【威胁通告】AG公司科技威胁情报周报（2021.07.19-2021.07.25）

2021-07-26

一、威胁通告

Windows权限提升误差通告（CVE-2021-36934）

【宣布时间】2021-07-2310:00:00GMT

【概述】

AG公司科技CERT监测到微软宣布紧迫通告，披露了Windows权限提升误差（CVE-2021-36934）。由于对多个系统文件（包括清静帐户治理器(SAM)数据库）的会见控制列表(ACL)过于宽松，当系统启用了内置治理员账户(administrator)时，通俗用户可以使用此误差团结哈希转达攻击实现权限提升，从而在目的主机上以SYSTEM权限执行恣意代码。现在误差细节与使用程序已果真，建议相关用户举行排查并接纳步伐举行防护。

【链接】

https://nti.nsfocus.com/threatWarning

Linux内核权限提升误差通告（CVE-2021-33909）

【宣布时间】2021-07-2214:00:00GMT

【概述】

克日，AG公司科技CERT监测发明Qualys研究团队披露了Linux内核文件系统层中的一个外地提权误差（CVE-2021-33909，也称为Sequoia），该误差为Linux内核的seq_file接口保存size_t-to-int类型转换误差，由于fs/seq_file.c没有准确限制seq缓冲区分派，从而导致整数溢出、越界写入以及权限提升。恣意用户权限的攻击者都可以在默认设置中使用此误差，从而获得受影响主机的root权限。该误差影响了自2014年以来宣布的所有Linux内核版本，现在PoC已果真，请相关用户尽快接纳步伐举行防护。

【链接】

https://nti.nsfocus.com/threatWarning

Oracle全系产品7月要害补丁更新通告

【宣布时间】2021-07-2210:00:00GMT

【概述】

2021年7月21日，AG公司科技CERT监测发明Oracle官方宣布了7月要害补丁更新通告CPU（CriticalPatchUpdate），共修复了342个差别水平的误差，此次清静更新涉及OracleDatabaseServer、OracleJavaSE、OracleFusionMiddleware、OracleMySQL、OracleCommunications等多个常用产品。Oracle强烈建议客户尽快应用要害补丁更新修复程序，对误差举行修复。

【链接】

https://nti.nsfocus.com/threatWarning

WebLogic多个高危误差通告

【宣布时间】2021-07-2210:00:00GMT

【概述】

7月21日，AG公司科技CERT监测到Oracle官方宣布了2021年7月要害补丁更新通告CPU（CriticalPatchUpdate），共修复了342个差别水平的误差，其中包括3个影响WebLogic的严重误差，使用重漂后低，建议用户尽快接纳步伐，对此次的误差举行防护。CVE-2021-2382/CVE-2021-2394/CVE-2021-2397：未经身份验证的攻击者发送恶意结构的T3或IIOP协议请求，可在目的服务器上执行恣意代码，CVSS评分为9.8CVE-2021-2376/CVE-2021-2378：未经身份验证的攻击者通过T3或IIOP协议发送恶意请求，可造成目的服务器挂起或瓦解，CVSS评分为7.5CVE-2015-0254：此误差保存于ApacheStandardTaglibs中，当应用程序使用或标签处置惩罚不受信托的XML文档时，1.2.3版本之前的ApacheStandardTaglibs允许远程攻击者使用XSLT扩展执行恣意代码或举行XML外部实体注入(XXE)攻击，CVSS评分为7.3CVE-2021-2403：未经身份验证的攻击者可以通过HTTP发送恶意请求，未授权会见目的服务器的某些数据。

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. 黑客组织APT31使用办公路由器攻击法国组织

【概述】

法国国家网络清静局(ANSSI)下属的法国政府盘算机应急准备小组CERT-FR忠言说，与黑客组织APT31正通过在特工运动中使用家庭和办公室路由器来攻击法国组织。

APT31，也称为Zirconium，以攻击政府、国际金融、航空航天和国防组织而著名。该集团还攻击了高科技、修建和工程、电信、媒体和包管公司。CERT-FR指出：“在执行侦探和攻击行动之前，威胁行为者使用受熏染的路由器作为匿名中继。”CERT-FR没有回应信息清静媒体集团关于提供更多信息的请求，包括哪些组织受到了攻击。该组织提供了入侵IOC的指标，以资助检测误差。“在日志中找到其中一个IOC，并不料味着整个系统已被攻陷，因此还需要进一步剖析。

