首页
社区
课程
招聘
[原创2020年11月第2周威胁情报概览
发表于: 2020-11-13 17:59 2107

[原创2020年11月第2周威胁情报概览

2020-11-13 17:59
2107

APT情报

1.金眼狗组织水坑活动:针对Telegram用户的定向攻击

发布时间:2020年11月9日

情报来源:

https://mp.weixin.qq.com/s/b-0Gv_l-nnks-RnSdXBFBw

 

情报摘要:

一批带有非官方数字签名的Telegram安装包文件,通过溯源找到了对应的水坑网站。受害者从水坑网站上下载带有非官方签名的Telegram安装包,恶意安装包除了会安装正常的Telegram软件外还会释放由.net编写的Regloader加载器,运行后内存加载反射模块RegflectLoader,RegflectLoader最终会加载金眼狗组织常用的远控模块,通过后续的关联研究人员找到了该组织曾经使用VC编写的RatLoader的最新变种。

 

2.卢甘斯克组织针对乌克兰的最新定向攻击活动分析

发布时间:2020年11月9日

情报来源:

https://mp.weixin.qq.com/s/aMj_EDmTYyAouHWFbY64-A

 

情报摘要:

2019年初,国外安全厂商披露了一起疑似卢甘斯克背景的APT组织针对乌克兰政府的定向攻击活动,根据相关报告分析该组织的攻击活动至少可以追溯到2014年,曾大量通过网络钓鱼、水坑攻击等方式针对乌克兰政府机构进行攻击,在其过去的攻击活动中曾使用过开源Quasar RAT 和 VERMIN等恶意软件,捕获目标的音频和视频,窃取密码,获取机密文件等等。

 

国内安全团队监测到卢甘斯克组织针对乌克兰军事目标的最新攻击活动,深入分析溯源后,发现此次攻击活动采用了新的诱饵文档、恶意脚本荷载,同时发现该组织疑似伪装成云盘备份的方式进行攻击窃密。

 

3.KimsukyAPT组织利用wsf脚本的攻击活动分析

发布时间:2020年11月12日

情报来源:

https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=3023

 

情报摘要:

Kimsuky 组织是位于东北亚某国的APT 组织,又称 “BlackBanshee”、“BabyShark” 等,至少从 2013年开始活跃,该组织长期针对韩国政府、新闻等机构进行攻击活动,经常使用带有漏洞的 hwp 文件、恶意宏文件以及释放载荷的 PE 文件等恶意载荷,在今年上半年,该组织还曾使用新型冠状病毒作为题材进行攻击活动。

 

国内安全研究团队捕获到 Kimsuky 组织新一轮攻击活动中使用的 wsf 脚本组件和后门组件样本,对其活动情况进行分析。

 


威胁事件情报

1.黑客在勒索攻击后向Capcom索要1100万美元

发布时间:2020年11月6日

情报来源:

https://www.securityweek.com/hackers-demand-11-million-capcom-after-ransomware-attack

 

情报摘要:

著名游戏开发商Capcom遭遇勒索病毒攻击,Capcom出品的游戏包括《生化危机》,《街头霸王》,《鬼泣》,《怪物猎人》,《王牌律师》和《洛克人》。

 

该公司在11月4日的一份新闻稿中透露,几天前它检测到未经授权的内部网络访问。攻击者声称已窃取超过1 TB的文件,其中包括会计文件,银行对帐单,财务报告,税收文件,知识产权,专有商业信息,员工和客户的个人信息,公司合同,电子邮件,私人聊天以及各种其他类型的信息。

 

2.台湾笔记本电脑制造商仁宝遭勒索软件袭击,赎金高达1700万美元

发布时间:2020年11月10日

情报来源:

https://www.freebuf.com/news/254421.html

 

情报摘要:

台湾笔记本电脑电子制造商仁宝在上周末遭受了DoppelPaymer勒索软件攻击,攻击者要求将近1700万美元的赎金。仁宝是全球第二大笔记本电脑原始设计制造商(ODM),全球客户涵盖苹果、惠普、戴尔、联想和宏碁等。

