APT情报

1.近期双尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析

发布时间：2020年9月19日

情报来源：

https://mp.weixin.qq.com/s/yobOH_jdKx69m4_i1qDrLA

情报摘要:

双尾蝎（APT-C-23）是一个长期针对中东地区的高级威胁组织，其最早于2017年被披露，至少自2016年5月起，持续针对巴勒斯坦教育机构、军事机构等重要领域开展了有组织，有计划，有针对性的攻击，该组织拥有针对Windows和Android双平台攻击能力。

国内安全研究人员在日常的威胁狩猎中捕获了该组织多起攻击样本，此次捕获的样本涉及Windows和Android平台。

Windows平台样本主要通过伪装成简历文档等诱饵的可执行文件进行初始攻击，此类样本运行后，将会释放展示正常的诱饵以迷惑受害者，同时后门将继续在后台运行以窃取受害者计算机敏感信息。

Android平台样本继续保持了双尾蝎组织一贯的风格，通过伪装为聊天软件诱导受害者下载安装使用，为了使样本更具真实性，攻击者还特意制作了官网进行恶意APP分发，同时，据国外安全厂商报道，双尾蝎组织还制作了安卓应用市场以分发其恶意软件。

2.响尾蛇（SideWinder）组织利用WebSocket隧道的新型攻击活动披露

发布时间：2020年10月19日

情报来源：

https://mp.weixin.qq.com/s/fc-dDQ3aSd448qqLXwYgbQ

情报摘要：

响尾蛇（SideWinder）组织是一支具有南亚背景的APT组织，该组织的攻击活动最早可追溯到2012年，主要针对巴基斯坦和东南亚各国发起过攻击。

本报告将对该组织的部分未公开样本进行深入分析披露，相关的攻击最早曾在2019年底出现，而在今年9月期间又重新出现活动迹象，期望此次分析可以让业界更好地完善该组织的攻击拼图。

3.蔓灵花APT组织利用恶意CHM文档针对国内研究机构的攻击活动分析

发布时间：2020年10月22日

情报来源：

https://mp.weixin.qq.com/s/9O4nZV-LNHuBy2ihg2XeIw

情报摘要：

国内安全研究人员捕获针对特定单位群体展开的定向攻击活动，通过分析发现其为“蔓灵花”APT组织。该组织最早在2016由美国安全公司Forcepoint进行了披露，并且命名为“BITTER”。蔓灵花（T-APT-17、BITTER）APT组织是一个长期针对亚洲地区进行攻击活动的APT组织。主要针对目标区域的政府、军工业、电力、核工业等单位进行攻击，试图窃取敏感数据。

该组织主要采用鱼叉钓鱼的方式，对相关目标单位的个人直接发送嵌入了攻击诱饵的钓鱼邮件。本次攻击行动中使用的诱饵为rar压缩包，而压缩包里携带恶意的chm文档。

威胁事件情报

1.8220挖矿团伙最新变种使用新漏洞对企业云服务器的攻击

发布时间：2020年10月19日

情报来源：

https://mp.weixin.qq.com/s/w8dcdv-V7w8MUhADEvJeXA

情报摘要：

腾讯安全接到用户求助，报告腾讯云主机安全（云镜）网络防御功能检测到攻击事件。腾讯安全专家通过攻击日志分析，发现这是8220挖矿团伙最新变种针对企业云服务器的攻击活动，该用户对腾讯主机安全（云镜）网络攻击日志告警及时处置，已彻底消除该挖矿团伙的威胁。

在此次攻击活动中，发现8220挖矿团伙首次使Nexus Repository Manager 3远程代码执行漏洞CVE-2019-7238、Confluence远程代码执行漏洞CVE-2019-3396攻击入侵，并在入侵后会尝试利用多个SSH爆破工具进行横向移动，最终在失陷系统植入挖矿木马以及Tsunami僵尸网络病毒。

2.Mozi最新样本变化分析

发布时间：2020年10月19日

情报来源：

https://mp.weixin.qq.com/s/lRKcEHNGBa5IKPWUmtRDXw

情报摘要：

发现很多命名为i和bin.sh的Mozi样本，代码没有太大变化。但新加了3个漏洞利用，Telnet弱口令密码也有变化。

新增的漏洞利用针对企业或家用路由器设备。

3.伪冒国内银行的新窃取木马“BYL”

发布时间：2020年10月20日

情报来源：

https://mp.weixin.qq.com/s/_hpT88ebkEHNuJBu80MFLw

情报摘要：

一款伪装国内银行应用的的信息窃取木马，这是一个新型的木马家族。通过分析发现，自2020年7月13号开始，该家族共伪冒国内4家银行。该家族木马至今仍在影响着国内正常用户，影响量级为千级，为避免更多用户个人财产受到损失，国内安全研究人员对其该家族进行详细跟踪分析并对该家族实现了全面的查杀。

漏洞情报

1.CVE-2020-24407/24400：Adobe Magento 远程代码执行漏洞通告

发布时间：2020年10月19日

情报来源：

https://help.aliyun.com/noticelist/articleid/1060732645.html

情报摘要：

Adobe官方发布安全公告披露了在 Magento Commerce/Open Source 2.3以及2.4版本中存在CVE-2020-24407远程代码执行、CVE-2020-24400 SQL注入等多个漏洞。在具有管理特权的情况下，攻击者可构造恶意请求，绕过文件上传限制，从而造成远程代码执行，控制服务器。

2.Apache Kylin未授权配置泄露漏洞（CVE-2020-13937）风险通告

发布时间：2020年9月20日

情报来源：

https://mp.weixin.qq.com/s/b7dLqwMNmDwBIkoGB11c6g

情报摘要：

Apache Kylin有一个restful api会在没有认可认证的情况下暴露配置信息。攻击者可利用该漏洞获取系统敏感信息。截止目前，该漏洞的PoC暂未公开。腾讯安全旗下的云镜（主机安全）、云防火墙、腾讯漏洞扫描服务、腾讯御界高级威胁管理系统均支持对该漏洞的检测。

3.Oracle多个产品高危漏洞安全风险通告

发布时间：2020年10月21日

情报来源：

https://mp.weixin.qq.com/s/VS5EooDxZS2YvMtgBVE4sg

情报摘要：

Oracle官方 发布了 10月份 的安全更新，此次安全更新发布了421个漏洞补丁，涉及Oracle Weblogic、Oracle Endeca Information Discovery Integrator、Oracle WebCenter Portal、Oracle BI Publisher、Oracle Business Intelligence Enterprise Edition等产品。

在本次更新的46个漏洞补丁中有36个漏洞无需身份验证即可远程利用，其中 Weblogic高危漏洞引发安全厂商的普遍关注。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)