每日安全简讯(20210107)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 黑客组织Thallium针对股票投资者进行供应链攻击
ESTsecurity研究人员发现黑客组织Thallium通过更改私人股票投资通讯程序来进行供应链攻击。被注入特定命令的合法安装程序使用Nullsoft脚本安装系统(NSIS)重新打包,特定命令从恶意的FTP服务器上获取XSL脚本,并在Windows系统上通过内置的wmic.exe实用程序执行该脚本。然后,执行下一阶段的VBScript,以在%ProgramData%目录下创建文件和文件名,并连接C2服务器,以接收其它命令。攻击者会对受感染的系统进行侦查并筛选受害者,部署RAT以进一步进行其它活动。
https://www.bleepingcomputer.com/news/security/north-korean-software-supply-chain-attack-targets-stock-investors/
2 研究人员发现针对加密货币用户的ElectroRAT行动
Intezer研究人员在2020年12月发现了针对加密货币用户的攻击活动,并将其称为ElectroRAT行动。攻击者在专门的在线论坛和社交媒体上使用虚假账号推广木马应用程序,诱使加密货币用户从攻击者专门构建的恶意网站上,下载自定义木马应用程序Jamm、DaoPoker或eTrade,每个程序都包含名为ElectroRAT的新远控木马。ElectroRAT使用Golang编写,并具有Windows、Linux和MacOS版本。一旦用户运行该应用程序,便会打开一个GUI,而ElectroRat在后台运行。ElectroRAT具有各种功能,例如键盘记录、截屏、下载文件以及在用户的控制台上执行命令。
https://www.intezer.com/blog/research/operation-electrorat-attacker-creates-fake-companies-to-drain-your-crypto-wallets/
3 研究人员发现黑客开始利用最近披露的Zyxel漏洞
安全研究人员发现已有黑客试图利用最近披露的Zyxel漏洞来入侵设备。该漏洞被追踪为CVE-2020-29583,由于未记录的用户帐户zyfwp的密码以明文形式存储在固件中而存在,受影响设备为Zyxel USG、ATP、VPN、ZyWALL和USG FLEX。研究人员表示,已有设备开始使用Zyxel为CVE-2020-29583公开的用户名和密码,通过SSH尝试尝试登录网络上的服务器,但目前攻击数量很少。
https://www.securityweek.com/hackers-start-exploiting-recently-disclosed-zyxel-vulnerability
4 谷歌发布Android补丁更新共解决43个安全漏洞
谷歌在本周一发布了Android补丁更新,共解决了43个漏洞,这是本月Android安全公告的一部分。修复的严重漏洞包括Android系统组件中的远程执行代码漏洞CVE-2021-0316,Android Framework组件中的拒绝服务漏洞CVE-2021-0313。此外,还包括其框架中的13个漏洞、Media Framework中的3个漏洞、第三方组件中的3个漏洞、MediaTek组件中的1个漏洞、高通组件中的15个漏洞等。
https://threatpost.com/google-warns-of-critical-android-remote-code-execution-bug/162756/
5 印度数千名患者的COVID-19实验室测试结果泄漏
印度多个政府部门的网站,包括国家卫生和福利机构,在网上泄露了数千名患者的COVID-19实验室检测结果。这些泄漏的实验室报告正在被搜索引擎索引,从而暴露出患者的数据以及冠状病毒检测是否为阳性。研究人员发现这些显示在谷歌上的PDF报告,包含患者姓名、年龄或出生日期、报告标识符编号、测试日期、进行测试的医院现场以及医生的信息以及病毒检测结果。大多数日期都在2020年11月至2021年1月之间,还包括2020年4月或更早的报告,总数超1500份。
https://www.bleepingcomputer.com/news/security/indian-government-sites-leaking-patient-covid-19-test-results/
6 美国政府正式指责俄方发起SolarWinds供应链攻击
美国联邦调查局(FBI)、网络安全和基础设施安全局(CISA)、国家情报局局长办公室(ODNI)和国家安全局(NSA)发布联合声明,指责疑似俄罗斯政府策划了在上个月被曝光的SolarWinds供应链攻击。声明中表示,该攻击目的为情报收集。目前约有18000个SolarWinds客户下载了后门软件,但仅有很少数量的客户系统因进一步攻击活动而受到损害。现已确定不到10个受影响的美国政府机构,并且正在努力确定并通知可能受到影响的非政府实体。
https://www.cisa.gov/news/2021/01/05/joint-statement-federal-bureau-investigation-fbi-cybersecurity-and-infrastructure
页:
[1]