AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

【威胁通告】AG公司科技威胁情报周报（2022.02.28-2022.03.06）

2022-03-07

一、威胁通告

Spring Cloud Gateway远程代码执行误差（CVE-2022-22947）

【宣布时间】2022-03-04 09:00:00 GMT

【概述】

克日，AG公司科技 CERT 监测到 Spring 宣布报告修复 Spring Cloud Gateway 代码注入误差（CVE-2022-22947），由于 Spring Cloud Gateway 的 Actuator 端点保存缺陷，当用户启用并袒露了不清静的 Gateway Actuator 端点时，使用了 Spring Cloud Gateway 的应用程序容易受到代码注入攻击。未经身份验证的攻击者通过向目的系统发送特制的 SpEL 表达式举行注入，可实现远程代码执行。CVSS 评分为 10，现在误差 PoC 已果真，请相关用户尽快接纳步伐举行防护。

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. 攻击者使用乌克兰战争提倡慈善圈套

【标签】不区分行业

【概述】

研究职员发明了一些以慈善目的为幌子召募资金的网站。他们倾向于重复类似的主题，发出情绪化但仍然虚伪的呼吁声援乌克兰人民，或鞭策公众资助资助该国的国防事情。而这些网站对怎样使用“援助”做出了很是模糊的声明。也应该很显着，经由仔细检查他们都不代表一个正当的组织。别的，研究职员体现还应对可能泛起在您的电子邮件中的情绪请求坚持小心。

【参考链接】

https://ti.nsfocus.com/security-news/IlNiT

2. 攻击者使用SockDetour恶意软件攻击美国国防承包商

【标签】政府、企业

【概述】

SockDetour 是一种在美国国防承包商盘算机上发明的新定制恶意软件，已被用作备份后门以维持对被挟制网络的会见。研究职员发明SockDetour在受熏染的Windows服务器上“无文件和无套接字地运行”通过挟制网络毗连诠释了它的隐藏性，使得在主机和网络级别识别变得很是难题。毗连挟制是在官方的 Microsoft Detours 库包的资助下执行的，该库包用于监视和检测 Windows API 挪用，通过这样的实验，SockDetour [..] 充当备用后门，以防主要后门被防御者检测到并移除。

【参考链接】

https://ti.nsfocus.com/security-news/IlNiU

3. 自由车队捐赠者的小我私家信息遭泄露

【标签】企业

【概述】

不着名的黑客组织泄露了数万名 Freedom Convoy 捐赠者的小我私家信息，GiveSendGo 是一个为支持加拿大抗议者阻挡 Covid-19 限制而筹集资金的众筹平台，该平台在周末遭到破损，约莫93,000 名在经济上资助自由车队抗议者的人的小我私家详细信息在网上随时可供所有人审查，亿万富翁托马斯·西贝尔的名字是捐赠者的名字之一。被黑网站正在将潜在捐赠者重定向到另一个包括泄露名单和黑客视频信息的网站。视频新闻的文字拼接在迪士尼冰雪奇缘的视频之上。这段视频和带有小我私家信息的泄露文件厥后被撤下，但泄露信息的副本继续在网上重新泛起。

【参考链接】

https://ti.nsfocus.com/security-news/IlNj8

4. 攻击者使用对的Microsoft帐户提倡垂纶攻击

【标签】企业

【概述】

研究职员发明了大宗的垃圾邮件，这些邮件对俄罗斯的黑客行为举行了名称检查，目的是窃取凭证和其他小我私家详细信息。研究职员指出，这些新闻的主题是“Microsoft 帐户异常登录运动”，这些电子邮件随后会提供一个“报告用户”按钮和一个作废订阅选项。单击该按钮会建设一条新新闻，其主题行是“报告用户”。

【参考链接】

https://ti.nsfocus.com/security-news/IlNjj

5. 攻击者使用新的恶意软件AnchorMail提倡攻击

【标签】不区分行业

【概述】

研究职员发明了AnchorDNS后门的刷新版本，将其命名为新的升级变体 AnchorMail。攻击者使用基于电子邮件的 [command-and-control] 服务器，使用SMTP和IMAP协议通过TLS举行通讯。这除了彻底刷新的C2通讯机制外，AnchorMail 的行为与其前身 AnchorDNS的行为很是靠近。恶意软件通过建设一个设置为每10分钟运行一次的妄想使命来建设长期性，并通过联系C2服务器获取并执行任何要运行的下令。这些下令包括执行从远程服务器检索到的二进制文件、DLL 和shellcode、启动PowerShell下令以及从受熏染系统中删除自身的能力。

