【威胁通告】九游老哥科技威胁情报周报（2021.02.22-2021.02.28）

2021-03-01

一、威胁通告

VMware多个高危误差（CVE-2021-21972、CVE-2021-21974）

【宣布时间】2021-02-25 10:00:00 GMT

【概述】

2021年2月23日，VMware官方宣布清静通告，披露了vSphere Client、ESXi的两个高危误差。CVE-2021-21972：vSphere Client（HTML5）在vCenter Server插件vRealize Operations中包括一个远程执行代码误差，CVSSv3评分9.8。受影响的vRealize Operations插件为默认装置。CVE-2021-21974：ESXi中使用的OpenSLP保存堆溢出误差，CVSSv3评分8.8。与ESXi处于统一网段中且可以会见427端口的攻击者可触发OpenSLP服务中的堆溢出问题，从而导致远程执行代码。

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. 恶意扩展程序FriarFox会侦听Firefox和Gmail相关数据

【概述】

克日网络攻击通过使用名为FriarFox恶意扩展程序控制了受害者的Gmail帐户，该自界说恶意程序是Mozilla Firefox浏览器的扩展程序。研究职员称，在2021年1月和2月视察到的威胁运动针对藏族组织，并与TA413有关，TA413是一个与中国有关的威胁组织。

【参考链接】

https://threatpost.com/malicious-mozilla-firefox-gmail/164263/

2. 俄罗斯黑客组织安排IronPython恶意软件加载程序

【概述】

俄罗斯黑客组织Turla正在安排一个基于IronPython的恶意软件加载器，称为IronNetInjector，新的加载器通过使用IronPython直接使用.NET Framework API以及Python库的能力来提供ComRAT（一种远程会见木马），具有混淆恶意软件代码以及加密息争密NET注入器和有用载荷的功效。

【参考链接】

https://www.inforisktoday.com/russian-hacking-group-deploys-ironpython-malware-loader-a-16044

3. KUBERNETESZAO集群遭挖矿木马突袭

【概述】

TeamTNT是一个主要入侵在线容器并通过挖矿和DDoS举行牟利的攻击团伙。2021年年头，该团伙被发明入侵了某Kubernetes集群，通过团结剧本和现有工具，最终在容器内植入挖矿木马。针对Kubernetes集群的攻击事务及后续爆发在集群内部的木马撒播事务，以泛起网络黑产团伙针对在线集群的攻击方法。

【参考链接】

http://blog.nsfocus.net/kuberneteszao%e9%9b%86%e7%be%a4%e9%81%ad%e6%8c%96%e7%9f%bf%e6%9c%a8%e9%a9%ac%e7%aa%81%e8%a2%ad/

4. LazyScripter威胁组织剖析报告

【概述】

LazyScripter是一个新威胁组织，可追溯至2018年的针对性垃圾邮件运动，使用网络垂纶诱饵，邮件主题不但针对追求移民到加拿大就业的人，并且还针对航空公司。

【参考链接】

https://blog.malwarebytes.com/malwarebytes-news/2021/02/lazyscripter-from-empire-to-double-rat/

5. LAZARUS既往攻击工具TORISMA与DRATZARUS剖析

【概述】

在今年1月由Google披露的一起APT攻击运动中，朝鲜APT组织Lazarus对天下各国的清静研究职员举行了恒久的渗透攻击。伏影实验室对该事务中泛起的攻击载荷举行了深入剖析，并将主体木马程序命名为STUMPzarus。STUMPzarus与Lazarus组织既往攻击工具在代码逻辑、通讯名堂、CnC名堂等方面的高度相似性，并由此总结了Lazarus组织开发者在程序设计上的大宗特征。在关联历程中，我们主要参照的Lazarus组织攻击载荷包括Torisma下载者木马和DRATzarus远控木马。

【参考链接】

http://blog.nsfocus.net/analysis-of-torisma-and-dratzarus-the-former-attack-tools-of-lazarus/

6. APT32威胁组织用特工软件攻击人权捍卫者

【概述】

与越南有关的APT32（又名海莲花）组织在2018年2月至2020年11月之间针对越南权捍卫者（HRD）和一个非营利组织（NPO）人权组织开展了恒久网络特工运动。APT32是一个从2014最先活跃至今的威胁组织，主要针对私企、政府机构、持差别政见人士和新闻事情者，重点关注越南、菲律宾、老挝等东南亚国家。

【参考链接】

https://securityaffairs.co/wordpress/114973/malware/apt32-spyware-human-rights-defenders.html

7. 上万名微软电子邮件用户遭垂纶攻击

【概述】

近期有针对至少10000个微软电子邮件用户的网络垂纶攻击，攻击者冒充来自着名的邮件快递公司，包括FedEx和DHL Express，旨在窃取用户的凭证信息。

【参考链接】

https://threatpost.com/microsoft-fedex-phishing-attack/164143/

8. FIN11网络犯法组织支持针对FTA服务器的攻击

【概述】

FireEye专家以为针对Accellion File Transfer Appliance（FTA）服务器的一系列攻击与网络犯法组织UNC2546（也称为FIN11）相关。自2020年12月中旬最先，攻击者使用Accellion File Transfer Appliance（FTA）软件中的多个零日误差在目的网络上安排名为DEWMODE的外壳，从目的系统中窃取敏感数据，然后使用CLOP勒索软件要求受害者以比特币形式支付赎金。

【参考链接】

https://securityaffairs.co/wordpress/114933/apt/fin11-fta-servers-atatcks.html

9. 十万名CityBee用户的登录凭证遭走漏

【概述】

近期著名的汽车共享平台CityBee遭受数据泄露，包括凌驾110,313的敏感数据。其中是其注册客户的登录凭证的小我私家数据，包括姓名、小我私家密码、电话号码、电子邮件、栖身地点、驾驶执照号码、加密密码等。

【参考链接】

https://www.hackread.com/citybee-database-login-credentials-leaked-online/

<<上一篇

【清静通告】九游老哥科技威胁情报周报（2021.2.15-2.21）

>>下一篇

【清静通告】Apache?Tomcat?Session?反序列化代码执行误差（CVE-2021-25329）通告