【威胁通告】AG公司科技威胁情报周报（2021.10.11-2021.10.17）

2021-10-19

一、威胁通告

微软10月清静更新多个产品高危误差（CVE-2021-40461、CVE-2021-38672、CVE-2021-40449）

【宣布时间】2021-10-13 18:00:00 GMT

【概述】

10月13日，AG公司科技CERT监测到微软宣布10月清静更新补丁，修复了81个清静问题，涉及Windows、Microsoft Office、Microsoft Visual Studio、Exchange Server等普遍使用的产品，其中包括权限提升、远程代码执行等高危误差类型。本月微软月度更新修复的误差中，严重水平为要害（Critical）的误差有3个，主要（Important）误差有70个，其中包括4个0day误差：Win32k 权限提升误差（CVE-2021-40449）、Windows DNS Server 远程代码执行误差（CVE-2021-40469）、Windows Kernel 权限提升误差（CVE-2021-41335）和Windows AppContainer 防火墙规则清静功效绕过误差（CVE-2021-41338）。

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. Mykings僵尸网络通过挖矿运动至少赚钱2470万美元

【概述】

据研究报告显示，天天约有4700个新系统被僵尸网络熏染。MyKings也被称为Smominru或Xaxmen，主要举行加密钱币挖矿运动，通常瞄准未实时修补的系统，它使用多种方法举行撒播，如向受害者的熟人发送死名为“照片”实为恶意软件的具有疑惑性的.rar或.zip文件，再如在盛行歌手泰勒·斯威夫特（Taylor Swift）的 Jpeg 图像内隐藏恶意.exe。在乐成熏染后，Mykings会接纳多种方法举行长期化实现恒久驻留，如：整理其他木马、卸载杀毒软件、关闭系统自更新、关闭Windows Defender、阻止139、445等端口毗连、添加注册表启动项等与此同时新熏染的装备也会成为攻击其他系统的跳板。

【参考链接】

https://ti.nsfocus.com/security-news/IlMWr

2. 攻击者使用新型阎罗王勒索软件高度针对性攻击大型企业

【概述】

研究职员发明了一种新的勒索软件，称为 Yanluowang，用于对企业举行高度针对性的攻击。同时注重到使用正当的 AdFind 下令行 Active Directory 盘问工具，该工具经常被勒索软件运营商滥用作为侦探工具。攻击者在安排到受熏染装备之前，攻击者会先启动一个恶意工具，该工具先通过建设一个 .txt 文件，其中包括要在下令行中检查的远程机械数，再使用 Windows Management Instrumentation (WMI) 获取在 .txt 文件中列出的远程盘算机上运行的历程列表，最后将所有历程和远程机械名称纪录到 processes.txt。攻击者在安排严洛网勒索软件后，它将阻止治理程序虚拟机，竣事上述工具（包括 SQL 和备份解决计划 Veeam）纪录的所有历程，然后对文件举行加密。勒索软件将 .yanluowang 扩展名附加到加密文件的文件名进而实验攻击。

【参考链接】

https://ti.nsfocus.com/security-news/IlMWn

3. 华为云成为加密钱币挖矿恶意软件的新目的

【概述】

研究职员最近注重到一种全新的 Linux 恶意软件攻击，它针对相对较新的云服务提供商 (CSP) 举行加密钱币挖掘恶意软件和加密挟制攻击。攻击者会安排代码来删除主要保存于华为云中的应用程序和服务。详细来说，恶意代码会禁用 hostguard 服务，这是一个“检测清静问题、�；は低巢⒓嗫厥鹄�”的华为云 Linux 署理历程。恶意代码还包括cloudResetPwdUpdateAgent，这是一个开源插件署理，允许华为云用户重置弹性云服务（ECS）实例的密码，该实例默认装置在公共镜像上。由于攻击者在其 shell 剧本中保存这两项服务，我们可以假设他们专门针对华为云内的易受攻击的 ECS 实例。

【参考链接】

https://ti.nsfocus.com/security-news/IlMWp

4. 攻击者用数学符号绕过反垂纶检测举行攻击

【概述】

研究职员研究职员体现作为一种古老的网络攻击手段，垂纶邮件是企业和小我私家最常遇见的网络威胁之一，面临日益频发的垂纶邮件攻击，不少企业最先安排种种反垂纶邮件的工具息争决计划，而攻击者们则是想尽步伐来规避这些反垂纶邮件检测。克日，研究职员发明某垂纶邮件组织使用数字符号来滋扰反垂纶邮件检测，它的焦点是使用种种数字符号替换公司logo或名字中的字母，抵达“诱骗”反垂纶邮件或反垃圾邮件产品的目的。

