【威胁通告】AG公司科技威胁情报周报（2021.05.10-2021.05.16）

2021-05-17

一、威胁通告

HTTP 协议栈远程代码执行误差（CVE-2021-31166）

【宣布时间】2021-05-12 16:00:00 GMT

【概述】

5 月 12 日，AG公司科技监测到微软官方宣布 5 月清静更新补丁，其中修复了一个 HTTP 协议栈远程代码执行误差（CVE-2021-31166），该误差保存于 HTTP 协议栈(http.sys) 的处置惩罚程序中，未经身份验证的远程攻击者可通过向目的主机发送特制数据包来举行使用，从而在目的系统上以内核身份执行恣意代码。CVSS 评分为 9.8，微软体现此误差可用于蠕虫式传。

【链接】

https://nti.nsfocus.com/threatWarning

微软 2021年5月清静更新多个产品高危误差

【宣布时间】2021-05-12 16:00:00 GMT

【概述】

5 月 12 日，微软宣布 5 月清静更新补丁，修复了 55 个清静误差，涉及 Windows、Microsoft Office、Exchange Server、Visual Studio Code、Internet Explorer 等普遍使用的产品，其中包括远程代码执行和权限提升等高危误差类型。

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. 从油气管道公司被勒索，剖析DARKSIDE类组织对要害信息基础设施的影响及应对步伐

【概述】

外地时间5月7日，美国最大的燃油管道运营商Colonial Pipeline因受到勒索软件攻击被迫关闭了其美国东部沿海各州供油的要害燃油网络。此次勒索攻击使美国三个区域受到了断油的影响，共涉及17个州。5月9日，联邦汽车运输清静治理局（FMCSA）宣布区域紧迫状态声明，放宽了17个州和哥伦比亚特区对携带汽油、柴油、喷气燃料和其他精炼石油产品运输司机的服务时间划定。允许他们特殊或更无邪的事情时间，以减轻管道中止导致有关燃料欠缺的影响。BBC称多个新闻泉源证实，是一个名为DarkSide的网络犯法团伙举行了此次勒索攻击。该团伙在周四入侵了Colonial的网络，并窃取了近100GB的数据，以威胁若是不在周五前支付赎金会将其走漏到互联网。

【参考链接】
https://ti.nsfocus.com/security-news/4qYGg

2. ICEDID针对金融机构的最新运动

【概述】

前段时间，AG公司科技伏影实验室捕获到一批相似度十分靠近的样本。我们对这批样本举行了一连跟踪，并举行了周全的剖析，发明其为ICEDID最新运动，本次运动中攻击者新构了一种恶意软件加载器Gziploader。该类样本在2021年3月中旬最先大宗活跃，样本数目众多，主要通过垃圾邮件或垂纶邮件的方法举行撒播。

【参考链接】
https://ti.nsfocus.com/security-news/4qYGg

3. Operation TunnelSnake使用后门举行特工运动

【概述】

Operation TunnelSnake高级一连威胁运动正在举行中，该运动使用一个名为Moriya的Windows rootkit安排一个被动后门来监视受害者，在受害组织内部面向公众的服务器上开展的运动是为了监视网络流量，并向受影响的主机发送下令。据卡巴斯基报道，攻击者使用的是特权植入物，这些植入物通常被用作驱动程序。Moriya Rootkit最初于2019年10月和2020年5月在亚洲和非洲的区域外交组织网络上被发明。研究职员说，这些熏染在目的网络中一连了几个月。

【参考链接】

https://ti.nsfocus.com/security-news/4qYFY

4. Babuk勒索软件团伙泄露华盛顿警方数据

【概述】

最近由Babuk勒索软件团伙泄露的文件包括26GB的纪录，泄露的数据来自华盛顿警员局，该警局愿意支付10万美元已避免被盗数据泄露，未知足Babuk勒索软件团伙要求的400万美元赎金。Babuk勒索软件团伙从该部分的网络中窃取了近250 GB的未加密文件，该数据库包括情报简报、视察报告、纪律处分和拘捕数据。

