-
-
[原创]2020年10月第4周威胁情报概览
-
发表于: 2020-10-30 17:15 2056
-
APT情报
1.APT28携小众压缩包诱饵对北约、中亚目标的定向攻击分析
发布时间:2020年10月23日
情报来源:
https://mp.weixin.qq.com/s/6R7bFs9lH1I3BNdkatCC9g
情报摘要:
APT-C-20,又被称为(APT28, Fancy Bear, Pawn Storm, Sofacy Group, Sednit, STIONTIUM等),是一个具有军方情报机构背景的APT组织。该组织最早的攻击活动可以追溯到2004年至2007年之间,主要攻击目标为北美、中亚和欧洲的政府机构、外交机构、科研机构等。
其最新的攻击方式利用了arj压缩格式和VHD虚拟磁盘格式打包恶意荷载,部分杀毒软件对这类小众压缩包形式存在扫描机制的缺陷,导致相关的恶意文件可能规避安全软件的查杀。
2.响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析
发布时间:2020年10月26日
情报来源:
https://mp.weixin.qq.com/s/GJY6w8qTm6WkFy7hmy45IA
情报摘要:
响尾蛇(又称SideWinder)是疑似具有南亚背景的APT组织,其攻击活动最早可追溯到2012年,主要针对其周边国家政府,军事,能源等领域开展攻击活动,以窃取敏感信息为攻击目的。
国内安全团队在日常高价值样本挖掘中,捕获了一例响尾蛇组织攻击样本,该样本伪装为巴基斯坦-菲律宾相关合同协议,诱导受害者执行,一旦受害者执行,该样本便会通过公式编辑漏洞执行JS脚本,从而部署其常用的.NET远控木马控制受害者机器,窃取敏感信息。
3.疑似中国台湾方向相关组织近期攻击活动分析
发布时间:2020年10月27日
情报来源:
情报摘要:
伪装文档的攻击样本,伪装内容与“检察院裁决书”、“台资交账”等,核心远控程序使用了开源AsyncRAT远控,通过分析样本后发现,回连域名解析IP为中国台湾地区。
4.腾讯主机安全捕获首例公有云上针对游戏行业的APT攻击
发布时间:2020年10月29日
情报来源:
https://mp.weixin.qq.com/s/GXGoMg2Hv_KLYhaBGdkdXg
情报摘要:
腾讯安全威胁情报中心依托T-Sec主机安全产品(云镜)告警,发现一例针对游戏行业公有云资产的APT攻击事件。值得关注的是,过往APT攻击目标通常针对企业内网,本次发现公有云遭遇APT攻击的事件尚属国内首次。
5.Donot组织利用伪造签名样本的攻击活动分析
发布时间:2020年10月29日
情报来源:
https://mp.weixin.qq.com/s/3Pa3hiuZyQBspDzH0kGSHw
情报摘要:
Donot“肚脑虫”APT组织是疑似具有南亚背景的APT组织,其主要以周边国家的政府机构为目标进行网络攻击活动,通常以窃取敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力。
近日,国内安全厂商在日常的高级威胁狩猎中,再次捕获Donot组织新一轮的攻击活动样本。此次攻击活动中,该组织依旧采用宏利用样本作为初始攻击载荷,从远程服务器获取恶意代码执行,同时弹出错误提示框以迷惑受害者。下载执行的恶意代码均携带了无效的签名信息。
威胁事件情报
1. 永恒之蓝变种挖矿blackball计划任务
发布时间:2020年10月26日
情报来源:
https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=2996
情报摘要:
病毒利用ms17-010入侵进行传播,有效载荷执行时创建计划系统服务项,执行永恒之蓝突破利用程序并远程下载执行powershell脚本(称为gim.jsp),创建四个计划任务,其中包含没有实际功能的blackball计划任务,其余计划任务远程下载powershell脚本,进行挖矿程序的下载执行和突破利用程序的下载执行。
2. Harvest.Finance 被黑事件简析
发布时间:2020年10月27日
情报来源:
https://www.qukuaiwang.com.cn/news/150331.html
情报摘要:
2020 年 10 月 26 号,Harvest Finance 项目遭受闪电贷攻击,损失超过 400 万美元。此次攻击主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在铸币时采用的是 Curve y池中的报价(即使用 Curve 作为喂价来源),导致攻击者可以通过巨额兑换操控外部的价格来控制 Harvest Finance 中 fToken 的铸币数量,从而使攻击者有利可图。
3.腾讯主机安全(云镜)捕获WatchBogMiner挖矿木马新变种
发布时间:2020年10月27日
情报来源:
https://mp.weixin.qq.com/s/zviLvGK3wTnl0iwtszHQlg
情报摘要:
腾讯主机安全(云镜)捕获WatchBogMiner挖矿木马最新变种对云主机的攻击,该变种利用Apache Flink任意Jar包上传导致远程代码执行漏洞入侵云主机,然后下载文件名为“watohdog”的门罗币挖矿木马。
该挖矿木马最初的版本是针对Linux服务器利用Nexus Repository Manager、Supervisord、ThinkPHP等服务器组件的远程代码执行漏洞进行攻击。根据其最初下载的挖矿木马文件名,将其命名为“Watchbog”挖矿木马。
腾讯安全近期检测到“Watchbog”挖矿木马的最新变种开始利用Redis未授权访问漏洞、Apache Flink远程代码执行漏洞入侵传播,根据其算力推测,该变种已控制约8000台服务器挖矿,挖矿收益折合人民币约1.2万元。
