欢迎光临
我们一直在努力

5月11日每日安全热点 – ShinyHunters泄露印度婚礼门户网站WedMeGood的数据库

Ysck阅读(12)

漏洞 Vulnerability
Sandboxie Plus本地服务路径漏洞
Sandboxie Plus本地服务路径漏洞

最大燃料管道商遭网络攻击停运,美国18州进入紧急状态

Ysck阅读(11)

第84期

你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。

【安全头条公告】

安全头条主要发布时下最火热最新鲜的网安资讯,不同于正儿八经的权威消息。本站的资讯内容可能会更富趣味性、讨论性,工作劳累之余给大家来点趣闻,唠唠嗑,也可以一起充电涨姿势~目前每周二、周四营业。

欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

 

最大燃料管道商遭网络攻击停运,美国18州进入紧急状态

当地时间57日,美国最大的成品油管道运营商Colonial Pipeline因受到勒索软件攻击,被迫关闭其美国东部沿海各州供油的关键燃油网络。随后,美国于59日启动紧急法。

57日,Colonial Pipeline公开发声,称因勒索软件攻击导致部分IT系统停机,管道运营中断。为了保证燃油供应,美国宣布进入国家紧急状态后,解除了对公路运输燃油的各种限制,以减轻Colonial Pipeline输油管道持续关闭的影响。目前受影响的18个州对汽油、柴油、航空燃料和其他成品油的运输给予临时豁免服务时间,可临时通过公路运输燃料。

这18个州分别是阿拉巴马、阿肯色、哥伦比亚特区、特拉华、佛罗里达、乔治亚、肯塔基、路易斯安那、马里兰、密西西比、新泽西、纽约、北卡罗来纳、宾夕法尼亚、南卡罗来纳、田纳西、得克萨斯与弗吉尼亚。

据悉,因勒索软件攻击而被迫中断的Colonial输油管道,绵延8851公里,每天可从墨西哥湾地区向纽约港及纽约各主要机场输送多达250万桶的精炼汽油、柴油及飞机燃料,承担着美国东海岸45%的燃油供应。可以说,此次网络攻击直接导致美国近半数份额的能源网络宕机。

有言论称,此次攻击的背后元凶是DarkSide勒索软件。目前,Colonial Pipeline方面已聘请了第三方网络安全公司,对事件展开调查,但输油管线何时恢复运营尚未可知。

这次事件,再一次突显了勒索软件等网络攻击,威胁现实世界基础架构的现实。

 

拒保!巨头安盛(AXA)暂停勒索软件赎金保险业务

上周四,全球保险业巨头安盛公司(AXA)宣布将暂停向法国客户提供勒索软件赎金赔付服务的政策。安盛表示,由于法国司法和网络安全官员在参议院圆桌会议上对全球勒索软件的肆虐表示担忧,遂计划暂停这一服务。

法国安盛(AXA)全球最大的保险集团,保险业务遍及各领域,而此次暂停勒索软件赎金保险业务,其实是保险行业首次公开终止勒索软件赔付业务。

安盛还表示,犯罪分子只有在支付了赎金之后才提供软件密钥来解锁数据。去年开始,越来越多的勒索软件团伙开始窃取敏感数据,并以泄漏数据作为要挟,逼迫受害者付款。这促使赎金支付增加了近三倍,平均超过30万美元。勒索软件攻击的平均恢复时间为三周。

不过,美国安盛子公司(美国网络保险的主要承销商之一)的发言人克里斯汀•韦尔斯基(Christine Weirsky)表示,此次停服仅适用于法国,不会影响现行政策。她说,这也不会影响针对勒索软件攻击做出反应并从中恢复的保险覆盖范围。

其实业内一直有声音批判保险行业勒索软件赎金赔付的业务,因为保险公司的赔付业务在一定程度上,助长了勒索软件业务的持续发展,形成了支付赎金的恶性循环。抵制勒索软件威胁,从拒绝支付赎金开始。

 

“XcodeGhost”事件细节曝光,1.28亿iOS 用户受影响

巨头官司打破天,翻旧账揭开XCodeGhost事件始末。

前不久,苹果和Epic Games诉讼大战开庭,而六年前XCodeGhost事件的细节,也终于在这场诉讼中浮出水面。

作为Epic Games与苹果公司就游戏《堡垒之夜》法律诉讼的一部分,最新披露的电子邮件通讯显示,苹果公司有1.28亿用户下载了受XCodeGhost影响的2500多个应用程序。据统计,其中有1800万来自美国,而一半以上的受害者则被追溯到中国。

