目   錄

第一章 國內關鍵信息基礎設施安全動態

（一）?？低晹z像頭存在嚴重漏洞，可被黑客遠程攻擊

第二章國外關鍵信息基礎設施安全動態

（一）美國農業合作社遭受BlackMatter勒索軟件攻擊，預計食品供應鏈中斷

（二）美國農業合作社Crystal Valley遭受勒索軟件攻擊

（三）Nagios網絡管理產品中存在漏洞給組織帶來嚴重風險

（四）法國集裝箱航運公司CMA CGM再次遭受網絡攻擊

（五）以色列通信巨頭Voicenter遭受黑客攻擊

（六）德國選舉機構遭受網絡攻擊

（七）Turla APT組織使用新后門攻擊阿富汗、德國和美國

（八）黑客使用AsyncRAT攻擊航空業并竊取登錄憑據

（九）Vmware修復了vCenter Server中存在的嚴重漏洞

（十）美國制裁勒索軟件團伙使用的加密貨幣交易所Suex

（十一）CISA及FBI警告Conti勒索軟件攻擊增加

（十二）Netgear SOHO路由器存在高危遠程代碼執行漏洞

（十三）新型惡意軟件Capoae利用多個漏洞攻擊Linux系統及Web應用程序

（十四）網絡托管服務商Exabytes遭受勒索軟件攻擊導致部分服務中斷

（十五）Apache OpenOffice中存在遠程代碼執行漏洞

（十六）Microsoft Exchange協議漏洞導致數十萬憑據泄露

（十七）網絡語音提供商VoIP.ms遭受DDoS攻擊導致服務中斷

（十八）美國共和黨州長協會(RGA)電子郵件系統遭受入侵

（十九）阿拉斯加州衛生與社會服務部披露近期針對其系統的APT攻擊活動

 

 

第一章 國內關鍵信息基礎設施安全動態

（一）?？低晹z像頭存在嚴重漏洞，可被黑客遠程攻擊

超過70款?？低晹z像機和NVR(網絡視頻錄像機)受到一個嚴重漏洞的影響，黑客可以在沒有任何用戶交互的情況下遠程控制設備。

該漏洞編號為CVE-2021-36260，是由一位名為Watchful IP的英國研究人員發現的。這位研究人員在周末發表了一篇博客文章，但沒有公布任何防止濫用的技術細節。

攻擊者可以利用該漏洞獲得超級用戶訪問權限并完全控制設備，攻擊者還可以使用受損設備訪問內部網絡。

這位研究人員警告表示，“考慮到這些攝像頭部署在敏感地點，甚至關鍵基礎設施也可能面臨風險。只需要訪問http(S)服務器端口(通常為80/443)，相機所有者不需要用戶名或密碼，也不需要啟動任何操作。它不會被攝像機本身的任何登錄檢測到?！?/span>

?？低晫⑵涿枋鰹橐粋€命令注入漏洞，由輸入驗證不足引起的，可以使用專門制作的消息加以利用。如果攻擊者可以通過網絡訪問設備，或者設備暴露在互聯網上，就有可能被利用。該問題影響到舊款的和新款的?？低晹z像機和NVR，受影響的產品列表已經公布。

該漏洞在6月份被報告給了供應商，并于9月19日發布了一份公告，宣布固件補丁的可用性。研究人員表示，“打了補丁的固件部分可用，盡管在各種?？低暪碳T戶上部署的情況并不一致?！?/span>

參考來源：SecurityWeek http://33h.co/wc9s3

 

 

第二章 國外關鍵信息基礎設施安全動態

（一）美國農業合作社遭受BlackMatter勒索軟件攻擊，預計食品供應鏈中斷

BlackMatter勒索軟件團伙攻擊了農民飼料和谷物合作社NEW Cooperative，并要求支付590萬美元的贖金。勒索軟件團伙聲稱竊取了1,000 GB數據，包括soilmap.com項目的源代碼、財務信息、網絡信息、研發結果、敏感員工信息、法律和執行信息以及KeePass導出。如果在五天內沒有支付贖金，勒索軟件運營商威脅要贖金翻倍，增加到1180萬美元。

NEW Cooperative確認，勒索軟件感染了其部分系統，該組織已使其系統離線，以防止威脅擴散。NEW Cooperative還聲稱成功地遏制了這一威脅，并已通知執法部門，并聘請網絡安全專家調查此次攻擊。

BlackMatter集團于7月底開始運作，該團伙聲稱是Darkside和Revil集團的繼任者。與其他勒索軟件操作一樣，BlackMatter還建立了其泄密網站，在對受害者的系統進行加密之前，它將在那里公布從受害者那里泄露的數據。

BlackMatter勒索軟件的誕生最先是由Record Future的研究人員發現的，該團伙正在利用在Develope和XSS等兩個網絡犯罪論壇上發布的廣告，建立一個附屬網絡。

該組織正在招募能夠進入大型企業網絡的騙子，這些企業的年收入在1億美元或更高，試圖用其勒索軟件感染他們。該組織正在美國、英國、加拿大或澳大利亞尋找企業網絡。

一位NEW Cooperative代表表示，“就背景而言，這次攻擊的影響可能比管道攻擊嚴重得多，考慮到它已經造成的破壞，我們無法控制這種影響?！?/span>

參考來源：BleepingComputer http://33h.co/wc2fg

 

（二）美國農業合作社Crystal Valley遭受勒索軟件攻擊

美國明尼蘇達州農業供應合作社Crystal Valley遭遇了勒索軟件攻擊，這是幾天內第二個遭到勒索軟件攻擊的農業合作社。目前，尚未披露感染該公司系統的勒索軟件家族。

