-
-
[原创]2020年10月第2周威胁情报概览
-
发表于: 2020-10-16 17:43 2015
-
APT情报
1.针对毒云藤(APT-C-01)组织近期的大规模钓鱼攻击活动披露
发布时间:2020年10月12日
情报来源:
https://mp.weixin.qq.com/s/5GhOUClaBVpQG-AlGtDMYg
情报摘要:
毒云藤(APT-C-01)组织是一个长期针对国内国防、政府、科技和教育领域的重要机构实施网络间谍攻击活动的APT团伙,其最早的攻击活动可以追溯到2007年。
近期毒云藤组织的攻击活动并未减弱蛰伏,反而异常活跃。2020年6月,该组织技战术进行了调整,开始针对特定单一人物目标实施定向攻击。进一步8月初开始,该组织针对国内高等院校、科研机构等,进行了大规模邮箱系统钓鱼窃密攻击活动,涉及了大量的相关单位,相关攻击至今持续活跃。
2.血茜草:永不停歇的华语情报搜集活动
发布时间:2020年10月13日
情报来源:
https://mp.weixin.qq.com/s/omacDXAdio88a_f0Xwu-kg
情报摘要:
国内安全研究团队于2011年开始持续对华语来源的攻击活动进行追踪,并在近些年来发布了多篇关于APT组织毒云藤和蓝宝菇的分析报告。
该华语来源的攻击活动趋向渔网化,通过批量与定向投方相结合,采取信息探测的方式辅助下一步的定点攻击。该情报搜集活动被命名为“血茜草行动”(Operation Rubia cordifolia)。该系列攻击活动归属于著名的毒云藤组织。
3.蓝宝菇(APT-C-12)组织使用云存储技术发起的最新攻击活动披露
发布时间:2020年10月13日
情报来源:
https://mp.weixin.qq.com/s/Wi67iA3ZwY3o5X9ekRpD2w
情报摘要:
蓝宝菇(APT-C-12)组织从2011年开始持续至今,长期对国内国防、政府、科研、金融等重点单位和部门进行了持续的网络间谍活动,该组织主要关注核工业和科研等相关信息。
2020年初,在新冠疫情给全球格局带来新的冲击影响下,各APT组织针对国内的攻击活动异常活跃。国内安全团队发现该组织针对国内某重点机构的两次攻击活动中升级了技战术,开始使用云存储技术架设C2基础设施。本报告将披露该组织最新的攻击手法和网络武器。
4.网络安全主题诱饵,配合新型后门WinClouds肆虐南亚地区
发布时间:2020年10月15日
情报来源:
https://mp.weixin.qq.com/s/LrPYzZjyC6gW474pjvGmjw
情报摘要:
国内安全研究人员在日常样本分析过程中发现了一款新型的后门木马,用于针对巴基斯坦的网络攻击,基于PDB文件,将该型木马命名为:WinCloudsRat,经过推测本次攻击活动可能与南亚某大国有关。
WinClouds Rat通过恶意宏文档或者带有漏洞的RTF文档进行投递,且诱饵内容与流行商贸信类型,启用宏后会弹出Data Format Error的提示框来迷惑用户,该手法与之前发布的报告《提菩行动:来自南亚APT组织“魔罗桫”的报复性定向攻击》中使用的手法类似。新型木马WinClouds免杀效果较好,功能较为轻便,具有文件管理、命令执行等常用功能。
威胁事件情报
1.SoftwareAG 遭受Clop勒索攻击
发布时间:2020年10月12日
情报来源:
https://www.securityweek.com/enterprise-solutions-provider-software-ag-hit-clop-ransomware
情报摘要:
Software AG在全球70多个国家/地区运营,拥有5,000多名员工。它声称其解决方案已被10,000多个全球最大品牌所采用。
该公司于10月5日披露了该事件,当时该公司报告称其在10月3日遭到了恶意软件攻击。SoftwareAG当时表示已关闭一些内部系统以应对该漏洞。
该公司表示其服务台服务和内部通信受到影响,但声称基于云的服务未受到影响,并且没有发现客户信息受到损害的证据。
2.ESET参与全球行动以破坏Trickbot
发布时间:2020年10月12日
情报来源:
https://www.welivesecurity.com/2020/10/12/eset-takes-part-global-operation-disrupt-trickbot/
情报摘要:
自2016年底以来,Trickbot在全球范围内感染了超过一百万台计算设备,并且从一开始就一直在跟踪其活动。仅在2020年,ESET分析了超过125,000个恶意样本,并下载和解密了Trickbot不同模块使用的40,000多个配置文件。
