安全周报（12.06-12.12）

1、北京冬奥会测试赛期间处理网络安全事件300余个

近日，ESET发布报告称，在针对物理隔离网络的17个间谍恶意软件框架的分析之后发现，这些软件全都利用了USB驱动器，并且都专门针对 Windows。其中13个恶意软件都是在长达15年的时间内逐个出现的，而另外4个则在去年一年最新涌现，这表明攻击者对物理隔离系统越来越感兴趣。

物理隔离网络被用来保护高度敏感的数据，这使得它们成为拥有充分资源的高级攻击者（例如国家黑客）垂涎的猎物。

报告还指出，大多数物理隔离系统攻击框架在公开披露后不久就变得不活跃，可能是因为它们的运营商停止使用它们。但也有可能是因为物理隔离系统上的反恶意软件解决方案没有更新并且无法再检测到它们。

据The Hacker News网站报道，一种名为CryptBot的恶意程序正伪装成时下热门的Windows系统第三方激活工具——KMSPico。

CryptBot是一种信息窃取程序，能够获取浏览器cookie、加密货币钱包、信用卡凭证，并从受感染的系统中捕获屏幕截图。研究人员分析发现，该恶意程序由CypherIT 打包程序进行包装，可混淆安装程序以防止其被安全软件检测到。然后，此安装程序会启动一个同样经过严重混淆的脚本，该脚本能够检测沙箱和 AV仿真，因此在研究人员的设备上运行时不会执行。

研究人员建议，不要为了省钱使用非法激活工具，稍有不慎往往得不偿失。

据SecurityAffairs消息，Moobot 僵尸网络正在利用海康威视产品的漏洞进行快速传播。

资料显示，Moobot是一款基于Mirai的僵尸网络，2021年2月，Palo Alto Unit 42 安全研究人员首次发现并记录了Moobot僵尸网络，而最近频繁出现的网络攻击表明，黑客组织正在增强他们的恶意软件。

这是海康威视网络摄像机/NVR固件中，一个未经身份验证的远程代码执行（RCE）漏洞，编号为CVE-2021-36260。这个关键问题影响了海康威视旗下70多个款摄像头，由于对输入参数校验不充分，未经身份验证的攻击者通过构造带有恶意命令的报文发送到影响设备，可实现远程命令执行。

该漏洞有一位安全研究人员发现，花名“Watchful IP”。在攻破IP摄像机后，攻击者还可以通过受感染的设备访问内部网络，从而对使用这些设备的基础设施构成风险。需要注意的是，利用该漏洞不需要用户交互，攻击者只需要访问http(s)服务器端口（通常为80/443）即可。

海康威视表示，只有当攻击者访问的设备与Internet有直接接口时，才可以触发该漏洞。2021年9月，海康威视已经通过固件更新 (v 210628)修复了该漏洞 ，但并非所有用户都急于应用安全更新。