【威胁通告】AG公司科技威胁情报周报（2022.01.10-2022.01.16）

2022-01-17

一、威胁通告

HTTP协议栈远程代码执行漏洞通告（CVE-2022-21907）

【发布时间】2022-01-14 15:00:00 GMT

【概述】

1月12日，AG公司科技CERT监测到微软发布月度安全更新，其中修复了一个HTTP协议栈远程代码执行漏洞（CVE-2022-21907）。由于HTTP协议栈（HTTP.sys）中的HTTP Trailer Support功能存在边界错误可导致缓冲区溢出。未经身份验证的攻击者通过向Web服务器发送特制的HTTP数据包，从而在目标系统上执行任意代码。该漏洞被微软提示为“可蠕虫化”，无需用户交互便可通过网络进行自我传播，CVSS评分为9.8。目前已发现可造成目标主机蓝屏崩溃的漏洞利用出现，请相关用户尽快采取措施进行防护。

【链接】

https://nti.nsfocus.com/threatWarning

Apache Dubbo远程代码执行漏洞通告（CVE-2021-43297）

【发布时间】2022-01-13 11:00:00 GMT

【概述】

1月12日，AG公司科技CERT监测发现Apache发布安全通告，修复了Dubbo一个远程代码执行漏洞（CVE-2021-43297）。由于在Dubbo的hessian-lite中存在反序列化漏洞，未经身份验证的攻击者可利用该漏洞在目标系统上远程执行任意代码。大多数 Dubbo 用户默认使用 Hessian2作为序列化/反序列化协议，在Hessian 捕获到异常时，Hessian将会注销一些用户信息，这可能会导致远程命令执行。请相关用户尽快采取措施进行防护。 Apache Dubbo 是一款微服务开发框架，它提供了RPC通信与微服务治理两大关键能力。使应用可通过高性能的 RPC 实现服务的输出和输入功能，可以和 Spring 框架无缝集成。

【链接】

https://nti.nsfocus.com/threatWarning

二、热点资讯

1. Squirrelwaffle利用ProxyShell和ProxyLogon发起电子邮件攻击

【概述】

研究人员调查了最近发生在中东的几起与 Squirrelwaffle 相关的攻击事件发现所有攻击都源自内部部署的 Microsoft Exchange 服务器，这些服务器似乎容易受到 ProxyLogon 和 ProxyShell 的攻击。经分析后表示三个Exchange服务器上的IIS日志中都发现了漏洞CVE-2021-26855、CVE-2021-34473和CVE-2021-34523被利用的痕迹，ProxyLogon(CVE-2021-26855)和 ProxyShell(CVE-2021-34473和 CVE-2021-34523) 攻击中使用了相同的CVE。

【参考链接】

https://ti.nsfocus.com/security-news/IlNca

2. FIN7集团对使用BadUSB设备的美国公司发起攻击

【概述】

联邦调查局 (FBI) 警告美国公司，FIN7 网络犯罪集团正在使用BadUSB设备瞄准美国国防工业。并表示该团伙正在使用带有LilyGO标志的武器化USB 设备，这些设备通过美国邮政服务和联合包裹服务公司发送给受害者。目标用户将USB拇指驱动器插入计算机后，会触发BadUSB攻击，并且设备充当键盘（HID Emulator USB）向系统发送命令。

【参考链接】

https://ti.nsfocus.com/security-news/IlNcb

3. 新的Zloader活动利用微软的签名验证对用户发起攻击

【概述】

研究人员发现Zloader新活动的证据于 2021 年 11 月上旬左右首次出现，感染链中包含的技术包括使用合法远程管理软件 (RMM) 以获得对目标计算机的初始访问权限。然后，恶意软件利用微软的数字签名验证方法将其有效载荷注入签名系统 DLL 中，以进一步逃避系统的防御。这一证据表明，Zloader 活动的开发者在防御规避方面进行了很多迭代，并且仍在每周更新他们的方法。

