近日,明朝万达安元实验室发布了年第十一期《安全通告》。
该份报告收录了今年11月最新的网络安全前沿新闻和最新漏洞追踪,其中重点内容包括:
网络安全前沿新闻
01研究团队称僵尸网络Pink已感染超过万台中国的设备
研究团队在10月29日披露了在过去六年发现的最大僵尸网络的细节。因为其大量的函数名称以pink为首,所以取名Pinkbot。该僵尸网络已感染了超过万台设备,其中96%位于中国。它主要针对基于MIPS的光纤路由器,利用第三方服务的组合,例如GitHub、P2P网络和C2服务器,还对部分域名的解析查询采取了DNS-Over-HTTPS的方式。研究人员称,迄今为止,PinkBot发起了近百次DDoS攻击。
02加州社区医疗中心CMC确认已泄露超过65万患者的信息
加州的社区医疗中心CMC于10月15日发布声明称,他们在10月10日检测到了一些异常的网络活动。作为响应措施,该机构关闭了整个系统,并对异常网络活动展开调查。11月2日,该机构发布了数据泄露通知,确认其泄露了个人的信息,其中包括姓名、医疗信息和社会安全码等。CMC表示将为受影响的个人提供免费的身份盗用保护、身份盗用解决方案和信用监控服务。
03Kaspersky发布年Q3垃圾邮件和钓鱼活动的报告
11月1日,Kaspersky发布了年Q3垃圾邮件和钓鱼活动的分析报告。报告指出,在年Q3,垃圾邮件在邮件总量中的占比再次下降,平均为45.47%,比Q2下降了1.09%。垃圾邮件的最大来源国仍然是俄罗斯(24.90%),其次是德国(14.19%)、中国(10.31%)和美国(9.15%)。该季度总共检测到个恶意邮件附件,比上季多了万个。Agensla(9.74%)再次成为垃圾邮件中最常见的恶意软件,其次是Badun(6.89%)和Noon(5.19%)。
04珠宝商Graff遭到Conti勒索攻击,特朗普等人信息泄露
10月31日,每日邮报报道勒索团伙Conti攻击了珠宝商Graff并窃取大量数据。目前,攻击者已在暗网上公开了涉及唐纳德·特朗普、奥普拉·温弗瑞和大卫·贝克汉姆的份机密文件,作为样本数据。并声称目前公开的信息涉及了该公司约个客户,仅占其窃取的全部数据的1%。Conti的赎金非常高,约占受害者年收入的10%,而Graff在年的收入为4.5亿英镑。
05CiscoTalos发布年Q3应急响应事件的分析报告
CiscoTalos在10月28日发布了年Q3应急响应事件的分析报告。报告指出,在年7月至10月期间,勒索软件依然是本季度最主要的威胁,约占所有威胁的38%,还出现了许多新的勒索软件家族ViceSociety、Hive、Karma、Grief、CryptBD和Thanos。电子邮件是最常见的初始感染媒介,而缺乏多因素身份验证(MFA)成为企业安全的最大障碍之一。
06欧洲网络安全局ENISA发布年威胁态势分析报告
欧洲网络安全局ENISA在10月27日发布了年威胁态势分析报告。报告确定了主要威胁、攻击技术、值得注意的事件和相关趋势,还提供了降低风险的建议。本报告主要讨论了9种网络安全威胁类别:勒索软件、恶意软件、加密劫持、电子邮件相关威胁、对数据的威胁、对可用性和完整性的威胁、虚假信息(错误信息)、非恶意威胁、和供应链攻击。此外,报告指出,勒索软件攻击已成为主要威胁。
07Facebook将关闭人脸识别系统并删除数十亿条记录
Facebook的母公司Meta在周二宣布,将关闭已有十年历史的人脸识别系统,并删除超过10亿用户的面部识别模板。Facebook在年引入了面部识别功能,来自动标记照片和视频名称。而此次的终止计划是因为该技术引发了持续的隐私和道德问题,美国的多个城市已经禁止使用该技术,如波士顿、旧金山、新奥尔良和明尼阿波利斯等。近年来,亚马逊、微软和IBM等科技公司都已停用或停止出售此类产品。
