7点壹刻 | 新型缓存污染攻击针对受 CDN 保护的网站；我国多个重要单位被境外APT黑客组织Bitter攻陷！

Posted 2021-04-14 深圳市蔚壹科技有限公司

蔚壹早报第十一期~

【小壹语录】

星期一

宜：努力阳光自信奋斗

忌：懒散气馁悲观消极

今

日

导

读

• 2020年全球 IT 行业十大趋势预测

• 区块链火了Sality病毒，感染3万电脑伺机盗取比特币

• 国家网信办：各互联网企业注意防范伪造的"撤稿邮件"

• 新型缓存污染攻击针对受 CDN 保护的网站

• 甲骨文发布免费互联网路由安全监视工具

• 中国电信正式发布工业互联网开放平台

• 360 发布业界首个开源域安全入侵感知系统

• ProtonMail ios 客户端宣布完全开源

• 我国多个重要单位被境外APT黑客组织Bitter攻陷

• 由恶意GIF文件引发的RCE漏洞，超过40000个应用受影响

• 下载器又惹祸：“独狼”病毒再度寄生传播

• Emotet银行木马再次通过大量群发钓鱼邮件攻击国内企业

01

2020年全球 IT 行业十大趋势预测

近期，国际数据公司(IDC)就通过网络直播的形式发布了其《2020年全球IT预测》(2020 Worldwide IT forecast)报告，概述了产品和服务将如何引领企业进行数字化转型。

IDC 的一份报告发现，随着数字化转型举措涌入企业，到2023年，预计全球超过一半的GDP将由数字化转型行业的产品和服务推动，如此大规模的数字整合表明，全球经济将在未来几年达到数字霸权。

数字化转型涉及使用技术来改善业务运营，这通常意味着现代化或替换遗留技术。物联网(IoT)、区块链、大数据、人工智能(AI)、机器学习和云计算都有助于组织中的数字化转型项目。（人称T客）

02

区块链火了Sality病毒，感染3万电脑伺机盗取比特币

近期腾讯安全御见威胁情报中心检测到Sality感染型病毒活跃，该病毒同时传播“剪切板大盗”木马盗取数字加密货币。在国家大力发展区块链相关产业的大背景下，各种数字加密币的交易空前活跃，以比特币为首的各种数字加密币趁势爆涨。Sality病毒利用自己建立的P2P网络，传播以盗取、劫持虚拟币交易为目的的剪切板大盗木马，将会对虚拟币交易安全构成严重威胁。

当前版本的Sality感染型病毒具有以下特点：

1、破坏系统安全设置；

2、感染本地硬盘、可移动存储设备、远程共享目录下的可执行文件；

3、利用可移动、远程共享驱动器的自动播放功能进行感染；

4、将自身注入到其他进程中，以便能够将下载的DLL加载到目标进程；

5、创建一个对等（P2P）僵尸网络；

6、从URL列表下载并执行“剪切板大盗”木马，通过剪切板内容中的字符格式判断以太币或比特币钱包地址，并将剪切板内容替换为指定钱包，若用户在此时粘贴并进行转账操作，数字资产就会被盗。

 

根据腾讯御见威胁情报中心统计数据，此次Sality病毒攻击影响超过3万台电脑。从地区分布来看，Sality在全国各地均有感染，最严重地区分别为广东、江苏、河南、山东。（安全圈）

03

国家网信办：各互联网企业注意防范伪造的"撤稿邮件"

国家网信办举报中心于2019年10月30日发布通告，如下：

郑重声明：有不法分子伪造中央网信办举报中心“撤稿邮件”，请各互联网企业注意防范。

近期，我中心陆续接到互联网企业反映，收到发件人显示为中央网信办、国家网信办、违法和不良信息举报中心等，地址显示为jubao@12377.cn、china@cac.gov.cn等的“撤稿指令”邮件。我们在此严正声明，我中心从未通过以上渠道向互联网企业发送所谓撤稿、删帖指令。

