本周值得关注的安全威胁事件：

发布时间：2021年5月26日
事件来源：
https://thehackernews.com/2021/05/data-wiper-malware-disguised-as.html

事件摘要：
研究人员周二披露了一项新的间谍活动，该活动至少从2020年12月开始就针对以色列实体进行破坏性的数据擦除攻击，这些攻击伪装为勒索软件的恶意活动。网络安全公司SentinelOne将这次袭击归因于在“ Agrius”，与伊朗有联系的一个APT组织。

研究人员指出，攻击者粗看是勒索软件攻击，被部署在针对以色列目标的一系列破坏性攻击中。其作案手法是部署一种名为Apostle的自定义.NET恶意软件，该恶意软件已演变为功能齐全的勒索软件。

发布时间：2021年5月24日
事件来源：
https://www.zdnet.com/article/this-ransomware-spreading-malware-botnet-just-wont-go-away/

事件摘要：
Phorpiex恶意软件僵尸网络已潜伏在互联网上多年，并用于提供勒索软件，垃圾邮件等，Microsoft的安全团队正在对其进行更深入的研究。

微软说，Phorpiex僵尸网络以使用老式蠕虫病毒而闻名，这些蠕虫病毒通过可移动USB驱动器和即时消息应用程序传播，近年来开始使其基础架构多样化，以变得更具弹性并提供更危险的有效载荷。它说，该僵尸网络对僵尸程序分发和安装的地理定位也有所扩大：最近的活动表明，已经转向了更加全球化的分发。

安全公司Check Point在2020年11月指出，Porpiex一直在分发Avaddon勒索软件，这是一种当时出租给其他网络犯罪组织以感染目标的新勒索软件服务。微软对此感兴趣的原因之一是Phorpiex bot禁用了Microsoft Defender防病毒软件，以维持目标计算机上的持久性。由Phorpiex发行的Avaddon勒索软件“在运行前先对俄罗斯或乌克兰进行语言和区域检查，以确保仅将偏爱的地区作为目标。”

发布时间：2021年5月24日
事件来源：
https://www.bleepingcomputer.com/news/security/audio-maker-bose-discloses-data-breach-after-ransomware-attack/

事件摘要：
美国音响业巨头Bose公司公布其在3月初遭遇了一次勒索软件攻击，泄露了部分员工数据。在一封Bose提交给新罕布什尔州司法部长办公室的违规通知信中，Bose称其“经历了一次复杂的网络事件，导致恶意软件和勒索软件趁虚而入”。该公司补充说：“2021年3月7日，Bose首次在其美国系统上检测到恶意软件和勒索软件。”

Bose媒体关系总监Joanne Berthiaume告诉BleepingComputer：“我们没有支付任何赎金。” “在第三方网络安全专家的支持下，我们迅速恢复并保护了我们的系统。”调查发现，攻击开始于2021年4月29日，入侵者可能访问到少数人力资源部门的管理信息，暴露的员工个人信息包括姓名、社会安全号码、薪酬信息和其他人力资源相关信息。

发布时间：2021年5月20日
事件来源：
https://cybleinc.com/2021/05/20/sensitive-details-of-over-200-million-indonesian-residents-allegedly-leaked/

事件摘要：
2021年5月12日，一个名为“ kotz”的黑客在网络犯罪论坛上发布，声称拥有印度尼西亚2亿多居民的数据。泄漏的数据包括居民的个人身份信息（PII），但未泄漏任何密码。

研究人员发现泄漏的数据包含有关用户的信息，例如名字，姓氏，出生日期，手机号码，电子邮件ID，身份证号码以及某些个人的年薪。情报来源表明，它影响了在印尼工作至少六个月的2亿印尼公民和外国人。据称，肇事者获得了其中一个法律机构网络的访问权。在此阶段，这尚未得到证实。

发布时间：2021年5月28日

事件来源：
https://s.tencent.com/research/report/1316.html

事件摘要：
腾讯安全威胁情报中心检测到Phorpiex僵尸网络新变种近期活动频繁，通过网络流量探针数据发现，Phorpiex僵尸网络新变种在今年三月以来有明显上升。

该僵尸网络危害全球，是存在多年臭名昭著、恶贯满盈的网络犯罪团伙之一。该团伙的作恶记录包括：分发过GandCrab在内的多种勒索病毒；下载挖矿木马利用肉鸡电脑算力挖矿；分发剪贴板大盗木马用于盗窃数字加密货币；群发垃圾邮件实施勒索诈骗等等。该僵尸网络的变种活跃，意味着各种无法预料的网络攻击可能随后便来，腾讯安全专家建议企业用户宜尽早防范。

发布时间：2021年5月28日

事件来源：
https://mp.weixin.qq.com/s/3UUbbZewFwoNHRNqwV3YOQ

事件摘要：
国内安全研究团队发现一起入侵工业控制系统并最终投放勒索软件的攻击事件，此次事件影响了欧洲一些国家的工业企业，其工业控制环境的服务器被加密，导致工控业务系统临时关闭。

经过分析，该起攻击事件归属于一个新的勒索软件家族Cring（也被称为Crypt3r，Vjiszy1lo，Ghost，Phantom等）。该勒索软件最早出现于2020年末，使用AES256+RSA8192算法加密受害者的数据，要求支付2个比特币作为赎金才能恢复数据。攻击者利用CVE-2018-13379漏洞进行攻击，一旦获取系统中的访问权限后，会下载Mimikatz和Cobalt Strike进行横向移动和远程控制，最终下载Cring勒索软件并执行。

发布时间：2021年5月26日
事件来源：
https://s.tencent.com/research/bsafe/1314.html

事件摘要：
2021年5月25日，VMware 官方发布安全公告，披露了 VMware vCenter Server远程代码执行漏洞（CVE-2021-21985）、VMware vCenter Server 插件权限绕过漏洞（CVE-2021-21986 ）。

攻击者可构造恶意请求，通过vCenter中的默认开启的Virtual SAN Health Check插件造成远程代码执行漏洞。腾讯安全专家提醒 VMware 用户尽快采取安全措施阻止漏洞攻击。

发布时间：2021年5月26日
事件来源：
https://s.tencent.com/research/bsafe/1315.html

事件摘要：
5月26日，Nginx发布安全公告，修复了nginx解析器中的一个DNS解析程序漏洞（CVE-2021-23017），由于ngx_resolver_copy()处理DNS响应时存在错误 ，当nginx配置文件中使用了“ resolver”指令时，未经身份验证的攻击者能够伪造来自DNS服务器的UDP数据包，构造特制的DNS响应导致1字节内存覆盖，从而造成拒绝服务或任意代码执行。

目前漏洞细节已被披露，腾讯安全专家建议受影响的用户尽快升级，避免导致黑客攻击利用。

Nginx是异步框架的网页服务器，也可以用作反向代理、负载平衡器和HTTP缓存。

发布时间：2021年5月27日

事件来源：
https://www.theregister.com/2021/05/27/apple_m1_chip_bug/

事件摘要：
苹果基于Arm的M1芯片包含一个设计缺陷，可以被利用来允许不同进程之间悄悄通信，这违反了操作系统的安全原则。该漏洞被称为M1RACLES，它并不构成重大的安全风险，因为信息已经可能通过各种其他侧通道泄漏。不过，它确实为已经在受影响硬件上运行的恶意软件增加了另一种进行隐蔽通信的方式。产生该漏洞的原因是，编码为s3_5_c15_c10_1的Arm系统寄存器包含两个位，可以同时从所有内核在EL0（异常级别0，应用程序级别特权）下进行读取和写入。