CentOS 8本月底停止维护、恶意软件出现新变种｜12月14日全球网络安全热点

安全资讯报告

CentOS Linux 8即将消亡

CentOS 8 Linux的终结已经有一段时间了，这一天终于来了。2021年12月31日，Red Hat的CentOS Linux 8将终止生命周期(EOL)。

多年来，有经验的Linux用户使用CentOS作为他们的Linux服务器。绝大多数网络和服务器托管公司都提供CentOS作为他们的默认操作系统。

依赖CentOS Linux的顶级公司包括Disney、GoDaddy、RackSpace、Toyota和Verizon。其他重要的技术公司围绕CentOS构建产品。其中包括GE、Riverbed、F5、瞻博网络和Fortinet。

不能只切换到CentOS Stream。Red Hat首席技术官Chris Wright直接出来说：“CentOS Stream不是CentOS Linux的替代品。”他是对的。RedHat将CentOS Stream视为DevOps友好、持续集成和持续交付(CI/CD)Linux。这对开发人员来说非常有用——对于想要稳定的RHEL兼容的Linux服务器或虚拟机(VM)的公司来说不是那么好。

新闻来源：

https://www.zdnet.com/article/centos-linux-8-is-about-to-die-what-do-you-do-next/

罗马尼亚执法部门查处一家勒索软件附属公司

该公司涉嫌从全球多家知名公司的网络中窃取敏感信息，其中包括一家大型罗马尼亚IT公司，其客户来自零售、能源和公用事业部门。

这名41岁的罗马尼亚国民周一早上在罗马尼亚克拉约瓦的家中被DIICOT（罗马尼亚有组织犯罪和恐怖主义调查局）和司法警察逮捕，罪名是涉嫌未经授权访问计算机系统，未经授权传输计算机数据、非法拦截计算机传输和勒索。

欧洲刑警组织补充说：“嫌疑人随后会要求以加密货币支付巨额赎金，并威胁说如果他的要求得不到满足，就会在网络犯罪论坛上泄露被盗数据。”

据罗马尼亚国家警察称，被捕的勒索软件附属公司从其目标系统中窃取了广泛的敏感信息，包括公司的财务信息、员工的个人信息和客户的详细信息。

新闻来源：

https://www.bleepingcomputer.com/news/security/police-arrests-ransomware-affiliate-behind-high-profile-attacks/

Kronos勒索软件攻击可能导致HR解决方案停机数周

劳动力管理解决方案提供商Kronos遭受了勒索软件攻击，这可能会破坏他们许多基于云的解决方案数周。

Kronos是一家劳动力管理和人力资源提供商，提供基于云的解决方案来管理计时、工资、员工福利、分析等。2020年，Kronos与Ultimate Software合并，创建了一家名为UKG的新公司。

Kronos的软件被许多公司使用，包括汽车制造商、教育机构和地方政府。使用Kronos的一些客户包括特斯拉、天普大学、社区银行和旧金山市政交通管理局，

一位受影响的客户告诉BleepingComputer，他们现在必须暂时重新使用电子表格和纸笔工作。

新闻来源：

https://www.bleepingcomputer.com/news/security/kronos-ransomware-attack-may-cause-weeks-of-hr-solutions-downtime/

网络钓鱼活动中发现Agent Tesla恶意软件的新变种

在最近的一次活动中，Fortinet的研究人员解释说，威胁行为者正在使用据称包含“订单”详细信息的电子邮件瞄准韩国用户。附件是PowerPoint文件，攻击者试图说服收件人在Microsoft Office上“启用内容”以查看“文档”。

如果打开，该文件不会显示任何幻灯片，而是启动一个自动运行的VBA函数，该函数调用在远程站点执行远程HTML资源。在执行转义的VBScript代码后，攻击者可以使用一系列脚本（包括PowerShell）来秘密安装Tesla木马。

AgentTesla具有键盘记录器、浏览器cookie和已保存凭据窃取器、剪贴板数据嗅探器、屏幕截图功能。Agent Tesla总共可以从70多个应用程序中获取数据。

新闻来源：

https://www.bleepingcomputer.com/news/security/phishing-campaign-uses-powerpoint-macros-to-drop-agent-tesla/

TinyNuke信息窃取恶意软件再次攻击法国用户

信息窃取恶意软件TinyNuke重新出现在一项针对法国用户的新活动中，该活动通过电子邮件中以发票为主题的诱饵发送到公司地址和从事制造、技术、建筑和商业服务的个人。此活动的目标是窃取凭据和其他私人信息，并将其他恶意程序安装到受感染的系统上。

TinyNuke恶意软件活动于2017年首次出现，在2018年达到顶峰，然后在2019年大幅下降，并在2020年几乎消失。攻击者破坏合法的法国网站来托管恶意木马URL，而可执行文件则被伪装成无害软件。

在当前的活动中，电子邮件包含下载ZIP文件的URL。这些ZIP文件包含一个JavaScript文件，该文件将执行PowerShell命令以下载和执行TinyNuke恶意软件。TinyNuke加载器可以通过Firefox、InternetExplorer和Chrome的表单抓取和网络注入功能窃取凭据，还可以安装额外的有效负载。

新闻来源：

https://www.bleepingcomputer.com/news/security/tinynuke-info-stealing-malware-is-again-attacking-french-users/

安全漏洞威胁

Log4j缺陷：攻击者正在尝试利用此严重漏洞进行数以千计的尝试

安全研究人员警告说，网络攻击者每分钟都在尝试利用Java日志库Apache Log4j中的一个关键安全漏洞进行一百多次尝试。Log4j用于多种形式的企业和开源软件，包括云平台、Web应用程序和电子邮件服务，这意味着存在大量软件可能会因尝试利用该漏洞而面临风险。

攻击者已经在尝试扫描Internet以查找易受攻击的Log4j实例，Check Point的网络安全研究人员警告说，每分钟有超过100次尝试利用该漏洞。

与此同时，Sophos的网络安全研究人员警告说，自公开披露以来，他们已经检测到数十万次使用Log4j漏洞远程执行代码的尝试，以及搜索漏洞的扫描。

已经有攻击者试图利用Log4j漏洞安装加密货币挖掘恶意软件的活跃示例，同时也有报道称，包括Mirai、Tsunami和Kinsing在内的几个僵尸网络正在尝试利用它。

微软的研究人员还警告说，试图利用Log4j漏洞的攻击，包括一系列加密恶意软件，以及在易受攻击的系统上安装Cobalt Strike的积极尝试，这可能允许攻击者窃取用户名和密码。

新闻来源：

https://www.zdnet.com/article/log4j-flaw-attackers-are-making-thousands-of-attempts-to-exploit-this-severe-vulnerability/