APT情报
1.Oilrig组织中东地区最新攻击活动的关联分析
发布时间:2020年9月1日
情报来源:
https://mp.weixin.qq.com/s/Gqa5mLLcSUCN18FfNdrgHg
情报摘要:
Oilrig组织,也被称为APT34,最早于2017年1月以GreenBug命名被首次公开披露, Oilrig以电信、石油和航空业为攻击目标,主要针对美国、欧洲和中东地区。该组织使用自定义的RDAT后门,RDAT自2017年一直被长时间维护,该工具的主要特点是http和dns隧道的通信,多种变体也都依赖于http和dns隧道进行网络通信。
近日,国内安全研究人员观测到该组织的最新活跃情况。发现其中一类样本是Cobalt Strike生成的loader加载器与beacon后门,此次发现的反射后门beacon.dll通信过程中连接的C&C,与该组织历史攻击活动Powershell中的C&C对比,可以确认该样本归属于APT34组织。
2.疑似摩诃草组织利用边境争端问题为诱饵针对周边地区的攻击活动分析
发布时间:2020年9月1日
情报来源:
https://mp.weixin.qq.com/s/iFM0ZZDrqqWFki3hB5h5_w
情报摘要:
“摩诃草”APT团伙(APT-C-09),又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork,是一个来自于南亚地区的境外APT组织,该团伙已持续活跃了超过8年时间。国内安全团队捕获该团伙近期最新活跃情况,其特点为:
利用与邻国边境争端问题的等热点问题为诱饵,利用CVE-2017-0261漏洞释放执行恶意Payload;最终执行的木马仍为摩诃草常用的FakeJLI后门和Bozok RAT,同时与之前的攻击活动一样,都带有AccelerateTechnologies Ltd公司的数字签名证书;升级提权武器库,增加了CVE-2019-0808提权模块;疑似该组织开发人员开始测试.NET 版本后门。
威胁事件情报
1.一份让盈利秒变泡影的订单,正强势操盘数千网购商家财产
发布时间:
情报来源:
http://www.360.cn/n/11800.html
情报摘要:
一款针对某电商平台卖家的新型网银木马作案,此类木马伪装成发送给商家的“订单”文件进行钓鱼传播,一旦用户不慎打开,就可能面临资金被盗风险。作案黑客会借助一个隐藏的第三方浏览器窗口,和某支付系统的快捷登录功能实现对商家账户资金的操控。至少从去年12月份起,该木马就已经开始活跃,至今已有数千个网购商家遭受攻击,广东等沿海地区受灾尤为显著。
2.探索Qbot的最新攻击方法
发布时间:2020年8月27日
情报来源:
https://research.checkpoint.com/2020/exploring-qbots-latest-attack-methods/
情报摘要:
银行木马Qbot已经运营了十多年。该恶意软件也被称为Qakbot和Pinkslipbot,于2008年被发现,以收集浏览数据以及从受害者那里窃取银行凭证和其他财务信息而闻名。7月底,Emotet木马发起多次恶意垃圾邮件运动,影响了全球5%的组织。其中一些活动包括在受害者的PC上安装Qbot的更新版本。
Qbot的一项新技巧:一旦计算机被感染,就会激活一个特殊的“电子邮件收集器模块”,该模块从受害人的Outlook客户端中提取所有电子邮件线程,并将其上传到硬编码的远程服务器上。然后,这些被盗的电子邮件将用于以后的垃圾邮件运动,使用户更容易被诱骗点击受感染的附件,因为垃圾邮件似乎会继续进行现有的合法电子邮件对话。
3.QNAP NAS在野漏洞攻击事件
发布时间:2020年8月31日
情报来源:
https://blog.netlab.360.com/in-the-wild-qnap-nas-attacks/
情报摘要:
国内安全研究人员监测到有攻击者使用QNAP NAS设备漏洞,攻击Anglerfish蜜罐节点。观察这个漏洞PoC并没有在互联网上公布,攻击者在漏洞利用过程中相对谨慎,互联网上也仍有一些未修复漏洞的QNAP NAS设备。
分析发现这个漏洞出现CGI程序/httpd/cgi-bin/authLogout.cgi中。它在处理用户注销登录时,会根据Cookie中字段名称选择相应的注销登录函数。其中QPS_SID,QMS_SID和QMMS_SID注销登录函数未过滤特殊字符即使用snprintf函数拼接curl命令字符串并使用system函数直接执行,所以造成命令注入。
4.跨平台挖矿木马MrbMiner已控制上千台服务器
发布时间:2020年9月1日
情报来源:
https://mp.weixin.qq.com/s/oq3z6rUcPfmMi0-KHQ3wwQ