也就是说,苹果方面虽然告知了受影响用户,并警告使用非官方XCode开发工具的开发人员不要尝试窃取其个人信息,但在此前透露的信息中,并没有透露黑客攻击的实际范围。

严格来说,并非所有1.28亿下载受XCodeGhost影响的2500多个应用程序的用户,均遭遇了网络攻击,但不完全公布相关信息的举措的确存疑。

而在接下来的诉讼中,Epic Games则可以此进一步证明,苹果如何利用其力量和控制权来垄断iOS应用市场。至于最终诉讼结果如何,就得继续围观了。

5月10日每日安全热点 – Thallium针对韩国多领域专家的攻击激增警报

Ysck阅读(15)

漏洞 Vulnerability
福昕PDF浏览软件修复多个漏洞
RemoteMouse存在多个严重0day漏洞
安全事件 Security Incident
英国和美国联合披露更多关于俄罗斯 SVR 组织攻击技战术(TTPs)信息
Thallium针对韩国外交、安全、国防、统一领域专家的攻击激增警报
新的TsuNAME漏洞可让攻击者关闭权威DNS服务器

美国宣布进入紧急状态!网络攻击,别只看这冰山一角

Ysck阅读(14)

近日,美国最大燃油管道运营商科洛尼尔(Colonial Pipeline)因受勒索软件攻击,被迫临时关闭其美国东部沿海各州供油的关键燃油网络。

公司表明,为遏制威胁,已主动切断部分网络连接,暂停所有管道运营。为解除对燃料运输的各种限制,保障石油产品的公路运输,美国政府宣布进入紧急状态。多方消息证实,此次勒索软件名为DarkSide,攻击者劫持了该公司近100GB的数据以索取赎金。

网络攻击屡见不鲜

5月10日,俄罗斯卫星中文网报道称,CNN援引网络安全领域前高官的话报道,认为对科洛尼尔管道运输公司进行网络攻击的黑客可能与俄罗斯有关。

该消息人士表示,此次网络攻击的背后是来自俄罗斯的黑客团伙DarkSide,这些黑客通常攻击非俄语国家,而他们的手段是对目标系统植入恶意软件,以索要赎金。

这种恶意软件也被称为“勒索病毒”。

勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。直至受害者支付赎金,黑客才可能将其解锁。

《纽约时报》表示,这种网络犯罪行为好比“对数据的绑架”。

其实,近年来,利用勒索软件进行网络攻击的事件屡见不鲜。

据报道,2016年勒索软件攻击开始爆发,当时至少影响五家美国和加拿大医院,这促使专家再次呼吁使用自动备份来缓解这种攻击的影响。

例如2016年2月,美国旧金山好莱坞长老会医疗中心遭受勒索软件攻击后,该医院支付近17000美元赎金。

2018年1月,美国印第安纳州格林菲尔德的汉考克健康(Hancock Health)遭遇了勒索软件攻击。

据报道,这让医院失去了部分计算机系统的控制权,当时黑客要求以比特币作为赎金支付。

从2018年初到9月中旬,勒索病毒总计对超过200万台终端发起过攻击,攻击次数高达1700万余次,且整体呈上升趋势。

截至当地时间2021年4月27日,美国华盛顿警局内部系统遭黑客勒索,美国已有26个政府机构遭勒索病毒攻击。

中国的网络安全防范如何?

相比之下,中国的网络安全防范相对完善,但威胁依然不少。

一方面是国内网络在与全球网络连接前,还需通过另一张“绿网”的检核;

另一方面,国内对于企业有严格的监管要求,若触犯相关法规,政府将严惩不贷。

但网络攻击没有终点,一山还有一山高。

业内知名安全专家曾向中国宏阔黑客联盟AI掘金志介绍道,网络攻击从弱到强可分为五个等级。

第一级是因内部人员管理不当,引发的安全问题;

第二级是早期常见的黑客攻击,以单兵作战的形式,通过潜伏、渗透等手段达到窃取密码的目的;

第三级以DDoS攻击为主,是有组织、成体系的攻击,多是由商业竞争对手发起;

第四级是黑产,通过挖矿、勒索甚至资本联动等方式盈利。资金流向分散,存证取证极为困难;

