AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

【威胁通告】AG公司科技威胁情报周报（2021.12.06-2021.12.12）

2021-12-13

一、威胁通告

Apache Log4j2 远程代码执行误差处置惩罚手册

【宣布时间】2021-12-10 14:00:00 GMT

【概述】

12 月 9 日，AG公司科技CERT监测到网上披露Apache Log4j2远程代码执行误差，由于 Apache Log4j2 某些功效保存递归剖析功效，未经身份验证的攻击者通过发送特殊结构的数据请求包，可在目的服务器上执行恣意代码。误差 PoC 已在网上果真，默认设置即可举行使用，该误差影响规模极广，建议相关用户尽快接纳步伐举行排查与防护。Apache Log4j2是一款开源的Java日志框架，被普遍地应用在中心件、开发框架与Web应用中，用来纪录日志信息。AG公司科技已乐成复现此误差。

【链接】

https://nti.nsfocus.com/threatWarning

黑客使用开源代码平台 SonarQube 误差泄露多家单位源码

【宣布时间】2021-12-10 14:00:00 GMT

【概述】

2021 年 10 月以来，AG公司科技CERT监测发明境外黑客组织AgainstTheWest（简称“ATW”）针对袒露在公网上的SonarQube平台举行攻击，窃取了我国多家企业单位信息系统源代码，并在外洋黑客论坛RaidForums上举行不法售卖。10月14日，ATW 在 RaidForums上发帖称要泄露我国某银行系统源代码，并在以后一段时间内一连发帖泄露、售卖我国多家主要单位源代码数据信息。经研判剖析知，ATW 黑客组织攻击的单位涉及金融、运营商、交通、互联网、教育、政府等行业。

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. 黑客使用新冠变异病毒向北美大学提倡攻击

【概述】

随着新冠变异病株Omicron的泛起，研究职员已经视察到了使用Omicron病毒作为诱饵的网络垂纶运动。攻击者通过伪造的大学登录门户，窃取用户的 Office 365 凭证。此次运动的主要目的为北美大学。并且在某些运动中，攻击者还建设了诱骗DUO MFA页面的登录页面，试图窃取多因素身份验证(MFA)凭证。受害者在伪造的登录页面上输入凭证后，会被要求输入手机短信收到的验证码，攻击者可以使用验证码来接会计户。

【参考链接】

https://ti.nsfocus.com/security-news/IlN7K

2. 攻击者使用oom_reaper攻击QNAP NAS 装备

【概述】

台湾供应商QNAP忠言客户，攻击者将他们的NAS装备与加密钱币矿事情为目的。在破损装备后，矿工将建设一个名为 [oom_reaper] 的新历程，允许攻击者挖掘比特币。一旦 NAS 被熏染，CPU使用率会变得异常高，其中名为“[oom_reaper]”的历程可能会占用总CPU使用率的50%左右。这个历程模拟了一个内核历程，但它的PID通常大于1000。

【参考链接】

https://ti.nsfocus.com/security-news/IlN7i

3. 东亚黑客组织BlackTech针对金融、教育等行业睁开攻击

【概述】

研究职员监测到东亚黑客组织BlackTech近期攻击运动频仍，攻击目的包括中国地区的互联网金融、互联网教育等行业。凭证近期捕获的BlackTech组织使用的后门木马，研究职员还发明该组织的武器库在一连富厚和转变，在Windows平台上使用由Gh0st源码修改而来的后门木马，在Linux平台上使用Bifrose后门木马，大都杀毒引擎较难查杀。另外在Linux平台还使用Python编写打包的后门木马。而在IT资产方面，BlackTech组织依旧保存了之前的特点，即经常租用中国、日本等地的服务器作为C&C服务器，在近期攻击运动中也复用了部分在过往攻击运动中使用的资产。

【参考链接】

https://ti.nsfocus.com/security-news/IlN7J

4. Nobelium使用Ceeloader自界说恶意软件对全球组织提倡攻击

【概述】

研究职员发明与俄罗斯有关的 Nobelium APT 组织正在使用一种名为Ceeloader的新型自界说恶意软件攻击全球组织。Nobelium 网络特工正在使用一种新的自界说下载器，该下载器被研究职员跟踪为 CEELOADER。APT举行的多次供应链攻击，攻击者破损了服务提供商，并使用属于被黑提供商的特权会见和凭证来瞄准他们的客户。并且至少在一个实例中发明，攻击者识别并破损了一个外地VPN帐户，并使用该VPN帐户举行侦探并进一步会见受害 CSP 情形中的内部资源，最终导致内部域帐户遭到破损。

【参考链接】

https://ti.nsfocus.com/security-news/IlN76

5. 攻击者使用NginRAT 恶意软件攻击隐藏在 Nginx 服务器上的电子市肆

【概述】

清静公司的研究职员最近发明了一个新的 Linux 远程会见木马 (RAT)，跟踪为CronRAT，它于2月31日隐藏在Linux使命调理系统 (cron) 中。CronRAT 用于针对在线市肆网络市肆的Magecart攻击，并使攻击者能够通过在Linux服务器上安排在线支付撇取器来窃守信用卡数据。在视察北美和欧洲的 CronRAT 熏染时，研究职员发明了一种名为 NginRAT 的新恶意软件，它可以绕过清静解决计划隐藏在Nginx服务器上。与 CronRAT 一样，NginRAT 也作为“服务器端 Magecart”事情，它将自身注入到 Nginx 历程中。

