绿盟

绿盟科技

  • 基础设施安全

    基础设施安全
  • 数据安全

    数据安全
  • 云计算安全

    云计算安全
  • 工业互联网安全

    工业互联网安全
  • 物联网安全

    物联网安全
  • 信息技术应用创新

    信息技术应用创新
  • 全部产品

    全部产品
  • 全部解决方案

    全部解决方案

基础设施安全


  • 政府

    政府
  • 运营商

    运营商
  • 金融

    金融
  • 能源

    能源
  • 交通

    交通
  • 企业

    企业
  • 科教文卫

    科教文卫

返回列表

【威胁通告】绿盟科技威胁情报周报(2021.02.22-2021.02.28)

2021-03-01

一、 威胁通告

VMware多个高危漏洞(CVE-2021-21972、CVE-2021-21974)

【发布时间】2021-02-25 10:00:00 GMT

【概述】

2021年2月23日,VMware官方发布安全通告,披露了vSphere Client、ESXi的两个高危漏洞。CVE-2021-21972:vSphere Client(HTML5)在vCenter Server插件vRealize Operations中包含一个远程执行代码漏洞,CVSSv3评分9.8。受影响的vRealize Operations插件为默认安装。CVE-2021-21974:ESXi中使用的OpenSLP存在堆溢出漏洞,CVSSv3评分8.8。与ESXi处于同一网段中且可以访问427端口的攻击者可触发OpenSLP服务中的堆溢出问题,从而导致远程执行代码。

【链接】

https://nti.nsfocus.com/threatWarning

二、 热点资讯

1. 恶意扩展程序FriarFox会侦听Firefox和Gmail相关数据

【概述】

近日网络攻击通过利用名为FriarFox恶意扩展程序控制了受害者的Gmail帐户,该自定义恶意程序是Mozilla Firefox浏览器的扩展程序。研究人员称,在2021年1月和2月观察到的威胁运动针对藏族组织,并与TA413有关,TA413是一个与中国有关的威胁组织。

【参考链接】

https://threatpost.com/malicious-mozilla-firefox-gmail/164263/

2. 俄罗斯黑客组织部署IronPython恶意软件加载程序

【概述】

俄罗斯黑客组织Turla正在部署一个基于IronPython的恶意软件加载器,称为IronNetInjector,新的加载器通过利用IronPython直接使用.NET Framework API以及Python库的能力来提供ComRAT(一种远程访问木马),具有混淆恶意软件代码以及加密和解密NET注入器和有效载荷的功能。

【参考链接】

https://www.inforisktoday.com/russian-hacking-group-deploys-ironpython-malware-loader-a-16044

3. KUBERNETESZAO集群遭挖矿木马突袭

【概述】

TeamTNT是一个主要入侵在线容器并通过挖矿和DDoS进行牟利的攻击团伙。2021年年初,该团伙被发现入侵了某Kubernetes集群,通过结合脚本和现有工具,最终在容器内植入挖矿木马。针对Kubernetes集群的攻击事件及后续发生在集群内部的木马传播事件,以呈现网络黑产团伙针对在线集群的攻击方式。

【参考链接】

http://blog.nsfocus.net/kuberneteszao%e9%9b%86%e7%be%a4%e9%81%ad%e6%8c%96%e7%9f%bf%e6%9c%a8%e9%a9%ac%e7%aa%81%e8%a2%ad/

4. LazyScripter威胁组织分析报告

【概述】

LazyScripter是一个新威胁组织,可追溯至2018年的针对性垃圾邮件活动,使用网络钓鱼诱饵,邮件主题不仅针对寻求移民到加拿大就业的人,而且还针对航空公司。

【参考链接】

https://blog.malwarebytes.com/malwarebytes-news/2021/02/lazyscripter-from-empire-to-double-rat/

5. LAZARUS既往攻击工具TORISMA与DRATZARUS分析

【概述】

在今年1月由Google披露的一起APT攻击活动中,朝鲜APT组织Lazarus对世界各国的安全研究人员进行了长期的渗透攻击。伏影实验室对该事件中出现的攻击载荷进行了深入分析,并将主体木马程序命名为STUMPzarus。STUMPzarus与Lazarus组织既往攻击工具在代码逻辑、通信格式、CnC格式等方面的高度相似性,并由此总结了Lazarus组织开发者在程序设计上的大量特征。在关联过程中,我们主要参照的Lazarus组织攻击载荷包括Torisma下载者木马和DRATzarus远控木马。

【参考链接】

http://blog.nsfocus.net/analysis-of-torisma-and-dratzarus-the-former-attack-tools-of-lazarus/

6. APT32威胁组织用间谍软件攻击人权捍卫者

【概述】

与越南有关的APT32(又名海莲花)组织在2018年2月至2020年11月之间针对越南权捍卫者(HRD)和一个非营利组织(NPO)人权组织开展了长期网络间谍活动。APT32是一个从2014开始活跃至今的威胁组织,主要针对私企、政府机构、持不同政见人士和新闻工作者,重点关注越南、菲律宾、老挝等东南亚国家。

【参考链接】

https://securityaffairs.co/wordpress/114973/malware/apt32-spyware-human-rights-defenders.html

7. 上万名微软电子邮件用户遭钓鱼攻击

【概述】

近期有针对至少10000个微软电子邮件用户的网络钓鱼攻击,攻击者冒充来自知名的邮件快递公司,包括FedEx和DHL Express,旨在窃取用户的凭据信息。

【参考链接】

https://threatpost.com/microsoft-fedex-phishing-attack/164143/

8. FIN11网络犯罪组织支持针对FTA服务器的攻击

【概述】

FireEye专家认为针对Accellion File Transfer Appliance(FTA)服务器的一系列攻击与网络犯罪组织UNC2546(也称为FIN11)相关。自2020年12月中旬开始,攻击者利用Accellion File Transfer Appliance(FTA)软件中的多个零日漏洞在目标网络上部署名为DEWMODE的外壳,从目标系统中窃取敏感数据,然后利用CLOP勒索软件要求受害者以比特币形式支付赎金。

【参考链接】

https://securityaffairs.co/wordpress/114933/apt/fin11-fta-servers-atatcks.html

9. 十万名CityBee用户的登录凭据遭泄漏

【概述】

近期著名的汽车共享平台CityBee遭受数据泄露,包含超过110,313的敏感数据。其中是其注册客户的登录凭据的个人数据,包括姓名、个人密码、电话号码、电子邮件、居住地址、驾驶执照号码、加密密码等。

【参考链接】

https://www.hackread.com/citybee-database-login-credentials-leaked-online/

 

<<上一篇

【安全通告】绿盟科技威胁情报周报(2021.2.15-2.21)

>>下一篇

【安全通告】Apache Tomcat Session 反序列化代码执行漏洞(CVE-2021-25329)通告

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

提交项目需求

欢迎加入绿盟科技,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

服务支持

智能客服
智能客服
购买/售后技术问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
绿盟科技社区
绿盟科技社区
资料下载|在线问答|技术交流
微博
微博

微博

微信
微信

微信

B站
B站

B站

抖音
抖音

抖音

视频号
视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

© 2024 NSFOCUS 绿盟科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号