Crystal Valley農業合作社為明尼蘇達州和愛荷華州的農民提供服務。明尼蘇達州報告稱，該合作社為2,500名農民和牲畜生產者提供服務，并擁有260名員工。據合作社稱，攻擊發生在周日，為了應對感染，該公司關閉了IT系統。

該合作社暫停了所有使用Visa、Mastercard和Discover信用卡的付款。

本月早些時候，聯邦調查局發布了一份私營行業通知(PIN)，警告針對食品和農業部門的勒索軟件攻擊會擾亂其運營，造成財務損失并對整個食品供應鏈產生負面影響。

小型農場、大型生產商、加工商和制造商以及市場和餐館特別容易受到勒索軟件攻擊。

參考來源：SecurityAffairs http://33h.co/wcx2r

 

（三）Nagios網絡管理產品中存在漏洞給組織帶來嚴重風險

Claroty研究人員在Nagios廣泛使用的網絡管理產品中發現了11個漏洞，這些漏洞可能對組織構成嚴重風險，因為這些類型的產品可能成為惡意行為者的誘人目標。

這些漏洞是由工業網絡安全公司Claroty的研究人員發現的，這是一個研究項目的一部分，該項目專注于在IT、OT和物聯網網絡中使用網絡管理系統。

已發現安全漏洞會影響Nagios XI、XI Switch Wizard、XI Docker Wizard和XI WatchGuard。Nagios在8月份為每種受影響的產品發布了補丁。

Nagios Core是一個用于監控IT基礎設施的開源工具，Nagios XI是一個商業版本，它擴展了Core版本的功能。Nagios表示，其軟件被全球數千家組織使用，其中包括一些主要品牌，如Verizon和IBM。

Claroty對該產品進行了分析，發現了11個漏洞，可用于服務器端請求偽造(SSRF)、欺騙、訪問信息、本地權限提升和遠程代碼執行。

Claroty創建了一個概念驗證(PoC)漏洞攻擊，顯示了經過身份驗證的攻擊者如何鏈接某些漏洞，從而以root用戶權限執行shell命令。

雖然攻擊在許多情況下需要身份驗證，但Claroty指出，Nagios具有自動登錄功能，管理員可以使用該功能設置只讀賬戶，任何用戶都可以在沒有憑據的情況下連接到這些賬戶。

Claroty警告表示，“雖然此功能可能對NOC(網絡運營中心)有用，但允許用戶在不需要憑據的情況下輕松連接到平臺并查看信息，也允許攻擊者訪問平臺中的用戶帳戶，從而使任何身份驗證后漏洞在未經驗證的情況下都可被利用?！?/span>

Claroty強調了影響SolarWinds和Kaseya的事件，以強調使用第三方IT管理產品帶來的風險。

參考來源：SecurityWeek http://33h.co/wc9rq

 

（四）法國集裝箱航運公司CMA CGM再次遭受網絡攻擊

法國集裝箱航運公司CMA CGM再次遭受網絡攻擊，距離上次重大攻擊事件僅不到一年時間。

這家法國集裝箱公司告訴客戶，他們有限的客戶遭受了信息泄露，包括姓名、雇主、職位、電子郵件地址和電話號碼。CMA CGM表示，其IT團隊已經立即開發并安裝了安全補丁。

CMA CGM建議客戶不要分享他們的賬戶密碼或任何個人信息?？蛻暨€被要求檢查要求登錄運營商平臺的電子郵件的真實性，特別是如果要求重置密碼。

去年9月底，CMA CGM遭到勒索軟件攻擊，導致其大部分IT基礎設施癱瘓。

近年來，全球所有頂級班輪包括Maersk、MSC、Cosco和CMA CGM，都遭遇了黑客襲擊，造成了巨額損失。

參考來源：Splash247 http://33h.co/wcmab

 

（五）以色列通信巨頭Voicenter遭受黑客攻擊

據當以色列地媒體報道，一名叫做Deus的身份不明的黑客在一個互聯網論壇上透露，他侵入了以色列通信巨頭Voicenter的系統，并竊取了15TB數據。黑客將這些信息掛牌出售，并發布了數百個竊取的私人數據的示例。

Ynet News表示，Voicenter在18日發生了重大網絡攻擊，此次攻擊使許多接受該公司服務的公司的通信系統陷入癱瘓，軟件巨頭Check Point、移動網絡運營商Partner、Mobileye、Expon、we4G、SimilarWeb、AllJobs和Gett都是與Voicenter合作的公司。

該公司19日向其客戶發送短信，稱此次攻擊“來自國外的黑客”。不過Voicenter聲稱此次攻擊并未影響其工作?！皳覀兯?，這起事件沒有造成任何信息泄露?！?/span>

然而據Ynet News報道，Voicenter的許多客戶，包括we4G和Expon，都報告了黑客入侵后的客戶服務故障。

這已經不是以色列公司和私營和公共機構第一次成為網絡攻擊者的目標了。

參考來源：MiddleEastMonitor http://33h.co/wc92e

 

（六）德國選舉機構遭受網絡攻擊

據報道，負責德國9月26日大選的管理機構在八月底遭受了網絡攻擊，導致服務暫時中斷。

該機構一位發言人表示，“在8月底，由于出現故障，聯邦選舉網站只能訪問幾分鐘。我們對問題進行了分析，并相應地進一步進行了技術驗證。通過聯邦選舉網站向公眾提供的信息都得到了保證?！?/span>

該網站用于發布官方投票結果，遭到分布式拒絕服務攻擊。由于政府技術人員實施了防御，此次攻擊并未影響用于管理選舉的IT基礎設施。聯邦檢察官辦公室已對這起事件展開調查。政府官員最近將國會議員遭受的間諜活動歸咎于俄羅斯國家資助的黑客。