情报摘要:
腾讯安全威胁情报中心检测到新型挖矿木马家族MrbMiner,黑客通过SQL Server服务器弱口令爆破入侵,爆破成功后在目标系统释放C#语言编写的木马assm.exe,进一步通过该木马与C2服务器通信,然后下载门罗币挖矿木马并维持挖矿进程。MrbMiner挖矿木马会监测任务管理器进程,当用户启动“任务管理器”进程查看系统时,挖矿进程会立刻退出,并删除相关文件。
腾讯安全专家在MrbMiner挖矿木马的FTP服务器上还发现了基于Linux系统和ARM系统的挖矿木马文件,推测MrbMiner已具备跨平台攻击能力。根据目前掌握的威胁情报数据,MrbMiner挖矿木马已控制上千台服务器组网挖矿。
5.装机工具老毛桃携带木马病毒 卸载安全软件进行恶意推广
发布时间:2020年9月1日
情报来源:
https://mp.weixin.qq.com/s/roYUJphG04XVxu9QawvQjg
情报摘要:
国内安全研究人员发现,使用老毛桃制作的PE系统中被植入了病毒,当用户使用该PE系统时,即会执行病毒模块,删除多款主流安全软件,篡改用户浏览器,锁定主页,并通过PE环境创建开机启动项,在用户正常开机时,推装其他软件。
6.新型信用卡窃密工具出现,黑客利用Telegram提取数据
发布时间:2020年9月3日
情报来源:
https://www.freebuf.com/news/248610.html
情报摘要:
黑客组织Magecart利用短信应用程序Telegram来进行信用卡窃密。其采用的策略即,黑客入侵网站,随后在网站传输支付信息时,也会将该信息发送给黑客组织。
黑客组织将信用卡窃密工具代码隐藏在图像元数据中,并开展IDN同形异义词攻击,在网站收藏夹文件中植入网站窃密工具。此次通过Telegram窃密方法的新颖之处在于,数据本身(如姓名、地址、行用卡号、有效期和CVV)直接过滤发送到私有的Telegram频道,而这个频道嵌入了窃密工具的恶意代码。
漏洞情报
1.CVE-2020-13946 |Apache Cassandra RMI重新绑定漏洞风险通告
发布时间:2020年9月2日
情报来源:
https://s.tencent.com/research/bsafe/1106.html
情报摘要:
在Apache Cassandra中,本地攻击者可进行中间人攻击,并捕获用于访问JMX界面的用户名和密码。然后,攻击者可以使用这些凭据来访问JMX界面并执行未经授权的操作。
2.Jenkins多个插件漏洞风险通告
发布时间:2020年9月2日
情报来源:
https://s.tencent.com/research/bsafe/1107.html
情报摘要:
Jenkins官方团队于2020年9月1日发布安全公告,通报了多款Jenkins 插件存在的安全漏洞。漏洞可能导致跨站脚本(XSS)攻击、跨站点请求伪造(CSRF)攻击,或密码泄露。
3.思科警告称运营商级路由器中的漏洞已被积极利用
发布时间:2020年9月1日
情报来源:
https://www.bleepingcomputer.com/news/security/cisco-warns-of-actively-exploited-bugs-in-carrier-grade-routers/
情报摘要:
思科在周末警告说,攻击者正试图利用在运营商级路由器上运行的该公司的Cisco IOS XR软件中的两个内存耗尽拒绝服务(DoS)漏洞。
思科的 IOS XR网络操作系统已部署在多个路由器平台上,包括NCS 540和560,NCS 5500、8000和ASR 9000系列路由器。思科尚未发布软件更新来解决这些被积极利用的零日漏洞(跟踪为CVE-2020-3566 和CVE-2020-3569) ,但该公司在周末发布的安全公告中提供了缓解措施。
受影响的所有Cisco IOS XR路由器(如果启用了多播路由),管理员可以实施速率限制,以降低IGMP流量并增加成功利用这两个缺陷所需的时间,即可以用于恢复的时间。客户还可以“实现对现有接口访问控制列表(ACL)的访问控制条目(ACE)”或新的ACL,以拒绝到启用了多播路由的接口的入站DVRMP通信。
4.phpStudy nginx 解析漏洞风险通告
发布时间:2020年9月3日
情报来源:
https://mp.weixin.qq.com/s/22Lu1rhZJEEFJ-WfJeVMMQ
情报摘要:
本次爆出的漏洞是nginx的解析漏洞,也就是存在已久的/xx.php解析漏洞。攻击者可以通过网站的上传接口上传伪装成正常文件(比如图片、文档等)的恶意代码,从而获取服务器的权限。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课