绿盟科技威胁周报(20220321-20220327)
2022-3-28 15:57:55 Author: blog.nsfocus.net(查看原文) 阅读量:16 收藏

阅读: 54

一、 威胁通告

  • Spring Cloud Function SPEL表达式注入漏洞通

【发布时间】2022-03-26 13:00:00 GMT

【概述】

近日,绿盟科技CERT监测到Spring Cloud官方修复了一个Spring Cloud Function中的SPEL表达式注入漏洞,由于Spring Cloud Function中RoutingFunction类的apply方法将请求头中的“spring.cloud.function.routing-expression”参数作为Spel表达式进行处理,造成了Spel表达式注入漏洞,攻击者可利用该漏洞远程执行任意代码。目前漏洞PoC已公开,请相关用户采取措施进行防护。

【链接】https://nti.nsfocus.com/threatWarning

二、热点资讯

  • 攻击者通过附属公司正在传播 BlackCat 勒索软件

【标签】不区分行业

【概述】

BlackCat 于 2021 年 11 月首次出现,并在过去几个月中针对全球多个组织。它被称为与 BlackMatter 相似,BlackMatter是一个源自DarkSide的短命勒索软件家族,该家族因 2021 年 5 月对Colonial Pipeline的高调攻击而声名狼藉。

【参考链接】https://ti.nsfocus.com/security-news/IlNmG

  • 攻击者使用Entropy勒索软件对目标的计算机进行攻击

【标签】不区分行业

【概述】

勒索软件中使用的一些代码与 Dridex 恶意软件中使用的代码相似,这意味着它们一个共同的起源。攻击者部署了一种名为 Entropy 的勒索软件,在攻击者启动勒索软件之前,攻击者在一些目标的计算机上感染了为攻击者提供远程访问的工具(Cobalt Strike 信标和 Dridex 恶意软件)。

【参考链接】https://ti.nsfocus.com/security-news/IlNmI

  • 攻击者对iPhone 和 Android 用户发起”杀猪盘“攻击

【标签】不区分行业

【概述】

CryptoRom活动自 2021 年初以来就一直出于活跃状态。研究人员将这种攻击行为称为杀猪盘,这是一种组织严密的联合诈骗行动,杀猪盘是一种网络交友诱导股票投资、赌博等类型的诈骗方式,“杀猪盘”则是“从业者们”自己起的名字。之前,研究人员发现 CryptoRom 针对 iOS 设备的欺骗性应用程序利用了 Apple 的“超级签名”应用程序传播方案(一种使用开发者帐户的有限临时传播方法)并滥用了 Apple 的企业应用程序部署方案。研究人员现在也看到 Apple TestFlight 被 CryptoRom 作者滥用。

【参考链接】https://ti.nsfocus.com/security-news/IlNmF

  • 攻击者利用GNSS 的干扰和欺骗攻击卫星通信网络

【标签】政府

【概述】

卫星通信 (SATCOM) 网络是现代社会的关键基础设施,美国和欧盟机构警告它们可能面临的威胁。上周,欧盟航空安全局 (EASA) 发布了一份安全信息公报,警告乌克兰冲突地区附近全球导航卫星系统 (GNSS) 在持续冲突中出现间歇性中断。欧洲机构对 GNSS 的干扰和/或欺骗攻击在冲突区和其他地区周围的地理区域愈演愈烈。

【参考链接】https://ti.nsfocus.com/security-news/IlNmH

  • 黑客利用MSHTML漏洞攻击俄国防部火箭中心

【标签】政府

【概述】

近日,研究人员发现利用MSHTML漏洞(CVE-2021-40444)针对俄罗斯国家火箭中心和内政部的攻击活动。研究人员分析称,第一封邮件声称来自俄罗斯火箭中心的人力资源部门,而第二封邮件则表示来自莫斯科内政部,这两封邮件均使用了相同的感染方式,要求接收者启用编辑以填写表格。实际,一旦打开恶意文档并启用编辑,将加载MSHTML的定制控件ActiveX运行任意代码,导致系统感染。

【参考链接】https://ti.nsfocus.com/security-news/IlMUw

  • 黑客利用CAPTCHA发起网络钓鱼攻击

【标签】不区分行业

【概述】

研究人员发现了一种新的网络钓鱼活动,它利用CAPTCHA执行网络钓鱼攻击,同时规避安全过滤器。攻击始于一封带有恶意PDF附件的钓鱼电子邮件。点击此文档会将受害者重定向到带有验证码表单的新站点。此时,网络钓鱼网页会要求受害者提交登录凭据以继续。该网页通常模仿Outlook等合法服务,诱骗用户提交详细信息。

【参考链接】https://ti.nsfocus.com/security-news/IlNmV

  • 攻击者利用新型 LokiLocker 勒索软件对目标用户进行攻击

【标签】不区分行业

【概述】

研究院表示一款自 2021 年 8 月存续至今的 LokiLocker 勒索软件,正在互联网上传播肆虐。据悉,该恶意软件采用了 AES + RSA 的加密方案,若用户拒绝在指定期限内支付赎金,它就会擦除其 PC 上的所有文件 —— 包括删除所有非系统文件、以及覆盖硬盘上的主引导记录(MBR)。

【参考链接】https://ti.nsfocus.com/security-news/IlNmW

  • 攻击者侵入微软内部Azure DevOps源代码存储库并窃取数据

【标签】企业

【概述】

据外媒报道,Lapsus$网络犯罪团伙日前宣称,已成功侵入微软内部Azure DevOps源代码存储库,并窃取了数据。在过去的几个月中,该团伙相继入侵英伟达、三星、育碧、Mercado Libre和沃达丰等知名公司的系统。近段时间,Lapsus$勒索软件团伙持续招募受雇于知名科技巨头和互联网服务提供商(ISP)的内部人员,这些公司可能包括了微软、苹果、艺电游戏(EA Games)和IBM。同时该团伙还准备花重金向内部人员求购授予的访问权限,如VPN访问权限等,以攻击其感兴趣的目标,如Claro、西班牙电信(Telefonica)和AT$团伙宣称已侵入微软Azure DevOps服务器,并发布了据称是内部源代码存储库的屏幕截图。

【参考链接】https://ti.nsfocus.com/security-news/IlNn9

  • HubSpot泄露大量客户数据

【标签】企业

【概述】

几家加密货币公司——BlockFi、Swan Bitcoin、Paxos和NYDIG等——已确认一些客户数据通过HubSpot泄露。这家客户关系管理公司是加密货币公司的第三方供应商,此次泄密似乎是恶意参与者试图访问用户详细信息。

【参考链接】https://ti.nsfocus.com/security-news/IlNn6

  • 黑客入侵雀巢并泄露敏感数据

【标签】企业

【概述】

广受欢迎的匿名黑客行动主义者团体宣布已对雀巢进行黑客攻击,并泄露了10GB的敏感数据,因为雀巢继续在俄罗斯运营,并表示泄露数据包括公司电子邮件、密码和与商业客户有关的数据。

【参考链接】

https://ti.nsfocus.com/security-news/IlNni

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。


文章来源: http://blog.nsfocus.net/weekly-20220321/
如有侵权请联系:admin#unsafe.sh