超三万台电脑遭新恶意软件感染、联想修复特权提升漏洞|12月20日全球网络安全热点
安全资讯报告
黑客在赎金被拒绝后在“暗网”上泄露了英国警方的机密数据
据英国《每日邮报》报道,英国一些警察部队持有的机密信息在一次令人尴尬的安全漏洞中被黑客窃取。
网络犯罪团伙Clop发布了一些从一家IT公司掠夺的材料,该公司负责在所谓的“暗网”上处理对警察国家计算机(PNC)的访问——并威胁要跟进更多。
据信,Clop在10月份发起了一次“网络钓鱼”攻击后,向Dacoll公司索要赎金,该攻击使其能够访问包括PNC在内的资料,其中包含1300万人的个人信息和记录。这些文件包括驾驶者的图像,Clop似乎是从国家自动车牌识别(ANPR)系统中获取的。视频包括被拍到超速行驶的司机面部特写图像。
目前尚不清楚Clop可能会在暗网上发布哪些额外的——可能是更敏感的——信息,这些信息可能会被欺诈者窃取。
新闻来源:
https://www.dailymail.co.uk/news/article-10325189/Russian-hackers-leak-confidential-UK-police-data-dark-web-ransom-rejected.html
Emotet的回归点亮了新勒索软件攻击的警告
Check Point Research的2021年11月全球威胁指数显示,Trickbot仍然位居最流行的恶意软件列表的首位,但新近重新出现的Emotet已经排名第七。对于Check Point Software Technologies研究副总裁Maya Horowitz来说,这种回归令人担忧,因为它可能导致攻击增加。
Emotet已通过带有受感染Word、Excel和Zip文件的网络钓鱼电子邮件传播。这些电子邮件带有与当前新闻、假发票和公司备忘录相关的主题行。此外,Emotet伪装成Adobe软件并通过恶意的Windows App Installer包进行传播。Emotet是网络空间历史上最成功的僵尸网络之一。
新闻来源:
https://playcrazygame.com/2021/12/19/return-of-emotet-lights-up-warning-of-new-ransomware-attacks/
FBI警告Cuba勒索软件团伙在破坏49个关键基础设施后赚了4400万美元
网络取证专家认为,Cuba勒索软件团伙位于俄罗斯。据FBI称,Cuba勒索软件团伙的受害者包括(但不限于)金融、政府、医疗保健、制造和信息技术部门的组织。
FBI追踪了Cuba勒索软件感染的Hancitor恶意软件,该恶意软件利用了网络钓鱼活动、Microsoft Exchange漏洞、受损凭据和强力远程桌面协议(RDP)工具。
恶意软件团伙将受感染的设备添加到僵尸网络,以运行恶意软件即服务(MaaS)基础设施,并与其他勒索软件组织共享。
“Cuba勒索软件是通过Hancitor恶意软件分发的,Hancitor恶意软件是一种以将远程访问木马(RAT)和其他类型的勒索软件等窃取程序投放或执行到受害者网络而闻名的加载程序。”
新闻来源:
https://www.cpomagazine.com/cyber-security/fbi-warns-that-cuba-ransomware-gang-made-44-million-after-compromising-49-critical-infrastructure-entities-in-five-sectors/
新的PseudoManuscrypt恶意软件在2021年感染了超过35,000台计算机
工业和政府组织,包括军工综合体和研究实验室的企业,是一个名为PseudoManyscrypt的新型恶意软件僵尸网络的目标,仅今年一年就感染了大约35,000台Windows计算机。
卡巴斯基研究人员表示,该名称源于它与Manuscrypt恶意软件的相似之处,后者是Lazarus APT组织攻击工具集的一部分,并将该操作描述为“大规模间谍软件攻击活动”。
在受恶意软件攻击的所有计算机中,至少有7.2%是工程、楼宇自动化、能源、制造、建筑、公用事业和水资源管理部门组织使用的工业控制系统(ICS)的一部分,这些部门主要位于印度、越南、和俄罗斯。大约三分之一(29.4%)的非ICS计算机位于俄罗斯(10.1%)、印度(10%)和巴西(9.3%)。
用于助长僵尸网络的破解安装程序包括Windows 10、Microsoft Office、Adobe Acrobat、Garmin、使命召唤、SolarWinds工程师工具集,甚至卡巴斯基自己的防病毒解决方案。盗版软件安装由一种称为搜索中毒的方法驱动,攻击者创建恶意网站并使用搜索引擎优化(SEO)策略使其在搜索结果中显眼。
安装后,PseudoManuscrypt带有一系列侵入性功能,允许攻击者完全控制受感染的系统。这包括禁用防病毒解决方案、窃取VPN连接数据、记录击键、录制音频、捕获屏幕截图和视频以及拦截剪贴板中存储的数据。
研究人员说:“大量工程计算机受到攻击,包括用于3D和物理建模的系统,数字孪生的开发和使用将工业间谍问题列为该活动的可能目标之一。”
新闻来源:
https://thehackernews.com/2021/12/new-pseudomanuscrypt-malware-infected.html
安全漏洞威胁
微软Windows用户被告知立即更新,黑客利用安全漏洞安装窃取数据的恶意软件
据称,国际黑客正在利用CVE-2021-43890安装旨在窃取凭据的恶意Emotet或Trickbot。幸运的是,微软发现了这个错误并修复了它——但你现在需要采取行动。
在最新一轮的Microsoft补丁星期二轮次中,在其产品系列中发现并修复了60多个漏洞,包括Windows、Visual Studio、Office、PowerShell和SharePoint Server。七个被给予了关键评级,六个零日被修复。
专家仍然警告人们不要延迟安装最新的Windows更新,以确保他们的设备保持最新状态。
新闻来源:
https://www.the-sun.com/tech/4298303/microsoft-windows-users-update-security-loophole/
Conti Ransomware Group利用Log4j漏洞
Advanced Intelligence(AdvIntel)安全公司发现Conti勒索软件团伙是第一个在其针对VMware vCenter服务器的操作中采用并嵌入Log4Shell漏洞的网络犯罪组织。
“在Log4j2漏洞公开一周后,AdvIntel发现了最令人担忧的趋势-最多产的有组织的勒索软件组织之一Conti对新CVE的利用,”AdvIntel报告说。
根据AdvIntel12月12日发布的报告,许多Conti勒索软件组织成员正试图利用Log4j缺陷作为初始攻击媒介。
研究人员称,这些攻击始于12月13日,该组织专门针对易受Log4Shell攻击的VMWare vCenter服务器。该组织试图利用漏洞访问服务器并横向移动到企业网络。
VMWare发布了一份安全公告,其中包含针对所有40种易受Log4Shell漏洞影响的受影响产品(包括vCenter)的修复程序。该公告确认了漏洞利用尝试正在发生。
新闻来源:
https://www.hackread.com/conti-ransomware-group-exploit-log4j-vulnerability/
Apache发布第三个补丁以修复新的Log4j严重漏洞
周五Apache软件基金会(ASF)为广泛使用的日志库推出另一个补丁-版本2.17.0,Log4j的问题继续堆积,恶意行为者可以利用该补丁进行拒绝服务(DoS)攻击。
跟踪为CVE-2021-45105(CVSS评分:7.5),新漏洞影响该工具的所有版本,从2.0-beta9到2.16.0,这家开源非营利组织本周早些时候发布了该漏洞以修复可能导致的第二个缺陷在远程代码执行(CVE-2021-45046)中,这反过来又源于对CVE-2021-44228的“不完整”修复,也称为Log4Shell漏洞。
CVE-2021-45046的严重性评分,最初归类为DoS漏洞,此后已从3.7修订为9.0分。
美国网络安全和基础设施安全局(CISA)发布了一项紧急指令,要求联邦文职部门和机构在2021年12月23日之前立即修补其面向互联网的系统以应对ApacheLog4j漏洞,理由是这些弱点构成了“不可接受的风险。”
新闻来源:
https://thehackernews.com/2021/12/apache-issues-3rd-patch-to-fix-new-high.html
研究人员警告称,联想ThinkPad修复了一个特权提升漏洞
在发现允许黑客发起特权升级攻击的缺陷后,联想的ThinkPad工作站系列的用户已被警告要修补他们的系统。
据NCCGroup的安全研究人员称,据信可以将两个单独的缺陷链接在一起,以针对ImControllerService组件并更改用户对系统的访问级别。ImControllerService是Lenovo ThinkPad硬件系列中的一个组件,用于控制系统电源管理以及应用程序和驱动程序更新等任务。
NCCGroup表示,该漏洞可以通过利用两个漏洞触发,跟踪为CVE-2021-3922和CVE-2021-3969,影响ImControllerService处理高特权子进程的执行方式。系统正常运行时,ImControllerService会定期启动子进程,打开命名管道服务器。这些命名管道服务器连接到父进程,以便检索和执行必要的XML序列化命令。
这些命令之一是从系统上的任意位置加载插件。在加载和执行文件之前,子进程需要验证插件动态链接库(DLL)的数字签名。因为子进程没有验证连接的来源,它会在竞争条件被利用后开始接受来自攻击者的命令。
黑客能够劫持此过程以更改权限并将他们选择的任何有效负载加载到机器上。
联想已发布公告,警告用户将升级到最新的IMController版本(1.1.20.3版)。该组件由Lenovo System Interface Foundation Service自动更新。
新闻来源:
https://www.itpro.co.uk/security/exploits/361865/lenovo-thinkpads-vulnerable-to-system-level-privilege-exploit