08Robinhood平台称因遭到攻击万客户信息泄露
股票交易平台Robinhood在11月8日发布公告,声称其遭到了网络攻击。攻击发生在11月3日,攻击者通过社会工程攻击获得了客户支持系统的访问权限,可能已经访问了约万客户的数据,涉及姓名、邮件地址、出生日期和邮政编码等信息。此外,RobinHood表示他们还遭到了勒索,但并未提供有关勒索要求的细节信息。目前,该公司正在安全公司Mandiant的协助下对此事展开调查。
09Detectify新研究发现SSL证书可能会泄露敏感信息
Detectify11月4日的最新研究发现,SSL证书可能会泄露敏感信息。自7月份以来,Detectify已经收集和分析了超过9亿个公共SSL/TLS证书,并发现其中存在的“陷阱”可能会泄露公司的机密信息。绝大多数新认证的域都被赋予了描述性名称,如果证书是在公开前的开发阶段颁发的,可能让竞争对手有时间在新产品进入市场之前进行破坏。此外,通配符证书可能会受到ALPACA攻击的影响。
10Intel发布针对交通运输行业的攻击的分析报告
Intel在11月2日发布了针对交通运输行业的攻击的分析报告。研究人员发现,大量黑客在暗网出售运输和物流组织的访问权限,并推断他们是利用远程访问解决方案(包括远程桌面协议RDP、VPN、Citrix和SonicWall等)中的漏洞获得的。报告指出,物流行业逐渐成为攻击目标,攻击可能会对全球经济造成严重的连锁反应,一次成功的攻击可能会使整个行业停滞,因此相关组织要主动修复漏洞以避免此类攻击。
11PositiveTechnologies发布Rootkit演变趋势报告
PositiveTechnologies在11月3日发布了Rootkit的演变趋势和当前威胁的分析报告。研究人员分析了近10年最著名的16个rootkit家族,发现其中的44%用于攻击政府机构,77%被用于网络间谍活动。此外,rootkit很难开发,需要花费很多时间和金钱,因此大多数基于rootkit的攻击都与APT组织有关。所有的rootkit中38%属于内核模式,31%是用户模式,31%是组合类型,且大部分针对Windows系统。
12CyberX9称印度证券机构CDSL万用户信息泄露
安全团队CyberX9在11月7日披露印度证券托管机构CDSL的万用户信息泄露。早在十月初,研究人员发现CDSL存在严重的漏洞,可泄露万投资者的个人信息和财务数据。10月26日,漏洞已被修复。但是,研究人员于10月29日发现新的补丁可以轻易地被绕过,依然可以泄露万人的数据。此次泄露的信息可以追溯到年左右注册的用户,由于此类数据的敏感度较高,如果落入攻击者手中对用户来说可能是致命的。
13F5发布关于数字化转型所面临危险的分析报告
11月5日,F5发布了关于数字化转型所面临危险的分析报告。专注于数字转型的组织需要将不同的应用程序、系统和服务拼接成无缝的数字体验,也就是说组织已经接受了API。研究人员估计,如今公共和私有API的总量接近2亿,到年这一数字可能会达到数十亿。而API的扩张给运营和安全方面带来了挑战,例如随着API数量和应用复杂性的增加,追踪API的位置变得困难;以及API的频繁更新会导致版本和文档出现问题等。
14Kaspersky发布年Q3DDoS攻击的分析报告
Kaspersky在11月8日发布了年Q3DDoS攻击的分析报告。报告指出,与上一季度和去年相比,第三季度的攻击数量显著增加。其中美国遭到的DDoS攻击最多(40.80%),其次是中国香港(15.07%)和中国(7.74%)。第三季度单日的DDoS攻击次数打破了之前的所有记录:8月18日有次攻击,8月21日和22也有超过次。大多数DDoS攻击采取了SYN泛洪的形式,而大多数僵尸网络CC服务器位于美国(43.44%)。