 

经核实，jubao@12377.cn确实是我中心官方公布的专门受理网民举报的工作邮箱，只用于受理举报，从未用于其他用途。后缀为cac.gov.cn的邮箱，是中央网信办工作邮箱地址，也从未用于举报处置工作。不法分子利用技术手段，通过篡改邮件传输协议，伪造出各种显示发件人为官方机构的地址，冒用我中心名义通过向互联网企业“下达指令”，谋取不当利益，属于违法行为。

 

冒用网信部门名义向互联网企业发送邮件指令，违反了《刑法》第二百八十条“伪造、变造、买卖或者盗窃、抢夺、毁灭国家机关的公文、证件、印章”的规定。互联网企业或个人如收到类似邮件，不要轻信，可联系我中心或属地网信部门求证，并提供相关线索。我们将转交公安部门依法追究相关人员法律责任。

 

冒用网信部门名义向互联网企业发送邮件指令，违反了《刑法》第二百八十条“伪造、变造、买卖或者盗窃、抢夺、毁灭国家机关的公文、证件、印章”的规定。互联网企业或个人如收到类似邮件，不要轻信，可联系我中心或属地网信部门求证，并提供相关线索。我们将转交公安部门依法追究相关人员法律责任。（安全圈）

04

新型缓存污染攻击针对受 CDN 保护的网站

德国网络安全研究人员发现新型缓存污染攻击，攻击者可利用 Web 缓存系统迫使目标网站向其访问者交付错误页面而非合法内容或资源。

该问题可能影响 Varnish 等反向代理缓存系统和广为使用的内容分发网络 (CDN) 服务背后的站点。Amazon CloudFront、Cloudflare、Fastly、阿卡迈和 CDN77 等均为 CDN 服务。（安全牛）

05

甲骨文发布免费互联网路由安全监视工具

甲骨文发布一款免费工具，可以显示互联网交换中心 (IXP) 过滤错误或恶意流量路由信息的优劣，防止造成重大互联网中断。

 

该工具旨在帮助 IXP 识别并修复路由过滤功能中的漏洞，同时向公众揭示 IXP 在保持互联网安全中的作用。IXP 在不同 ISP 网络间路由流量。这是布置有大量网络交换机的实体位置，无缝连接不同服务提供商的网络。（安全牛）

06

中国电信正式发布工业互联网开放平台

近 日，中国电信在北京举办5G工业互联网高峰论坛。在该论坛上，中国电信副总经理陈忠岳分享了中国电信5G工业互联网案例。同时，正式发布了中国电信工业互联网开放平台。

 

据介绍，中国电信工业互联网开放平台是建立在中国电信云网融合基础架构之上的数据使能平台，将帮助政府和企业完成数字化基础设施的建设，提升数字化水平、打通数据孤岛，驱动数据高效流通，为整个制造产业提供有序、中立、安全开放的高质量数据开放平台。（程序员头条）

07

360 发布业界首个开源域安全入侵感知系统

2019 年 10 月 26 日，由 360 信息安全中心 0kee Team 自主开发的域安全入侵感知系统——360WatchAD 正式对外开源，成为国内域安全检测领域的开拓者。 360WatchAD 能够及时准确发现高级域渗透活动，检测覆盖内网攻击杀伤链大部分手法。 （Github地址： https://github.com/0Kee-Team/WatchAD）（程序员头条）

08

ProtonMail iOS 客户端宣布完全开源

加密邮件服务商 ProtonMail（也被称为“质子邮箱”）宣布完全开源其 iOS 客户端，并已采用 GPLv3 开源许可证将源码托管在 GitHub 上。

 

ProtonMail 团队表示选择开源是因为安全是他们最优先考虑的事情，特别是有许多异议人士和活动人士使用了他们的服务，而为了确保安全，其应用使用了端到端的加密方式，并保证这些应用都必须通过严格独立的第三方检查。 （Github地址： https://github.com/ProtonMail/ios-mail）（程序员头条）