第五级则是网络军队。

目前来看,美国此次事件则属于四级甚至是第五级的网络攻击。

而近年来,随着数字化转型、联网设备数量增加以及处理器算力提升,位于第三级的DDoS攻击愈趋复杂,攻击目标大多直指企业并造成重大财务损失。

以全球视角来看,其最大市场是北美和亚太地区。

据统计,2020年第三季度,中国遭遇的DDoS攻击为全球之首,占攻击总量的72.83%。

时至今日,国内利用僵尸网络的DDoS攻击仍大行其道。

近日,一个基于僵尸网络“Pareto”的广告欺诈活动被发现并捣毁。

此次攻击活动中,网络犯罪分子利用恶意软件成功感染了100多万台Android移动设备。

据研究人员称,该僵尸网络利用数十个移动应用程序,模拟了超6000个CTV应用程序,每天提供至少6.5亿条广告访问请求。

攻击者与被感染后受远程控制的“僵尸”计算机之间,实现了可一对多操控的网络,就是僵尸网络。

就隐蔽性而言,僵尸主机在未执行特点指令时,与服务器之间不会进行通讯。

这样一个可隐身潜伏在目标阵营里的工具,很难不受到攻击者青睐。

使用僵尸网络最常发动的攻击,即分布式拒绝服务攻击(DDoS)。

DDoS又称洪水攻击,攻击者利用一台台僵尸电脑,向受害者系统发送如洪水般迅猛的合法或伪造的请求,致使其带宽饱和或资源耗尽,以达到服务暂时中断、网络及系统瘫痪的目的。

安全专家表示,DDoS 是攻击中的核武器。

攻击者不仅在攻击媒介上不断做出新的尝试,在攻击规模、频率和目标上也不断进行着调整。

据检测,今年一季度的一大DDoS勒索攻击,最近一次攻击的峰值达800Gbps。

此次攻击目标不是“重灾区”内的游戏公司,而是一家欧洲赌博公司。

各行各业,泛滥成灾

在疫情背景下,各行业业务纷纷转至线上开展。

这也招致了大量有勒索动机的攻击者,打起大型企业和机构的算盘。

自2020年中下旬起,针对企业组织的RDDoS攻击显著增加,受害企业若没有备份数据,只能以支付勒索金额暂停攻击。

即使有备份数据,也难以避免因攻击造成的业务系统停摆。

据调查,有91%的组织由于DDoS攻击而遭遇业务停摆,平均每次停摆带来的损失高达30万美元。

而腾讯安全发布白皮书指出,2020年的DDoS攻击次数创历史新高。

从行业分布上看,金融、政务、互联网、零售等领域都成为了DDoS攻击的战场,但游戏行业仍为重灾区,在整体DDoS攻击中占比超7成。

除了对游戏企业进行勒索,恶意游戏玩家作弊也是攻击行为的一大动机。

自去年二季度起,国外一外挂团伙开发了一款“炸房挂”,调用第三方攻击站点发起DDoS攻击,并以数十美元的价格,将外挂批量售给恶意玩家,致使多地域游戏玩家掉线、游戏服务器宕机等后果。

对于游戏企业而言,除了直接的收益损失,还可能流失一大批无法接受任何延迟的玩家客户。

同理,在金融行业,用户可能无法完成线上交易,对平台失去信任;

在互联网行业,用户可能因访问速度过慢,甚至无法访问页面等体验,对业务失去信任;

