[原创]2020年11月第1周威胁情报概览

发表于: 2020-11-6 15:53 1988

[原创]2020年11月第1周威胁情报概览

腾讯电脑管家

2020-11-6 15:53

1988

APT情报

1. 美国大选下的APT攻击：Kimsuky以选举结果预测为诱饵的攻击活动分析

发布时间：2020年11月4日

情报来源：

https://www.secrss.com/articles/26760

情报摘要：

Kimsuky，别名Mystery Baby，Baby Coin，Smoke Screen，Black Banshe。疑似具有东北亚背景，主要针对韩国，俄罗斯进行攻击活动，最早由卡巴斯基披露。韩国安全公司认为其与Group123存在部分重叠。

国内安全团队捕获东北亚地区的Kimsuky APT组织以美国大选为诱饵的攻击样本，该样本以美国总统大选预测为标题，诱导受害者点击执行，同时采用在HWP文档中嵌入VBS脚本方式，有效的绕过杀软检测，该样本在首次上传到VirusTotal时，没有杀软检测到其恶意代码。

2. 朝鲜黑客组织Kimsuky战术披露

发布时间：2020年11月4日

https://www.freebuf.com/news/253969.html

情报摘要：

APT组织“ Kimsuky”，据悉最早于2012年开始活动。该组织因为全球性的广泛攻击行动而臭名昭著，主要针对韩国智囊团、美国、俄罗斯和欧洲各个国家。近几个月来，Kimsuky被归因于许多以冠状病毒为主题的邮件攻击活动，以邮件中包含的武器化Word文档为其感染媒介，在受害者计算机上发起恶意软件攻击。

上周，联邦调查局与国防部和国土安全部联合发布了一份备忘录，详细介绍了Kimsuky的技术细节。

威胁事件情报

1.腾讯主机安全（云镜）捕获Kaiji DDoS木马通过SSH爆破入侵

发布时间：2020年11月2日

情报来源：

https://mp.weixin.qq.com/s/hacyPAA82rgEBivwOYhuEg

情报摘要：

腾讯安全威胁情报中心在为客户提供安全巡检服务时，发现腾讯主机安全（云镜）告警SSH爆破入侵事件，遂对事件进行溯源追查，溯源到有疑似国内黑客开发的木马Kaiji通过22端口弱口令爆破入侵服务器。攻击者入侵云主机会下载二进制木马将自身安装到系统启动项进行持久化，并且可根据C2服务器返回的指令进行DDoS攻击。由于响应及时，客户未遭受损失。

2.z0Miner挖矿木马利用Weblogic最新漏洞入侵

发布时间：2020年11月3日

情报来源：

https://mp.weixin.qq.com/s/cyPZpB4zkSQccViM0292Zg

情报摘要：

腾讯主机安全（云镜）于2020.11.02日捕获到挖矿木马团伙z0Miner利用Weblogic未授权命令执行漏洞（CVE-2020-14882/14883）的攻击行动。

该团伙通过批量扫描云服务器发现具有Weblogic漏洞的机器，发送精心构造的数据包进行攻击。之后执行远程命令下载shell脚本z0.txt运行，再利用该shell脚本植入门罗币挖矿木马、挖矿任务本地持久化，以及通过爆破SSH横向移动。根据该团伙控制的算力推算，已有大约5000台服务器受害。

3.Dridex银行木马最新变种来袭，可进行欺诈性交易

发布时间：2020年11月3日

情报来源：

https://mp.weixin.qq.com/s/HM1RUi9aUi0TFkCd75-27Q

情报摘要：

国内安全研究者发现通过垃圾邮件传播的Dridex银行木马最新变种，Dridex银行木马近期处于活跃状态。Dridex是目前全球活跃且技术比较先进的银行木马之一，又被称为BUGAT和Cridex，其通常通过垃圾邮件传播，主要目的是窃取受害者网上银行和系统信息，进行欺诈性交易。Dridex通过邮件附件传播，其伪装成发票通知邮件，附件是Excel文档。

4. Remcos家族分析报告

发布时间：2020年11月4日

情报链接：

https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=3008

情报摘要：

Remcos是2016年公开售卖的一款远控工具，至今已更新66+个版本。该工具由一家名为Breaking Security的公司出售，远程控制工具的贩卖给攻击者建立一个潜在的僵尸网络提供了所需的一切条件。

Remcos传播方式一般都是钓鱼邮件，附带附件以及内嵌宏代码。通过观察最新活动，是通过COVID-19钓鱼邮件进行传播，附件中包含一个使用误导性PDF 图标的可执行文件，该可执行文件一旦执行便会启动商业化Remcos 远控木马。该木马执行后将自身注入到系统默认浏览器中并添加到注册表。下载并执行命令，键盘记录，屏幕记录以及使用摄像头和麦克风进行录音录像等功能。

漏洞情报

1. Microsoft cng.sys权限提升漏洞（CVE-2020-17087）被在野0day利用通告

发布时间：2020年11月1日

情报来源：

https://mp.weixin.qq.com/s/xKX-E9M5k_KX323K0zpEJw

情报摘要：

2020年10月20日，Google安全研究员披露了一次使用Chrome 0day漏洞（CVE-2020-15999）的攻击事件，相关漏洞为Chrome FreeType字体渲染时的一处内存破坏漏洞。攻击过程中为了绕过Chrome沙箱，攻击者还使用了一个Windows系统的提权漏洞，此漏洞被报告给厂商微软并处于修复过程中。2020年10月31日，由于该Winodws提权漏洞超过了Google要求7天内修补在野0day漏洞的期限，Google Progect Zero团队将该漏洞的技术细节和验证POC公开。

该漏洞为Windows中cng.sys驱动中的一处整数溢出，由于该驱动导出了名为\Device\CNG的设备链接，导致攻击者可以在用户态通过IOCTL 0x390400发送对应的畸形数据，造成整数溢出。

2.Apache Shiro 权限绕过漏洞通告（CVE-2020-17510）

发布时间：2020年11月2日

情报来源：

https://cloud.tencent.com/announce/detail/1374

情报摘要：

Apache Shiro官方披露了一个认证绕过漏洞（漏洞编号：CVE-2020-17510），攻击者可发送特定HTTP请求绕过权限限制，获取敏感权限。

3.腾讯安全团队向Linux社区提交多个NFC套接字资源泄露0day漏洞

发布时间：2020年11月3日

情报来源：

https://mp.weixin.qq.com/s/3TAcpkeesnGy3WKsUqCydQ

情报摘要：

腾讯安全团队近日提交了4个linux NFC套接字多处资源泄露漏洞（CVE-2020-25670/25671/25672/25673），漏洞可能造成权限提升，攻击者利用漏洞可能控制整个系统。漏洞风险等级为高，漏洞影响内核版本为3.10~5.10-rc2的Linux系统。目前这些漏洞尚未修复，漏洞细节已按Linux社区规则予以公开披露，腾讯安全专家建议Linux用户密切关注最新的安全更新。

Linux内核在实现NFC套接字相关的函数中，存在多处资源泄漏漏洞，其中引用计数泄漏漏洞最为严重，可以导致内核对象释放后重新使用，造成权限提升，攻击者可以利用这些漏洞完成权限提升，控制整个系统。基于Linux内核的Ubuntu、CentOS、RedHat、SUSE、Debian等操作系统都受到这些漏洞的影响。