威胁事件情报1.Emotet攻击魁北克司法部发布时间:2020年9月16日情报来源:https://www.welivesecurity.com/2020/09/16/emotet-quebec-department-justice-eset/情报摘要:魁北克司法部遭到网络攻击,攻击者通过电子邮件传播Emotet恶意软件。据称,黑客窃取了大约300名员工的个人信息。2.英国警告教育部门勒索软件威胁激增发布时间:2020年9月18日https://www.bleepingcomputer.com/news/security/uk-warns-of-surge-in-ransomware-threats-against-education-部门/情报摘要:英国国家网络安全中心(NCSC)发布了针对教育机构的勒索软件事件激增的警报,敦促他们遵循最近更新的减轻恶意软件攻击的建议。该警告是在NCSC于8月调查了针对该国学校、学院和大学的勒索软件攻击增加之后发出的。除了勒索软件威胁预警外,政府组织还为此类网络攻击提供了常见的初始感染媒介:不安全的远程桌面协议(RDP)配置;未打补丁的软件和硬件设备中的漏洞,尤其是网络边缘的设备,例如防火墙和虚拟专用网络;钓鱼邮件。3.Maze勒索软件现在通过虚拟机加密以逃避检测发布时间:2020年9月17日情报来源:https://www.bleepingcomputer.com/news/security/maze-ransomware-now-encrypts-via-virtual-machines-to-逃避检测/情报摘要:Maze勒索软件运营商采用了RagnarLocker团伙以前使用的策略;从虚拟机中加密计算机。虚拟机将主机驱动器挂载为远程共享,然后在虚拟机内部运行勒索软件来加密共享文件。在攻击中,Maze部署了一个MSI文件,该文件在服务器上安装了VirtualBoxVM软件以及定制的Windows7虚拟机。之后,启动虚拟机对共享的hosts文件进行加密。4、Cerberus银行木马源代码在地下论坛泄露发布时间:2020-09-16信息来源:https://securityaffairs.co/wordpress/108373/cyber-crime/cerberus-source-code-leaked。html情报摘要:在拍卖失败后,臭名昭著的Cerberus银行木马的源代码已在地下黑客论坛上免费发布。整个项目包括组件的源代码(恶意APK、管理面板和C2代码)、安装指南、设置脚本集和具有有效许可证的客户列表,以及与客户和潜在买家的沟通。该恶意软件实现了银行木马功能,例如使用覆盖攻击拦截SMS消息和访问联系人列表的能力。5.滥用GoogleAppEngine功能创建无限钓鱼页面发布时间:2020年9月20日来源:https://www.bleepingcomputer.com/news/security/google-app-engine-feature-abused-to-create-unlimited-phishing-pages/IntelligenceDigest:研究人员最近发现的一项技术展示了如何利用Google的AppEngine域来提供网络钓鱼和恶意软件,同时又不被领先的企业安全产品检测到。GoogleAppEngine是一个基于云的服务平台,用于在Google的服务器上开发和托管Web应用程序。诈骗者经常使用云服务来创建分配有子域的恶意应用程序。然后,他们在这里托管网络钓鱼页面。或者他们可能会将该应用程序用作命令和控制(C2)服务器来传送恶意软件负载。6.在IoT设备中寻找复杂的恶意软件发布时间:2020年9月23日这篇文章旨在鼓励对这个主题感兴趣的其他研究人员加入进来,分享想法和知识,并帮助构建更多功能以更好地保护我们的智能设备。物联网设备(例如Zigbee)中使用的通信协议也存在漏洞,攻击者可以利用这些漏洞将目标设备作为目标并将恶意软件传播到网络中的其他设备,类似于计算机蠕虫。漏洞情报1.GoogleChromePDFium内存损坏导致代码执行发布日期:2020-09-14情报来源:https://blog.talosintelligence.com/2020/09/vuln-spotlight-google-pdfium-sept-2020。htmlintelligencedigest:攻击者可能会利用GoogleChrome的PDFium功能来破坏内存并可能执行远程代码。Chrome是一种流行的免费网络浏览器,适用于所有操作系统。PDFium允许用户在Chrome中打开PDF。我们最近发现了一个漏洞,该漏洞可能允许攻击者向用户发送恶意网页,然后可能导致越界访问内存。