【威胁通告】AG公司科技威胁情报周报（2022.01.17-2022.01.23）

2022-01-24

一、威胁通告

Oracle全系产品1月要害补丁更新通告（CVE-2022-21306、CVE-2022-21292、CVE-2022-21371）

【宣布时间】2022-01-20 11:00:00 GMT

【概述】

2022年1月19日，AG公司科技CERT监测发明Oracle官方宣布了1月要害补丁更新通告CPU（Critical Patch Update），此次共修复了497个差别水平的误差，此次清静更新涉及Oracle WebLogic Server、Oracle MySQL、Oracle Java SE、Oracle FusionMiddleware、Oracle Retail Applications等多个常用产品。Oracle强烈建议客户尽快应用要害补丁更新修复程序，对误差举行修复。

【链接】

https://nti.nsfocus.com/threatWarning

HTTP协议栈远程代码执行误差通告（CVE-2022-21907）

【宣布时间】2022-01-18 10:00:00 GMT

【概述】

1月12日，AG公司科技CERT监测到微软宣布月度清静更新，其中修复了一个HTTP协议栈远程代码执行误差（CVE-2022-21907）。由于HTTP协议栈（HTTP.sys）中的HTTP Trailer Support功效保存界线过失可导致缓冲区溢出。未经身份验证的攻击者通过向Web服务器发送特制的HTTP数据包，从而在目的系统上执行恣意代码。该误差被微软提醒为“可蠕虫化”，无需用户交互便可通过网络举行自我撒播，CVSS评分为9.8。现在已有可导致目的主机BSoD的PoC果真，请相关用户尽快接纳步伐举行防护。

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. FIN7组织通过邮寄恶意U盘来投放勒索软件

【概述】

美国联邦视察局周五忠言说，勒索软件团伙正在邮寄恶意的U盘，冒充美国卫生与公众服务部（HHS）和亚马逊集团，针对运输、包管和国防行业举行勒索软件熏染攻击。并体现，攻击者对这些包裹举行了伪装，把它们伪装成了与大盛行病有关的物品，或者伪装成来自亚马逊的商品。包裹主要有两种，那些模拟HHS的包裹通常附有提及COVID-19指南的信件，并附上一个USB；而那些伪装成亚马逊的包裹则会装在一个有装饰性的礼物盒中，其中包括一封具有诓骗性的谢谢信、伪造的礼物卡和一个USB。

【参考链接】

https://ti.nsfocus.com/security-news/IlNdq

2. 攻击者从Lympo NTF平台窃取了1870万美元

【概述】

Lympo 正在构建一个体育 NFT 生态系统，包括拥有天下著名运发动和俱乐部知识产权的 NFT。该生态系统还将包括由种种艺术家和体育影响者建设的自界说体育角色。2022 年1月10日下昼2:32左右（UTC +2），黑客想法会见了Lympo的运营热钱包，并从中窃取了约莫1.652 亿个LMT。而针对清静误差，Lympo增强了�；げ椒ヒ员苊馄渌� LMT 被盗，该公司还暂时将 LMT 从各个流动资金池中移除，以最洪流平地镌汰攻击的影响。被盗代币被发送到攻击者使用的单个地点，用于在SushiSwap或Uniswap上将其换成 Ether，然后将它们发送到其他地点。

【参考链接】

https://ti.nsfocus.com/security-news/IlNdB

3. 朝鲜黑客从全球加密钱币首创公司窃取了数百万美元

【概述】

研究职员发明 Lazarus 子组织 BlueNoroff 相关的运营商与一系列针对全球中小型公司的网络攻击有关，旨在耗尽他们的加密钱币资金，这是朝鲜国家赞助的多产的又一次出于经济念头的行动演员。攻击者一直在巧妙地滥用在目的公司事情的员工的信托，向他们发送带有监视功效的全功效 Windows 后门，伪装成条约或其他营业文件。

【参考链接】

https://ti.nsfocus.com/security-news/IlNdr

4. 攻击者使用数据擦除恶意软件针对乌克兰多个政府系统提倡攻击

【概述】

研究职员称，新一波数据擦除恶意软件（代号DEV-0586）正在袭击乌克兰多个政府部分、信息手艺机构等，现在已有数十个系统熏染；就在前一天，乌克兰政府还遭遇了大规模网络攻击，大宗政府网站内容被改动为“数据窃取和泄露言论”，官方随后辟谣未爆发数据泄露；恶意软件首先会擦除目的Windows系统中的主指导纪录，使其无法运行。其主要可执行文件“通常”命名为stage1.exe，通过Impacket下发执行。攻击历程的第二阶段，该擦除器的stage2.exe会横冲直撞般地扫荡系统中的其余部分，笼罩从Word文档到网页（.HTML与.PHP文件）、图像与数据库等所有内容。它会搜索多种文件扩展名，并“使用牢靠数目的0xCC字节（总计1 MB）”笼罩文件的内容。

