2021年12月9日晚，Apache Log4j2高危JNDI注入漏洞曝光

     2021年11月24日，阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。ApacheLog4j2是一个用于Java的日志记录库，其支持启动远程日志服务器。由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。漏洞利用无需特殊配置，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。攻击者通过jndi注入攻击的形式可以轻松远程执行任何代码。随后官方紧急推出了2.15.0和2.15.0-rc1新版本修复，依然未能完全解决问题，目前已经更新到2.16.0。该漏洞被命名为Log4Shell，编号CVE-2021-44228。

2021年10月安全团队Talos在今年10月披露了黑客正利用微软Exchange Server漏洞于企业内部发送恶意文件，一个新的恶意程序家族Squirrelwaffle，垃圾邮件传播，黑客同时使用了ProxyLogon与ProxyShell攻击程序，渗透企业的Exchange Server，再滥用其回复邮件的功能让受害者上钩。ProxyLogon是由4个Exchange Server上的漏洞组成，包括CVE-2021-26855、CVE-2021-26857、CVE-2021-26858与CVE-2021-27065，这4个漏洞皆属于内部部署的Exchange Server漏洞，由于已发生攻击事件，使得微软于初展开紧急修补。至于ProxyShell则是由CVE-2021-34473、CVE-2021-34523以及CVE-2021-31207等3个漏洞所构成，也是在今年4月便修补。

Solars是一家国际IT管理软件供应商，其Orion软件更新服务器上存在一个被感染的更新程序，这导致美国多家企业及政府单位网络受到感染，根据软件装机量来看，目前该事件对国内影响较小。

　　此次供应链攻击事件引发的关联事件是2021年12月8日FireEye发布被黑客攻击公告，可能泄露了一系列用于评估的网络安全测试工具。12月13日，FireEye发布公告，证实入侵事件是因为Solars公司软件更新包中存在后门。与该后门相关的事件被FireEye称为UNC2452，目前并未指出其与已知APT组织的关联

Solars.Orion.Core.BusinessLayer.dll是Orion软件框架的Solars数字签名组件，其中包含一个后门，该后门通过HTTP与第三方服务器进行通信。该文件从Solars提供的更新包中提取得到。该后门通过一系列时间校验来判断是否开始执行，并且通过校验hash值来保证自身执行环境是真实的目标环境。

攻击者精心构造了整个后门，功能非常完善，且触发条件十分苛刻，有效的避免了被沙箱等自动化分析工具检出。

　　IOC

　　所有的IOC及特征均由FireEye披露在Github上：

　　https://github.com/fireeye/sunburst_countermeasures

Accellion FTA是美国Accellion公司开发的一个文件传输程序，能够帮助企业使用一个本地或托管的私有云传输大的敏感的文件。

2021年2月，美国、加拿大、荷兰及其他国家和地区的多个组织早遭到严重的数据泄露，原因在于使用的FTA（File Transfer Appliance）文件传输服务存在漏洞。其中，美国零售巨头克罗格是最大的受害者之一，旗下药房及诊所的员工及服务客户数据被曝光。另外，能源巨头壳牌公司、众达律师事务所、新加坡电信、华盛顿州和新西兰储备银行等均在受害者之列。

据了解，此次攻击与一个存在漏洞的FAT文件传输设备技术中的零日漏洞有关，大约300家企业一直使用该版本在企业内外部传输大型文件。有安全厂商认为，此次攻击与Cl0p勒索软件家族和FIN11APT组织有关，使用了Accellion技术中的四个零日漏洞。

    在一系列攻击之后，Accelion修补了已知由威胁参与者利用的四个FTA漏洞，此外还合并了新的监视和警报功能以标记任何可疑行为。缺陷如下-

• CVE-2021-27101-通过精心制作的Host标头进行SQL注入

• CVE-2021-27102-通过本地Web服务调用执行OS命令

• CVE-2021-27103-通过精心制作的POST请求进行SSRF

• CVE-2021-27104-通过精心制作的POST请求执行OS命令

美国佛罗里达州水处理系统遭黑客攻击，被调整了自来水成分。

有黑客成功渗透了控制佛罗里达州奥尔德斯马市水处理设施的计算机系统。通过篡改可远程控制的计算机数据，攻击者改变了当地供水中的化学品含量，上调了氢氧化钠碱液的水平。幸好被及时发现，目前暂无居民受到伤害的报告。当地水处理设施使用了常见的 TeamViewer 远程访问软件，有人再次远程访问了系统，将系统的氢氧化钠水平从 100 ppm 暴增到了 11100 ppm，操作员发现后及时改了回去。当地警方已经投入了调查。

