-
-
[原创]本周威胁情报概览(2021.03.27 - 2021.04.02)
-
发表于: 2021-4-2 17:25 3877
-
威胁事件
1.FluBot:一场席卷欧洲的移动银行木马攻击活动
发布时间:2021年3月29日
事件来源:
https://mp.weixin.qq.com/s/bjeXF891cVmVbNNAArT8bw
事件摘要:
3月初,西班牙警方破获一起网络金融诈骗案,作案团伙通过Android恶意软件盗取了1100万用户的电话号码,约占西班牙人口的25%,目前四名犯罪嫌疑人已被警方逮捕。该团伙通过名为“FluBot”的Android恶意软件,发送带有恶意软件下载链接短信的方式,发送至少71,000条垃圾短信,感染60,000台设备。
“FluBot”最早于2020年底曝光,属于银行木马家族。在功能上“FluBot”可以在合法应用程序顶部显示伪造的登录屏幕,以从,其使用DGA算法建立僵尸网络,随机生成C&C隐藏了真实C&C地址。在传播方面,“FluBot”具有短信蠕虫机制,将包含恶意软件下载链接的短信群发给受害者的联系人列表。而链接背后托管这些恶意软件的站点都是一些被入侵的合法网站,从而使得传播更加顺畅。
2.Muhstik僵尸网络变种利用Kubernetes漏洞攻击,危及2万台服务器
发布时间:2021年3月31日
事件来源:
https://mp.weixin.qq.com/s/gz-A2-QqEOp6UPEjjL8ADQ
事件摘要:
腾讯安全专家在对企业客户进行日常安全巡检时,发现利用漏洞攻击的告警信息。经威胁溯源和样本分析,判断该客户遭遇Muhstik僵尸网络新变种攻击。因发现及时,该企业未受损失。
Muhstik僵尸网络新变种利用Kubernetes kubelet API未授权访问漏洞和Docker Remote API未授权访问漏洞攻击云服务器,利用漏洞攻击得手之后,Muhstik会安装IRC后门对失陷系统进行远程控制。随后可下发任意命令执行,包括下载安装挖矿模块、执行DDoS攻击等。
漏洞事件
1.Apache Druid 远程代码执行漏洞(CVE-2021-26919)风险通告
发布时间:2021年3月30日
事件来源:
https://s.tencent.com/research/bsafe/1284.html
事件摘要:
2021年3月30日,Apache Druid官方发布安全更新,修复了 Apache Druid 远程代码执行漏洞。由于Apache Druid 默认情况下缺乏授权认证,攻击者可直接构造恶意请求执行任意代码,控制服务器。
Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询。
2.VMware公告两个安全漏洞:服务器端请求伪造(CVE-2021-21975)和任意文件写入漏洞(CVE-2021-21983)
发布时间:2021年3月31日
事件来源:
https://s.tencent.com/research/bsafe/1285.html
事件摘要:
VMware官方发布安全公告,修复了VMware vRealize Operations中的两个安全漏洞。VMware评估为“重要”级别,腾讯安全专家建议受影响的用户尽快修复。
1.CVE-2021-21975
VMware vRealize Operations Manager API中的服务器端请求伪造漏洞。
恶意攻击者通过网络访问vRealize Operations Manager API,成功利用漏洞可以执行服务器端请求伪造攻击,以窃取管理凭据。
2.CVE-2021-21983
VMware vRealize Operations Manager API中的任意文件写入漏洞。
经过身份验证的攻击者可以通过网络访问vRealize Operations Manager API,成功利用漏洞可以将文件写入任意位置。
3.GitLab任意文件读取漏洞风险通告,腾讯主机安全支持检测
发布时间:2021年4月1日
事件来源:
https://s.tencent.com/research/bsafe/1286.html
事件摘要:
2021年3月31日,GitLab官方发布了任意文件读取的风险通告。漏洞等级:严重。攻击者可以导入特定文件来读取服务器上的任意文件。腾讯T-Sec主机安全(云镜)漏洞库日期2021-4-1之后的版本,已支持对GitLab任意文件读取漏洞进行检测。
GitLab 是由 GitLab Inc.开发,一款基于 Git 的完全集成的软件开发平台