《维他命》每日安全简讯20181109

发布时间 2018-11-09
1、美国网络司令部CNMF将向VirusTotal共享恶意App样本



本周一美国网络司令部(USCYBERCOM)的下属单位国家网络任务部队(CNMF)宣布启动一个新项目,美国国防部将通过该项目向更广泛的网络安全社区共享其发现的恶意App样本。该项目通过在线扫描服务VirusTotal进行,此外USCYBERCOM还创建了一个新的Twitter帐户(@CNMF_VirusAlert),用于发布新恶意App样本的VirusTotal链接。此举得到了网络安全届的一致好评。

   

原文链接:

https://www.zdnet.com/article/us-cyber-command-starts-uploading-foreign-apt-malware-to-virustotal/


2、据统计2018年前三季度移动恶意App总数同比增长40%



根据安全厂商G DATA的统计,截至2018年第三季度末,G DATA的分析师已经发现了约320万个移动恶意App样本,与去年同期相比(2017年前三季度的数据是约220万个移动恶意App样本),增长了40%。网络犯罪分子越来越关注移动设备,尤其是Android设备,其原因是全球十分之八的人口都在使用该系统。这也使得移动设备上的安全越来越重要。
  原文链接:
https://www.gdatasoftware.com/blog/2018/11/31255-cyber-attacks-on-android-devices-on-the-rise


3、研究团队发现2018年9月份勒索App攻击数量飙升



BBR企业的研究团队发现2018年9月份勒索App攻击的数量再次飙升,相比8月份增长了一倍以上。目前尚不清楚这一趋势是否会延续下去。在9月份之前,2018年的勒索App攻击与2017年保持相对稳定,医疗保健行业依旧是最被针对的行业(37%)。在第三季度,金融行业遭到的勒索App攻击相比上一季度增长了18个百分点。勒索赎金最高的勒索App是Ryuk和BitPaymer。根据该企业的数据,在2018年的前9个月,71%的勒索App攻击主要针对中小型企业。

  

原文链接:

https://www.beazley.com/news/2018/beazley_breach_insights_october_2018.html


4、nginx开发团队发布安全更新,修复多个漏洞



开源Web服务器nginx在11月6日发布新版本1.15.6和1.14.1,修复之前版本中的多个安全漏洞。其中包括内存耗尽漏洞(CVE-2018-16843)和CPU耗尽漏洞(CVE-2018-16844),攻击者可通过发送特制的HTTP/2请求导致拒绝服务情况。此外,开发团队还修复了MP4模块中的内存泄漏漏洞(CVE-2018-16845)。根据Netcraft的统计,截至2018年10月份约有25.28%的大型网站是基于nginx的。建议网站管理员尽快进行更新。

  

原文链接:

https://news.softpedia.com/news/nginx-security-issues-expose-more-than-14-million-servers-to-dos-attacks-523659.shtml


5、柬埔寨多家ISP遭到该国历史上最大规模的DDoS攻击



本周柬埔寨最大的几家互联网服务提供商(ISP)遭到了大规模的DDoS攻击,包括EZECOM、SINET、Telcotech和Digi。据当地媒体报道,此次DDoS攻击是该国历史上最大规模的攻击之一,本周一的DDoS攻击流量达近150Gbps。关于此次攻击的原因和动机尚不清楚,也没有攻击者宣称对此负责。一种可能的情况是ISP竞争对手之间的相互攻击。

  

原文链接:

https://www.zdnet.com/article/cambodias-isps-hit-by-some-of-the-biggest-ddos-attacks-in-the-countrys-history/


6、研究人员演示如何利用cookie劫持大疆无人机账户



Check Point研究人员发现大疆无人机存在安全漏洞,可导致用户帐户被劫持,进而导致无人机飞行资料等信息可被攻击者访问。该漏洞的原因是大疆在多个平台上使用了相同的cookie,包括在线论坛、移动APP和Web app DJI FlightHub。研究人员通过在大疆论坛上实施XSS攻击,成功地窃取了用户的cookie,进而可以通过该cookie登录其它平台访问用户的资料。大疆表示已经修复了该漏洞。

  

原文链接:

https://www.bleepingcomputer.com/news/security/dji-drone-flight-logs-photos-and-videos-exposed-to-unauthorized-access/


声明:本资讯由澳门浦京娱乐场维他命安全小组翻译和整理