【参考链接】
https://ti.nsfocus.com/security-news/4qYRO

2. SolarWinds黑客使用iOS零日误差攻击iPhone

【概述】

SolarWinds 黑客使用位于浏览器引擎 WebKit 中的 iOS 零日误差以攻击更新的 iPhone，并通过瞄准全球手机赚取数百万美元。谷歌研究职员 Maddie Stone 和 Clement Lecitne 写道，攻击者很可能是俄罗斯政府资助的组织，使用其时未知的iOS 零日误差�Ｏ右珊诳驼谖砺匏雇夤楸ň质虑�。

黑客通过LinkedIn向政府官员发送信息。微软研究职员透露，Nobelium 也向Windows 用户发送了恶意软件。

他们首先入侵了一个名为 Constant Contact 的在线营销公司的 USAID 帐户。然后，他们使用此帐户向属于美国民间对外助助和生长援助治理组织的地点发送电子邮件。

另一方面，攻击者的目的是 iOS 12.4 到 13.7 版本，甚至是更新的 iPhone。这些负载的使命是从种种网站网络身份验证 cookie，包括 Facebook、LinkedIn、谷歌和雅虎。数据厥后通过WebSocket发送给黑客。

【参考链接】

https://ti.nsfocus.com/security-news/4qYS1

3. 攻击者窃取了大宗的Humana客户的医疗数据

【概述】

专家发明了一个医疗数据库，其中包括属于美国包管巨头Humana客户的敏感康健包管数据，泄密事务爆发在美国第三大康健包管公司，Humana通知其65,000名康健妄想成员，该误差爆发在2020年10月12日时代“分包商的员工向未经授权的小我私家泄露了医疗纪录”。2020年12月16日，受数据泄露影响的一名患者向该公司提起诉讼。7月18日，我们联系了Humana以确认数据属于他们，但他们尚未做出回应。下载该数据库的一位论坛成员声称，该档案包括2020年的信息，而不是泄密者所建议的2019年的信息。若是论坛成员的说法属实，则泄露的数据库可能是2020年违规行为的一部分�；八湓圃�，泄密者宣布的样本中发明的数据大多来自2019年，这可能批注它与之前的事务无关，可能是单独获取的。

【参考链接】

https://ti.nsfocus.com/security-news/4qYRM

4. 攻击者使用AW事情流攻击Kubernetes集群

【概述】

Argo面向Web的仪表板的过失设置权限允许未经身份验证的攻击者在Kubernetes目的上运行代码，包括加密挖掘容器。清静研究职员忠言说，Kubernetes集群正受到设置过失的ArgoWorkflows实例的攻击。

ArgoWorkflows是一个开源的容器原生事情流引擎，用于在Kubernetes上编排并行作业——以加速盘算麋集型作业的处置惩罚时间。它还通常用于简化容器安排。

与此同时，Kubernetes是一种盛行的容器编排引擎，用于治理云安排。凭证Intezer的一项剖析，恶意软件运营商正在通过Argo将加密矿工放入云中，这要归功于某些实例可通过不需要外部用户身份验证的仪表板果真可用。因此，这些过失设置的权限可能允许威胁行为者在受害者的情形中运行未经授权的代码。

【参考链接】

https://ti.nsfocus.com/security-news/4qYRs

5. MosaicLoader恶意软件提供Facebook窃取程序和RAT

【概述】

一种名为MosaicLoader的Windows恶意软件正在全球规模内撒播，充当全方位服务的恶意软件传送平台，被用来通过远程会见木马(RAT)、Facebookcookie窃取程序和其他威胁熏染受害者。

凭证Bitdefender研究职员的说法，他们发明加载程序通过搜索效果中的付费广告在全球规模内撒播，目的是寻找盗版软件和游戏的人。它伪装成破解的软件装置程序，但现实上，它是一个下载程序，可以将任何有用负载传送到受熏染的系统。

Bitdefender的研究职员诠释说：“MosaicLoader背后的攻击者建设了一种恶意软件，可以在系统上传送任何有用载荷，使其作为传送服务有可能赚钱。”“它下载一个恶意软件喷射器，从下令和控制(C2)服务器获取URL列表，并从吸收到的链接下载有用负载。”

