海博网论坛科技威胁情报周报（2021.01.11-2021.01.17）

2021-01-18

一、威胁通告

沉睡多年的incaseformat蠕虫病毒被唤醒

【发布时间】2021-01-13 22:00:00 GMT

【概述】

2021年1月13日，海博网论坛科技应急响应团队接到全国多个客户反馈感染所谓的incaseformat病毒，涉及政府、医疗、教育、运营商等多个行业，且感染主机多为财务管理相关应用系统。感染主机表现为所有非系统分区文件均被删除，由于被删除文件分区根目录下均存在名为incaseformat.log的空文件，因此网络上将此病毒命名为incaseformat。从搜索引擎结果来看，该病毒最早出现时间为2009年，主流杀毒软件厂商均将此病毒命名为Worm.Win32.Autorun，从名称可以判断该病毒为Windows平台通过移动介质传播的蠕虫病毒。病毒文件运行后，首先复制自身到Windows目录下（C:\\\\windows\\\\tsay.exe），文件图标伪装为文件夹。病毒文件将在主机重启后运行，并开始遍历所有非系统分区下目录并设置为隐藏，同时创建同名的病毒文件。此外还会通过修改注册表，实现不显示隐藏文件及隐藏已知文件类型扩展名。最后对非系统分区下所有文件执行删除操作，并创建incaseformat.log文件。

【链接】

https://nti.nsfocus.com/threatWarning

二、热点资讯

1. Apache Flink 目录遍历漏洞

【概述】

2021年1月06日，安识科技A-Team团队监测到Apache Flink 发布了目录穿越的漏洞通告，CVE编号为CVE-2020-17518，CVE-2020-17519。Apache Flink是一个开源流处理框架，其核心是用Java和Scala编写的分布式流数据流引擎。攻击者利用该漏洞可实现远程读取服务器任意文件，远程写入任意文件，存在极大的安全隐患。安识科技建议广大用户及时升级Apache Flink最新版本，以免遭受此漏洞攻击。

【参考链接】

https://www.secpulse.com/archives/151162.html

2. Ryuk勒索软件利润1.5亿美元

【概述】

研究人员说，Ryuk勒索软件背后的运营商使用的加密货币钱包和该团伙的分支机构持有超过1.5亿美元。安全公司HYAS的首席研究员Brian Carter和Advanced Intelligence的首席执行官Vitali Kremez报告说，他们已经确定了Ryuk网络犯罪团伙及其附属公司用来接收受害者勒索软件付款的61个比特币地址。研究人员在一份新报告中说，该集团用于转移资金的两个比特币交易所是总部位于亚洲的Huobi和Binance。该小组还使用鲜为人知的交流方式。

【参考链接】

https://www.inforisktoday.com/ryuk-ransomware-profits-150-million-a-15726

3. 推特永久性地暂停了总统特朗普的账户

【概述】

Twitter永久停止了唐纳德·特朗普总统的账户，担心他的推文可能引发新一波暴力。为了回应对美国国会大厦的袭击，周三总统的帐户最初被暂停了12个小时，该社交媒体平台表示，其决定是由于“严重违反我们的公民诚信政策”引起的。在仔细审查@realDonaldTrump帐户中的最新Tweet及其周围的环境（特别是如何在Twitter上和在Twitter之外接收和解释它们）之后，由于可能会进一步煽动暴力，我们已永久停用该帐户。该公司在一条推文中宣布。

【参考链接】

https://securityaffairs.co/wordpress/113197/social-networks/twitter-donald-trump-account-suspended.html

4. 比特币市值飙升催生Golang语言挖矿木马围攻云主机

【概述】

受近期比特币暴涨带动数字虚拟币整体市值飙升影响，挖矿木马十分活跃。近期已捕获较多利用golang语言编写的各类脚本木马，这些木马利用多个不同linux服务器组件的高危漏洞或弱密码入侵云服务器挖矿。对这些挖矿木马进行分析溯源，发现分属不同的黑产团伙控制，有点“千军万马一窝蜂携漏洞武器弱口令武器抢占云主机挖矿淘金”的意思。

【参考链接】

https://www.freebuf.com/articles/system/260483.html

5. 物联网安全，基于差分隐私的数据发布

【概述】

物联网会感知大量数据，感知数据通常需要发布和共享。但数据在发布和共享时面临巨大的隐私泄露风险。随着数据挖掘技术的不断提高，经过隐私保护的物联网数据中的敏感信息也越来越容易被数据挖掘者获取，因此，如何保护发布数据中的隐私问题，成为了一个新的研究热点。

【参考链接】

http://mp.weixin.qq.com/s?__biz=MzkyMzAwMDEyNg===2247507354=4=e50eb37196e29117285541d67fa4465a=c1e951cbf69ed8ddb4f0098863919fd78e40285b473190bab85357ab8926f73c55937c553e8a#rd

6. 易受攻击的数据库暴露了联合国雇员的数据

【概述】

一组独立的安全研究人员表示，属于联合国环境规划署（UNEP）的GitHub存储库中的漏洞暴露了100,000多条员工记录，包括个人身份信息，联系方式和其他敏感数据。环境署负责协调联合国的环境活动。一群新的道德黑客Sakura Samurai在其报告中指出，该漏洞源自暴露了GitHub存储库凭据的端点。“这些凭证使我们能够下载GitHub存储库，识别大量用户凭证和个人身份信息。总共，我们识别了100,000个以上的私人员工记录，”约翰逊·杰克逊（John Jackson）说，他是美国安全研究人员之一。

【参考链接】

https://www.inforisktoday.com/vulnerable-database-exposed-un-employees-data-a-15744

7. TikTok将青少年账户保密

【概述】

该公司宣布，年龄在13至15岁之间的帐户将默认使用隐私设置，以及其他安全措施。流行的视频共享社交媒体公司TikTok已决定提高针对未成年人的隐私保护措施。TikTok的受欢迎程度是由青少年推动的-该公司在2019年报告称，其26.5个月度用户中约有60％年龄在16岁至24岁之间，而这些最新措施是为了让其最小的用户更安全地使用该平台。

【参考链接】

https://threatpost.com/tiktok-teen-accounts-private/163040/

8. COVID-19疫苗文件泄露

【概述】

上个月在欧洲药品管理局的一次网络攻击中被盗的有关COVID-19疫苗和药品的文件（包括一些包含个人信息的文件）已在互联网上泄露。该机构位于荷兰，负责评估和授权欧盟的药物和疫苗-包括用于COVID-19的药物和疫苗。EMA在周二发布的最新声明中说，一项调查已确定“一些与第三方拥有的COVID-19药品和疫苗有关的非法访问文件已经在互联网上泄漏”。

【参考链接】

https://www.inforisktoday.com/covid-19-vaccine-documents-personal-data-leaked-a-15754

9. “SolarLeaks”网站声称提供攻击受害者的数据

【概述】

一个新的泄漏站点声称正在出售来自Cisco，FireEye，Microsoft和SolarWinds的数据，这些数据是通过SolarWinds供应链攻击被盗的。虽然这四个组织都是受害人，但安全专家质疑该提议是否合法，并指出，该提议与包括俄罗斯在内的先前旨在阻止黑客攻击归因的努力相平行。

【参考链接】

https://www.inforisktoday.com/solarleaks-site-claims-to-offer-attack-victims-data-a-15751

<<上一篇

【安全通告】紫金桥跨平台实时数据库未授权访问漏洞

>>下一篇

【安全通告】Oracle全系产品2021年1月关键补丁更新