4.Trickbot Anchor 分析
发布时间:2020年10月27日
情报来源:
https://www.netscout.com/blog/asert/dropping-anchor
情报摘要:
长期以来,Trickbot一直是主要的银行木马家族之一。攻击者仍在继续开发该恶意软件,并已开始将其部分代码移植到Linux操作系统。C2服务器与肉鸡电脑之间的通信非常复杂。本文分析了Trickbots银行木马Anchor模块的Linux版本C2通信过程。
主要发现:Trickbot攻击者利用复杂的通信来控制受感染的计算机;攻击者将部分代码移至Linux,从而增加了可移植性和可能的受害者范围;Anchor模块实施复杂的技术来逃避分析;基于Windows和Linux的恶意程序可以在受害者系统中安装其他模块。
5.永恒之蓝木马下载器再更新,云上主机成为新目标
发布时间:2020年10月28日
情报来源:
https://mp.weixin.qq.com/s/953ZHaf8IjLGyxB3tWSoDQ
情报摘要:
腾讯安全威胁情报中心检测到永恒之蓝下载器木马新增利用Hadoop Yarn未授权访问漏洞攻击。该变种入侵Linux服务器后下载门罗币挖矿木马,然后将挖矿任务进行持久化、清除竞品挖矿木马,并通过SSH爆破横向移动。
永恒之蓝下载器木马自2018年底出现以来,一直处于活跃状态。该病毒不断变化和更新攻击手法,从最初只针对Windows系统扩大攻击范围到Linux系统。截止目前,其攻击手法已涵盖弱口令爆破、系统漏洞利用、Web漏洞利用等,其中利用SSH、Redis、Hadoop Yarn服务的攻击方式可能对云主机以及云上业务造成较大威胁。
6.离网络攻击”专题研究报告
发布时间:2020年10月28日
情报来源:
https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=3000
情报摘要:
国内安全研究者整合了当前捕获的一些针对隔离网络的攻击事件以及历史上著名的Stuxnet蠕虫、Flame蠕虫等攻击事件,对其中的隔离网络攻击部分展开了深入分析,旨在剖析其攻击框架、梳理其特有的攻击指纹以及针对此类攻击的复盘思考。
漏洞情报
1. CNVD-C-2020-121325:禅道文件上传漏洞通告
发布时间:2020年10月27日
情报链接:
https://cert.360.cn/warning/detail?id=ace6901fc02100078ce586ffe53d4cfb
情报摘要:
禅道官方发布了文件上传漏洞 的风险通告,该漏洞编号为 CNVD-C-2020-121325 ,漏洞等级为高危。
恶意攻击者可以读取或上传任意文件,成功利用漏洞可以读取目标系统敏感文件以及获得系统管理权限。
2. HPE修补了两个关键的远程可利用漏洞
发布时间:2020年10月26日
情报来源:
https://www.securityweek.com/hpe-patches-two-critical-remotely-exploitable-vulnerabilities
情报摘要:
Hewlett Packard Enterprise已发布了针对两个关键漏洞的补丁程序,一个漏洞在StoreServ管理控制台中发现,另一个漏洞影响BlueData EPIC软件平台和Ezmeral容器平台。
这些问题中最严重的问题是在HPE StoreServ管理控制台(SSMC)3.7.0.0中确定的,可以用来远程绕过身份验证保护。漏洞跟踪为CVE-2020-7197,CVSS评分为10。
SSMC是基于节点的基于Web的控制台,它为多个阵列的管理提供支持。SSMC Web应用程序通常安装在Linux或Windows服务器上,并且与托管阵列上的数据隔离。身份验证请求处理期间的错误可能使攻击者可以绕过身份验证过程并获得对应用程序的访问权限。
3.(CVE-2020-14882/14883 )Weblogic ConSole HTTP 协议代码执行漏洞POC公开
发布时间:2020年10月29日
情报来源:
https://mp.weixin.qq.com/s/LIjO2St8PdvXm3lS5wsJPQ
情报摘要:
10月28日,腾讯安全团队已关注到互联网上出现CVE-2020-14882和CVE-2020-14883两个高危漏洞POC(验证代码),这意味着即将到来的黑客攻击已更进一步。腾讯安全旗下的全系列安全产品已针对该漏洞升级规则库、漏洞库,以防御即将到来的黑客攻击利用。
未经身份验证的远程攻击者可能通过构造特殊的HTTP GET请求,利用该漏洞在受到攻击的WebLogic Server上执行任意代码。它们均存在于WebLogic的控制台控制台中。此组件为WebLogic全版本版本自带组件,并且该漏洞通过HTTP协议进行利用。将CVE-2020-14882和CVE-2020-14883进行组合利用后,远程且有权授权的攻击者可以直接在服务端执行任意代码,获取系统权限。
4.WebLogic console 远程代码执行漏洞(CVE-2020-14882)补丁绕过0day
发布时间:2020年10月30日
情报链接:
https://mp.weixin.qq.com/s/1M66QFVgFL9LSVR6J9IqPg
情报摘要:
2020年10月21日,Oracle发布10月关键补丁更新,修复了包括 CVE-2020-14882 在内的多个高危漏洞。国内安全研究团队发现针对 CVE-2020-14882 WebLogic console 远程代码执行漏洞的补丁存在绕过0day漏洞。在Weblogic完成补丁更新的情况下,未经授权的攻击者仍可绕过WebLogic后台登录等限制,并控制服务器。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!