【参考链接】

https://ti.nsfocus.com/security-news/IlNcw

4. 与印度有关的攻击者Patchwork利用Ragnatela发起钓鱼攻击

【概述】

在最近的一次活动中，一名与印度有关的攻击者被追踪为 Patchwork（又名 Dropping Elephant），他使用了 BADNEWS 后门的新变体，称为 Ragnatela（意大利语中的“蜘蛛网”），Patchwork 小组使用武器化的 RTF 文件进行了鱼叉式网络钓鱼活动，以删除 BADNEWS (Ragnatela) 远程管理木马 (RAT) 的变种。恶意 RTF 文件冒充巴基斯坦当局并利用 Microsoft 公式编辑器中的漏洞来传递和执行最终有效负载 (RAT)。

【参考链接】

https://ti.nsfocus.com/security-news/IlNcu

5. 在线预订服务平台FlexBooker大量用户数据遭泄露

【概述】

根据消息称，在线预订服务平台 FlexBooker披露数据泄露事件，超370万账户遭到黑客入侵，被盗数据信息在暗网被出售。而攻击发生在圣诞节前夕，该事件由一个自称为 Uawrongteam 的组织发起，他们发布了包含身份证、驾照、照片的档案和文件链接。威胁者声称被盗的数据库包含客户信息，包括姓名、电子邮件、电话号码、散列密码和密码盐。

【参考链接】

https://ti.nsfocus.com/security-news/IlNcx

6. 攻击者利用新型勒索软件Night Sky针对企业发起攻击

【概述】

近日，安全研究人员发布警告称，一个名为“Night Sky”的新型勒索软件正再活跃，它以企业网络为目标，并在双重勒索攻击中窃取数据。并且在攻击之后，勒索软件会在每个文件夹中放置一个名为NightSkyReadMe.hta的勒索便条，该文件中的信息包括联系电子邮件，受害者协商页面的硬编码凭据，登录Rocket.Chat以便进行联系的凭据。

【参考链接】

https://ti.nsfocus.com/security-news/IlNcy

7. 攻击者利用SysJoker 后门恶意软件对Windows、Linux 和macOS发起攻击

【概述】

研究人员警告说，一种可能通过恶意 npm 包分发的全新多平台恶意软件正在低调传播，Linux 和 Mac 版本在 VirusTotal 中完全未被检测到。该后门被称为 SysJoker，用于在目标机器上建立初始访问权限。安装后，它可以执行后续代码以及其他命令，恶意行为者可以通过这些命令进行后续攻击或转向进一步进入公司网络。

【参考链接】

https://ti.nsfocus.com/security-news/IlNcG

8. 攻击者通过微软Azure、AWS云服务传播远程访问木马

【概述】

研究人员发现，最近一项利用公共云基础设施的活动正在部署的不是一个，而是三个商业远程访问木马 (RAT)。Nanocore、Netwire 和 AsyncRAT 有效负载正在从公共云系统部署，这种滥用行为使攻击者能够利用包括 Microsoft Azure 和 Amazon Web Services (AWS) 在内的供应商管理的云服务资源来达到恶意目的。

【参考链接】

https://ti.nsfocus.com/security-news/IlNcT

9. 攻击者利用RedLine信息窃取器的新变种发起攻击

【概述】

研究人员发现，RedLine 信息窃取器的新变种正通过电子邮件进行传播，以COVID-19 Omicron 病例计数器应用程序作为诱饵。RedLine 的目标是存储在浏览器上的用户账户凭证、VPN密码、信用卡详细信息、cookies、IM内容、FTP凭证、加密货币钱包数据和系统信息。

【参考链接】

https://ti.nsfocus.com/security-news/IlNcW

10. Ciox Health的大量患者数据遭泄露

【概述】

根据最近的 Ciox Health 通知，未经授权的人在 2021 年 6 月 24 日至 7 月 2 日期间访问了 Ciox 员工的电子邮件帐户。据该公司称，攻击者可能已利用该访问权限下载与受感染帐户相关的电子邮件和附件。账户信息与账单查询和客户服务请求相关，它可能包括患者姓名、提供者姓名、出生日期、服务日期、健康保险信息、临床信息或社会保障或驾驶执照号码。

【参考链接】

https://ti.nsfocus.com/security-news/IlNdb

<<上一篇

【威胁通告】AG公司科技威胁情报周报（2022.01.03-2022.01.09）

>>下一篇

【威胁通告】AG公司科技威胁情报周报（2022.01.17-2022.01.23）