9月初，德國就一系列旨在竊取立法者數據的網絡攻擊向俄羅斯正式提出抗議，這些數據可用于在即將到來的德國大選前安排虛假宣傳活動。

德國外交部發言人Andrea Sasse表示，威脅行為者Ghostwriter在針對德國的攻擊中一直“將傳統的網絡攻擊與攻擊信息和影響行動結合起來”。據稱由國家資助的黑客對聯邦和州立法者進行了網絡釣魚攻擊，以竊取他們的個人登錄信息。

Sasse表示，“這些攻擊可以作為影響行動的準備，例如與議會選舉有關的虛假宣傳活動。德國政府掌握了可靠信息，根據這些信息，Ghostwriter活動可以歸因于俄羅斯國家的網絡行為者，特別是俄羅斯GRU軍事情報部門。這種不可接受的活動對德意志聯邦共和國的安全和民主決策過程構成威脅，并對雙邊關系造成嚴重壓力?！?/span>

柏林政府呼吁克里姆林宮立即停止這些活動。德國政府認為這些襲擊是完全不可接受的，并警告說，如果襲擊不結束，可能會做出回應。

今年3月，德國《明鏡周刊》透露，德國議會多名議員的電子郵件帳戶遭到魚叉式網絡釣魚攻擊，攻擊者被懷疑是在俄羅斯軍事特勤局GRU控制下工作的Ghostwriter組織的黑客。7月，德國國內情報機構負責人證實，網絡釣魚攻擊針對的是聯邦和州立法者及其工作人員的私人電子郵件帳戶。

參考來源：SecurityAffairs http://33h.co/wizz0

 

（七）Turla APT組織使用新后門攻擊阿富汗、德國和美國

Cisco Talos研究人員發現，與俄羅斯有關的APT組織Turla最近使用了一種名為TinyTurla的新后門，針對美國、德國和阿富汗進行了一系列攻擊。至少從2020年開始攻擊者就在使用該后門。

針對阿富汗實體的襲擊發生在塔利班最近接管該國政府和美國及其盟友撤出所有軍事力量之前。Talos推測，恐怖分子的目標是前阿富汗政府。

如果主要的Turla惡意軟件被刪除，以前未被發現的后門很可能被民族國家行為者用作第二次機會后門。后門允許攻擊者保持對受感染系統的訪問，也可以用作第二階段投放器，來提供額外的有效載荷。

Talos表示，“攻擊者在受感染的機器上安裝了后門作為服務。他們試圖像現有的Windows服務一樣，將該服務命名為Windows Time service，以在檢測下運行。后門可以從受感染的系統中上傳、執行文件或過濾文件。在對該惡意軟件的審查中，后門每5秒通過HTTPS加密通道聯系命令和控制(C2)服務器，以檢Turla APT組織又名Snake、Uroburos、Waterbug、Bear和KRYPTON，至少自2004年以來一直活躍，目標是中東、亞洲、歐洲、北美和南美以及前蘇聯集團國家的外交和政府組織以及私營企業。此前已知的受害者包括五角大樓、瑞士防務公司RUAG、美國國務院、歐洲政府實體和美國中央司令部。查是否有來自操作員的新命令?！?/span>

研究人員尚未發現TinyTurla后門是如何安裝在受害者系統上的。攻擊者使用.bat文件傳遞后門，該后門以名為w64time.dll的服務DLL的形式出現。TinyTurla實現了多種功能，比如上傳和執行文件和有效負載、創建子進程以及滲漏數據。

參考來源：SecurityAffairs http://33h.co/wcwfi

 

（八）黑客使用AsyncRAT攻擊航空業并竊取登錄憑據

Cisco Talos研究人員檢測到一項持續針對航空業的惡意活動。該活動名為Operation Layover，不斷針對航空航天和旅游行業，并傳播積極利用的加載程序的魚叉式網絡釣魚電子郵件，并使用RevengeRAT或AsyncRAT。

威脅行為者在釣魚電子郵件中表示自己是這些行業中的合法公司，并附帶一個帶有封閉鏈接的.PDF文件，該文件攜帶惡意VBScript，稍后會將木馬有效載荷分離到目標上機器。

威脅行為者的主要動機是竊取憑據和cookie，攻擊者可以將這些憑據和cookie用于更精通技術的網絡罪犯。然而，這種威脅行為者在更大的攻擊中使用它們進行初始訪問，這些攻擊還涉及勒索軟件或商業電子郵件入侵(BEC)。在這里，攻擊者通常會收集對易受攻擊的公司的訪問權限，然后將所有數據出售給暗網上的出價最高的人，而這種數據導致了勒索軟件即服務。

在檢測到該活動后，安全分析師在微軟發布推文描述他們使用AsyncRAT檢測到的新攻擊后，非常認真地對待這一事件。在Cisco Talos調查期間，他們查看了提到的微軟安全情報域kimjoy[.]ddns[.]net。

下面這張簡單的圖片可以幫助用戶了解活動、域、IP之間顯示的幾個鏈接。重要的是，所有這些活動的威脅行為者可能相互關聯。

BreachQuest聯合創始人兼首席技術官Jake Williams表示，“cookies和憑據可能是目前主要的“獲取”，在這種活動中，更糟糕的攻擊有可能發生?！钡?，有許多不同的國家經營國有化航空公司，可以從內部運營數據中獲利，這就是為什么他們有效地從競爭對手的錯誤中吸取教訓。

參考來源：GBHackers http://33h.co/wi03f

 

