AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

【威胁通告】AG公司科技威胁情报周报（2021.11.01-2021.11.07）

2021-11-08

一、威胁通告

Linux Kernel远程代码执行误差通告（CVE-2021-43267）

【宣布时间】2021-11-05 18:00:00 GMT

【概述】

克日，AG公司科技CERT监测到有研究职员果真披露了Linux内核TIPC�？橹械囊桓龆岩绯鑫蟛睿–VE-2021-43267）；由于TIPC功效�？槎杂没峁┑� MSG_CRYPTO新闻类型巨细验证缺乏，造成 Linux 内核中的越界写入，从而导致攻击者使用该误差堆溢出实现外地或远程代码执行。CVSS评分为9.8，请相关用户实时接纳步伐防护。TIPC（透明历程间通讯）是一种用于专门为集群内通讯设计的网络通讯协议，它可以设置为通过 UDP 或直接通过以太网传输新闻；支持用于差别目的的种种类型的新闻，包管新闻转达有序、无丧失。TIPC �？樗嬷饕腖inux 刊行版一起提供，但需要用户加载才华启用该协议。

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. Quickfox VPN提供的服务导致100万用户的数据被泄露

【概述】

研究职员体现免费的虚拟私人网络（VPN）服务商Quickfox提供了从外洋会见中国网站的服务，它泄露了凌驾一百万用户的小我私家身份信息（PII）。只管Quickfox已经在Kibana设置了会见权限，可是没有为他们的Elasticsearch服务器设置同样的清静步伐，这意味着，任何人都可以使用浏览器和互联网来会见Quickfox的日志，并提取Quickfox用户的敏感信息。研究职员还发明，中国、印度尼西亚、日本、哈萨克斯坦和美国的Quickfox的用户都受到了影响，并增补说此次共有5亿条纪录和100GB的数据被泄露。并提到，被泄露的数据分为两类，主要是电子邮件和电话号码等PII，同时也有约莫30万名Quickfox用户设惫亓软件信息。走漏的数据会袒露用户装备上装置的其他软件的名称、文件位置、装置日期和版本号。现在还不清晰为什么VPN要网络这些数据，由于这些数据对其功效来说是不须要的，并且这也不是其他VPN服务的标准做法。

【参考链接】

https://ti.nsfocus.com/security-news/IlN02

2. 攻击者通过网络垂纶网站瞄准网络犯法新手

【概述】

研究职员体现多个网络犯法团伙似乎通过网络垂纶攻击瞄准了该领域相对较新的进入者，这些团伙以剖析师所谓的“同类相食方法”冒充地下卡店——例如 Joker\\'s Stash、BriansClub、Uniсс、Ferum Shop 和 ValidCC——来诱骗新手以获得款子收益。其中SPAGETTI 的建设者使用了一个名为 briansclub[.]ru 的网络垂纶域。剖析师指出，除了通过帐户激活费诓骗赚钱外，它还通过其网站撒播恶意软件，在支付了假 briansclub[.]ru 的激活费后，用户会看到一条“乐成”新闻，并被要求从一个名为“panelcontrol.rar”的存档链接下载一个“受�；�”的应用程序，存档包括两个文件：“PanelControl.exe”和“LitePanel.exe”。剖析师说，前者没有提供对卡片市肆面板的会见权限，而是启动了一个名为 Taurus Project 的窃取程序。

【参考链接】

https://ti.nsfocus.com/security-news/IlMZy

3. 加州诊所遭受的网络攻击将导致大宗康健数据泄露

【概述】

最近对社区医疗中心（北加州的一个非营利性社区康健中心网络）的网络攻击可能会破损凌驾 656,000 小我私家的小我私家身份信息和受�；さ目到⌒畔�。阻止周二，CMC 事务尚未宣布在卫生与公共服务部的HIPAA 违规报告工具网站上，该网站列出了影响 500 或更多小我私家的康健数据泄露，同时声明称，可能被泄露的小我私家信息包括姓名、邮寄地点、社会清静号码、出生日期、生齿统计信息和由 CMC 维护的医疗信息。然而，该事务将成为今年迄今为止宣布到 HHS 网站的第12大康健数据泄露事务。

【参考链接】

https://ti.nsfocus.com/security-news/IlMZY

4. 攻击者使用 WSL 功效将ELF 安排为WINDOWS加载程序

【概述】

WSL是适用于 Linux 的 Windows 子系统 (WSL) 是 Windows 操作系统中的一种资源，它允许用户在运行 Windows 操作系统的机械上执行 Linux 下令行，适用于 Linux 的 Windows 子系统使用称为 Bash.exe 的应用程序，它会在 Windows 操作系统界面内启动一个 Linux 对话框。这可能被视为在 Windows 中运行的“外壳”应用程序。研究职员体现有一个新的攻击链正在爆发，攻击者以 WSL 情形为目的。这些文件是用 Python 3 编写的，然后在 PyInstaller 的资助下，转换为 Debian Linux 的 ELF 可执行文件。这些文件充当加载器，运行嵌入在样本中或从远程服务器检索的有用负载，然后注入到正在运行的历程中。这种手艺可以使加入者在受熏染的机械上获得不被注重的驻足点。ELF 加载器有两种变体：第一种完全用 Python 编写，而第二种使用 Python 通过 ctypes 挪用多个 Windows API 并启动 PowerShell 剧本以在主机上执行进一步的操作。一些示例包括由 Meterpreter 等开源工具天生的轻量级负载。在其他情形下，这些文件会实验从远程 C2 下载 shellcode。