在零售行业,用户可能因其新品发布活动受阻,对产品失去信任……

去年八月,就发生了两起影响极大的攻击事件。

被连续攻击5日的新西兰证交所多次被迫中断交易;白俄国安委和内务部网站因遭攻击影响了白俄总统选举。

十月,Google公开宣布,2017年曾遭受峰值流量达2.54Tb的DDoS攻击,表示“希望提高人们对国家黑客组织滥用 DDoS 攻击趋势的认知”。

DDoS攻击还将攻往哪些领域,难以预判。

针对全球DDoS攻击现状,华为认为,其攻击强度依然呈增长态势,攻击手法将更加复杂。

「洪水」无情,「防洪」有眼

随着攻击演变不断,各企从识别、清洗和黑洞策略三个层面着手,数管齐下。

首先是负载均衡,识别检测。

CDN作为网络堵塞的有效缓解方法之一,博得各企业关注。

以其拥有的大量节点,CDN可代替源服务器为访问者提供就近服务。

这一特性,实现了源服务器减负,用户访问快速响应,企业受DDoS攻击的几率也在一定程度上降低。

但同时,各CDN节点也成为了访问者的把关人。

为进行自动识别调度,阿里云、华为云等企业都推出了CDN联动DDoS高防方案。

高防CDN的原理是利用 CNAME记录,将攻击流量引至高防节点。

而高防节点IP是对源站点的业务转发,即使追踪业务交互也无法得知真正的用户源站点,从而保障服务器安全。

其次是清洗阙值与黑洞阙值。

正如人的免疫力再好,也难免会生病;防护机制再完善,也难保就此万无一失。

就算没有生病,也可以买保险。

以正常流量基线设置阙值,据自身防御能力设置黑洞策略,借“同归于尽”换最后的安全。

不同于固定阙值,阿里云基于其大数据能力,结合AI智能分析和算法学习用户的业务流量基线,以此识别异常攻击。

检测到DDoS攻击且请求流量达到清洗阙值时,DDoS防护就会触发清洗。

华为云也有这样的“底线”。

当流量攻击超出其提供的基础攻击防御范围,华为云将采取黑洞策略封堵IP,屏蔽该僵尸电脑的外网访问。

物联未来,变成僵尸电脑的风险有多大?

小到智能家居,大到智慧城市,在线IoT设备在各领域已大面积普及,包括配电、通信网络等关键设施设备。

物联网装置虽逐步完善,但对于安全运维,仍受限于设备的各种形态和功能。

从终端、无线接入、网关,再到云平台,许多设备使用的操作系统都不是统一的。

运维难度因此大大提升。

除此之外,“攻击工具”的获取门槛之低,使得DDoS攻击成为一种“傻瓜式”网络攻击,物联网下的各企极易受到威胁。

即便是没有充足经验的“黑客”,也可借助Mirai等公开恶意软件,植入僵尸病毒发起攻击。

据分析,Mirai和Gafgyt仍是目前主流的两大僵尸网络家族。

而Mirai的主要感染对象,就是路由器、网络摄像头、DVR设备等Linux物联网设备。

物联网设备的资源纵深价值,一方面为企业和个体带来便利,另一方面也招致攻击者的觊觎。

美国东海岸DNS服务商Dyn,曾因该僵尸网络,影响了千万量级的IP数量,其中大部分来自物联网和智能设备。

总结

目前,对于DDoS攻击其门槛低、易操作、高效率的特点,各行各业仍胆颤

利用负载均衡、阙值设置等方法,建立DDoS防护和相关应变团队,定期进行安全监控演练,并检视自身营运风险,是企业可参考的几个方面。

有专家建议,在物联网环境下,切割关键性业务、限制联机来源或隐蔽联机入口等方法,也有助于降低遭受攻击的风险。

中国宏阔黑客联盟原创文章,未经授权禁止转载。转载注明中国宏盟

Ryuk紧盯“有缝的蛋”,利用学生盗版软件发起攻击

Ysck阅读(31)

 

事件报道

根据安全媒体的最新报道,国外一名学生的盗版软件导致了一次全面的Ryuk勒索软件攻击。

据了解,一名学生在试图盗版一款昂贵的数据可视化软件的过程中,导致欧洲一家生物分子研究所遭到全面的Ryuk勒索软件攻击。

BleepingComputer的研究人员长期以来一直都在不断提醒社区关于软件破解相关的信息,这不仅是因为这是一种非法行为,而且它们也是恶意软件感染的常见来源。

网络犯罪分子通常会创建一个虚假的破解软件下载网站来传播恶意软件,有时甚至还会使用油管视频或BT种子。

在此之前,我们已经发现了很多利用破解软件下载站点来传播勒索软件的案例了,比如说STOP和Exorcist勒索软件、加密货币挖矿软件和信息窃取木马等等。

 

关于Ryuk勒索软件

Ryuk首次出现于2018年8月(August 2018),虽然在全球范围内并不是非常活跃,但至少有三个机构在其头两个月的行动中被感染,使得攻击者获得了大约64万美元的赎金。

感染成功后,Ryuk拥有其他一些现代勒索软件家族中可以看到的常见功能,包括识别和加密网络驱动器和资源以及删除终端上卷影副本。通过这样做,攻击者可以禁用Windows系统还原选项,因此使用户无法在没有外部备份的情况下从攻击中恢复数据。

目前已经确认的是,这类Ryuk勒索事件实为黑客组织GRIM SPIDER所为,攻击活动名命名为TEMP.MixMaster,而攻击者目前来看是俄罗斯的可能性较大。