【参考链接】

https://ti.nsfocus.com/security-news/IlNjl

6. 攻击者使用新型Wiper和蠕虫对乌克兰组织提倡攻击

【标签】不区分行业

【概述】

研究职员发明了一种攻击乌克兰组织的新擦除器和一个在外地网络中撒播 HermeticWiper的蠕虫组件。并体现这些破损性攻击至少使用了三个组件：HermeticWiper：通过破损系统数据使系统无法运行、HermeticWizard：通过 WMI 和 SMB 在外地网络中撒播 HermeticWiper和HermeticRansom：用 Go 编写的勒索软件。而研究职员在至少五个乌克兰组织的数百个系统上视察到 HermeticWiper。

【参考链接】

https://ti.nsfocus.com/security-news/IlNjk

7. 攻击者使用TeaBot银行木马对美国用户提倡攻击

【标签】金融、企业

【概述】

研究职员体现2021年头，一种名为“Teabot”的新型木马被发明攻击用户。该木马专门设计用于窃取受害者的银行凭证和SMS新闻。该木马的其他功效包括远程会见功效和通过按需请求服务举行屏幕捕获。攻击者有能力直接从受熏染的移动装备上举行帐户接受。这种手艺被称为“装备上诓骗”。而最近的研究发明，黑客已使用Google Play市肆分发“滴管应用程序”。该应用程序是以“ QR BarCode Scanner Business LLC ”名义宣布的QR码和条形码扫描仪应用程序。用户反响该应用程序运行优异且运行优异，而滴管隐藏在二维码扫描仪后面。一旦受害者通过 Google Play 市肆装置并翻开该应用程序，该应用程序就会弹出一条新闻，提醒必需装置更新。当受害者点击装置时，应用程序会下载 dropper 并在受害者的装备上装置另一个应用程序，正当的 Play 市肆应用程序将重定向到 Google Play 市肆以获取任何更新。最后，装置的应用程序被发明是TeaBot木马。

【参考链接】

https://ti.nsfocus.com/security-news/IlNjP

8. TA402 组织使用新恶意软件对中东目的一连提倡攻击

【标签】政府、企业

【概述】

2021 年底，威胁剖析职员发明了一个针对中东政府、外交智库和国有航空公司的重大攻击行动。他们将攻击行动归因于 TA402 组织，该组织围绕巴勒斯坦的利益睁开攻击。在 2021年6月攻击被披露后，TA402一度销声匿迹。但凭证剖析职员的一连跟踪，TA402 一连更新恶意软件和投递交付方法。TA402会使用名为NimbleMamba和BrittleBush的恶意软件，且依托地理围栏和重大攻击链滋扰剖析职员。剖析职员体现最近发明的攻击行动中，TA402 使用包括恶意文件下载链接的鱼叉邮件。2022 年 1 月，TA402 在攻击链中调解了攻击者控制的 WordPress URL，地理围栏内的 IP 会见会下载 NimbleMamba 样本，之外的IP会重定向到阿拉伯语的新闻网站。

【参考链接】

https://ti.nsfocus.com/security-news/IlNjS

9. DDoS攻击者攻击网站的新技巧

【标签】不区分行业

【概述】

研究职员发明攻击者正在使用一种新战略，该战略涉及针对易受攻击的中心装备（如防火墙）来扩大攻击规模。攻击者已往曾实验使用放大攻击来熏染服务器，并以高达 3.47 Tbps 的短暂流量突发。然而，攻击还没有竣事，研究职员发明新的攻击，这些攻击是通过 TCP Middlebox Reflection爆发的，TCP反射是建设者之间的传输控制协议，用于在统一网络中的机械之间举行清静的Internet通讯。攻击者可以通过 TCP 滥用中心盒来放大他们拒绝攻击的方法，DDoS 攻击会向程序的服务器发送小数据包，然后程序服务器会以更大的数据包巨细举行回复。最后，攻击者将数据包巨细发送给目的受害者。

【参考链接】

https://ti.nsfocus.com/security-news/IlNjQ

10. 黑客试图攻击欧洲官员以获取有关乌克兰灾黎和物资的信息

【标签】交通、政府

【概述】

清静公司发明一项新的由民族国家赞助的网络垂纶运动的细节已被发明，将眼光投向了欧洲政府实体，这被视为试图获取有关该地区灾黎和物资流动的情报。而他们首次检测到恶意电子邮件是在2022年2月24日，将社会工程攻击称为“ Asylum Ambuscade ”。并体现这封电子邮件包括一个恶意宏附件，该附件使用了与2022年2月23日举行的北约安剖析紧迫聚会有关的社会工程主题，该电子邮件还包括一个恶意附件，该附件试图下载名为SunSeed 的恶意Lua 恶意软件，并针对认真治理欧洲交通和生齿流动的欧洲政府职员。经视察称针对其军事职员的网络垂纶邮件带有 ZIP 文件附件，目的是窃取敏感的小我私家信息。

【参考链接】

https://ti.nsfocus.com/security-news/IlNjz

<<上一篇

【威胁通告】AG公司科技威胁情报月报（2022年2月）

>>下一篇

微软3月清静更新多个产品高危误差通告

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号