【威胁通告】AG公司科技威胁情报周报（2021.11.08-2021.11.14）

2021-11-15

一、威胁通告

微软11月清静更新多个产品高危误差（CVE-2021-42279、CVE-2021-42321、CVE-2021-42316）

【宣布时间】2021-11-11 11:00:00 GMT

【概述】

11月10日，AG公司科技CERT监测到微软宣布11月清静更新补丁，修复了55个清静问题，涉及Windows、Microsoft Office、Microsoft Visual Studio、Exchange Server等普遍使用的产品，其中包括权限提升、远程代码执行等高危误差类型。本月微软月度更新修复的误差中，严重水平为要害（Critical）的误差有6个，主要（Important）误差有49个，其中包括6个0day误差：

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. 攻击者使用Dridex银行恶意软件在墨西哥提倡垂纶攻击

【概述】

研究职员最近在墨西哥发明了一种名为 Dridex 的污名昭著的银行恶意软件，据美国网络清静与基础设施清静局(CISA)称，Dridex 于2012年左右泛起，是对其他两种银行恶意软件 Bugat 和 Cridex 的刷新。它通常通过带有恶意附件的网络垂纶电子邮件分发，一旦盘算机被熏染，Dridex 可以捕获登录凭证，但这只是众多功效之一，它可以检测某人何时登录银行网站并注入其他恶意软件或键盘纪录软件。研究职员还体现Metabase Q 从今年4月最先在墨西哥发明了三个关于的Dridex 运动。一是攻击者将Dridex 的网络垂纶电子邮件发送到天下各地，导致在 Lastra García 的网站上安排了一个 Dridex 版本；二是它通过诱骗性 SMS 新闻四处撒播，并声称来自 Citibanamex 银行，而这些新闻包括一个链接，该链接重定向到 Lastra García 受熏染的网站；第三个使用 SocGholish 框架的妄想，SocGholish 使用多种类型的社会工程框架来试图诱使人们下载虚伪的软件更新，这现实上是一种远程会见木马。

【参考链接】

https://ti.nsfocus.com/security-news/IlN0W

2. 攻击者使用PhoneSpy恶意软件监视韩国公民

【概述】

一项正在举行的移动特工软件运动已被发明，该运动使用 23 个恶意 Android 应用程序家族来窥探韩国住民，以窃取敏感信息并远程控制装备。已发明流氓应用程序伪装成看似无害的生涯方法适用程序，其目的从学习瑜伽和浏览照片到寓目电视和视频，恶意软件工件不依赖于 Google Play 市肆或其他第三方非官方应用程序市场，这意味着社交工程或网络流量重定向要领来诱使用户下载应用程序。装置后，该应用程序在翻开旨在类似于 Facebook、Instagram、Google 和 Kakao Talk 等盛行应用程序的登录页面的网络垂纶站点之前，会请求普遍的权限。然而，实验登录的用户会收到 HTTP 404 Not Found 新闻，但现实上，他们的凭证被盗并泄露到远程下令和控制 (C2) 服务器。

【参考链接】

https://ti.nsfocus.com/security-news/IlN1q

3. 攻击者冒充网络清静公司Proofpoint对目的用户提倡垂纶攻击

【概述】

垂纶攻击者通过冒充网络清静公司Proofpoint，并试图窃取受害者的微软Office 365和谷歌电子邮件的凭证。据研究职员称，他们发明了一个针对某家不着名的全球通讯公司的攻击运动，仅在该组织内就有近千名员工成为了攻击目的。攻击者会向受害者发送一个电子邮件，该电子邮件使用的诱饵是一个自称与典质贷款支付有关的文件。其主题 \"Re: Payoff Request \"，这样是为了更好的诱骗目的，使其以为这是一个正当的邮件，同时也增添了该程序的紧迫感。电子邮件内里包括了一个Proofpoint发送的清静文件的链接，点击该链接，受害者就会进入到一个虚伪的Proofpoint网站的页面，并包括了差别电子邮件服务商的登录链接，若是用户点击邮件中嵌入的 \"清静的\" 电子邮件链接，他们就会被指导到带有Proofpoint品牌的垂纶攻击诱骗页面中。

【参考链接】

https://ti.nsfocus.com/security-news/IlN0I

4. TeamTNT攻击Docker挖矿赚钱

【概述】

近期，TeamTNT黑客组织再次盯上Docker主机服务器，攻击并试图使用其举行挖矿运动。TrendMicro研究职员体现，TeamTNT黑客组织有三个差别目的，一是装置Monero加密矿工，二是扫描其他袒露在互联网上易受攻击的Docker目的，三是执行容器到主机逃逸以会见主网络。在详细攻击行为上，TeamTNT黑客组织会先使用袒露的Docker REST API在易受攻击的主机上建设容器，随后以此为跳板，通过已被控制的Docker Hub 帐户来托管恶意镜像并将其安排在目的主机上�？梢运�，此次攻击Docker使用其挖矿的运动，再次展现了TeamTNT 黑客组织高水平的运营妄想、组织性和目的性。

