【威胁通告】AG公司科技威胁情报周报（2021.05.24-2021.05.30）

2021-06-01

一、威胁通告

VMware VCenter Server 远程代码执行误差

【宣布时间】2021-05-26 22:00:00 GMT

【概述】

2021 年 5 月 26 日，AG公司科技 CERT 监测到 VMware 官方宣布清静通告，修复了 VMware vCenter Server 远程代码执行误差（CVE-2021-21985）和 vCenter Server 插件中的身份验证绕过误差（CVE-2021-21986）；由于 vCenter Server 中的插件 Virtual SAN Health Check 缺少输入验证，通过 443 端口会见 vSphere Client(HTML5)的攻击者，可以结构特殊的数据包在目的主机上执行恣意代码。无论是否使用 vSAN，vCenter Server 都会默认启用该受影响的插件，CVSS 评分为 9.8，请相关用户接纳步伐举行防护。

【链接】

https://nti.nsfocus.com/threatWarning

Nginx DNS 剖析程序误差

【宣布时间】2021-05-26 22:00:00 GMT

【概述】

2021 年 5 月 26 日，AG公司科技 CERT 监测到 Nginx 宣布清静通告，修复了 nginx 剖析器中的一个 DNS 剖析程序误差（CVE-2021-23017），由于 ngx_resolver_copy()处置惩罚 DNS 响应时保存过失，当nginx 设置文件中使用了“ resolver”指令时，未经身份验证的攻击者能够伪造来自DNS 服务器的 UDP 数据包，结构特制的 DNS 响应导致 1 字节内存笼罩，从而造成拒绝服务或恣意代码执行。现在已有细节信息披露，请相关用户接纳步伐举行防护。

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. REvil风云再起，APT式勒索爆发

【概述】

2021年5月，AG公司科技CERT监测到REvil/Sodinokibi勒索家族的多起运动，REvil为Ransomware Evil（又称Sodinokibi）的缩写，是一个私人勒索软件即服务（RaaS）组织。于2019年4月首次被发明，在一年内就已被用于一些着名网络攻击，2019年8月的PerCSoft攻击，2020年1月的Travelex勒索软件攻击，及2020年1月的Gedia Automotive攻击等事务。近期，该组织入侵了苹果公司的供应商，并窃取了苹果公司即将推出的产品神秘原理图。大都网络清静专家以为，REvil是以前一个污名昭著但已驱逐的黑客团伙GandCrab的分支。该推测源于REvil在GandCrab阻止运营后连忙最先运动，且二者使用的勒索软件保存大宗共享代码。

【参考链接】
https://ti.nsfocus.com/security-news/4qYIS

2. 音响装备巨头Bose遭勒索软件攻击

【概述】

Bose透露，2021年3月上旬他们履历了一场网络攻击，破损了一些IT系统，并于2021年4月29日确定网络攻击的肇事者可能会见了少量内部电子表格，其中包括人力资源部分维护的治理信息。其时一旦发明攻击，Bose启动了须要的事务响应协议，包括其手艺团队以避免恶意软件进一步撒播，并增强对未经授权的运动的防御。受此次网络攻击影响的数据包括社会清静号码、员工姓名和薪酬数据。

【参考链接】

https://ti.nsfocus.com/security-news/4qYHY

3. 印度最大航空公司450万名旅客信息泄露

【概述】

2021年2月，印度最大航空公司—印度航空公司（Air India）的旅客服务系统提供商SITA遭遇黑客攻击。两个月后，印度航空公司披露，约450万旅客的信息遭泄露。印度航空公司称，此次泄露的数据规模是2011年8月至2021年2月时代挂号的旅客数据，泄露信息包括姓名、信用卡帐号、护照、出生日期、联系信息、机票信息、星空同盟信息以及印度航空常游客信息。

