2020年8月第4周威胁情报概览

发表于: 2020-8-28 18:19 2376

2020年8月第4周威胁情报概览

腾讯电脑管家

2020-8-28 18:19

2376

APT情报

1.Gorgon以口罩订单发送钓鱼文档用于窃取用户敏感信息

发布时间：2020年8月24日

情报来源：

https://mp.weixin.qq.com/s/DD-s2pOWLzt5g1VEtXOYXg

情报摘要：

国内安全研究者通过漏洞执行恶意代码和恶意脚本的恶意文档。分析后推测为Gorgon APT组织以商业买卖为主题对外贸公司进行钓鱼攻击，最终窃取受害人的敏感信息。

攻击载荷是伪装为口罩订单的RTF文档，作为商业买卖主题发送钓鱼邮件的附件到达。RTF文档打开后会触发CVE-2017-11882漏洞，通过恶意代码执行恶意脚本，脚本中的代码会下载第二阶段载荷，最终将Agent Tesla注入到合法的进程“RegAsm.exe”中。

APT组织Gorgon是一个被认为来自巴基斯坦的攻击组织，在2018年8月份由Palo Alto Unit42团队进行披露，主要针对全球外贸人士进行攻击，目标还涉及全球政府，外贸等行业。

2.游走在黑暗森林里的“狩猎者”与“黑店”组织的十年斗法

发布时间：2020年8月26日

情报来源：

http://www.360.cn/n/11797.html

情报摘要：

国内安全研究者发现Darkhotel组织近年攻击行动越发频繁和“肆无忌惮”，其中已知的行为就包括W行动、Darkhotel、Erebus、Daybreak、Thinmon等。该组织使用的恶意代码极为复杂，漏洞武器库也极其充实，囊括双杀0day、双星0day等在内。

今年3月的这次攻击中，研究人员发现DarkHotel使用了一个从未被披露过的全新后门框架，并根据该攻击组件的文件名将其命名为“Thinmon”后门框架。该框架掩盖着另一个秘密——自2017年起，Darkhotel利用这一框架，对我国实施了长达三年的持续性攻击。

3.APT组织针对房地产商的攻击

发布时间：2020年8月26日

情报链接：

https://www.bitdefender.com/files/News/CaseStudies/study/365/Bitdefender-PR-Whitepaper-APTHackers-creat4740-en-EN-GenericUse.pdf

情报摘要：

安全研究人员发现了又一个拥有APT式攻击能力的雇佣黑客组织，该组织针对至少一个房地产行业的高价值受害者，更多证据表明APT黑客攻击已用于工业间谍活动。

这是一个相对复杂的信息窃取活动，该活动针对的是一家富有的建筑和视频制作公司，在纽约，伦敦，澳大利亚和阿曼从事着数十亿美元的豪华房地产项目。为了实现其工业间谍活动目标，该组织利用了位于韩国的C＆C基础设施和0day漏洞，旨在利用受害组织使用易受攻击的Autodesk 3ds Max软件进行3D建模。

该小组的窃取功能包括：屏幕捕获和用户名，计算机名称，网络适配器的IP地址，Windows产品名称，NET Framework版本，有关处理器的信息，总和可用RAM的信息，存储详细信息，文件列表Windows启动时自动启动，处理列表和最新文件。

4.揭开APT组织DeathStalker的面纱

发布时间：2020年8月24日

情报链接：

https://securelist.com/deathstalker-mercenary-triumvirate/98177/

情报摘要：

DeathStalker是一个独特的APT组织，似乎针对金融行业的律师事务所和公司。该组织不部署勒索软件，不窃取付款信息以转售它，或从事通常与网络犯罪黑社会相关的任何类型的活动。DeathStalker是一群雇佣兵，提供黑客出租服务，或在金融界充当某种信息经纪人的角色。

威胁事件情报

1. 详解FritzFrog的发现和攻击过程

发布时间：2020年8月23日

情报来源：

https://mp.weixin.qq.com/s/jXykGbSQwXAjSKdxmYdTJg

情报摘要：

Guardicore实验室8月19日新发布了一则消息，称他们发现了一个新出现的僵尸网络——FRITZFROG，且已经秘密地将全球数百万台SSH服务器作为攻击目标。确切地说，这是一个先进的点对点的（P2P）僵尸网络，自2020年1月以来一直在攻击SSH服务器。

FritzFrog是用Golang编写的恶意软件，技术含量很高，似乎是高度专业的软件开发人员开发的。具有模块化，多线程且无文件的，在受感染设备的磁盘上不会显示任何攻击痕迹。

攻击目标：积极瞄准政府、教育、金融等领域：FritzFrog试图强行将其传播到政府办公室、教育机构、医疗中心、银行和众多电信公司的数千万IP地址。其中，它成功突破了500多台服务器、感染了美国和欧洲的知名大学以及一家铁路公司。

2.警惕Gafgyt僵尸网络对国内Linux服务器及IoT设备的攻击

发布时间：2020年8月25日

情报链接：

https://mp.weixin.qq.com/s/fUOracfMmKfj5RT2llMVpg

情报摘要：

腾讯安全威胁情报中心检测到有境外IP针对国内Linux服务器的远程命令注入攻击。黑客通过批量扫描80、5555、60001端口来发现易受攻击的Linux服务器、android设备以及监控摄像头设备并利用ZeroShell远程代码执行漏洞（CVE-2019-12725）、bash shell漏洞、JAWS Webserver未授权shell命令执行漏洞进行攻击，攻击成功后下载Gafgyt家族僵尸网络木马。

Gafgyt是一种流行的僵尸网络程序，被认为是Mirai的前身，其源代码在2015年初被部分泄露。Gafgyt主要通过telent弱口令以及命令注入漏洞等方式进行攻击传播，通过感染基于Linux的IoT设备（包括基于Linux系统的路由器、智能摄像头等设备）来发起DDoS攻击，攻击类型以UDP、TCP和HTTP攻击为主。

3.攻击者可以利用Google Drive的漏洞分发恶意软件

发布时间：2020年8月23日

情报来源：

https://securityaffairs.co/wordpress/107437/hacking/google-drive-weakness.html

情报摘要：

攻击者可能利用Google云端硬盘中未修补的漏洞来分发伪装成合法文档或图像的武器化文件。问题出在Google云端硬盘中实现的“ 管理版本 ”功能中，该功能允许用户上载和管理文件的不同版本，并在允许用户向用户提供文件新版本的界面中。该功能允许用户上传带有Google云端硬盘中存储的任何文件扩展名的新版本，从而允许上传恶意可执行文件。

4.DarkSide勒索软件团伙已获利数百万美元

发布时间：2020年8月21日

情报来源：
https://www.bleepingcomputer.com/news/security/darkside-new-targeted-ransomware-demands-million-dollar-ransoms/

情报摘要：

一个名为DarkSide的新勒索软件操作开始通过自定义攻击攻击组织，这些攻击已为其赢得了数百万美元的收益。从2020年8月10日左右开始，新的勒索软件操作开始对众多公司进行有针对性的攻击。在威胁行动者发布的“新闻稿”中，他们声称是曾经与其他勒索软件业务合作赚了数百万美元的前会员。受害者中，DarkSide的赎金要求从200,000美元到2,000,000美元不等。

像其他勒索病毒攻击一样，当DarkSide操作员破坏网络时，它们将在网络中横向传播，当它们横向传播时，攻击者将从受害者的服务器中收集未加密的数据，并将其上传到他们自己的设备中。然后，这些被窃取的数据将在其控制下发布到数据泄漏站点，并用作勒索企图的一部分。