【参考链接】

https://ti.nsfocus.com/security-news/IlNdZ

5. 攻击者使用着名软件安排后门程序提倡垂纶攻击

【概述】

克日，清静研究团队捕获到了一个木马程序，攻击者通过网络垂纶的手段诱导受害者点击运行邮件中附带的木马程序，团结正常的Adobe CEF Helper程序举行攻击；在局域网内通过共享目录举行撒播，并在用户主机上留下后门程序举行窃密或者其他恶意行为。

【参考链接】

https://ti.nsfocus.com/security-news/IlNdS

6. TransCredit因数据库设置过失致使大宗美国人和加拿大人的财务数据遭泄露

【概述】

据外洋清静媒体报道，一家位于佛罗里达州杰克逊维尔的交通运输行业商业信用报告机构TransCredit因设置过失致使50万人财务数据泄露。研究职员发明了一个设置过失的数据库，该数据库为运输行业商业信用报告机构 TransCredit 拥有。据 Website Planet 的 Jeremiah Fowler 称，该数据库包括客户敏感财务和小我私家数据的宝库，其中包括加拿大和美国的货运和运输公司。

【参考链接】

https://ti.nsfocus.com/security-news/IlNdE

7. 攻击者将 IRC Bot 恶意软件投入韩国WebHard平台举行撒播

【概述】

研究职员发明恶意软件正在以成人游戏的名义撒播。并体现该攻击通过将带有恶意软件的游戏上传到webhards来举行，该网络硬盘是指网络硬盘驱动器或远程文件托管服务，以压缩ZIP存档的形式，翻开时包括一个可执行文件（“Game_Open.exe”），它是除了启动现实游戏外，还全心策划了运行恶意软件有用负载。这个有用载荷是一个基于 GoLang 的下载器，它与远程下令和控制 (C) 服务器建设毗连以检索其他恶意软件，包括可以执行 DDoS 攻击的 IRC 机械人。

【参考链接】

https://ti.nsfocus.com/security-news/IlNec

8. 印度时装零售商数据在暗网市场上泄露

【概述】

据报道，勒索软件集团 ShinyHunters 窃取了属于印度时尚和零售公司 Aditya Birla Fashion and Retail、ABFRL 的客户和员工的 700 GB 数据。并体现客户眼前的受损数据包括 540 万个唯一的电子邮件地点、姓名、电话号码、街道地点、订单历史纪录和密码，这些数据存储为 Machine Digest-5 或 MD5 哈希值。

【参考链接】

https://ti.nsfocus.com/security-news/IlNe9

9. 攻击者冒充美国DOL来获取企业电子邮件凭证以提倡垂纶攻击

【概述】

研究职员忠言说，网络垂纶者正试图通过冒充美国劳工部 (DOL)来获取Office 365或其他企业电子邮件帐户的凭证。研究职员发明DOL 外貌上是在约请公司提交“及格承包商对正在举行的政府项目的提案”，通过点击 PDF 中的“BID”按钮，潜在的受害者会被带到一个与真实 DOL 网站完全相同的虚伪 DOL 采购门户网站。最后，当点击“点击这里出价”按钮时，他们被要求使用企业电子邮件帐户登录。

【参考链接】

https://ti.nsfocus.com/security-news/IlNed

10. 攻击者使用新的BHUNT 窃取程序针对加密钱币钱包提倡攻击

【概述】

研究职员发明了一种名为BHUNT的新规避性加密钱币窃取程序，它能够窃取钱包（Exodus、Electrum、Atomic、Jaxx、以太坊、比特币、莱特币钱包）的内容、存储在浏览器中的密码以及剪贴板中的数据。BHUNT 是一个用 .NET 编写的�？榛匀〕绦�，其二进制文件使用 Themida 和 VMProtect 等商业打包程序高度加密。专家判断的样本是用发给软件公司的数字证书举行数字署名的，但研究职员指出数字证书与二进制文件不匹配。剖析的样本使用从公共 Pastebin 页面下载的加密设置剧本。据专家称，该恶意软件通过破解软件装置程序和受熏染的用户在多个国家撒播，包括澳大利亚、埃及、德国、印度、印度尼西亚、日本、马来西亚、挪威、新加坡、南非、西班牙和美国。

【参考链接】

https://ti.nsfocus.com/security-news/IlNem

<<上一篇

【威胁通告】AG公司科技威胁情报周报（2022.01.10-2022.01.16）

>>下一篇

【威胁通告】Linux Polkit权限提升误差（CVE-2021-4034）