【参考链接】

https://ti.nsfocus.com/security-news/4qYHF

4. TeamTNT组织针对Kubernetes集群举行蠕虫式攻击

【概述】

以云盘算为重点的密码挟制团队TeamTNT举行了蠕虫状攻击，跨多个Kubernetes群集破损了约莫50,000个IP。TeamTNT 是一个专注于云的加密挟制组织，他们经常针对受熏染的云系统上的 Amazon Web Services 凭证文件来挖掘加密钱币 Monero。由谷歌开发和支持的Kubernetes是接纳最普遍的容器编排平台之一，用于自动化安排、扩展和治理容器化的应用程序。

【参考链接】

https://ti.nsfocus.com/security-news/4qYI7

5. 美包管巨头CNA支付4000万美元勒索赎金

【概述】

美国最大的包管公司之一CNA Financial已经向勒索软件组织支付了4000万美元的赎金，缘故原由是该公司的IT系统被勒索软件锁定，攻击者还窃取了数据。据悉，攻击CNA的勒索软件组织Phoenix使用的是Evil Corp编写的Hades勒索软件的变体—Phoenix Locker。
【参考链接】

https://ti.nsfocus.com/security-news/4qYI8

6. StrRAT伪装成勒索软件

【概述】

微软忠言一场新的垃圾邮件运动使用基于java的StrRAT恶意软件的更新变体，该恶意软件将自己伪装成勒索软件熏染，窃取神秘数据，只管它现实上并不加密数据。同时这种远程会见木马因其类似勒索软件的行为而污名昭著，它会将文件扩展名.crimson附加到文件中，却差池文件举行加密，该扩展名可以避免用户双击翻开文件，使攻击者能够举行快速而简朴的勒索实验，但微软指出，用户可以删除该扩展名来恢复他们的文件。

【参考链接】

https://ti.nsfocus.com/security-news/4qYHJ

7. 苹果修补了MacOS中允许偷拍屏幕的零日误差

【概述】

苹果已经修补了 macOS 中的一个严重过失，该过失可被使用来截取某人盘算机的屏幕截图，并在该人不知情的情形下捕获他们在应用程序或视频聚会中的运动图像。研究职员体现，他们发明 XCSSET 特工软件正在使用该误差，跟踪为CVE-2021-30713，专门用于在不需要特殊权限的情形下截取用户桌面的屏幕截图，该误差通过绕过透明赞成和控制（TCC）框架而起作用，该框架控制应用程序可以会见的资源，例如授予视频协作软件对网络摄像头和麦克风的会见权限，以便加入虚拟聚会。

【参考链接】

https://ti.nsfocus.com/security-news/4qYHV

8. Agrius 组织使用磁盘擦除器攻击以色列

【概述】

Apostle 是一种奇异且前所未见的磁盘擦除恶意软件，伪装成勒索软件，对以色列的差别目的发动破损性攻击，主要针对网络基础设施。此次攻击运动由Agrius 黑客组织提倡，该组织是与伊朗政府有关的，通常使用定制的工具集和现成的清静软件来安排定制的擦除器兼勒索软件或破损性的擦除器变体，主要重点是数据破损和网络特工运动。

【参考链接】

https://ti.nsfocus.com/security-news/4qYHU

9. BazaLoader伪装成影戏流媒体服务

【概述】

BravoMovies网站的功效包括伪造的影戏海报和带有FAQ常见问题解答、以及可用来“作废”这项服务的Excel电子表格，但它下载的只是恶意软件BazaLoader。BazaLoader 是一种加载程序，用于安排勒索软件或其他类型的恶意软件，并从受害系统窃取敏感数据。BravoMovies 运动使用全心设计的熏染链，与 BazaLoader 隶属机构坚持一致，这些隶属机构诱使受害者跳过多个圈套以触发恶意软件负载，威胁行为者从一封电子邮件最先，告诉收件人除非作废他们对服务的订阅，不然他们的信用卡将被收取用度，这是他们从未签署过的订阅。

【参考链接】

https://ti.nsfocus.com/security-news/4qYI2

<<上一篇

【威胁通告】Nginx DNS剖析程序误差（CVE-2021-23017）通告

>>下一篇

【威胁通告】AG公司科技威胁情报月报（2021年5月）