【参考链接】

https://ti.nsfocus.com/security-news/IlMZA

5. Lockean 勒索软件组织对法国公司提倡垂纶攻击

【概述】

法国网络清静官员首次确定了一个勒索软件“隶属组织”，该组织对已往两年对法国公司的一长串攻击认真。CERT-FR 官员体现，该组织通�；嶙庥靡郧巴ü� Emotet 网络垂纶电子邮件熏染的企业网络的会见权限，他们将在其中安排 QakBot 恶意软件，然后安排 CobaltStrike 后开发框架，Lockean运营商随后将使用AdFind、 BITSAdmin和 BloodHound等工具在网络内横向移动，以扩大他们对公司系统的会见和控制。然后，该组织将使用 RClone 适用程序从受害网络复制敏感文件，然后安排文件加密勒索软件。

【参考链接】

https://ti.nsfocus.com/security-news/IlN00

6. Conti网络犯法团伙在暗网网站泄露大宗名人数据

【概述】

研究职员发明攻击者在一个暗网网站上泄露了 69,000 份神秘文件，其中包括与唐纳德·特朗普、奥普拉·温弗瑞和大卫·贝克汉姆有关的文件，并且泄露的约11,000人数据涉及 Graff 的富有客户，勒索软件加入者要求数万万英镑的赎金，以阻止进一步宣布敏感信息。同时泄露的文件包括客户名单、发票、收条和信用票据，该名单包括国际巨星，如汤姆汉克斯、塞缪尔杰克逊和亚历克鲍德温等。

【参考链接】

https://ti.nsfocus.com/security-news/IlMZx

7. 多伦多交通委员会 (TTC) 遭到勒索软件攻击

【概述】

多伦多交通委员会周五宣布，多伦多运输委员会公共交通机构的系统已熏染勒索软件，攻击于周四晚上最先，并中止了其运动。清静误差影响了该机构的内部电子邮件服务器、Wheel-Trans 预订、平台屏幕上的车辆信息、应用程序、TTC Vision 通讯系统以及其他内部系统，司机被迫使用经典的基于无线电的通讯系统举行通讯。TTC 还宣布作废了周六在 St. Clair 和 College 站之间的 1 号线地铁关闭，该关闭将用于完成轨道工程。

【参考链接】

https://ti.nsfocus.com/security-news/IlMZz

8. 美国物理治疗中心大宗医疗保健信息被泄露

【概述】

美国一家理疗中心宣布，在一次清静事务中，凌驾 6,500 名患者的小我私家数据遭到破损。总部位于明尼苏达州明尼阿波利斯的 Viverant PT 体现，目今和以前的患者和员工的小我私家身份信息 (PII) 受到数据泄露的影响。据报道，大宗医疗保健信息被泄露，包括患者姓名、地点、出生日期、社会清静号码、驾驶执照号码和医疗纪录号码。其他可能被会见的数据包括诊断或治疗信息、带有密码或清静码的支付卡号、康健包管信息、带或不带密码或路由号码的金融帐号以及数字署名。

【参考链接】

https://ti.nsfocus.com/security-news/IlMZJ

9. Chaos 勒索软件团伙使用Minecraft 替换列表攻击日本游戏玩家

【概述】

Minecraft 是天下上最受接待的游戏之一，到 2021 年 8 月，它的月活跃玩家凌驾 1.4 亿。网络犯法分子正试图使用这种盛行度，Chaos Ransomware 团伙通过宣传的虚伪 Minecraft 替换列表瞄准日本游戏玩家的 Windows 装备在游戏论坛上。研究职员注重到，攻击中使用的Chaos勒索软件变种不但会加密某些文件，还会破损其他文件，使它们无法恢复，若是游戏玩家成为攻击的牺牲品，选择支付赎金仍可能导致数据丧失。并体现Chaos 勒索软件变种隐藏在一个文件中，冒充包括“Minecraft Alt”帐户列表。在这种情形下，该文件是一个可执行文件，但它使用一个文本图标来诱骗潜在的受害者，使其误以为它是一个充满 Minecraft 已泄露用户名和密码的文本文件，翻开可执行文件后，恶意软件将被执行并在受熏染机械上搜索小于 2,117,152 字节的文件以对其举行加密。勒索软件将四个随机字符附加到加密文件的文件名中，这些字符选自“abcdefghijklmnopqrstuvwxyz1234567890”。具有指定文件扩展名的大于 2,117,152 字节的文件被随机字节填充，这使得在不支付赎金的情形下无法恢复它们。与其他勒索软件一样，Chaos 勒索软件的这种变体也会从受熏染的机械中删除卷影副本。

【参考链接】

https://ti.nsfocus.com/security-news/IlMZ3

10. 攻击者使用恶意软件PixStealer攻击巴西的pix支付系统和巴西银行

【概述】

9月末，研究职员在谷歌应用市肆发明了一系列针对Pix支付系统和巴西银行的恶意软件，其中一个版本可以直接窃取目的钱包，研究职员将其命名为PixStealer。PixStealer恶意软件的内部名称是Pag Cashback 1.4。该软件在谷歌应用市肆上伪装成PagBank Cashback举行撒播。包名为com.pagcashback.beta，体现应用程序可能仍处于测试阶段。PixStealer很是小，只具有最低权限，没有与C“现金返还”功效，该服务名为com.gservice.autobot.Acessibilidade，在授权可会见性服务后，恶意软件显示信息的同时挪用并翻开PagBank举行同步。受害者翻开银行帐户并输入凭证后，恶意软件会通过会见权限单击“显示”按钮来盘问受害者的目今余额后举行资金转移。

【参考链接】

https://ti.nsfocus.com/security-news/IlMZ4

<<上一篇

【威胁通告】AG公司科技威胁情报月报（2021年10月）

>>下一篇

【威胁通告】微软11月清静更新多个产品高危误差通告

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号