（九）Vmware修復了vCenter Server中存在的嚴重漏洞

VMware修復了一個嚴重任意文件上傳漏洞CVE-2021-22005，該漏洞影響會運行默認vCenter Server 6.7和7.0部署的設備。

vCenter Server是VMware的集中管理實用程序，用于從單個集中位置管理虛擬機、多個ESXi主機和所有相關組件。該漏洞是由于它處理會話令牌的方式造成的。

VMware發布的安全更新表示，“VMware已發布補丁，來解決新的關鍵安全公告VMSA-2021-0020。如果您正在使用vCenter Server，這需要您立即注意。VMSA概述了在此補丁版本中解決的許多問題。最緊急的解決了CVE-2021-22005，這是一個文件上傳漏洞，可用于在vCenter Server設備上執行命令和軟件。無論vCenter Server的配置設置如何，任何可以通過網絡訪問vCenter Server以獲取訪問權限的人都可以利用此漏洞?！?/span>

VMware敦促其客戶立即應用安全補丁來修復漏洞，威脅行為者可以利用該漏洞來執行多種惡意活動，例如在目標網絡中部署勒索軟件。

VMware安全公告表示，“在這個勒索軟件時代，最安全的做法是假設攻擊者已經在您的網絡中某處，在桌面上，甚至可能控制著用戶帳戶，這就是為什么我們強烈建議您盡快宣布緊急更改和修補程序。此漏洞的后果是嚴重的，并且在公開可用的工作漏洞之前，該漏洞被利用可能是時間問題，可能是在披露后的幾分鐘內?！?/span>

壞消息是，來自威脅情報公司Bad Packets的網絡安全專家已經觀察到針對此漏洞的掃描活動。VMware還提供了一種解決方法，以防客戶無法立即修補他們的安裝。

今年2月，VMware解決了vCenter Server虛擬基礎架構管理平臺中的一個嚴重的遠程代碼執行(RCE)漏洞CVE-2021-21972，攻擊者可能會利用該漏洞來控制受影響的系統。

5月，該公司修復了另一個漏洞CVE-2021-21985，這是由于Virtual SAN(vSAN)健康檢查插件中缺少輸入驗證造成的，該插件在vCenter Server中默認啟用。該漏洞的CVSS評分為9.8，影響vCenter Server 6.5、6.7和7.0。

5月，VMware就Virtual SAN Health Check插件中的嚴重遠程代碼執行(RCE)漏洞發布了類似警告，該漏洞影響了所有vCenter Server部署。VMware vCenter Server中的漏洞對組織來說可能非常危險，對此類漏洞的利用是威脅參與者武器庫中的危險武器。

7月，零日漏洞利用代理Zerodiu宣布正在為VMware vCenter Server尋找零日漏洞，該公司為該產品的零日漏洞提供高達100,000美元的獎金。

參考來源：SecurityAffairs http://33h.co/wcbdx

 

（十）美國制裁勒索軟件團伙使用的加密貨幣交易所Suex

美國財政部宣布對與俄羅斯有關的加密貨幣交易所Suex實施有史以來首次制裁，原因是該交易所為勒索軟件團伙的贖金交易提供便利，并幫助他們逃避制裁。

Suex在捷克共和國注冊，但在那里沒有實體存在。相反，據Chainanalysis稱，它在莫斯科和圣彼得堡分支機構以及俄羅斯和中東的其他地點運營。

美國財政部表示，SUEX為涉及至少8種勒索軟件變種的非法收益的交易提供了便利。對已知的SUEX交易的分析表明，SUEX已知的交易歷史中有40%以上與非法行為者有關。根據經修訂的第13694號行政命令，SUEX被指定為向犯罪勒索行為人構成的威脅提供物質支持。這是針對虛擬貨幣交易所的首個制裁指定行動，是在聯邦調查局(FBI)的協助下執行的。

財政部稱，此舉旨在破壞勒索軟件操作從受害者那里收取贖金的主要渠道。去年贖金總額超過4億美元，是2019年的四倍多。通過制裁向勒索軟件組織提供物質支持的加密交易所，美國希望耗盡它們的資金，擾亂它們的運營。

財政部外國資產控制辦公室（OFAC）也發布了一份公告，強調“與惡意網絡活動相關的勒索支付相關的制裁風險?！?/span>

Chainalysis還透露，自2018年2月推出以來，僅Suex就收到了超過4.81億美元的比特幣，其中包括來自網絡罪犯的資金:

1、從Ryuk、Conti、Maze等勒索軟件運營商那里獲得了近1300萬美元；

2、超過2400萬美元來自加密貨幣詐騙運營商，包括Finiko背后的詐騙者，該詐騙從俄羅斯和烏克蘭的受害者那里獲得了價值超過10億美元的加密貨幣；

3、來自暗網市場的2000多萬美元，主要是俄羅斯的Hydra Market。

據華爾街日報報道，拜登政府預計本周將對勒索軟件集團使用的加密貨幣交易所、錢包和交易者實施制裁。這并不是美國政府對與勒索軟件團伙相關的實體或威脅行為者實施的第一次制裁。

2019年，美國指控Evil Corp成員盜竊超過1億美元，并將他們列入外國資產控制辦公室(OFAC)制裁名單。多年來，Evil Corp與多個勒索軟件家族有關，包括WastedLocker、Hades、Phoenix CryptoLocker和PayLoadBin。10月，美國財政部還警告稱，勒索軟件談判人員也可能因協助向其制裁名單上的勒索軟件團伙支付贖金而面臨民事處罰。

財政部長Janet L.Yellen表示，“勒索軟件和網絡攻擊正在損害美國大大小小的企業，對我們的經濟構成直接威脅，我們將繼續打擊惡意行為者。隨著網絡犯罪分子使用越來越復雜的方法和技術，我們致力于使用全方位的措施，包括制裁和監管工具，以破壞、阻止和防止勒索軟件攻擊?！?/span>

參考來源：BleepingComputer http://33h.co/wcm47

 

（十一）CISA及FBI警告Conti勒索軟件攻擊增加

美國網絡安全和基礎設施安全局(CISA)和聯邦調查局(FBI)發現，在針對美國和國際組織的400多次攻擊中，Conti勒索軟件的使用有所增加。在典型的Conti勒索軟件攻擊中，惡意網絡攻擊者會竊取文件、加密服務器和工作站，并要求支付贖金。

為了保護系統免受Conti勒索軟件的侵害，CISA、FBI和國家安全局(NSA)建議立即采取緩解措施，包括要求多因素身份驗證(MFA)、實施網絡分段、以及保持操作系統和軟件最新。

雖然Conti被視為勒索軟件即服務(RaaS)模型勒索軟件變體，但其結構存在差異，使其與典型的附屬模型不同。Conti開發人員很可能向勒索軟件的部署者支付工資，而不是附屬網絡行為者使用的收益的百分比，并從成功攻擊中獲得收益的一部分。

Conti參與者通常通過以下方式獲得對網絡的初始訪問：

1、使用包含惡意附件或惡意鏈接的定制電子郵件進行魚叉式網絡釣魚活動。惡意Word附件通常包含可用于下載或投放其他惡意軟件的嵌入式腳本，例如TrickBot和IcedID和/或Cobalt Strike，以協助橫向移動和攻擊生命周期的后期階段，最終目標是部署Conti勒索軟件；

2、被盜或弱遠程桌面協議(RDP)憑據；

3、電話；

4、通過搜索引擎優化推廣的假冒軟件；

5、其他惡意軟件分發網絡，如ZLoader；

6、外部資產中的常見漏洞。

在執行階段，參與者在使用更激進的有效負載之前運行有效負載，以降低觸發防病毒引擎的風險。CISA和FBI已經觀察到Conti攻擊者使用路由器掃描（一種滲透測試工具）惡意掃描和暴力破解路由器、攝像頭和帶有Web界面的網絡連接存儲設備。此外，攻擊者使用Kerberos攻擊來嘗試獲取Admin哈希以進行暴力攻擊。

眾所周知，攻擊者會利用合法的遠程監控和管理軟件以及遠程桌面軟件作為后門，來維持受害者網絡上的持久性。攻擊者使用受害者網絡上已有的工具，并根據需要添加其他工具，例如Windows Sysinternals和Mimikatz，獲取用戶的哈希值和明文憑據，使參與者能夠在域內提升權限并執行其他后開發和橫向移動任務。在某些情況下，攻擊者還使用TrickBot惡意軟件來執行后期開發任務。

根據最近泄露的威脅行為者劇本，Conti行為者還利用未修補資產中的漏洞，例如以下漏洞，來提升特權并在受害者的網絡中橫向移動：

1、2017 Microsoft Windows Server Message Block 1.0服務器漏洞；

2、Windows Print spooler服務中的PrintNightmare漏洞CVE-2021-34527；

3、Microsoft Active Directory域控制器系統中的Zerologon漏洞CVE-2020-1472。

CISA和FBI已經觀察到Conti攻擊者使用不同受害者獨有的不同Cobalt Strike服務器IP地址。Conti參與者經常使用開源Rclone命令行程序進行數據泄露。攻擊者竊取并加密受害者的敏感數據后，采用雙重勒索技術，要求受害者支付贖金以釋放加密數據，如果未支付贖金，則威脅受害者公開發布數據。

CISA、FBI和NSA建議網絡防御者應用以下緩解措施來降低Conti勒索軟件攻擊的危害風險：

1、使用多重身份驗證；

2、實施網絡分段和過濾流量；

3、掃描漏洞并保持軟件更新；

4、刪除不必要的應用程序并應用控制；

5、實施端點和檢測響應工具；

6、限制對網絡資源的訪問，尤其是通過限制RDP；

7、保護用戶帳戶。

CISA、FBI和NSA強烈反對向犯罪分子支付贖金。支付贖金可能會鼓勵攻擊者以其他組織為目標，鼓勵其他犯罪分子參與分發勒索軟件，和/或可能資助非法活動。支付贖金也不能保證受害者的文件會被恢復。

參考來源：CISA http://33h.co/wca35

 

（十二）Netgear SOHO路由器存在高危遠程代碼執行漏洞

GRIMM研究人員發現，Netgear SOHO路由器中存在一個漏洞CVE-2021-40847，遠程攻擊者可以利用該漏洞以root身份執行任意代碼。

該漏洞CVE-2021-40847存在于許多Netgear設備固件中包含的第三方組件的來源中。此代碼是Circle的一部分，用于為這些設備實現家長控制功能。該代碼以root身份運行，因此利用該漏洞可能允許以root身份執行代碼。

該漏洞存在于默認啟用的Circle更新守護程序中，即使用戶尚未將其路由器配置為使用家長控制功能。該守護程序連接到Circle和Netgear，以獲取版本信息以及對Circle守護程序及其過濾數據庫的更新。來自Netgear的數據庫更新未經簽名，并通過超文本傳輸協議(HTTP)下載，從而允許攻擊者對設備進行中間人攻擊。

