【威胁通告】44118太阳成城集团威胁情报周报(2022.02.07-2022.02.13)
2022-02-16
一、 威胁通告
微软2月安全更新多个产品高危漏洞通告(CVE-2022-21984、CVE-2022-22005、CVE-2022-21999)
【发布时间】2022-02-09 18:00:00 GMT
【概述】
2月9日,44118太阳成城集团CERT监测到微软发布2月安全更新补丁,修复了48个安全问题,涉及Windows、Microsoft Office、Microsoft Dynamics、Azure等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。
【链接】
https://nti.nsfocus.com/threatWarning
Samba远程代码执行漏洞(CVE-2021-44142)
【发布时间】2022-02-09 17:00:00 GMT
【概述】
近日,44118太阳成城集团CERT监测到网上披露Samba远程代码执行漏洞(CVE-2021-44142),由于Samba的vfs_fruit模块默认配置下允许通过扩展文件属性进行越界堆读写。当smbd解析EA元数据时,对文件扩展属性具有写访问权限的远程攻击者(guest账户或未授权用户)可使用smbd的权限(通常是root)执行任意代码。目前此漏洞已有分析文章公开,请相关用户尽快采取措施进行防护。
【链接】
https://nti.nsfocus.com/threatWarning
二、 热点资讯
1. 沃达丰葡萄牙公司的服务因网络攻击而中断
【标签】企业
【概述】
沃达丰成为网络中断的目标,该网络中断始于 2022 年 2 月 7 日晚,这是一次旨在造成损害和中断的蓄意和恶意网络攻击的结果。一旦发现网络问题的第一个迹象,沃达丰就迅速做出响应以识别、控制和恢复服务。这种情况正在影响基于数据网络的业务提供,例如4G/5G网络、固定语音、电视、短信和语音/数字应答业务。根据沃达丰葡萄牙首席执行官的说法,这次袭击影响了数百万人、企业和公共服务,如救护车服务、消防部门和医院。他表示,紧急服务是恢复通信的优先事项。他告诉记者,事件的幕后黑手并没有要求赎金。
【参考链接】
https://ti.nsfocus.com/security-news/IlNgq
2. 攻击者利用新的NimbleMamba恶意软件攻击中东政府和企业
【标签】企业、政府
【概述】
作为“高度集中的情报收集活动”的一部分,一个与巴勒斯坦结盟的黑客组织使用一种新型恶意软件植入物来攻击中东政府、国际政策智囊团和一家国有航空公司。Proofpoint 研究人员的发现详细说明了 MoleRAT 最近对一个著名且有据可查的讲阿拉伯语的网络组织采取的行动,以及正在安装的一种名为“NimbleMamba”的新情报收集木马。为了验证所有受感染的人都在 TA402 的目标区域内,NimbleMamba 使用了护栏。NimbleMamba 使用 Dropbox API 来控制和数据泄漏。该恶意软件还具有许多使自动化和人工分析更加困难的功能。它不断在创造中,维护良好,并适合用于高度集中的情报收集计划。
【参考链接】
https://ti.nsfocus.com/security-news/IlNg9
3. 攻击者利用FritzFrog僵尸网络攻击医疗、教育和政府部门
【标签】医疗、政府
【概述】
FritzFrog 僵尸网络通过新的 P2P 活动重新出现,仅在一个月内增长了 10 倍。FritzFrog 是2020 年 1 月发现的点对点僵尸网络 。在八个月的时间里,该僵尸网络成功攻击了至少 500 台政府和企业 SSH 服务器。用 Golang 编程语言编写的 P2P 僵尸网络本质上是去中心化的,它将尝试暴力破解服务器、云实例和其他设备——包括路由器——在互联网上暴露了入口点。周四,来自Akamai Threat Labs的网络安全研究人员表示,尽管在上一次攻击浪潮之后已经平静下来,但自 12 月以来,僵尸网络以指数级的增长再次出现。
【参考链接】
https://ti.nsfocus.com/security-news/IlNg8
4. 俄罗斯 APT 黑客使用 COVID-19 诱饵瞄准欧洲外交官
【标签】政府
【概述】