Trickbot被丢弃在已经被另一个大型僵尸网络Emotet破坏的系统上。过去,Trickbot恶意软件被其运营商主要用作银行木马,从网上银行帐户中窃取凭据并试图进行欺诈性转移。Trickbot的模块化体系结构允许它使用各种插件来执行各种恶意操作。它可以从受感染的计算机上窃取各种凭据,最近,它已被广泛用作针对更具破坏性的攻击(如勒索软件)的传递机制。
3.FIN11黑客加入了勒索软件赚钱计划
发布时间:2020年10月14日
情报来源:
情报摘要:
FIN11是一个出于经济动机的黑客组织,其历史始于至少2016年,它采用了恶意电子邮件活动,以过渡到勒索软件作为主要货币化方法。
该组织负责大批量运营,最近主要针对几乎每个行业的北美和欧洲公司,以窃取数据并部署Clop勒索软件。
4.Phorpiex木马竟伪装系统文件,兼具蠕虫病毒和文件型病毒特性
发布时间:2020年10月15日
情报来源:
https://mp.weixin.qq.com/s/-b_tLgIixLVmGg4xq2Vdhg
情报摘要:
截获了伪装成系统文件的Phorpiex木马,Phorpiex是一种兼具蠕虫病毒和文件型病毒特性的僵尸网络病毒,能够借助漏洞利用工具包以及其他恶意软件进行传播。其主要通过投递、分发其它恶意病毒来获利,著名的Avaddon勒索病毒就是借助该僵尸网络进行投递。本次截获的Phorpiex木马将自身更名为svchost,伪装成微软系统文件,窃取用户的加密货币信息,删除用户的文件,访问URL下载恶意程序。
漏洞情报
1.多家:Apache Solr中的RCE漏洞(CVE-2020-13957)风险通告
发布时间:2020年10月13日
情报来源:
https://mp.weixin.qq.com/s/6L_3J6vLpc4AgGPqZ0ql8A
情报摘要:
Apache Solr发布公告,修复了ConfigSet API中存在的未授权上传漏洞风险,该漏洞被利用可导致RCE(远程代码执行)。
2.MyBatis 远程代码执行漏洞CVE-2020-26945
发布时间:2020年10月12日
情报来源:
https://mp.weixin.qq.com/s/dZeGgcFHo729_tzqQ5mC1g
情报摘要:
2020年10月6日,MyBatis官方发布了MyBatis 3.5.6版本,修复了一个远程代码执行漏洞,该漏洞编号为CVE-2020-26945。
3.CVE-2020-16898 | Windows TCP/IP远程执行代码漏洞风险通告
发布时间:2020年10月14日
情报来源:
https://mp.weixin.qq.com/s/ap5BUbBAMrVVuFofRl8lXQ
情报摘要:
Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement(路由通告)数据包时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。
要利用此漏洞,攻击者必须将特制的ICMPv6(路由通告)数据包发送到远程Windows计算机(远程攻击者无须接触目标计算机也勿须相应权限,向目标计算机发送攻击数据包即可能实现RCE,目前尚无EXP公开)。
4.微软发布2020年10月月度安全公告
发布时间:2020年10月14日
情报来源:
https://s.tencent.com/research/bsafe/1149.html
情报摘要:
微软发布2020年10月安全公告,此次安全更新发布了 87 个漏洞的补丁,涉及Windows、Office、Exchange、.Net framework等相关组件,严重级别漏洞11个,75个重要级别。
5.2020-10 补丁日: SAP多个产品高危漏洞安全风险通告
发布时间:2020年10月15日
情报来源:
https://mp.weixin.qq.com/s/GvbOJfKVJ7rQAEhWIaU_UA
情报摘要:
SAP官方发布了 10月份 安全更新的风险通告,事件等级:严重,事件评分:10。SAP于此次更新中,共计修复了 20 处安全漏洞。2个严重漏洞,6个高危漏洞。并对内置 Chromium 浏览器应用了最新的安全更新。
6.VMware vCenter Server 任意文件读取漏洞通告
发布时间:2020年10月15日
情报来源:
https://s.tencent.com/research/bsafe/1150.html
情报摘要:
VMware vCenter 存在一处任意文件读取漏洞。
在 vCenter Web 服务的特定路径下,存在一个未经校验的外部可控参数,可直接传入任意文件路径并返回具体文件内容。
远程攻击者通过访问开放在外部的 vCenter 控制台,可以任意读取主机上的文件,可读取 vCenter 配置文件获得管理员帐号密码,进而控制 vCenter 平台及其管理的虚拟机集群。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课