【参考链接】

https://ti.nsfocus.com/security-news/IlN0U

5. MasterFred新恶意软件盯上Android平台用户的Instagram账号

【概述】

据bleepingcomputer网站报道，一种名为MasterFred的新型Android恶意软件正对Instagram 、Netflix和 Twitter用户组成威胁，它通过建设虚伪登录界面来窃取用户账号信息。意软件剖析师Alberto Segura一周前也在网上分享了第二个样本，指出它被用来攻击波兰和土耳其的 Android用户。在剖析了新版本的恶意软件后，发明它试图使用系统上的辅助功效服务来获得对系统的更高权限。若是用户允许，恶意软件会识别系统上装置了哪些应用程序，并且每当用户翻开Netflix、Instagram或Twitter 时，就会在原始应用程序上建设虚伪登录窗口。

【参考链接】

https://ti.nsfocus.com/security-news/IlN1t

6. 攻击者使用Parking和Google的自界说页面来撒播恶意软件

【概述】

近期，研究职员发明了一个GoELF可疑样本，剖析得知是一个downloder，主要撒播挖矿。有意思的地方在于撒播方法，使用了namesilo的Parking页面，以及Google的用户自界说页面来撒播样本及设置，从而可以逃避跟踪。这样做有两个显而易见的利益：一方面攻击者险些不需要为恶意代码的撒播支付任何带宽和服务器的用度；另一方面攻击者将自己的恶意行为隐藏在大型互联网基础服务供应商的重大流量中，所谓大隐于市，以此隐藏自己的行踪使得更难被检测和追踪。

【参考链接】

https://ti.nsfocus.com/security-news/IlN1u

7. TrickBot与 Shathak 使用 Conti 勒索软件提倡攻击

【概述】

研究职员发明TrickBot 木马的运营商正在与 Shathak 威胁组织相助分发他们的软件，最终导致在受熏染的机械上安排 Conti 勒索软件。Shathak 被追踪为 TA551 外号，是一个重大的网络犯法分子，以全球规模内的最终用户为目的，通过使用包括启用宏的 Office 文档的受密码�；さ� ZIP 档案充当恶意软件分发者。而被称为 ITG23 或 Wizard Spider 的 TrickBot 团伙除了通过勒索软件即服务 ( RaaS ) 模子将恶意软件的会见权出租给隶属公司之外，还认真开发和维护 Conti 勒索软件。涉及 Shathak 的熏染链通常涉及发送嵌入带有恶意软件的 Word 文档的网络垂纶电子邮件，最终导致安排 TrickBot 或 BazarBackdoor 恶意软件，然后将其用作安排 Cobalt Strike 信标和勒索软件的管道，但不会在举行侦探、横向移动、凭证偷窃和数据泄露运动之前。

【参考链接】

https://ti.nsfocus.com/security-news/IlN1s

8. Lyceum黑客使用恶意软件攻击以色列、沙特阿拉伯和非洲的电信、ISP

【概述】

据称与伊朗有关联的国家资助的攻击者与针对以色列、摩洛哥、突尼斯和沙特阿拉伯的互联网服务提供商 (ISP) 和电信运营商以及外交部的一系列针对性攻击有关。Lyceum（又名 Hexane 或 Spirlin）据信自 2017 年最先活跃，以网络特工运动为目的的国家战略主要部分为目的，同时还用新的植入物重组其武器库，并将其视野扩大到包括 ISP 和政府机构。俄罗斯网络清静公司卡巴斯基上个月透露，新的和更新的恶意软件和 TTP 使黑客组织能够对突尼斯的两个实体提倡攻击，古板上视察到攻击者使用凭证填充和蛮力攻击作为初始攻击前言来获取帐户凭证并在目的组织中驻足，使用会见作为跳板来投放和执行后期开发工具。两个差别的恶意软件家族——Shark 和 Milan（被卡巴斯基命名为“James”）——是攻击者安排的主要植入物，每个都允许执行恣意下令并将敏感数据从受熏染系统泄露给远程攻击者——受控服务器。

【参考链接】

https://ti.nsfocus.com/security-news/IlN1r

9. 电子零售巨头MediaMarkt遭勒索软件攻击

【概述】

电子零售巨头 MediaMarkt 遭到勒索软件攻击，破损了荷兰和德国的市肆运营，袭击爆发在周末，市肆的事情职员无法接受信用卡付款或打印收条，网上销售没有受到清静事务的影响。BleepingComputer透露该公司受到了Hive Ransomware团伙的攻击，Hive 团伙自 2021 年 6 月以来一直活跃，它实验勒索软件即服务模子并接纳种种战略、手艺和程序 (TTP)。政府专家体现，该组织使用多种机制来破损受害者的网络，包括使用带有恶意附件的网络垂纶电子邮件来获取会见权限和远程桌面协议 (RDP) 在网络上横向移动一次，为了增进文件加密，勒索软件会寻找与备份、防病毒/反特工软件和文件复制相关的历程并终止它们，最后Hive勒索软件将 .hive 扩展名添加到加密文件的文件名中。

【参考链接】

https://ti.nsfocus.com/security-news/IlN0F

10. 黑影集团泄露以色列患者医疗纪录

【概述】

据以色列时报报道称Black Shadow 泄露了 Machon Mor 数据库中约 290,000 名患者的医疗纪录，该数据库在以色列谋划近 30 家医疗诊所。并体现，袒露的数据包括患者的血液检查、治疗、预约、医学影像扫描、结肠镜检查和疫苗接种的信息，以及患者关于医疗预约请求、程序和测试效果需求的信件。

【参考链接】

https://ti.nsfocus.com/security-news/IlN0G

<<上一篇

【威胁通告】微软11月清静更新多个产品高危误差通告

>>下一篇

【威胁通告】AG公司科技威胁情报周报（2021.11.15-2021.11.21）