GRIMM表示，“該守護程序連接到Circle和Netgear，以獲取版本信息以及Circle守護程序及其過濾數據庫的更新。但是，來自Netgear的數據庫更新未簽名，并通過超文本傳輸協議(HTTP)下載。因此，具有對設備執行中間人攻擊能力的攻擊者可以使用特制的壓縮數據庫文件響應圈出的更新請求，通過提取該文件，攻擊者能夠用攻擊者控制的方式覆蓋可執行文件?！?/span>

GRIMM表示，“要利用該漏洞，攻擊者必須能夠攔截和修改路由器的網絡流量。對于上面使用的特定基于DNS的MITM攻擊，攻擊者必須與來自Circle更新守護程序的DNS查詢競爭。如果攻擊者贏得其中一場比賽，就可以通過GRIMM編寫的PoC漏洞可靠地完成，代碼執行就很容易獲得。其他不依賴DNS操作的中間人攻擊也將允許攻擊者利用此漏洞?！?/span>

研究人員對此開發了概念驗證(PoC)，并成功針對Netgear R7000對其進行了測試。

GRIMM建議將設備更新到最新的固件版本，并提供了緩解措施，例如禁用易受攻擊的組件、或使用虛擬專用網絡(VPN)客戶端來加密所有網絡流量并防止中間人攻擊。

GRIMM表示，“對于許多組織而言，SOHO設備在網絡安全風險管理方面通常不受關注。但是，遠程連接到公司網絡的員工顯著增加，例如由于新冠疫情導致實施新版遠程辦公政策，同樣增加了SOHO設備漏洞對企業網絡的風險?！?/span>

參考來源：SecurityAffairs http://33h.co/wifxy

 

（十三）新型惡意軟件Capoae利用多個漏洞攻擊Linux系統及Web應用程序

Akamai高級研究人員Larry Cashdollar發現了一種用Golang編程語言編寫的新型惡意軟件，名為Capoae，攻擊目標是WordPress及Linux系統。

該惡意軟件通過利用已知漏洞及弱管理憑據保護的站點和系統開展攻擊并進行傳播。利用的漏洞是CVE-2020-14882 Oracle WebLogic Server RCE漏洞和CVE-2018-20062 ThinkPHP RCE漏洞。一旦感染系統，惡意軟件就會濫用其資源來挖掘加密貨
幣。

研究人員在一個惡意軟件樣本針對Akamai蜜罐后發現了這種威脅。攻擊者通過一個鏈接到名為Download-monitor的WordPress插件的后門投放了一個PHP惡意軟件樣本，該插件是在訪問蜜罐后安裝的。

Akamai研究人員Larry Cashdollar表示，“大約在有關這些加密挖掘惡意軟件攻擊的消息傳播的同時，SIRT蜜罐感染了PHP惡意軟件，該惡意軟件通過一個名為download-monitor的WordPress插件的后門添加而來的。在猜測蜜罐的弱WordPress管理員憑據后，安裝了下載監視器。一個3MB的UPX打包的Golang二進制文件也被下載到/tmp。經過檢查，很明顯惡意軟件具有一些解密功能，并且加密文件存儲在另一個目錄中?！?/span>

研究人員還注意到，攻擊者安裝了多個web shell來執行惡意活動，例如將竊取的文件上傳到攻擊者控制的遠程服務器。對二進制文件的分析揭示了端口掃描器的存在，該掃描器用于以隨機生成的IP地址為目標，并檢查以已知漏洞為目標的端口。

為了實現持久性，惡意軟件首先從磁盤上可能會找到系統二進制文件的一小部分位置列表中選擇一個看起來合法的系統路徑，然后生成一個隨機的六個字符的文件名，并使用這兩個部分將自身復制到磁盤上的新位置并刪除自身。惡意代碼注入/更新一個Crontab條目，該條目將觸發上述二進制文件的執行。

為了檢測感染，Cashdollar建議注意系統資源消耗、奇怪/意外運行進程、可疑工件（文件、crontab條目、SSH密鑰等）和可疑訪問日志條目等。研究人員還分享了該威脅的妥協指標(IoC)列表。

研究結果表示，“Capoae活動使用了多種漏洞和策略，凸顯了這些運營商希望在盡可能多的機器上立足的意圖。好消息是，我們為大多數組織推薦的保持系統和網絡安全的技術仍然適用于此?！?/span>

參考來源：SecurityAffairs http://33h.co/wi09p

 

（十四）網絡托管服務商Exabytes遭受勒索軟件攻擊導致部分服務中斷

馬來西亞域名及網絡托管服務商Exabytes披露，其在9月18日凌晨5點遭受了勒索軟件攻擊，造成一些服務中斷。

Exabytes為全球超過160,000客戶提供服務，受攻擊影響的服務包括WordPress托管、虛擬專用服務器、和基于Windows的共享托管。

但是，服務恢復的速度非常緩慢，Exabytes網站顯示，截至19日上午12:30，只有3%的數據已恢復，目前還沒有透露完整恢復過程需要多長時間。截至22日上午12:24，數據已恢復99%。

與此同時，Exabytes發布的簡短聲明并沒有透露太多信息，該公司已就此次攻擊事件通知了當局。在一條已被刪除的推文中，攻擊者已向該公司索要90萬美元的加密貨幣，目前尚不清楚Exabytes是否真的為此支付了費用。

參考來源：Lowyat http://33h.co/wcbss

 

（十五）Apache OpenOffice中存在遠程代碼執行漏洞

安全研究員Eugene Lim最近披露了Apache OpenOffice(AOO)中存在的遠程代碼執行漏洞CVE-2021-33035的技術細節。Apache未能在8月30日之前解決該漏洞，隨后專家們在HackerOne的Hacktivity在線會議上披露了該漏洞。目前該漏洞僅通過測試版軟件更新得到解決，并等待正式發布。