 

外媒根据仁宝员工分享的赎金记录的屏幕快照和攻击勒索票据,所以很大可能是遭遇了勒索软件攻击,幕后黑手则是DoppelPaymer勒索软件组织。

 

3.最新Weblogic漏洞成为新型挖矿病毒心头好,控制肉鸡2w+

发布时间:2020年11月12日

情报来源:

https://mp.weixin.qq.com/s/NTY24X307NyCiWcC14R8tQ

 

情报摘要:

国内安全研究人员捕获到一起MSASCMiner组织的最新攻击事件。该挖矿组织将挖矿木马挂在韩国某资源管理软件厂商网站上,并利用最新的Weblogic 远程执行漏洞(CVE-2020-14882)攻击网络上的主机,最后运行门罗币挖矿程序实现收益。根据算力估计已控制2万左右的机器,钱包收益折合人民币约7万元。

 

MSASCMiner组织的挖矿样本中某变量名和进程包含MSASC,故取名为MSASCMiner。该组织最早活跃在2019年3月,并一直持续更新,主要是针对Windows服务器,利用僵尸网络和漏洞等手段进行挖矿,并和其他流行的挖矿组织一样,会清除竞品的挖矿程序保证自身收益。

 

4.联通官网携带木马脚本,可向用户推广色情APP

发布时间:2020年11月12日

情报来源:

https://mp.weixin.qq.com/s/U8tG8ULVOD05JuUSNZTlEg

 

情报摘要:

中国联通官网携带木马脚本(Trojan/JS.Redirector)。当用户访问其中某“业务办理记录”页面时,即会激活木马脚本,导致用户被强行跳转到其他推广页面上,推广内容涉及色情、游戏等。不仅如此,该木马脚本还被设定为一天只跳转一次,降低用户警惕性,以便长期存留于该页面。

 

5.Mirai僵尸网络通过HadoopYarn REST API未授权访问漏洞入侵云主机

发布时间:2020年11月13日

情报来源:

https://s.tencent.com/research/report/1175.html

 

情报摘要:

腾讯安全威胁情报中心检测到Mirai僵尸网络利用Apache Hadoop Yarn资源管理系统REST API未授权访问漏洞入侵云主机,入侵传播的Mirai木马会通过C&C服务器下发命令进行DDoS攻击。

 

早在2018年腾讯云鼎实验室就披露过恶意软件利用Hadoop Yarn REST API未授权漏洞入侵挖矿的案例(https://www.freebuf.com/vuls/173638.html)。两周前,腾讯安全威胁情报中心发现“永恒之蓝”下载器木马最新变种同样利用该漏洞进行攻击传播(https://mp.weixin.qq.com/s/953ZHaf8IjLGyxB3tWSoDQ)。可见,由于运维人员在创建容器集群时缺乏安全意识,未对Hadoop Yarn进行安全配置,致使越来越多的黑客通过该漏洞入侵云服务器。

 

 

漏洞情报

微软发布2020年11月安全更新

发布时间:2020年11月11日

情报来源:

https://mp.weixin.qq.com/s/zEPH9fMSxBxMpRFY2UrT9g

 

情报摘要:

11月11日,微软官方发布2020年11月安全更新,本次更新发布了112个漏洞的补丁,涉及Windows、Office、IE、Edge、Exchenge、Azure、Visual Studio Code、SharePoint等组件。其中包含严重级别17个,重要级别93个。从漏洞性质分类,有34个远程代码执行漏洞,4个拒绝服务漏洞,37个权限提升漏洞以及20个信息泄露漏洞。

 

由腾讯安全团队发现并向微软提交了远程桌面客户端存在的一个信息泄露漏洞(CVE-2020-17000),该漏洞影响win7以上操作系统,攻击者成功利用此漏洞可能造成越界读取特定内存数据。针对RDP此类云上常见组件的漏洞,腾讯安全团队会对漏洞成因及补丁进行详细分析,尽快完成高危漏洞的检测方案并防止补丁绕过的0day攻击。



[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//