每日安全简讯(20210321)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Android木马程序冒充Clubhouse应用
ESET恶意软件研究人员Lukas Stefanko发现,网络罪犯正试图利用Clubhouse的流行传播恶意软件,目的是盗取用户的登录信息,用于各种在线服务。该恶意软件伪装成仅限邀请的音频聊天应用程序的Android版本(尚不存在),是从具有真正Clubhouse网站外观的网站提供的。该木马被ThreatFabric称为“ BlackRock”,被ESET产品检测为Android / TrojanDropper.Agent.HLR,可以盗取受害者至少458个在线服务的登录数据。
https://www.welivesecurity.com/2021/03/18/beware-android-trojan-posing-clubhouse-app/
2 REvil勒索软件能在Windows安全模式下加密文件
在MalwareHunterTeam发现的REvil勒索软件的新样本中,添加了新的-smode命令行参数,该参数强制计算机在加密设备之前重新启动进入安全模式。重新启动时,设备将在安全模式下启动并联网,系统将提示用户登录Windows。一旦他们登录,REvil勒索软件将在不使用-smode参数的情况下执行,这样它就开始加密设备上的文件。当REvil加密文件时,“安全模式”屏幕将为空白,但是仍然可以使用Ctrl + Alt + Delete启动Windows任务管理器。在运行时,勒索软件将阻止用户通过任务管理器启动任何程序,直到它完成加密设备。一旦设备被加密,它将允许启动序列的其余部分继续进行,并且在桌面上将显示赎金记录和加密文件。
https://www.bleepingcomputer.com/news/security/revil-ransomware-has-a-new-windows-safe-mode-encryption-mode/
3 Office 365网络钓鱼攻击针对金融服务业高管
据Area 1 Security的一份最新报告显示,一种新型的网络钓鱼诈骗正在兴起,目标是保险和金融服务行业的高管,以获取他们的微软365凭据,并发起商务电子邮件攻击(BEC)。在该活动的一个版本中,目标用户会收到一个伪造的office365安全更新,该更新是从带有微软主题名称的域发送的,诈骗者还正确地配置了SPF记录,以获得认证保护。攻击的另一种形式涉及接管其他帐户以发送网络钓鱼邮件。攻击者伪造已知发件人的电子邮件地址以逃避检测。这些钓鱼邮件的目的是欺骗受害者点击伪装成安全更新的“应用更新”按钮,将他们带至假冒的Office 365登录页面。研究人员警告说,在目标提交密码后,威胁参与者就可以完全控制他们的电子邮件和其他任何使用相同密码的系统。
https://threatpost.com/office-365-phishing-attack-financial-execs/164925/
4 Eastern Health机构遭网络攻击关闭部分IT系统
由于周二晚些时候发生的“网络事件”,维多利州Eastern Health机构的一些手术被取消。Eastern Health经营着Angliss,Box Hill,Healesville和Maroondah医院,并管理着更多的设施。Eastern Health在一份声明中表示,作为预防措施,Eastern Health的许多医疗IT系统已经关闭,该机构正在努力了解和纠正这种情况。值得注意的是,病人的安全并没有受到损害。
https://www.zdnet.com/article/eastern-health-cyber-incident-cancels-surgeries-across-melbourne/
5 F5 BIG-IP设备最近修补的严重漏洞被积极利用
网络安全专家警告称,正在进行的攻击旨在利用F5 BIG-IP和BIG-IQ网络设备中最近修补的严重漏洞,该漏洞被追踪为CVE-2021-22986。CVE-2021-22986是一个存在于iControl REST接口的未经身份验证的远程命令执行漏洞,CVSS得分为9.8。未经验证的攻击者可以通过BIG-IP管理接口和自身IP地址访问iControl REST接口,利用此漏洞执行任意系统命令、创建或删除文件以及禁用服务。
https://threatpost.com/critical-f5-big-ip-flaw-now-under-active-attack/164940/
6 研究人员发现MyBB论坛中存在严重的RCE漏洞
在一个名为MyBB的流行公告板软件中,有两个关键漏洞,被利用可以实现远程代码执行(RCE),而无需事先访问特权帐户。这些漏洞是由安全研究人员Simon Scannell和Carl Smith发现的,并于2月22日报告给MyBB团队,随后于3月10日发布了针对该问题的更新(版本1.8.26)。第一个漏洞,嵌套的自动URL持久性XSS漏洞(CVE-2021-27889),源于MyBB在呈现过程中解析包含URL的消息的方式,因此任何非特权论坛用户都可以将存储型XSS有效载荷嵌入到线程、帖子甚至私人消息中。第二个漏洞与论坛主题管理器中的SQL注入(CVE-2021-27890)有关,该漏洞可能导致经过身份验证的RCE。
https://thehackernews.com/2021/03/critical-rce-flaw-reported-in-mybb.html
页:
[1]