绿盟威胁情报周报（2023.12.18-2023.12.24）

本周热点概览

热点资讯

猎人国际勒索软件团伙声称入侵了弗雷德·哈奇癌症中心
QakBot恶意软件以新策略重新出现
伊朗黑客利用MuddyC2Go在非洲各地实施电信间谍攻击
21个漏洞被证实影响超过86000台Sierra AirLink路由器
微软公布Outlook零点击RCE漏洞链的利用手法
伊朗加油站疑遭以色列黑客网络攻击
glibc提权漏洞（CVE-2023-4911）分析
瑞士法院因黑客攻击瘫痪：4.5万名公民数据可能被盗
Outlook攻击向量的综合分析
新的KV-Botnet针对Cisco、DrayTek和Fortinet设备进行隐形攻击

热点资讯

猎人国际勒索软件团伙声称入侵了弗雷德·哈奇癌症中心

标签：医疗，勒索软件

概述：另一个医疗保健组织遭受了勒索软件攻击，猎人国际勒索软件团伙声称攻击了弗雷德哈钦森癌症中心(弗雷德哈钦森)。该勒索软件团伙已将该组织添加到其暗网泄露网站，并威胁受害者泄露所谓的被盗数据。

链接：https://ti.nsfocus.com/security-news/IlNLO

QakBot恶意软件以新策略重新出现

标签：QakBot

概述：新一波传播QakBot恶意软件的网络钓鱼消息。在执法部门通过渗透其命令与控制 (C2) 网络拆除其基础设施三个多月后，我们观察到了。发现这一情况的微软将其描述为一场小规模的活动，于 2023年12月11日开始，针对酒店业。

链接：https://ti.nsfocus.com/security-news/IlNMA

伊朗黑客利用MuddyC2Go在非洲各地实施电信间谍攻击

标签：MuddyC2Go

概述：的伊朗民族国家组织名为MuddyWater利用新发现的名为MuddyC2Go的命令与控制 (C2) 框架来攻击埃及、苏丹和坦桑尼亚的电信部门。Broadcom旗下的赛门铁克威胁猎手团队正在跟踪以Seedworm名义跟踪该活动，该活动还以Boggy Serpens、Cobalt Ulster、Earth Vetala、ITG17、Mango Sandstorm（以前称为Mercury）、Static Kitten、TEMP.Zagros等绰号进行和黄尼克斯。

链接： https://ti.nsfocus.com/security-news/IlNNk

21个漏洞被证实影响超过86000台Sierra AirLink路由器

标签：漏洞

概述：Forescout Vedere Labs发现了21个新的漏洞，这些漏洞影响了最流行的OT/IoT路由器之一，该路由器用于通过3G和4G等蜂窝连接将关键的本地网络连接到互联网。这些漏洞影响Sierra Wireless AirLink蜂窝路由器及其一些开源组件，如TinyXML和OpenNDS，这些组件正广泛用于各种其他产品。21个漏洞中，1个为严重级别，9个为高危级别，11个为中等级别。这些漏洞可能允许攻击者窃取凭据，通过注入恶意代码来控制路由器，在设备上持续存在，并将其用作进入关键网络的初始接入点。

链接：https://ti.nsfocus.com/security-news/IlNM2

微软公布Outlook零点击RCE漏洞链的利用手法

标签：CVE-2023-23397，Outlook

概述：Akamai的安全研究人员正在分享Microsoft今年早些时候针对Outlook零点击远程代码执行漏洞发布的补丁的多个绕过细节。最初的问题被追踪为CVE-2023-23397，在威胁行为者利用该问题大约一年后，微软于2023年3月修复了该问题。未经身份验证的攻击者可以通过发送包含指定为路径的声音通知的电子邮件提醒来利用此问题，强制Outlook客户端连接到攻击者的服务器，从而导致Net-NTLMv2哈希发送到服务器。

链接：https://ti.nsfocus.com/security-news/IlNN6

伊朗加油站疑遭以色列黑客网络攻击

标签：Gonjeshke Darande，Predatory Sparrow

概述：伊朗政府指责一个据称与以色列有联系的黑客组织当地时间12月18日（周一）发动网络攻击，导致全国加油站服务中断。以色列黑客组织Gonjeshke Darande或Predatory Sparrow也声称对入侵伊朗加油站负责。伊朗石油部长贾瓦德·欧吉(Javad Owji)证实，网络攻击是造成全国加油站大范围瘫痪的原因。此次网络攻击事件瘫痪了全国约70%的加油站。

链接：https://ti.nsfocus.com/security-news/IlNMK

glibc提权漏洞（CVE-2023-4911）分析

标签：CVE-2023-4911

概述：最近glibc被曝出一个漏洞：CVE-2023-4911。初步观察表明，该漏洞具有较为严重的潜在危害。该漏洞的作用其实是用来越权，但是从一个受限用户越权到另一个受限用户的作用有限，不如从普通用户越权到root用户，以达到提权的效果。

链接：https://ti.nsfocus.com/security-news/IlNM0

瑞士法院因黑客攻击瘫痪：4.5万名公民数据可能被盗

标签：勒索软件，数据泄露

概述：受到网络攻击的法院位于瑞士中部的马奇德语区，为大约45,000人提供服务。该事件的细节尚未公布，但法院网站上的有限描述暗示了勒索软件攻击的可能性。

链接：https://ti.nsfocus.com/security-news/IlNLC

Outlook攻击向量的综合分析

标签：Outlook

概述：Outlook是微软Office套件中的桌面应用程序，现已成为世界上最受欢迎的应用程序之一，用于发送和接收电子邮件、安排会议等操作。从安全角度来看，该应用程序是负责将各种网络威胁引入组织的关键“网关”之一。该应用程序中任何微小的安全问题都可能造成严重的损害，并破坏企业的整体安全性。因此，在典型的企业环境中检查Outlook上的攻击向量是必要的，这也是Check Point研究团队此项研究的初衷。

链接：https://ti.nsfocus.com/security-news/IlNNG

新的KV-Botnet针对Cisco、DrayTek和Fortinet设备进行隐形攻击

标签：KV-botnet

概述：由Cisco、DrayTek、Fortinet和NETGEAR的防火墙和路由器组成的新僵尸网络正被用作高级持续性威胁（APT）攻击者的秘密数据传输网络，其中包括与某国有关的名为Volt Typhoon（伏特台风）的黑客组织。

链接：https://ti.nsfocus.com/security-news/IlNMc

绿盟威胁情报中心

绿盟威胁情报中心（NSFOCUS Threat Intelligence center, NTI）是绿盟科技为落实智慧安全3.0战略，促进网络空间安全生态建设和威胁情报应用，增强客户攻防对抗能力而组建的专业性安全研究组织。其依托公司专业的安全团队和强大的安全研究能力，对全球网络安全威胁和态势进行持续观察和分析，以威胁情报的生产、运营、应用等能力及关键技术作为核心研究内容，推出了绿盟威胁情报平台以及一系列集成威胁情报的新一代安全产品，为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力，帮助用户更好地了解和应对各类网络威胁。

绿盟威胁情报中心官网：https://nti.nsfocus.com/

绿盟威胁情报云：https://ti.nsfocus.com/

点击下方“阅读原文”查看更多

↓↓↓