。
相关安全建议
1. 严格控制数据访问权限
2. 发生数据泄漏事件后,及时进行密码更改等相关安全措施
3. 及时检查并删除外泄敏感数据
50万华为用户感染了Joker Android恶意软件
日期: 2021年04月13日
等级: 高
涉及组织: 华为
DoctorWeb的分析师宣称,他们最近在华为设备的官方应用商店AppGallery中发现了JokerAndroid恶意软件,该恶意软件被认定为Android多功能木马。Joker家族会诱骗Android用户为其所有的移动服务付费,据报道,超过50万的华为智能手机用户从该公司的官方Android商店下载了受感染的应用程序。
Capcom勒索事件攻击报告
日期: 2021年04月13日
等级: 高
涉及组织: Capcom
CapCom是日本电视游戏软件公司,旗下有《街头霸王》、《洛克人》、《生化危机》等有名气的作品。该公司在2020年11月遭遇RagnarLocker勒索病毒攻击,被窃取1TB敏感数据,并被索要1100万美元作为赎金,该公司一直都未曾主动联系过黑客协商赎金支付问题,其数据也在被勒索的几周后被泄露。
近日,该公司宣布,经过研究人员对网络设备的分析调查,此次攻击事件黑客是通过攻击Capcom位于北美加州子公司的一个旧VPN备份进入了Capcom的内部。2020年11月1日,攻击者从该设备转向美国和日本办公设备。
针对加密货币的自动攻击行为
日期: 2021年04月03日
等级: 高
涉及组织: github
攻击者滥用GitHubActions,并在攻击中使用GitHub的服务器来挖掘加密货币。GitHubActions是一个CI/CD解决方案,可轻松实现所有软件工作流程的自动化和定期任务的设置。
这种特殊的攻击将恶意的GitHubActions代码添加到了合法代码的分叉存储库中,并进一步为原始存储库维护者创建了一个PullRequest,以将代码合并回去,合法项目的维护者不需要执行操作就可以使攻击成功,以此来更改原始代码。
相关安全建议
1. 积极开展外网渗透测试工作,提前发现系统问题
2. 及时对系统及各个服务组件进行版本升级和补丁更新
3. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
4. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
美国和英国指责俄罗斯情报部门黑客发动重大网络攻击
日期: 2021年04月15日
等级: 高
据美国和英国称,为俄罗斯对外情报局工作的黑客是太阳风攻击、针对Covid-19研究设施等的网络间谍活动的幕后黑手。美国的指控来自国家安全局(NSA)、网络安全和基础设施安全局(CISA)和联邦调查局(FBI)的联合咨询,其中还描述了俄罗斯对外情报局(SVR)正在利用VPN服务中的五个众所周知的漏洞。英国也将这些袭击归咎于俄罗斯情报部门。
相关安全建议
1. 积极开展外网渗透测试工作,提前发现系统问题
2. 及时对系统及各个服务组件进行版本升级和补丁更新
3. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
4. 注重内部员工安全培训
网络安全最新漏洞追踪
—— vulnerability tracking ——
Monero加密货币活动利用ProxyLogon缺陷
日期: 2021年04月18日
等级: 高
涉及组织: microsoft
Sophos研究人员报告说,攻击者利用ProxyLogon漏洞,攻击Exchange服务器并部署恶意Monerocryptominer。攻击始于PowerShell命令,该命令从另一台受感染服务器的OutlookWebAccess登录路径(/owa/auth)检索名为win_r.zip的文件。然后该脚本调用Windows内置的certutil.exe程序来下载另外两个文件,即win_s.zip和win_d.zip,之后下放病毒。
涉及漏洞
– CVE-2021-26855
– CVE-2021-27065
相关安全建议
1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
2. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
3. 条件允许的情况下,设置主机访问白名单
4. 及时对系统及各个服务组件进行版本升级和补丁更新
5. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
6. 各主机安装EDR产品,及时检测威胁
伪造的jQuery文件会在WordPress网站上加载被混淆的恶意软件
日期: 2021年03月31日
等级: 高
涉及组织: wordpress
JQueryMigrate插件的假冒版本被注入了数十个网站,其中包含用于加载恶意软件的模糊代码。攻击者可以获得各种各样的能力,包括用于信用卡浏览的Magecart诈骗,以及将用户重定向到诈骗网站,用户可能会被引导到虚假调查,技术支持诈骗,被要求订阅垃圾邮件通知或下载不需要的浏览器扩展。
成千上万的项目受到netmask npm包漏洞的影响
日期: 2021年03月30日
等级: 高
涉及组织: npm
netmasknpm软件包中的漏洞(编号为CVE-2021-28918)可能使专用网络遭受多种攻击。
该漏洞是由于netmasknpm软件包中八进制字符串的输入验证不正确引起的,它影响了1.1.0版本。
在广泛使用的netmasknpm包v1.1.0及以下版本中,不正确的八进制字符串输入允许未经身份验证的远程攻击者对许多依赖的包执行SSRF、RFI和LFI攻击。
涉及漏洞
– CVE-2021-28918
相关安全建议
1. 及时对系统及各个服务组件进行版本升级和补丁更新
2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
NAME:WRECK DNS漏洞影响超过1亿台设备
日期: 2021年04月13日
等级: 高
涉及组织: Siemens
2021年4月13日,安全研究人员披露了九个漏洞,这些漏洞影响在至少1亿个设备上运行的TCP/IP网络通信堆栈中的域名系统协议的实现。主要为以下设备
-FreeBSD(漏洞版本:12.1):BSD系列中最流行的操作系统之一
-IPnet(漏洞版本:VxWorks6.6):由Interpeak最初开发,由WindRiver维护,并由VxWorks实时操作系统(RTOS)使用
-NetX(漏洞版本:6.0.1):是ThreadXRTOS的一部分,是Microsoft维护的一个开源项目,名称为AzureRTOSNetX
-NucleusNET(漏洞版本:4.3):由西门子业务MentorGraphics维护的NucleusRTOS的一部分,用于医疗,工业,消费类,航空航天和物联网设备
涉及漏洞
– CVE-2020-7461
– CVE-2016-20009
– CVE-2020-15795
– CVE-2020-27009
– CVE-2020-27736
– CVE-2020-27737
– CVE-2020-27738
– CVE-2021-25677
工业系统以太网/IP堆栈中报告严重错误
日期: 2021年04月26日
等级: 高
美国网络安全和基础设施安全局(CISA)发布警告称,开放式以太网/IP协议栈中存在多个漏洞,可能使工业系统遭受拒绝服务(DoS)攻击、数据泄漏和远程代码执行。2021年2月10日之前的所有版本都会受到影响。
涉及漏洞
– CVE-2021-27478
– CVE-2021-27482
– CVE-2021-27500
– CVE-2021-27498
– CVE-2020-13556
相关安全建议
1. 及时对系统及各个服务组件进行版本升级和补丁更新
2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
3. 受到网络攻击之后,积极进行攻击痕迹、遗留文件信息等证据收集
持续关注网络安全,获取《明朝万达2021年4月安全通告》全文请关注“明朝万达”! |
发表于 2021-5-2 03:01:17
收藏