每日安全简讯(20210501)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安全厂商披露具有经济动机的组织UNC2447

FireEye观察到一个具有经济动机的组织UNC2447，利用一个SonicWall VPN 0day漏洞（补丁未发布之前），部署复杂恶意软件SOMBRAT。研究人员还将UNC2447与勒索软件联系起来。UNC2447首先使用FIVEHANDS勒索软件攻击并敲诈受害者，然后通过引起媒体关注和在黑客论坛上出售受害者数据来施加压力以迫使受害者支付赎金。从而获利。UNC2447已被观察到针对欧洲和北美的组织，并一直显示出逃避检测和减少入侵后取证的先进能力。根据对部署技术和时间观察，研究人员怀疑UNC2447可能在2020年5月至2020年12月期间使用HELLOKITTY勒索软件，而FIVEHANDS勒索软件则是自2021年1月左右起一直使用。


https://www.fireeye.com/blog/thr ... nancial-threat.html

---

2 Water Pamola通过恶意订单攻击在线商店

自2019年以来，趋势科技研究人员一直在跟踪一个被称为“Water Pamola”的攻击活动。该活动最初通过带有恶意附件的垃圾邮件攻击日本、澳大利亚和欧洲国家的电子商务在线商店。自2020年初以来，研究人员注意到该活动发生了一些变化。目前，受害者主要集中在日本，攻击不再通过垃圾邮件发起，而是通过恶意订单。当管理员在其在线商店的管理面板中查看客户订单时，就会执行恶意脚本。恶意脚本可进行页面抓取、凭据钓鱼、Web Shell感染和投送恶意软件等进恶意行为。


https://www.trendmicro.com/en_us ... licious-orders.html

---

3 意大利合作信贷银行BCC遭受勒索软件攻击

意大利最大的合作信贷银行之一Banca di Credito Cooperativo（BCC）遭到勒索软件攻击。据报道，此次攻击导致188个分支机构的业务瘫痪，给银行客户造成严重问题。攻击者还在释放到银行计算机上的勒索信中称其为DarkSide勒索软件团伙。该银行表示，自动取款机（ATM）和家庭银行服务不受攻击影响，影响正常运营的技术问题正在解决，最迟将从5月3日星期一开始逐步恢复。


https://securityaffairs.co/wordp ... ide-ransomware.html

---

4 REvil勒索软件攻击巴西南里奥格兰德州法院

4月28日，巴西的南里奥格兰德州法院（TJRS）系统遭受REvil勒索软件攻击，导致员工文件被加密，并迫使法院关闭网络。TJRS在推特上称，系统安全团队建议法院内部用户不要远程访问计算机，也不要登录法院网络内的计算机。据称，REVil勒索软件团伙要求500万美元的赎金来解密文件从而不泄漏数据。


https://www.bleepingcomputer.com ... y-revil-ransomware/

---

5 PHP Composer中漏洞可能导致供应链攻击

PHP的软件包管理器Composer的维护者发布了一个更新程序，以解决一个严重漏洞，该漏洞可能允许攻击者执行任意命令并为每个PHP包设置后门，从而导致供应链攻击。该漏洞被跟踪为CVE-2021-29472，于4月22日被研究人员发现并报告，并在不到12小时后发布的2.0.13版本中被修复，研究人员表示该漏洞尚未得到利用。


https://thehackernews.com/2021/0 ... g-could-enable.html

---

6 F5发布BIG-IP身份验证绕过漏洞补丁程序

F5 Networks本周发布了补丁程序，以解决影响BIG-IP访问策略管理器（APM）的身份验证绕过漏洞。该漏洞是跟踪为CVE-2021-23008的高严重性漏洞，如果攻击者可以使用欺骗的AS-REP(Kerberos认证服务响应)劫持Kerberos KDC(密钥分发中心)连接，则可以绕过BIG-IP APM AD（活动目录）认证。该漏洞影响BIG-IP APM版本11.5.2至16.0.1，补丁程序包含在BIG-IP APM版本12.1.6、13.1.4、14.1.4和15.1.3中，但是没有补丁可用于版本11.x和16.x。


https://www.securityweek.com/vul ... c-hijacking-attacks

---