09

我国多个重要单位被境外APT黑客组织Bitter攻陷

2019年10月29日，微步在线监测到有研究者在Twitter上披露了某木马的C2控制后台，其中包括部分目前正在被控的IP。

对之进行了分析后，有如下发现：

此主控后台系印度政府背景APT组织Bitter所有。 （Bitter，又名“蔓灵花”，是一个长期针对中国、巴基斯坦等国家的政府、军工、电力、核等部门发动网络攻击的APT团伙，具有印度国家背景）对后台日志进行分析发现，中国是主要的受害者，其中受影响地区包含北京、上海、浙江、广西等地。 （ FreeBuf）

10

由恶意GIF文件引发的RCE漏洞，超过40000个应用受影响

本月初，新加坡安全研究员@Awakened披露了关于WhatsApp（2.19.244之前版本）存在的RCE漏洞（CVE-2019-11932）利用的文章，该漏洞由android-gif-Drawable开源库中double-free错误触发。

攻击者通过向WhatsApp用户发送一个精心制作的恶意GIF文件，就可以获得WhatsApp的应用权限，在手机端进行SD卡读取、音频录制、摄像头访问、文件系统访问、WhatsApp沙盒存储访问等操作。

在Facebook和该开源库的开发者合作下，目前已经顺利修复了该漏洞。

但事情似乎并没有那么简单，Android-gif-Drawable用于Android系统进行GIF图像解析的开源库，通过JNI捆绑Giflib的方式对帧数进行渲染，与WebView类和Movie类相比渲染效率较高，截至目前，在GitHub上得到的Star数已经超过7800。 腾讯安全玄武实验室阿图因系统分析结果显示，该GIF开源库被大量安卓APP使用，全球范围内43619个使用该GIF开源库开发的安卓APP可能受此漏洞影响。 （FreeBuf）

11

下载器又惹祸：“独狼”病毒再度寄生传播

国内安全研究者监控发现，“多特下载器”静默推送的”多点检测”暗藏的后门，被用来推广病毒和流氓软件。 主要行为是通过三次云控机制推送独狼(幽虫)和QQ蠕虫病毒，以及推广流氓软件，劫持用户主页流量牟利。 本次传播被迅速捕获，目前还处于铺量阶段，但是通过其内部访问的统计页显示日感染量已接近1万，感染病毒重灾区分布在山东，江苏，河南等地。

12

Emotet银行木马再次通过大量群发钓鱼邮件攻击国内企业

腾讯安全御见威胁情报中心监测到多家企业收到钓鱼邮件攻击，钓鱼邮件附件是一个Office文档，运行后宏病毒会下载Emotet银行木马执行。 数据显示近期Emotet木马针对国内的攻击呈明显上升趋势，从事进出口贸易的企业是Emotet银行木马的主要目标。 腾讯电脑管家、腾讯御点均可拦截可疑文档中的宏代码执行PowerShell下载恶意程序的行为。

根据腾讯安全御见威胁情报中心统计数据，Emotet针对国内的钓鱼邮件攻击最严重地区为广东、北京、浙江、上海等地。 该病毒影响的地区分布如下：

安全建议：

1、建议企业邮箱网管根据本文末尾提供的IOCs信息，将危险发件人邮箱设置为黑名单；
2、建议企业通过培训，教育员工不要打开来源不明的邮件，如果附件是可执行程序，一定不要随意运行；
3、升级Office系列软件到最新版本，及时修复Office组件漏洞，除非确认文档来源可靠，否则不要启用宏；
4、推荐企业部署腾讯御点终端安全管理系统防御病毒木马攻击，个人用户可以使用腾讯电脑管家拦截病毒。

本文资讯来源于网络，发布此文章仅出于传播更多资讯之目的。如有侵权或违规请24小时内及时联系我们，我们将立刻予以删除。