国内外简报industry briefing

国内外信息安全简报2018年第三十八周

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1.黑客组织Cobalt再次使用CobInt恶意软件攻击前苏联国家

据 Proofpoint 的安全研究人员披露,俄罗斯 Cobalt 黑客组织在8月尤其活跃。该组织利用 Microsoft Office 中的多个漏洞(CVE-2017-8570,CVE-2017-11882 和 CVE-2018-0802),利用 CobInt 恶意软件至少发起四起攻击活动。Cobalt 黑客组织自2016年开始活跃,将目标瞄向全球的银行,利用鱼叉式网络钓鱼电子邮件入侵目标系统。除了银行,该组织还针对政府机构、电信公司、互联网服务提供商等。(详情链接

2. DDoS攻击2018年上半年在数量和规模方面大幅增加

根据网络安全公司 NexusGuard 的报告显示,DDoS 攻击2018年上半年大幅增加,其原因在于攻击者利用不安全的物联网设备构建大规模僵尸网络。报告显示,2017年第二季度的 DDoS 平均攻击规模为 4.10 Gbps,最高为 63.70 Gbps;2018年第二季度平均规模增加了逾500%至26 Gbps,最高为359 Gbps。2018年第二季度,美国是最大的攻击来源 (20%),其次是中国、法国、德国和俄罗斯。(详情链接

3.英国航空之后,Feedify沦为Magecart黑客攻击的受害者

据研究人员透露,继 Ticketmaster 和英国航空公司之后,推送通知服务 Feedify 沦为 Magecart 黑客攻击的最新受害者。Magecart 黑客组织将恶意代码添加到了 Feedify 客户嵌入其网站的文件当中。据传,Magecart 自2015年开始活跃,其最初两年的目标是 Magento 在线商店,2017年底至2018年初开始改变策略,将目标瞄向主要服务,尤其托管 Web 基础设施。(详情链接

4. 美国防部网络安全市场规模2023年将达43亿美元

根据 Frost & Sullivan 的最新分析,来自对手和非国家攻击者的网络攻击正迫使美国国防部将网络安全支出投入到现成的商用现成网络安全工具和系统上,并投入资金研发量子计算和人工智能(AI)技术。预计,美国国防部网络安全市场规模2023年将达到43亿美元,复合年增长率为2.3%。(详情链接

5.英国航空数据泄露:可疑代码现身

网络安全公司 RiskIQ 称其发现注入英国航空公司网站的恶意代码,这些代码很可能是导致38万支付数据泄露的原因所在。RiskIQ 的研究人员声称,发现了抄录(skimming)脚本的证据,其旨在窃取在线支付表格的财务数据,在英国航空网站上发现的代码与攻击 Ticketmaster 网站的代码非常相似,但似乎这次攻击使用的代码根据英国航空网站的设计方式进行了特别的修改。(详情链接

6.全国政府网站将统一域名后缀

近日,国务院办公厅发文明确政府网站注册、注销均需向上级主管单位报批。政府网站域名应以“.gov.cn”“.政务”为后缀,不得使用其他后缀域名,不承担行政职能的事业单位原则上不得使用以“.gov.cn”为后缀英文域名。据了解,在现行的域名注册程序下,拟开设网站的单位可直接从域名注册商或代理商处获取域名,不需向上级主管单位报批,造成监管漏洞。(详情链接

7. 趋势科技多款人气安全应用程序被苹果下架,曝泄露用户数据

趋势科技开发的多个应用程序(包括Dr. Antivirus、Dr. Cleaner、Dr. Unarchiver等)因收集用户计算机的浏览历史和信息被苹果从其应用商店下架。被下架之前,这些应用都是人气应用,有数千条好评,评分介于4.6到4.9之间。趋势科技解释称,收集用户数据是一次性的,目的是为了分析用户最近是否遇到广告软件或其他威胁,其旨在改善产品与服务。趋势科技还指出,数据被上传到位于美国的亚马逊 AWS 服务器。(详情链接

8.CoinHive挖矿劫持仍在肆虐 至少28万路由器被检出感染

8月初的时候,自从 CVE-2018-14847 的漏洞利用代码公开后,不法分子就发动了针对 MikroTik 路由器的攻击。攻击者成功地对 MicroTik 路由器实施了“零日攻击”,为其注入了 CoinHive 的修改版本。CoinHive 的一小段代码,支持利用简易的浏览器来挖掘门罗币。黑客利用该漏洞,入侵了巴西的 20 多万台路由器。(详情链接

9.预警 | 删库跑路加勒索,Redis勒索事件爆发

9月10日下午15:06开始,阿里云官方首次发现一起规模化利用Redis 未授权访问漏洞进行加密货币勒索的事件,阿里云上防御系统在攻击开始的10s内就已开启全网拦截。与以往的只是通过算力窃取进行挖矿的攻击事件不同,此次攻击者在攻击之初就是以勒索钱财作为第一目的的,攻击者无惧暴露,非常猖狂。直接删除数据、加密数据也意味着攻击者与防御者之间已经没有缓冲地带,基本的攻防对抗将是赤裸裸的一场刺刀战。该高危漏洞早在半年前阿里云就发布过预警,但是还是有不少用户并未进行修改加以重视。阿里云安全专家提醒用户参考文末方法,尽快完成漏洞修复或部署防御,一旦被攻击成功,整个服务器的程序和数据都将会被删除!且很难恢复。(详情链接

10.部分旧恶意软件已被重新设计以窃取数字货币

Fortinet和卡巴斯基的研究人员发现,黑客已经开始使用旧的勒索软件并升级它,以便从受害者手中窃取数字货币或使用受感染的计算机窃取数字货币。Fortinet的研究分析师发现,最初出现在2016年的一种名为Jigsaw的旧恶意软件现在已被重新设计以窃取数字货币。此外,被称为WannaMine的新恶意软件正在使用与WannaCry勒索软件相同的软件,以劫持受害者的计算能力以挖掘Monero。(详情链接