【参考链接】

https://ti.nsfocus.com/security-news/IlMWA

5. BlackTech组织使用恶意软件Gh0stTimes对服务器举行攻击

【概述】

克日，研究职员发明了BlackTech可能使用的恶意软件Gh0stTimes，BlackTech是一个网络特工组织，在2018年前后对日本提倡攻击运动。研究职员同时在受Gh0stTimes熏染的服务器上还发明了其他恶意软件，如下载器、后门程序、ELF Bifrose和攻击工具。这些工具可能会也被BlackTech组织使用。研究职员此次的研究说明BlackTech攻击组织依然活跃，且使用了更多的工具。

【参考链接】

https://ti.nsfocus.com/security-news/IlMWc

6. 攻击者使用勒索软件攻击奥林巴斯盘算机系统

【概述】

医疗手艺巨头奥林巴斯在网络攻击后被迫关闭其在美国（美国、加拿大和拉丁美洲）的盘算机网络，公司没有透露它遭受的攻击类型，但情形批注可能是勒索软件攻击。9 月，奥林巴斯揭晓声明，宣布其欧洲、中东和非洲盘算机网络遭到勒索软件攻击。在受熏染系统上发明的赎金票据声称该公司受到BlackMatter 勒索软件组织的攻击。

【参考链接】

https://ti.nsfocus.com/security-news/IlMWa

7. 美国奎斯特诊断公司认可35万名患者医疗资料被泄露

【概述】

奎斯特诊断公司向美国证券生意委员会(SEC)转达称，公司旗下生育诊所ReproSource在八月份遭到了勒索软件攻击，约 350,000 名患者的大宗康健信息和财务信息遭到走漏，部分患者的社会清静号码（ssn)和信用卡号码也遭到走漏。攻击时代还泄露了用户大宗康健信息，包括 CPT 代码、诊断代码、测试申请和效果、测试报告和病史信息、康健包管或整体妄想识又名称和编号以及小我私家或由小我私家提供的其他信息治疗医师。

【参考链接】

https://ti.nsfocus.com/security-news/IlMWd

8. 微软击退了针对Azure客户的创纪录的2.4 Tbps DDoS攻击

【概述】

研究者体现其 Azure 云平台在 8 月的最后一周缓解了针对欧洲未签字客户的 2.4 Tbps 漫衍式拒绝服务 (DDoS) 攻击，凌驾了亚马逊网络服务在 2020 年 2 月阻止的2.3 Tbps 攻击。DDoS攻击是攻击者使用 UDP 协议的无毗连特征和诱骗性请求，用大宗数据包淹没目的服务器或网络，造成中止或渲染服务器及其周边基础设施不可用。听说这次攻击源自一个由约莫 70,000 台受熏染装备组成的僵尸网络，这些装备主要位于亚太地区，例如马来西亚、越南、台湾、日本和中国，以及美国等国家。

【参考链接】

https://ti.nsfocus.com/security-news/IlMVV

9. 与伊朗有关的DEV-0343 APT目的是美国和以色列国防手艺公司

【概述】

Microsoft 威胁情报中心 (MSTIC) 和 Microsoft 数字清静部分 (DSU) 的研究职员发明了一个跟踪为 DEV-0343 的恶意运动集群，DEV-0343 是 Microsoft 威胁情报中心 (MSTIC) 首次视察到并于 2021 年 7 月下旬最先跟踪的新运动集群。MSTIC 视察到 DEV-0343 对 250 多个 Office 365 租户举行了普遍的密码喷洒，攻击重点是美国和以色列国防手艺公司、波斯湾入境口岸或在中东开展营业的全球海上运输公司。

【参考链接】

https://ti.nsfocus.com/security-news/IlMW9

10. 日本跨国公遭勒索软件攻击，被勒索700万美金赎金

【概述】

克日，日本跨国公司JVCKenwood遭到了Conti 勒索软件攻击，攻击者声称窃取了1.7TB的数据，并勒索700 万美元的赎金。JVCKenwood 是一家总部位于日本的跨国电子公司，拥有 16,956 名员工，2021 年的收入为 24.5 亿美元。该公司以其 JVC、Kenwood 和 Victor 品牌而著名，这些品牌生产汽车和家庭音频装备、医疗保健和无线电装备、专业和车载摄像头以及便携式发电站。JVCKenwood体现，其在欧洲的销售公司的服务器于9月22日遭到破损，攻击者可能在攻击时代会见了数据。

【参考链接】

https://ti.nsfocus.com/security-news/IlMVK

<<上一篇

【威胁通告】AG公司科技威胁情报周报（2021.10.04-2021.10.10）

>>下一篇

【威胁通告】Oracle全系产品10月主要补丁更新通告