每日安全简讯(20210128)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 多个安全厂商受到SolarWinds事件影响

网络安全厂商Mimecast、Palo Alto Networks、Qualys和Fidelis证实，确认安装了恶意的SolarWinds Orion应用更新。Mimecast在最新的更新中表示，已确认被入侵的Mimecast证书与SolarWinds供应链攻击事件有关，调查还表明，攻击者访问并可能窃取了美国和英国客户创建的某些加密服务帐户凭据。Palo Alto Networks表示，发现了2020年9月和2020年10月发生的两起与SolarWinds供应链攻击事件相关的事件。Qualys证实，Orion软件的恶意版本感染了其系统。Fidelis确认遭到相关攻击，但攻击者无法部署第二阶段载荷。


https://securityaffairs.co/wordp ... rity-providers.html

---

2 研究人员发现DanaBot银行木马新版本

Proofpoint研究人员发现了DanaBot银行木马的更新版本。DanaBot是Proofpoint于2018年5月首次发现的一种银行和信息窃取木马，过去已经发现三个版本，此次发现的是第四个版本。新版本仍然是使用Delphi编写的大型多线程模块化木马，通过各种软件和破解网站分发，具有切换到基于TOR的C&C的功能。研究人员认为DanaBot被设置为“恶意软件即服务”，其中一个操控者控制着全球C&C面板和基础架构，然后将其访问权出售给其他被称为关联者的攻击者。


https://www.proofpoint.com/us/bl ... new-version-danabot

---

3 Nefilim勒索软件利用已故员工账户传播

Sophos研究人员发现了Nefilim勒索软件的攻击活动，被攻击公司的100多个系统受到影响。攻击者利用该公司使用带有已知安全漏洞（CVE-2019-11634、CVE-2019-13608、CVE-2020-8269、CVE-2020-8270、CVE-2020-8283）的Citrix软件作为初始访问权限。在之后持续一个多月的活动中，攻击者首先获取了访问已故员工但未被关闭的管理员帐户权限，使用Mimikatz窃取了一个域管理员帐户的凭据，然后通过域管理员帐户使用WMI部署Nefilim勒索软件并横向移动，最终在窃取数百GB数据后加密文件。


https://news.sophos.com/en-us/20 ... -ghost-credentials/

---

4 零售巨头Dairy Farm遭REvil勒索软件攻击

大型零售连锁运营商Dairy Farm本月受到REvil勒索软件攻击，攻击者要求3000万美元的赎金。Dairy Farm集团在亚洲拥有1万多家门店，总类包括杂货店、便利店、健康美容、家居和餐饮。攻击者声称在2021年1月14日左右入侵了Dairy Farm集团的网络并加密了设备。在攻击发生7天后，他们仍然可以访问该集团网络，包括已被完全控制的电子邮件，并表示这些邮件将被用于网络钓鱼攻击。攻击者还分享了活动目录用户（Active Directory Users）和计算机MMC的屏幕快照以证明攻击。研究人员对此事件向Dairy Farm求证，该集团表示，确实在本月遭到网络攻击，但只有不到2%的设备受到了影响，目前已被脱机隔离。


https://www.bleepingcomputer.com ... -ransomware-attack/

---

5 新Sudo漏洞允许本地用户获取root特权

Qualys安全研究人员在Sudo解析命令行参数的方式中发现了基于堆的缓冲区溢出漏洞，成功利用此漏洞可能导致特权升级。该漏洞被跟踪为CVE-2021-3156，允许任何本地用户在不需要身份验证的情况下获取root特权。该漏洞影响1.9.0到1.9.5p1的所有稳定版和1.8.2到1.8.31p2的所有旧版本的默认配置，目前已在sudo 1.9.5p2版本中修复。


https://www.qualys.com/2021/01/2 ... d-overflow-sudo.txt

---

6 Apple发布针对iOS 0day漏洞的紧急修复程序

Apple在周二针对其iOS和iPad OS平台发布了紧急安全补丁，修复已被利用的三个0day漏洞。修复的漏洞分别来自内核和WebKit，WebKit是开源网络浏览器引擎，用于Safari、Mail、AppStore以及一系列MacOS和iOS应用程序。其中，位于内核的漏洞被跟踪为CVE-2021-1782，可导致特权升级；位于WebKit的漏洞分别被跟踪为CVE-2021-1871和CVE-2021-1870，可导致任意代码执行。这些漏洞影响iPhone 6s和更高版本、iPad Air 2和更高版本、iPad mini 4和更高版本以及iPod touch（第7代）。包含在iOS 14.4和iPadOS 14.4中的修补程序正在通过自动更新机制推送给移动用户。


https://www.securityweek.com/app ... attack-ios-zero-day

---