2、苹果Safari远程代码执行漏洞发布日期:2020-09-17情报来源:https://blog.talosintelligence.com/2020/09/vuln-spotlight-apple-safari-sept-2020.html情报汇总:一段远程代码执行漏洞包含在AppleSafari网络浏览器的Webkit功能中。具体来说,攻击者可以在WebCore(Safari中使用的WebkitDOM渲染系统)中触发“使用前释放”条件。这可能使攻击者能够在受害机器上执行远程代码。用户需要在Safari中打开特制的恶意网页才能触发该漏洞。3、数十亿设备可能被新的“BLESA”蓝牙安全漏洞攻击发布时间:2020-09-18情报来源:https://mp.weixin.qq.com/s/VUUoRD-lM8ZZyJEs0rh1eA情报汇总:亿万需要提醒使用蓝牙软件的智能手机、平板电脑、笔记本电脑和物联网设备,该软件容易受到今年夏天披露的新安全漏洞的影响。该漏洞被称为BLESA(蓝牙低功耗欺骗攻击),影响运行蓝牙低功耗(BLE)协议的设备。普渡大学的一组研究人员着手调查BLE协议并发现了一个安全问题:附近的攻击者可以绕过重新连接验证并向包含不正确信息的BLE设备发送欺骗性数据并诱导用户和自动化进程做出错误的决定。4.SpringFramework反射文件下载漏洞风险公告发布日期:2020-09-22情报来源:https://mp.weixin.qq.com/s/SYXhJrVz87jpMB-V0Zx_LA情报摘要:VMwareTanzu发布安全公告,于InSpring框架版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和更早的不受支持的版本,已宣布现有的反射文件下载(RFD)Spring框架中的漏洞(CVE-2020-5421)。CVE-2020-5421漏洞可以通过jsessionid路径参数绕过RFD攻击防护。攻击者通过向用户发送带有批处理脚本扩展名的URL来破坏系统,导致用户下载并执行该文件。VMwareTanzu已正式发布新版本修复该漏洞。5.CitrixWorkspace应用程序的RainingSYSTEMShell回归发布时间:2020年9月21日来源:https://www.pentestpartners.com/security-blog/the-return-of-raining-system-shells-with-citrix-workspace-app/情报摘要:7月,国外安全研究人员记录了一个新的CitrixWorkspace漏洞,该漏洞允许攻击者在SYSTEM账户下远程执行任意命令。对初始修复的进一步研究揭示了一个新的攻击向量:问题的核心是一个远程命令行注入漏洞,该漏洞允许攻击者使用恶意MSI转换绕过Citrix签名的MSI安装程序。更新后的Citrix安全公告:https://support.citrix.com/article/CTX277662,漏洞描述:在适用于Windows的CitrixWorkspace应用程序的自动更新服务中发现了一个漏洞,可能导致:1.本地用户将其权限在运行适用于Windows的CitrixWorkspace应用程序的计算机上级别提升到管理员级别;2.启用Windows文件共享(SMB)后,运行CitrixWorkspace应用程序的计算机受到远程威胁。6.Jenkins公布多个插件的安全漏洞(2020.9.23)发布日期:2020-09-24情报来源:https://s.tencent.com/research/bsafe/1137.html情报摘要:Jenkins官方9月3月23日,公布了多个插件的安全漏洞,可能导致远程代码执行、沙箱绕过、CSRF攻击、XSS漏洞攻击等后果。该漏洞涉及五个插件:ImpliedLabelsPlugin、LiquibaseRunnerPlugin、LockableResourcesPlugin、ScriptSecurityPlugin和WarningsPlugin。7.ZeroLogon(CVE-2020-1472)-攻防发布日期:2020-09-24情报来源:https://blog.zsec.uk/zerologon-attacking-defending/情报摘要:从红蓝对峙中了解CVE-2020-1472漏洞,以及如何检测、修补和破解ZeroLogon。结论:就攻击而言,这个漏洞有点改变游戏规则,利用它非常简单,利用它可能会产生非常有害的后果。无论你站在围栏的哪一边,你都应该修补它,并鼓励你的客户也这样做。在实时环境中开发时应该小心,因为它会破坏域并且没有备份机器密码,修复它不是一个有趣的过程!