根据 ANSSI 发布的研究报告显示:“除常见的功能外,新版本的 Ryuk 勒索软件增加了在本地网络上蠕虫式传播的功能”,“通过计划任务、恶意软件在 Windows 域内的机器间传播。一旦启动,该恶意软件将在 Windows RPC 可达的每台计算机上传播”。

Ryuk 勒索软件的变种不包含任何阻止勒索软件执行的机制(类似使用互斥量检测),使用 rep.exe 或 lan.exe 后缀进行复制传播。

Ryuk 勒索软件在本地网络上列举所有可能的 IP 地址并发送 ICMP ping 进行探测。该恶意软件会列出本地 ARP 表缓存的 IP 地址,列出发现 IP 地址所有的共享资源并对内容进行加密。该变种还能够远程创建计划任务以此在主机上执行。攻击者使用 Windows 原生工具 schtasks.exe 创建计划任务。

最近发现的 Ryuk 变种具备自我复制能力,可以将可执行文件复制到已发现的网络共享上实现样本传播。紧接着会在远程主机上创建计划任务,最后为了防止用户进行文件回复还会删除卷影副本。

勒索软件 Ryuk 会通过设置注册表项

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunsvchost及其文件路径来实现持久化。

分析报告显示,Ryuk 勒索软件并不会检查计算机是否已被感染,恶意代码使用域内的高级帐户进行传播。安全专家指出,即使修改了用户密码,只要 Kerberos 票据尚未过期,蠕虫式的传播仍将继续。

 

冒牌的破解软件导致Ryuk勒索软件攻击

在欧洲的这家生物分子研究所遭到Ryuk勒索软件攻击后,Sophos的快速反应小组做出反应,并压制了此次网络攻击。

这次攻击使研究所损失了一周的研究数据并导致了时长一个星期的网络中断,因为服务器需要从零开始重建,而数据需要从备份中恢复。

在对此次网络攻击活动进行了信息安全取证后,Sophos确定此次网络攻击活动背后的犯罪分子的初始入口点是一个使用了学生证书的RDP会话。

据了解,这家生物分子研究所一直都在跟大学生有各种合作,其中涵盖各项研究领域和各项任务。作为任务合作的一部分,该研究所会为学生提供远程登录网络的登录凭证。

在访问了这名学生的笔记本电脑并分析了其浏览器历史后,研究人员发现这名学生曾经搜索过一款昂贵的数据可视化软件工具,他们在工作中使用过该软件,并且还尝试在他们自己家里去安装过这款软件。

显然,这名学生并没有花几百美元去购买软件的使用许可证,而是选择去搜索了一个破解版,并从warez网站下载了这个版本。

但是,他们并没有真正下载成功这款破解版的软件,而实感染了一个具备信息窃取功能的木马病毒。这款木马能够记录目标用户的键盘击键数据、窃取Windows剪贴板的历史记录以及窃取密码等,其中就包括网络犯罪分子(Ryuk勒索软件攻击者)在登录研究所网络系统时所使用的相同凭证。

Sophos事件应急快速响应部门的经理彼得·麦肯齐(Peter Mackenzie)认为:“这些盗版软件背后的恶意软件攻击者不太可能与Ryuk勒索软件团伙有关。现在,很多网络犯罪地下市场都会给攻击者提供针对安全薄弱组织/系统的一些简单初始访问攻击向量,这一行业现在也在蓬勃发展之中。因此,我们相信恶意软件攻击者会将他们的访问权售卖给其他的攻击者。而这一次相关的RDP连接访问权可能是正在测试其访问权的代理泄露的。”

在过去的几年时间里,专门销售远程访问凭证的市场一直都在蓬勃发展之中,现在已然成为了勒索软件团伙用来访问公司网络的常见账户来源。这些被盗凭证中有许多是使用信息窃取型木马收集到的,网络犯罪分子会在地下市场上以大概三美元的价格逐一出售。

 

后话

就在最近,BleepingComputer获得了访问UAS泄露数据的权限,而UAS则是目前最大的Windows远程桌面凭证市场之一。

研究数据显示,在过去三年中,有130万个账户在UAS市场上出售,为网络犯罪分子提供了一个庞大的目标用户库。

不幸的是,现实场景中总会存在一些人为错误的可能性,这也导致用户可能会给网络钓鱼邮件或盗版软件提供机会,无论我们怎么提醒,这种情况也无法百分之百被消除。

但是,在网络上正确配置安全性,例如要求远程桌面连接使用MFA,并限制特定位置或IP地址的访问,就可以从一定程度上防止这种攻击了。

Apple多个最新在野0day漏洞通告

Ysck阅读(30)