【参考链接】

https://ti.nsfocus.com/security-news/IlN6E

6. 攻击者使用KMSPico恶意软件窃取Windows用户的加密钱币钱包

【概述】

研究职员发明希望在不使用数字允许证或产品密钥的情形下激活Windows的用户正成为受熏染的装置程序的目的，以安排旨在掠夺加密钱币钱包中的凭证和其他信息的恶意软件。该恶意软件被称为“ CryptBot ”，是一种信息窃取程序，能够获取浏览器、加密钱币钱包、浏览器 cookie、信用卡的凭证，并从受熏染的系统中捕获屏幕截图。通过破解软件安排，最新的攻击涉及伪装成 KMSPico 的恶意软件。而KMSPico 是一种非官方工具，用于在没有现实拥有允许证密钥的情形下不法激活盗版软件（如 Microsoft Windows 和 Office 套件）的所有功效。

【参考链接】

https://ti.nsfocus.com/security-news/IlN6R

7. Apache Kafka云集群袒露至公司敏感数据

【概述】

研究职员体现，Kafdrop是Apache Kafka的治理接口，Apache Kafka 是一个开源的云原生平台，用于网络、剖析、存储和治理数据流。但由于Kafdrop实例设置过失，一些天下上最大的公司已经袒露了大宗来自云的敏感信息。它自动毗连和映射现有的 Kafka 集群，允许用户治理主题建设和删除，以及“相识集群的拓扑和结构，深入相识主机、主题、分区和消耗者。它还允许您从所有主题和分区中采样和下载实时数据，充当正当的Kafka 消耗者。并且集群袒露了客户数据、生意、医疗纪录和内部辖档枉量，还袒露了实时流量，泄露神秘、身份验证令牌和其他会见详细信息，允许黑客渗透到公司在 AWS、IBM、Oracle 和其他公司上的云运动。

【参考链接】

https://ti.nsfocus.com/security-news/IlN79

8. 攻击者使用远程代码执行误差攻击Confluence和GitLab服务器

【概述】

研究职员发明一个勒索软件组织使用最近披露的远程代码执行误差（ CVE-2021-26084 和 CVE-2021-22205 ）来会见未修补的 Confluence和 GitLab服务器，加密他们的文件，然后要求服务器所有者支付赎金以恢复他们的数据。

【参考链接】

https://ti.nsfocus.com/security-news/IlN7y

9. 网络黑客正使用虚伪广告来撒播恶意程序

【概述】

研究职员发明了一系列恶意广告运动，使用盛行应用和游戏的虚伪装置程序作为诱饵，诱使用户下载新的后门程序和未纪录的恶意Google Chrome扩展程序。专家视察到 2019 年底和 2020 年头的间歇性运动。该组织于 2021 年 4 月重新泛起，恶意广告运动针对加拿大、美国、澳大利亚、意大利、西班牙和挪威。研究职员将这些运动归因于一个被追踪为“magnat”的未知攻击者。专家注重到，据报道该组织正在更新恶意软件系列。MagnatExtension 伪装成Google的清静浏览，允许攻击者窃取表单数据、网络 cookie并在受害者的系统上执行恣意 JavaScript 代码。扩展使用的C2地点是硬编码的，它可以由目今的C2使用附加C2域的列表举行更新。攻击者还为C2实验了一种备份机制，允许从 Twitter 搜索“#aquamamba2019”或“#ololo2019”等主题标签中获取新的 C2 地点。

【参考链接】

https://ti.nsfocus.com/security-news/IlN6T

10. 攻击者使用新的XS-Leaks误差攻击 Web 浏览器

【概述】

研究职员发明了 14 种新型跨站点数据泄露攻击，攻击了许多现代网络浏览器，包括 Tor 浏览器、Mozilla Firefox、Google Chrome、Microsoft Edge、Apple Safari 和 Opera 等。专家将这些浏览器误差统称为“XS-Leaks”，使恶意网站能够在会见者在目的不知情的情形下在后台与其他网站交互时从会见者那里网络小我私家数据。攻击者使用XS-Leaks绕过了所谓的同源战略，而同源战略的目的是避免信息从受信托的网站被盗。在XS-Leaks 的情形下，攻击者仍然可以识别网站的个体小细节。若是这些细节与小我私家数据相关联，这些数据可能会泄露。

【参考链接】

https://ti.nsfocus.com/security-news/IlN6U

<<上一篇

【威胁通告】AG公司科技威胁情报周报（2021.11.29-2021.12.05）

>>下一篇

【威胁通告】VMware 多个产品保存?Log4j2远程代码执行误差（CVE-2021-44228）通告

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号