2019年下半年威胁情报报告;2020年医疗保健行业安全远景报告;米高梅酒店1070万客户信息泄露

发布时间 2020-02-20

1.NETSCOUT发布2019年下半年威胁情报报告



Netscout发布了其2019年下半年威胁情报报告,报告的主要发现包括:攻击者使用了7种新的UDP反射/放大攻击,并结合已知的攻击向量发起针对性DDoS攻击;针对垂直行业的大规模攻击变多,例如针对卫星电信的攻击增长了295%;攻击者利用先进的侦察技术将目标锁定在受良好保护的目标(如ISP和金融机构)上,以放大针对特定企业和网络运营商的攻击;从2018 H2到2019 H2,针对无线通信企业的DDoS攻击频率增加了64%;基于Mirai的变体在2019年下半年占据主导地位(增长了57%),可针对17种系统架构;WISR的服务提供商表示针对公开暴露的基础设施的DDoS攻击增加了52%,而上一年为38%。


原文链接:

https://www.netscout.com/press-releases/netscouts-threat-intelligence-report-2H2019


2.CyberMDX发布2020年医疗保健行业安全远景报告



根据CyberMDX的2020年医疗保健行业安全远景报告,典型的医院中所有Windows设备中有22%仍然没有安装BlueKeep漏洞的修复补丁,而对于在Windows上运行的联网医疗设备而言,这一数字上升到了45%,这意味着几乎一半的联网医疗设备易受攻击。这些设备可能包括放射设备、监视器、X射线和超声设备以及麻醉机等。如果不对这些设备进行修补,攻击者可能会搜索到易受BlueKeep攻击的机器,从而使医院网络和患者处于危险之中。


原文链接:

https://www.zdnet.com/article/cybersecurity-warning-almost-half-of-connected-medical-devices-are-vulnerable-to-hackers-exploiting-bluekeep/


3.伊朗APT网络间谍活动Fox Kitten的分析报告



黑客正在利用由ThemeREX开发的WordPress插件中的0day来入侵WordPress网站。安全厂商Wordfence于2月18日检测到了此类攻击。ThemeREX插件预装了所有ThemeREX商业主题,并且帮助用户设置新站点和控制各种主题功能,Wordfence估计该插件已安装在超过4.4万个站点上。该插件可通过设置WordPress REST-API端点来工作,但不会检查发送到此REST API的命令是否来自授权用户,这意味着任何访客都可以实行远程代码,甚至创建新的管理用户和接管网站。研究人员表示如果用户运行的插件版本高于1.6.50,那么强烈建议用户暂时删除ThemeREX插件,直到修复补丁发布为止。


原文链接:

https://threatpost.com/iranian-apts-fox-kitten-global-spy-campaign/152974/


4.安全研究人员披露MicroSoft多个子域名被劫持问题



NIC.gp安全研究员Michel Gaschet指出MicroSoft存在多个子域名劫持问题,这些子域名可能被劫持和用于攻击用户、员工或显示垃圾内容。在过去三年中,Gaschet一直在向MicroSoft报告带有错误配置的DNS记录的子域名,例如2017年他报告了21个易被劫持的msn.com子域名,2019年他又报告了142个配置错误的microsoft.com子域名,但MicroSoft仅修复了其中5%到10%的子域名。Gaschet还指出他至少在4个合法的MicroSoft子域中发现了印度尼西亚扑克赌场的广告,包括portal.ds.microsoft.com、perfect10.microsoft.com、ies.global.microsoft.com和blog-ambassadors.microsoft.com。


原文链接:

https://www.zdnet.com/article/microsoft-has-a-subdomain-hijacking-problem/


5.黑客利用ThemeREX插件0day攻击WordPress网站



研究人员表示伊朗APT34/OilRig和APT33/Elfin可能正在开展一项为期三年的大规模网络间谍活动,该活动被称为Fox Kitten。攻击者建立了高度发展且持久的基础架构,用于访问企业网络和实施侦察与间谍活动。研究人员指出攻击者也可以利用这些基础设施部署破坏性的恶意App,例如与APT关联的数据擦除器ZeroCleare和Dustman。攻击者使用的初始感染媒介包括Palo Alto Networks在不同VPN服务(例如Pulse Secure VPN、Fortinet VPN和Global Protect)中披露的漏洞,攻击者使用的定制工具还包括POWSSHNET后门、数据库和开放端口映射工具STSRCheck、从C2服务器下载文件的VBScript脚本等。


原文链接:

https://www.zdnet.com/article/hackers-exploit-zero-day-in-wordpress-plugin-to-create-rogue-admin-accounts/


6.米高梅酒店1070万客户信息泄露,已在论坛公布



米高梅酒店承认约1070万住宿客户的信息被黑客盗取,这些数据已在本周被上传至黑客论坛,除了常规的游客之外,受影响的客户还涵盖名人、CEO、记者、政府官员和科技企业的员工等。涉及的信息包括姓名、家庭住址、电话号码、电子邮件地址和生日等。按照米高梅的说法,这些信息是在2019年夏天对其云服务器的未授权访问中被盗的,被盗信息不涉及任何财务、银行卡或密码数据。事件发生后米高梅已经通知了所有受波及的用户。


原文链接:

https://www.zdnet.com/article/exclusive-details-of-10-6-million-of-mgm-hotel-guests-posted-on-a-hacking-forum/