研究职员视察到恶意软件喷射器提供Facebookcookie窃取程序，这些程序会泄露登录数据——这允许网络攻击者接会计户，建设撒播恶意软件的帖子或导致声誉受损的帖子。

【参考链接】

https://ti.nsfocus.com/security-news/4qYRf

6. 攻击者窃取佛罗里达公寓坍毁受害者身份

【概述】

黑客正在窃取在公寓坍毁受害者中丧失人的身份。由于一群黑客以新的身份偷窃为目的，为佛罗里达州瑟夫赛德的尚普兰塔南公寓大楼部分坍毁而追悼失去亲人的家庭现在被鞭策检查他们已故支属的信用计划。显然，网络犯法分子正在寓目新闻并窃取在广播时代阅读的受害者身份。Surfside市长CharlesBurkett告诉佛罗里达外地新闻台，执法部分正在起劲追查网络犯法分子。

【参考链接】

https://ti.nsfocus.com/security-news/4qYR1

7. 攻击者使用工程和网络垂纶运动植入恶意软件攻击东京奥运会

【概述】

定于周五晚上开幕的东京奥运会已经成为威胁行为者的目的，然而，联邦视察局的网络部分发出忠言，奥运会的电视广播很可能会受到威胁行为者的攻击。

联邦视察局的通知称：“攻击者可以在事务爆发之前使用社交工程和网络垂纶运动来获取会见权限或使用先前获得的会见权限来攻击恶意软件，以在事务时代破损受影响的网络。”“社会工程和网络垂纶运动继续为攻击者提供举行此类攻击所需的会见权限。”

联邦视察局增补说，奥运会将吸引那些想要“赚钱、散播杂乱、增添恶名、诋毁敌手和推进意识形态目的”的通俗网络犯法分子和民族国家行为者。

【参考链接】

https://ti.nsfocus.com/security-news/4qYRH

8. 攻击者攻击财产500强状师事务所

【概述】

美国状师事务所，以及众多至公司见告客户，入侵者可能已经窃取了他们的数据。今年2月份，该公司遭到勒索软件的攻击，现在正在遭受数据泄露影响。

这些客户涵盖众多行业，其中包括苹果、波音、英国航空公司、克莱斯勒、�？松梨凇⒎蜒�-普莱斯、福特、本田、IBM、捷豹、孟山都、丰田和美国航空等公司。

周五，该公司在一份新闻稿中体现，它在2月27日意识到自己受到了勒索软件攻击。

【参考链接】

https://ti.nsfocus.com/security-news/4qYRe

9. 攻击者攻击沙特阿美的数据

【概述】

一名黑客声称从沙特阿拉伯石油和自然气巨头沙特阿美公司窃取了1TB的敏感数据。这家石油巨头的员工年收入凌驾2000亿美元，威胁行为者以500万美元的初始价钱提供被盗数据。

BleepingComputer联系了该公司，该公司确认了第三方承包商的数据泄露，但指出该事务对Aramco的运营没有影响。沙特阿美还告诉BleepingComputer，这不是勒索软件清静误差。

“沙特阿美最近意识到第三方承包商持有的有限数目的公司数据。”沙特阿美讲话人告诉BleepingComputer。“我们确认数据的宣布对我们的运营没有影响，公司继续坚持稳健的网络清静态势。”ZeroX声称已在2020年使用零日误差从沙特阿美的基础设施中窃取数据。

【参考链接】

https://ti.nsfocus.com/security-news/4qYQY

10. 攻击者使用虚伪的Flash更新攻击MacOs用户

【概述】

史蒂夫乔布斯称，攻击者借助虚伪的Flash更新来攻击macOS用户，macOS使恶意行为者很难在Mac上装置恶意软件。可是自从Apple去年阻止支持Adob??eFlash以来，恶意软件作者就使用这一差别。诱骗用户下载和装置虚伪的Flash装置程序。这些虚伪装置程序可以容纳从广告软件到后门程序的任何内容，例如Shlayer和Bundlore。只管这些装置程序通常没有数字署名并要求用户手动绕过Gatekeeper，但我们看到用户愿意绕过操作系统忠言并手动装置这些清静危害。

【参考链接】

https://ti.nsfocus.com/security-news/4qYQQ

<<上一篇

【清静通告】Linux内核权限提升误差（CVE-2021-33909）通告

>>下一篇

【清静通告】Exim 远程代码执行误差（CVE-2020-28020）通告