15网信办发布《网络数据安全管理条例(征求意见稿)》
国家网信办于11月14日发布了《网络数据安全管理条例(征求意见稿)》的公开征求意见通知。截至今年6月,我国网民规模达10.11亿,由此产生的网络数据量更是天文数字。该条例规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益。中国互联网协会法工委副秘书长胡钢指出,这是新时代规范互联网平台企业,强化反垄断和资本无序扩张的应有之义,也是维护国家安全、保护社会公共利益的需要。
16CheckPoint发布年10月全球威胁指数报告
CheckPoint在近期发布了年10月全球威胁指数报告。报告指出,Trickbot仍位居恶意软件榜单之首,影响了全球4%的组织,其次是XMRig(3%)和Remcos(2%);教育和研究行业是全球受攻击最多的行业,其次是通信行业,以及政府和军事组织;最常见的漏洞是Web服务器URL目录遍历漏洞,包括CVE--和CVE--等;xHelper仍然是最常见的移动恶意软件,其次是AlienBot和XLoader。
17AppGallery中多款游戏应用存在木马,已感染多万设备
11月23日,Dr.Web的研究人员披露华为应用商店AppGallery中的款游戏中存在木马Android.Cynos.7.origin,已安装约次。该木马是恶意软件Cynos的变体,旨在收集用户的信息。这些游戏主要使用俄语、中文和英语,其中游戏“快点躲起来”的下载量高达次。研究人员称,该木马可发送和拦截短信、下载和启动其它模块,以及下载和安装其他应用。目前,华为公司已将这些游戏下架。
18Kaspersky发布年ICS和工业行业威胁的预测报告
Kaspersky于11月23日发布了年ICS和工业行业威胁的预测报告。报告指出,在未来攻击者可能会减少每次攻击的目标数量,缩短恶意软件的生命周期并最大限度地减少恶意基础设施的使用。此外,报告表示以下攻击策略和技术无疑将在来年被积极利用:钓鱼攻击、将硬件中的已知漏洞作为渗透媒介、利用操作系统组件和IT产品中的零日漏洞、入侵域名注册商和认证机构以及针对供应商的攻击。
19WSpot公司因AWS存储桶配置错误泄露万用户信息
安全公司SafetyDetectives发现巴西软件公司WSpot已泄露超过万用户的信息。WSpot的产品可用于企业保护其内部的WiFi网络,并提供无密码的在线访问,该公司的客户包括Sicredi、必胜客和Unimed等。研究人员于9月2日发现WSpot配置错误的AmazonWebServicesS3存储桶泄露了10GB的数据,并于9月7日通知WSpot。WSpot表示此事件影响了其5%的客户群,已在11月18日修复完成。
网络安全最新漏洞追踪
01ApacheMINA拒绝服务漏洞(CVE--)
ApacheMINA是一个网络应用框架,可以帮助用户轻松开发高性能、高扩展性的网络应用。它通过JavaNIO在TCP/IP和UDP/IP等各种传输上提供抽象的事件驱动异步API。
年11月1日,Apache发布安全公告,修复了ApacheMINA中的一个拒绝服务漏洞(CVE--)。
在ApacheMINA中,恶意制作的格式错误的HTTP请求可能导致HTTPHeader解码器无限循环。解码器假定HTTP头从缓冲区的开头开始,如果有比预期更多的数据就会循环。
影响范围
ApacheMINA2.1.5
ApacheMINA2.0.22
安全建议
目前此漏洞已经修复,建议将ApacheMINA更新到2.0.22、 2.1.5或更高版本。
下载链接: