信息清静周报-2021年第44周

宣布时间 2021-11-01

>本周清静态势综述


本周共收录清静误差62个,值得关注的是Apache Storm getTopologyHistory服务SHELL下令注入误差;Microsoft Azure GridPro代码执行误差;Apple macOS bigsur内核代码执行误差;BillQuick Web SuiteSQL注入误差;Penguin Aurora TV Box 41502未授权会见误差。


本周值得关注的网络清静事务是WizardUpdate新变种通过冒充正当软件绕过检测;Microsoft宣布NOBELIUM团伙攻击活动的剖析报告;Emsisoft宣布针对勒索软件BlackMatter的解密器;研究团队披露APT组织Lazarus提倡的供应链攻击的细节;伊朗石油公司NIOPDC遭到攻击,天下加油站运营中止。


凭证以上综述,本周清静威胁为中。


>主要清静误差列表


1. Apache Storm getTopologyHistory服务SHELL下令注入误差


Apache Storm getTopologyHistory服务保存SHELL下令注入误差,允许远程攻击者可以使用误差提交特殊的请求,可注入恣意代码并以应用程序上下文执行。


https://lists.apache.org/thread.html/r5fe881f6ca883908b7a0f005d35115af49f43beea7a8b0915e377859%40%3Cuser.storm.apache.org%3E


2. Microsoft Azure GridPro代码执行误差


Microsoft Azure GridPro请求管理保存目录遍历误差,允许远程攻击者可以使用误差提交特殊的请求,可以应用程序上下文执行恣意代码。


https://seclists.org/fulldisclosure/2021/Oct/33


3. Apple macOS bigsur内核代码执行误差


Apple macOS bigsur内核保存清静误差,允许外地攻击者可以使用误差提交特殊的请求,可以内核上下文执行恣意代码。


https://support.apple.com/zh-cn/HT212872


4. BillQuick Web SuiteSQL注入误差


Bqe Software BillQuick Web Suite保存SQL注入误差,允许远程攻击者可以使用误差提交特殊的SQL请求,操作数据库,可获取敏感信息或执行恣意代码。


https://www.huntress.com/blog/threat-advisory-hackers-are-exploiting-a-vulnerability-in-popular-billing-software-to-deploy-ransomware


5. Penguin Aurora TV Box 41502未授权会见误差


Penguin Aurora TV Box对特定链接处置惩罚保存清静误差,允许远程攻击者可以使用误差提交特殊的请求,未授权控制系统。


https://www.cnvd.org.cn/flaw/show/2934166



 >主要清静事务综述


1、WizardUpdate新变种通过冒充正当软件绕过检测


研究职员在10月22日披露了恶意软件WizardUpdate(又名UpdateAgent)的新变种。WizardUpdate最初于2020年11月被发明,主要针对macOS。该变体开发了新的功效,例如滥用公共云来分发恶意广告软件Adload,并且还能绕过Apple的清静功效Gatekeeper。别的,它使用了偷渡式下载(Drive-by downloads)的方法举行分发,通过冒充正当软件来绕过检测,研究职员尚未透露其模拟了哪些软件。 


原文链接:

https://www.hackread.com/updateagent-malware-variant-macos-software/


2、Microsoft宣布NOBELIUM团伙攻击活动的剖析报告


Microsoft威胁情报中心在10月25日宣布了关于NOBELIUM团伙攻击活动的剖析报告。NOBELIUM是2020年12月针对SolarWinds的供应链攻击的幕后黑手,自2021年5月以来,该团伙在美国和欧洲提倡了有针对性的供应链攻击。此次活动并未使用任何误差,而是使用密码喷射、令牌偷窃、API滥用和鱼叉式网络垂纶等多种手艺来窃特权帐户的凭证,从而在云情形中横向移动。


原文链接:

https://www.microsoft.com/security/blog/2021/10/25/nobelium-targeting-delegated-administrative-privileges-to-facilitate-broader-attacks/


3、Emsisoft宣布针对勒索软件BlackMatter的解密器


清静公司Emsisoft在10月24日果真了勒索软件BlackMatter的解密器。今年早些时间,研究职员发明BlackMatter中保存一个可用于恢复加密文件误差,并且他们在之前一直没有透露该误差的保存,以避免该团伙修复误差。不幸的是,BlackMatter在9月尾发明并修复了该误差,因此这个解密器仅能解密2021年7月中旬至9月下旬之间被加密的文件。


原文链接:

https://securityaffairs.co/wordpress/123736/security/blackmatter-decryptor-pat-victims.html


4、研究团队披露APT组织Lazarus提倡的供应链攻击的细节


Kaspersky研究团队于本周二披露了Lazarus在近期提倡的供应链攻击。APT组织Lazarus自2009年以来一直活跃,使用MATA攻击各个行业的组织。在此次活动中,该团伙于5月攻击了拉脱维亚的IT供应商,又在6月份使用后门BLINDINGCAN的新变体攻击了韩国智库。研究职员称,最近的活动展现了两个趋势:Lazarus仍然对国防行业感兴趣,并且还希望通过供应链攻击来扩展其攻击规模。


原文链接:

https://usa.kaspersky.com/about/press-releases/2021_apt-actor-lazarus-attacks-defense-industry-develops-supply-chain-attack-capabilities


5、伊朗石油公司NIOPDC遭到攻击,天下加油站运营中止


伊朗国有石油产品分销公司(NIOPDC)在10月26日遭到攻击。NIOPDC在伊朗天下规模内拥有凌驾3500个加油站,由于无法支付用度,受影响的加油站在遭到攻击后连忙中止了运营。许多加油站的广告牌上都显示着“Khamenei!我们的燃料呢?”和“免费汽油”的字样,别的,加油站的屏幕上显示着“cyebrattack 64411”的字样,其中64411是该国最高首脑Ayatollah Ali Khamenei办公室的电话。尚不确定攻击者的身份,但伊朗政府推断这是由仇视国家提倡的网络攻击活动。现在,加油站的运营已恢复。


原文链接:

https://securityaffairs.co/wordpress/123824/hacking/iranian-gas-stations-incident.html