 

0x01   漏洞简述

近期360安全大脑在全网范围内侦测到多起针对Apple产品的高级威胁攻击,影响最新的iOS、macOS系统,最新的iPhone手机和苹果电脑无法防御相关攻击。360高级威胁研究院在确定漏洞的严重性后,第一时间将相关漏洞细节通知了苹果公司,苹果公司已于4月26日开始至5月陆续发布安全补丁修复相关0day漏洞,并安全公告致谢360安全团队。

通过该漏洞攻击者可以精心制作多个恶意网站诱导受害用户访问,恶意网页会判断受害者访问使用的浏览器类型,如果是Safari则发送携带exploitJS代码,尝试多个浏览器漏洞和内核提权漏洞组合攻击,最终使用自定义的Loader加载一个Mash-o后门程序,攻击流程如下图。

后门程序主要功能:

1. 收集APP安装信息

2. 窃取通讯录中所有联系人信息

3. 窃取设备的UDID和设备序列号

4. 窃取IOS KeyChain中保存的应用账户密码信息

鉴于相关漏洞的严重危害,请Apple产品用户及时更新安全补丁。

 

0x02   风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 严重
影响面 广泛
360CERT评分 9.8

 

0x03   漏洞详情

CVE-2021-30666: Webkit缓冲区溢出漏洞

CVE: CVE-2021-30666

组件: iOS、macOS

漏洞类型: 缓冲区溢出

影响: 代码执行

简述: 处理恶意制作的Web内容可能会导致任意代码执行,该漏洞已有在野利用。

CVE-2021-30665: Webkit内存破坏漏洞

CVE: CVE-2021-30665

组件: iOS、macOS

漏洞类型: 内存破坏

影响: 内存破坏、代码执行

简述: 处理恶意制作的Web内容可能会导致任意代码执行,该漏洞已有在野利用。

CVE-2021-30661: Webkit内存释放重用漏洞

CVE: CVE-2021-30661

组件: iOS、macOS

漏洞类型: 内存释放重用

影响: 代码执行

简述: 处理恶意制作的Web内容可能会导致任意代码执行,该漏洞已有在野利用。

 

0x04   修复建议

通用修补建议

将系统更新至最新版本:

Apple官方更新教程

 

0x05   产品侧解决方案

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

 

0x06   时间线

2021-05-03 Apple官方发布安全更新

2021-05-08 360CERT发布通告

 

0x07   参考链接

1、 HT212341

2、 HT212336

 

0x08   特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

Apple多个最新在野0day漏洞通告

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

5月7日每日安全热点 – DDoS攻击使比利时政府网站瘫痪

Ysck阅读(31)

安全事件 Security Incident
疑似Kimsuky APT组织利用韩国外交部为诱饵的攻击活动分析
Kimsuky APT组织使用新型的AppleSeed Android组件伪装成安全软件对韩特定目标进行攻击
FIN8 APT组织新动作:一起“精心布置”的定向窃密活动
“双头龙”源自海莲花组织?
Operation TunnelSnake Formerly unknown rootkit used to secretly control networks of regional organizations

5月7日每日安全热点 – 云托管提供商瑞士云遭遇勒索软件攻击

Ysck阅读(30)

漏洞 Vulnerability
CVE-2021-30665/CVE-2021-30663 Sarfri安全漏洞
CVE-2021-29552/CVE-2021-29553 Firefox安全漏洞
Gentoo发布Exim版本更新风险通告
安全事件 Security Incident

5月6日每日安全热点 – 一个新的PHP Composer错误可能导致广泛的供应链攻击

Ysck阅读(32)

漏洞 Vulnerability
Oracle Linux 修复历史 runc 漏洞

4月28日每日安全热点 – 华盛顿警方遭勒索病毒攻击,警方线人信息存在泄露风险

Ysck阅读(25)

漏洞 Vulnerability
Apple修复了多个高危漏洞
安全事件 Security Incident
华盛顿警方遭勒索病毒攻击,警方线人信息存在泄露风险
Alert (AA21-116A) Russian Foreign Intelligence Service (SVR) Cyber Operations: Trends and Best Practices for Network Defenders
Grupos de operaciones cibernéticas y APT de EE.UU, Rusia, China y Corea del Norte