Apache OpenOffice(AOO)目前容易受到遠程代碼執行漏洞的影響，雖然該應用程序的源代碼已被修補，但該修補程序僅作為測試版軟件提供并等待正式發布。

攻擊者可以通過誘騙受害者打開特制的.dbf文件來觸發該漏洞。研究人員使用了一種名為Peach fuzzer的基于格式的Peach fuzzer來發現簡單DBF處理器中的漏洞。

DBF格式由標題和正文兩個主要部分組成。標頭包括描述dBASE數據庫版本、上次更新時間戳和其他元數據的前綴。標題還規定了數據庫中每條記錄的長度、標題結構的長度、記錄的數量以及記錄中的數據字段。這些字段還包括FieldLength描述符。正文只包含標題所描述的所有記錄。通過操作fieldLength或FieldType值，就能夠觸發緩沖區溢出。

研究人員能夠利用該漏洞在OpenOffice Calc中打開該文件并導致崩潰。盡管取得了部分成功，但研究人員注意到，地址空間布局隨機化(ASLR)和數據執行保護(DEP)等保護措施可以防止簡單地利用緩沖區溢出進行攻擊。

為了繞過這些保護，LIM導入了用于解析XML文檔的libxml2軟件庫，因為它沒有使用這些保護進行編譯。

參考來源：SecurityAffairs http://33h.co/wck4y

 

（十六）Microsoft Exchange協議漏洞導致數十萬憑據泄露

由于Microsoft Exchange使用的自動發現協議的設計和實現，網絡安全研究人員已經能夠捕獲數十萬個Windows域和應用程序憑據。

根據Microsoft的說法，Exchange自動發現服務“為客戶端應用程序提供了一種簡單的方法，只需最少的用戶輸入即可進行自我配置?！崩?，這允許用戶只需提供其用戶名和密碼即可配置其Outlook客戶端。

早在2017年，研究人員就警告稱，移動電子郵件客戶端上與AutoDiscovery相關的實現問題可能會導致信息泄露，當時披露的漏洞已被修補。然而，云和數據中心安全公司Guardicore今年早些時候進行的一項分析顯示，AutoDiscovery的設計和實現仍存在一些嚴重問題。

這個問題與“退出”程序有關。當使用“自動發現”配置客戶端時，客戶端將嘗試基于用戶提供的電子郵件地址構建URL。如下所示：https://Autodiscover.example.com/Autodiscover/Autodiscover.xml或https://example.com/Autodiscover/Autodiscover.xml。

但是，如果沒有URL響應，返回機制就會啟動，并嘗試聯系以下格式的URL: http://Autodiscover.com/Autodiscover/Autodiscover.xml。這意味著無論Autodiscover.com的所有者是誰，都將收到所有無法到達原域名的請求。

該公司注冊了近12個自動發現域名，如Autodiscover.com.cn、Autodiscover.es、Autodiscover.in、Autodiscover.uk，并將它們分配給其控制下的網絡服務器。

從2021年4月16日到2021年8月25日，他們的服務器捕獲了超過37萬個Windows域憑據和超過9.6萬個從Outlook和移動電子郵件客戶端等應用程序泄露的唯一憑據。這些憑據來自上市公司、食品制造商、發電廠、投資銀行、航運和物流公司、房地產公司以及時尚和珠寶公司。

Guardicore表示，“這是一個嚴重的安全問題，因為如果攻擊者能夠控制這樣的域或有能力在同一網絡中‘嗅探’流量，他們就可以捕獲通過網絡傳輸的純文本域憑據(HTTP基本身份驗證)。此外，如果攻擊者具有大規模DNS投毒能力，如民族國家的攻擊者，他們可以通過基于這些自動發現頂級域名的大規模DNS投毒活動，系統地抽取泄露的密碼?！?/span>

研究人員還設計了一種攻擊，可以用來降低客戶端的認證方案，使攻擊者能夠獲得明文的證書?？蛻舳俗畛鯇L試使用安全的身份驗證方案，如NTLM或OAuth，以保護憑證不被窺探，但攻擊導致身份驗證降級為HTTP基本身份驗證，其中憑證以明文發送。

Guardicore指出，數據泄漏的發生與應用程序開發人員實現協議的方式有關，他們可以防止該協議構建可能被攻擊者濫用的URL。

參考來源：SecurityWeek http://33h.co/wckx4

 

（十七）網絡語音提供商VoIP.ms遭受DDoS攻擊導致服務中斷

2021年9月16日，互聯網語音提供商VoIP.ms的基礎設施(包括DNS名稱服務器)遭受了分布式拒絕服務(DDoS)攻擊，并遭受了勒索軟件攻擊，嚴重擾亂了該公司的運營。VoIP.ms是一家互聯網電話服務公司，為世界各地的企業提供價格合理的IP語音服務。

當客戶將VoIP設備配置為連接到公司的域名時，DDoS攻擊中斷了電話服務，導致無法接聽或撥打電話。由于DNS不再起作用，該公司建議客戶修改其HOSTS文件，將域名指向IP地址，以繞過DNS解析。然而，這也導致了攻擊者直接對該IP地址進行DDoS攻擊。

為了減輕攻擊，VoIP.ms將他們的網站和DNS服務器轉移到了Cloudflare，但由于持續的拒絕服務攻擊，該公司的網站和VoIP基礎設施仍然存在問題。

VoIP.ms網站公告顯示，“分布式拒絕服務(DDoS)攻擊繼續以我們的網站和POP服務器為目標。我們的團隊正在部署持續努力來阻止這種情況，但服務間歇性受到影響，我們對所有不便表示歉意?！?/span>

