7 月 04 日 – 威胁情报报告

2021 年 7月 04 日

有关 7 月 04 日这一周网络研究的最新发现，请下载我们的威胁情报公告。

顶级攻击和漏洞

• 总部位于俄罗斯的威胁组织 Nobelium 正在使用密码喷射和蛮力攻击来获取对公司网络的访问权限。该组织是 SolarWinds 供应链攻击的幕后黑手，在微软客户支持代理的计算机上部署了一个信息窃取木马程序来窃取信息。超过一半的目标是 IT 公司。
• PYSA 勒索软件团伙一直利用远程访问木马 ChaChi 入侵美国和英国的教育机构和医疗机构。

Check Point Harmony Endpoint 提供针对此威胁的保护(Ransomware.Win32.Virlock.TC.pysa)

• 新的广告系列归因于朝鲜的威胁组拉撒路已经发现，在该组中使用的NukeSped RAT的Bundlore广告软件和木马ThreatNeedle。

Check Point SandBlast 和 Anti-Virus 提供针对此威胁的保护（Trojan.Win32.NukeSped；Adware.Mac.Bundlore；Trojan.Win32.ThreatNeedle）

• 美国金融业监管局 (FINRA)警告称，一场冒充 FINRA 的网络钓鱼攻击正在冒充“FINRA 支持”发送电子邮件。
• 俄克拉荷马州塔尔萨市遭受了 Conti 勒索软件团伙的勒索软件攻击。攻击者窃取了属于公民的个人信息，并在网上发布警方传票。这次攻击还破坏了塔尔萨的在线账单支付系统、公用事业账单和电子邮件服务。

Check Point Harmony Endpoint 提供针对此威胁的保护(Ransomware.Win32.Conti)

• 梅赛德斯-奔驰披露了一起影响 160 万条独特客户记录的数据泄露事件。被盗数据包括信用卡信息、社会安全号码和驾驶执照号码。由于安全性不足的云存储服务，敏感数据被暴露。
• 在最近的一次攻击中，Western Digital My Book Live NAS 设备已被擦除，其所有者被锁在外面。这是对远程命令执行漏洞的利用。受影响的设备可直接从 Internet 访问，并且在某些设备上，攻击者安装了木马

漏洞和补丁

• Check Point Research在 Atlassian 上发现了XSS 和 CSRF 安全漏洞，Atlassian 是 180,000 名客户使用的团队协作和生产力平台，只需单击一下，攻击者就可以利用这些漏洞接管帐户并控制一些 Atlassian 的应用程序，包括 Jira 和 Confluence .
• 在 Dell SupportAssist 的 BIOSConnect 功能中发现了四个主要漏洞。这些缺陷允许攻击者冒充 Dell.com 并在受感染设备的 BIOS 中远程执行代码。该问题影响了大约 3000 万台设备，但尚未修复。
• VMware 已发布针对 CVE-2021-21998 的修复程序，这是 Carbon Black 应用程序控制中的一个关键漏洞，允许威胁行为者无需身份验证即可使用管理员权限访问服务器。
• 研究人员警告说，去年披露的 SonicWall 严重漏洞 CVE-2020-5135 尚未完全修复。该漏洞允许未经身份验证的远程攻击者执行任意代码，或导致拒绝服务。
• Tor 项目发布了一个新版本的 Tor 浏览器。新版本修复了许多错误，包括允许威胁行为者从安装在受感染设备上的应用程序中收集指纹的错误。

威胁情报报告

• 微软错误地签署了一个名为 Netfilter 的恶意驱动程序，它实际上是一个恶意软件。该驱动程序正在游戏环境中分发，并被看到与中国的 C&C IP 进行通信。

 Check Point Anti-Virus 提供针对此威胁的保护(Rootkit.Win32.Netfilter)

• 研究人员观察到网络犯罪组织 TA543 在最近的网络钓鱼活动中部署了 JSSLoader 恶意软件的新变种。最初的感染媒介是通过冒充 UPS 等运输公司并要求受害者插入正确的送货地址的恶意网络钓鱼电子邮件。
• 攻击者已开始利用Windows 映像格式 (WIM) 附件来分发 AgentTesla 信息窃取程序。这些活动从假装是来自 DHL 或 Alpha Trans 的运输信息的网络钓鱼电子邮件开始。

Check Point SandBlast 和 Anti-Bot 提供针对此威胁的保护 (Trojan.Win32.AgentTesla)