这是非常严重的对公共安全的威胁，各种公共安全事业部门要注意了，有些黑客攻击不是为了牟利，但是会对社会造成很大破坏。

2021年5月8日，美国最大燃油管道公司 Colonial Pipeline 宣称遭到勒索软件攻击，导致暂停所有运输管道运行，同时部分 IT 系统受到影响，目前该公司已恢复较小的管道投入运营。美国交通部于9日发布地区紧急声明，放宽了部分地区运输燃油规定时间，弥补此次勒索事件带来的影响。参与调查的安全公司声称，此次勒索事件中使用一款为 DarkSide 勒索软件，并认为此次攻击与地域政治无关。该事件也引起国内的广泛关注，一说“美国进入紧急状态”

同样情况：中国台湾电脑巨头技嘉遭勒索软件攻击，上百GB数据失窃

     中国台湾计算机硬件供应商技嘉遭遇RansomExx勒索软件攻击，黑客一方表示除非受害者接受他们提出的赎金要求，否则会将超过112GB签署保密协议的商业数据发布在暗网之上，涉及英特尔、AMD等合作伙伴。作为一家以高性能主板而闻名的硬件厂商，技嘉公司位于台湾的系统被迫关闭，多个网站受到影响。一位发言人表示，此次攻击并未影响技嘉的生产系统。只有台湾总部的几台内部服务器遭到入侵，而且目前已经被关闭和隔离。

PrintNightmare 的零日漏洞，允许黑客在补丁完善的 Windows Print Spooler 设备上获得完整的远程代码执行能力，该公司还发布了概念证明代码。

已经打过补丁的 Windows Server 2019设备，PrintNightmare 漏洞依然有效，并允许攻击者远程执行代码。

根据概念证明代码显示，黑客只需要一些（甚至是低权限）的网络凭证就可以利用该漏洞进行远程执行，而且这些凭证在暗网上只需要 3 美元就能买到。这意味着企业网络又极易受到（尤其是勒索软件）的攻击，安全研究人员建议企业禁用其 Windows Print Spoolers。

2021 年 7 月 4 日美国东部时间上午 10:00 Kaseya再次发出警告，Kaseya 被攻击。他们认为响应及时，仅极少数本地客户被攻击。Kaseya 的 VSA 产品成为复杂网络攻击的受害者 ，该公司继续强烈建议本地客户的 VSA 服务器保持离线状态，直至另行通知。我们还将保持 SaaS 服务器离线，直至另行通知。客户不要点击任何链接，以防被攻击。

REvil勒索软件团伙介绍：GandCrab 是曾经最大的 RaaS（勒索软件即服务）运营商之一，在赚得盆满钵满后于 2019 年 6月宣布停止更新。随后，另一个勒索运营商买下了GandCrab 的代码，即最早被人们称作Sodinokibi 勒索病毒。由于在早期的解密器中使用了“REvilDecryptor”作为程序名称，这个勒索运营商就是REvil勒索软件团伙。其专注于财务的威胁行为者，被认为是当今最先进的勒索软件的服务运营商.

REvil 要求受害者支付7000万美元来解密在 Kaseya攻击中被加密的系统

REvil在暗网博客中发布的消息：周五我们对MSP提供商进行了一轮攻击，超过百万个系统被勒索病毒感染，如何你们想解密，支付7千万美元的比特币后我们会公布解密文件的密钥，你们可以在1小时内回复所有文件。如果你对交易感兴趣，请按照“自述”文件说明与我们联系。

文章来源：微信群友；图片来源网络；如有侵权，请联系作者删除！