目前，該網站在可訪問和顯示500內部服務器錯誤之間來回跳動?？蛻舻碾娫挿杖匀淮嬖趩栴}，包括服務中斷、通話中斷、性能不佳以及無法轉發線路。

9月18日，一個名為REvil的攻擊者聲稱對這次攻擊負責，并在Pastebin上發布了一張勒索信的鏈接。這張勒索信后來被從Pastebin中刪除，但攻擊者勒索一個比特幣，大約4.5萬美元，以阻止DDoS攻擊。在最初的推文發布后不久，攻擊者將勒索要求提高到100個比特幣，約合430萬美元。

REvil是知名的勒索軟件運營商，在7月13日停止運營，9月初又卷土重來。REvil并不以DDoS攻擊或公開索要贖金而聞名，就像VoIP.ms攻擊中那樣。這種攻擊的勒索方法讓我們相信，攻擊者只是在冒充勒索軟件操作來進一步恐嚇VoIP.ms。

客戶對VoIP.ms受到攻擊的反應褒貶不一。有些人認為VoIP.ms應該在自己不會失去客戶之前支付贖金來恢復服務。與此同時，其他VoIP.ms客戶發誓要堅持使用他們，并告訴公司不要屈服于贖金要求。

參考來源：BleepingComputer http://33h.co/wcmmf

 

（十八）美國共和黨州長協會(RGA)電子郵件系統遭受入侵

美國共和黨州長協會(RGA)在上周發出的數據泄露通知信中透露，其服務器在2021年3月襲擊全球組織的大規模Microsoft Exchange黑客行動中遭到入侵。

RGA是美國的一個政治組織，也是一個免稅的527團體，為共和黨候選人提供當選全國州長所需的競選資源。

在3月10日開始的調查之后，“RGA確定，攻擊者在2021年2月至2021年3月期間訪問了RGA的電子郵件環境的一小部分，因此，攻擊者可能已經訪問了個人信息?！?/span>

盡管RGA表示，起初無法發現是否有任何個人信息受到影響，但隨后“通過徹底的數據挖掘來識別可能受到影響的個人”發現，姓名、社會安全號碼和支付卡信息在攻擊中被暴露。

RGA在9月15日發出的一封違約信中對受影響的個人表示，“一旦確定了潛在受影響的個人，RGA就會努力確定地址，并與供應商接洽，提供呼叫中心、通知和信用監控服務。RGA還為提供為期兩年的免費信用監控和身份恢復服務。RGA還按照要求通知了聯邦調查局、某些州監管機構和消費者報告機構?！?/span>

RGA在其數據泄露通知信中提到的大規模黑客活動針對的是全球數萬家機構擁有的超過25萬臺Microsoft Exchange服務器。

攻擊者利用四個零日(統稱為ProxyLogon)攻擊目標是本地Microsoft Exchange服務器，不斷攻擊來自全球多個行業部門的組織，最終目標是竊取敏感信息。

ProxyLogon攻擊背后的黑客還在被攻擊的Exchange服務器上部署了web shell、加密挖掘惡意軟件，以及DearCry和Black Kingdom勒索軟件。

參考來源：BleepingComputer http://33h.co/wcksp

 

（十九）阿拉斯加州衛生與社會服務部披露近期針對其系統的APT攻擊活動

阿拉斯加衛生與社會服務部(DHSS)上周表示，一個民族國家網絡間諜組織已經侵入了該部門的IT網絡，獲得了訪問權限。

今年早些時候，一家安全公司在5月2日發現了這起仍在調查中的攻擊，并通知了該機構。

雖然DHSS在5月18日公開了這一事件，并在6月和8月發布了兩次更新，但直到上周，該機構才正式澄清有關這是勒索軟件攻擊的謠言，并透露了有關入侵的任何細節。該機構將入侵者描述為“民族國家支持的攻擊者”和“已知的高度復雜的組織”。針對包括州政府和醫療機構在內的組織的復雜網絡攻擊。

DHSS官員援引與安全公司Mandiant一起進行的一項調查表示，攻擊者通過其網站中的一個漏洞獲得了對該部門內部網絡的訪問權限，并“從那里傳播”。官員們表示，他們相信已經將攻擊者從他們的網絡中驅逐出去，但是仍在對攻擊者可能訪問的內容進行調查。

上周該機構表示計劃通知所有向國家機構提供個人信息的個人。DHSS表示，“這次違規涉及人數不詳的個人，但可能涉及網絡攻擊時存儲在該部門信息技術基礎設施上的任何數據?！?/span>

存儲在DHSS網絡上的數據可能由民族國家組織收集，包括：姓名、出生日期、社會安全號碼、地址、電話號碼、駕駛執照號碼、內部識別號碼(病例報告、受保護的服務報告、醫療補助等)、健康信息、財務信息、有關個人與DHSS互動的歷史信息。

DHSS表示，將在2021年9月27日至10月1日期間向所有受影響的個人發送通知郵件。該機構還發布了一個FAQ頁面，提供了有關民族國家襲擊的更多細節。

DHSS技術官員Scott McCutcheon表示，“令人遺憾的是，由國家贊助的行為者和跨國網絡犯罪分子發起的網絡攻擊越來越普遍，這是進行任何類型在線業務的固有風險?！?/span>

所有被入侵者侵入的系統都處于離線狀態。這包括用于執行背景調查的系統和用于申請出生、死亡和結婚證書的系統，所有這些證書現在都可以手動、親自或通過電話進行處理和審查。

參考來源：TheRecord http://33h.co/wc2wd

 

（如未標注，均為天地和興工業網絡安全研究院編譯）