每日安全简讯(20200728)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 NSA报告针对美国关键基础设施的网络攻击

美国国家安全局（NSA）和网络安全与基础设施安全局（CISA）发出警报，指出针对美国关键基础设施的网络攻击。报告中称，近几个月来，攻击者表现出继续通过利用可访问互联网的运营技术（OT）资产对关键基础设施（CI）进行恶意网络活动的意图。攻击者针对的是特定设备，即Triconex TriStation和Triconex Tricon通信模块，这些模块广泛用于工业环境中，例如发电厂、工厂、石油和天然气精炼厂。


https://securityaffairs.co/wordp ... strial-systems.html

---

2 FBI警告三个网络协议可被用于DDoS攻击

FBI警告，新发现三个网络协议和一个Web应用程序可作为DDoS攻击媒介，它们为CoAP(约束应用协议)、WS-DD (Web服务动态发现)、ARMS (Apple远程管理服务)和基于web的自动化软件Jenkins。CoAP、WS-DD、ARMS三个协议已被滥用以发起大规模DDoS攻击。FBI认为设备供应商不会禁用这些协议，并警告公司采取预防和保护措施。


https://www.zdnet.com/article/fb ... d-arms-and-jenkins/

---

3 网络钓鱼活动声称减免近400英镑税务

新网络钓鱼活动以COVID-19为背景，承诺减免税收来诱骗收件人以完成网络诈骗。钓鱼电子邮件看似来自政府数字服务团队，声称将提供近400英镑的税务减免，并提醒收件人立即申请，退款金额将直接转入借记卡/信用卡。研究人员表示这种类型的网络诈骗可能会对收件人的财务和个人数据带来威胁。


https://www.infosecurity-magazin ... omises-400-council/

---

4 美国犹他大学报告第三起网络钓鱼攻击

美国犹他大学于7月20日报告给美国卫生与公众服务部（HHS），其遭遇网路钓鱼攻击。据称影响了1万名患者，并涉及电子邮件中的PHI值。此次是犹他大学今年向HHS报告的第三起网络钓鱼事件。该大学表示，攻击者对患者数据的访问是有限的，还未发现任何数据被以任何方式被滥用的迹象。


https://www.databreaches.net/uni ... er-phishing-attack/

---

5 数十家公司公共存储库源代码在线泄漏

由于基础设施配置不正确，来自各个领域（技术、金融、零售、食品、电子商务、制造业）的数十家公司的公开存储库的源代码可在线获得。泄露代码的公共存储库包括微软、Adobe、联想、AMD、高通、摩托罗拉、海思康、联发科技、通用电器、任天堂、Roblox、迪斯尼、江森自控等知名公司。


https://www.bleepingcomputer.com ... nies-leaked-online/

---

6 任天堂数据泄露曝光开发初期角色图像

任天堂大规模数据泄露曝光其开发初期经典游戏的源代码和角色图像。泄露的数据似乎包括 "超级马里奥世界"、被取消的 "塞尔达2 "重制版、"超级马里奥64 "和 "塞尔达传说：时之笛"。任天堂还没有回应媒体的评论，但根据著名的任天堂数据挖掘者，泄漏似乎是真实的。


https://www.ibtimes.com/nintendo ... apped-ideas-3017185

---