【参考链接】

https://ti.nsfocus.com/security-news/4qYG0

5. Android恶意软件冒充Chrome应用撒播病毒

【概述】

针对Android装备的攻击会自我撒播，并可能造成一系列损害。在已往几周内，一个冒充Chrome应用的新Android恶意软件已经伸张到数十万人。这款恶意应用程序被用作一场重大网络攻击运动的一部分，威胁行为者从受熏染装备每周发送凌驾2,000条的SMS新闻，旨在使用移动网络垂纶窃取小我私家感敏信息和凭证。

【参考链接】

https://ti.nsfocus.com/security-news/ruT9

6. 黑客针对使用Adobe Reader的Windows用户

【概述】

Adobe 2021年5月的清静更新在Experience Manager、InDesign、Illustrator、InCopy、Adobe Genuine Service、Acrobat和Reader、Magento、Creative Cloud Desktop、Media Encoder、Medium和Animate中至少解决了43个CVE。上述缺陷中的5个是通过ZDI程序报告的。其中一个问题被追踪为CVE-2021-28550，它是一个影响Adobe Reader for Windows的免费使用后内存损坏缺陷，该缺陷已在有限的攻击中被普遍使用。

【参考链接】

https://ti.nsfocus.com/security-news/4qYFL

7. Avaddon勒索软件攻击增添

【概述】

据联邦视察局FBI和澳大利亚网络清静中心ACSC称，攻击者正在使用Avaddon勒索软件攻击美国、澳大利亚和其他地方的差别组织。这些机构忠言说，正在举行的运动针对制造商、航空公司、医疗保健机构和其他机构。Avaddon勒索软件最初是在俄语黑客论坛上作为一种勒索软件即服务产品举行推广的，随后被用于网络犯法运动，该勒索软件通过网络垂纶和恶意垃圾邮件运动举行撒播，这些运动提供了恶意的JavaScript文件。

【参考链接】

https://ti.nsfocus.com/security-news/4qYFM

8. WallStreetBets论坛成员因加密钱币诈骗损失200万美元

【概述】

WallStreetBets (WSB)论坛的部分成员成为加密钱币诈骗运动的受害者，威胁行为者诱使购置一种称为WSB Finance的新型加密钱币代币，要求将Binance Coins（称为BNB）或以太币发送至指定加密钱币钱包，然后与Telegram上的“代币机械人”联系，吸收WSB Finance，接下来在Telegram上告诉已经汇款的人，由于机械人问题，需要再次汇出相同的金额，不然将会失去最初的投资。此次诈骗运动是一些用户遭受200美元的损失。

【参考链接】

https://ti.nsfocus.com/security-news/ruSN

9. 恶意垃圾邮件运动使用Hancitor下载Cuba勒索软件

【概述】

威胁行为者正起劲使用Hancitor来安排Cuba勒索软件，从而起源进入目的网络，一旦受害者的装备被乐成入侵，若是赎金要求没有获得知足，就会使用Cuba勒索软件专门的数据泄露网站宣布被泄露的数据。古巴勒索软件至少从2020年1月起就最先活跃，其运营商拥有DLS网站，他们在该网站上宣布了拒绝支付赎金的受害者的敏感数据，主要来自自航空、金融、教育和制造业公司的敏感信息。

【参考链接】

https://ti.nsfocus.com/security-news/ruSP

10. XcodeGhost恶意软件影响1.28亿iOS用户

【概述】

自2015年以来一直活跃的污名昭著的XcodeGhost恶意软件大规模熏染已影响了1.28亿iOS用户。大规模黑客入侵是由于App Store中提供了4000个恶意应用程序，效果发明这些应用程序包括XCodeGhost恶意软件。威胁行为者使用XcodeGhost来接受受害者的移动装备，能够窃取凭证、挟制用户的流量并窃取iCloud密码。

【参考链接】

https://ti.nsfocus.com/security-news/ruTc

<<上一篇

【威胁通告】AG公司科技威胁情报月报（2021年4月）

>>下一篇

【威胁通告】AG公司科技威胁情报周报（2021.05.17-2021.05.23）