作为 2021 年 10 月和 2021 年 11 月发起的一系列鱼叉式网络钓鱼活动的一部分,被称为 APT29 的与俄罗斯有关的威胁行为者针对欧洲外交使团和外交部。根据与 The Hacker News 共享的 ESET 的T3 2021 威胁报告,入侵为在受感染系统上部署 Cobalt Strike Beacon 铺平了道路,随后利用立足点投放了额外的恶意软件,以收集有关主机和其他机器的信息。网络。鱼叉式网络钓鱼攻击始于冒充伊朗外交部的以 COVID-19 为主题的网络钓鱼电子邮件,其中包含一个 HTML 附件,当打开该附件时,会提示收件人打开或保存看似 ISO 磁盘映像文件的内容。
【参考链接】
https://ti.nsfocus.com/security-news/IlNfN
5. 外交部遭遇“严重网络安全事件”
【标签】医疗、政府
【概述】
公开招标文件显示英国外交部成为“严重网络安全事件”的目标,但细节尚未披露。外交部遭遇了一起重大的网络安全事件,导致其网络安全承包商 BAE Systems Applied Intelligence 以“极其紧急的方式”获得了额外的支持。Stack 最先披露了这次攻击的消息,称政府只是通过公开招标公告披露了影响外交、联邦和发展办公室 (FCDO) 的“严重网络安全事件”的存在。没有关于攻击发生的时间、攻击的类型、造成的损害等信息,因为细节尚未公开披露。
【参考链接】
https://ti.nsfocus.com/security-news/IlNfM
6. 俄罗斯APT加强乌克兰的恶意网络活动
【标签】政府
【概述】
一个活跃了近十年的俄罗斯高级持续性威胁组织最近在乌克兰加强了恶意网络攻击活动,这是地缘政治紧张局势如何经常蔓延到网络领域的另一个例子。对于组织而言,这些攻击提醒他们为什么需要密切关注位于该地区的系统,并在它们成为目标时采取措施遏制损害。研究人员上周发布了关于他们观察到的与 Actinium 相关的近期网络间谍活动的单独报告,被认为与俄罗斯联邦安全局(FSB)有关。
【参考链接】
https://ti.nsfocus.com/security-news/IlNfy
7. 攻击者利用勒索软件对Kronos Ransomware 发起攻击
【标签】企业
【概述】
12 月,人力资源管理平台 Ultimate Kronos Group (UKG) 遭到勒索软件攻击,6,632 名 Puma 员工的数据被盗。可能暴露的数据包括姓名、社会安全号码和其他个人信息。攻击袭击了用于托管多个云应用程序的 Kronos 私有云服务,包括银行调度解决方案、医疗保健扩展、UKG TeleStaff 和 UKG Workforce Central。Puma 是该公司受安全漏洞影响的客户之一。
【参考链接】
https://ti.nsfocus.com/security-news/IlNfw
8. ACTINIUM黑客组织针对政府、军队和非政府组织窃取敏感数据
【标签】政府
【概述】
一个名为 Gamaredon 的网络安全黑客组织 正在创建一系列鱼叉式网络钓鱼电子邮件。但是,在最近的事件中,已经检测到 ACTINIUM 黑客组织的运营商正在针对以下乌克兰部门窃取敏感数据:政府、军队、非政府组织、司法、执法。该威胁组织持续以乌克兰实体和与乌克兰有关的所有其他组织为目标。自 2021 年 10 月以来,黑客组织一直在发起此类攻击。
【参考链接】
https://ti.nsfocus.com/security-news/IlNfx
9. Swissport 遭遇勒索软件攻击导致航班延误
【标签】交通
【概述】
Swissport 周五在 Twitter 上警告其 IT 基础设施受到了勒索软件的攻击,并对服务交付造成的任何影响表示歉意。#Swissport 的 IT 安全事件得到了控制,受影响的基础设施迅速下线。手动解决方法或备用系统始终确保操作安全。现在正在进行全面的系统清理和恢复。
【参考链接】
https://ti.nsfocus.com/security-news/IlNfz
10. Roaming Mantis SMSishing 活动针对欧洲发起攻击
【标签】
【概述】
Roaming Mantis 是一种凭证盗窃和恶意软件活动,它利用 smishing 以 APK 文件的格式分发恶意 Android 应用程序。安全研究员的调查 表明,这次攻击的目标是亚洲用户,使用针对英语、韩语、简体中文和日语定制的虚假网站。受影响最大的用户位于孟加拉国、日本和韩国。现在,Roaming Mantis SMS网络钓鱼活动针对德国和法国的 Android 和 iPhone 用户使用恶意应用程序和网络钓鱼页面。
【参考链接】
https://ti.nsfocus.com/security-news/IlNfv
