APT情报

1.Lazarus组织对加密货币行业持续发起攻击

发布时间：2020年11月24日

情报来源：

https://mp.weixin.qq.com/s/7JoHBwbtn_wpoYWrE32TNA

情报摘要：

近期Lazarus组织的攻击活动大多与加密货币实体相关，今年8月，该组织通过LinkedIn招聘广告诱饵攻击加密货币公司。9月，Lazarus组织洗钱方法被曝光，资料表示其通常会从交易所窃取加密货币资金，然后开始使用称为“分层技术”的东西通过不同的多个交易所进行交易，并雇佣协助者，获取分发资金帮助洗钱，使加密货币能够在众多地址之间转移，以混淆资金来源，并可以通过一定手法转成法定货币或其他形式。

近期，国内安全研究人员捕获到一些加密货币协会公告、区块链项目风险审查为诱饵内容的恶意lnk文件。经过对攻击样本的分析与溯源，我们认为这批样本来自于APT组织Lazarus。

2. 利用美国大选热点事件的魔罗桫（Confucius）组织最新活动分析

发布时间：2020年11月26日

情报来源：

https://mp.weixin.qq.com/s/cXw_H-4GU8_Gnm7K4_V_2w

情报摘要：

国内安全研究人员捕获与总统大选有关热点新闻作为媒介的APT攻击，文档标题为“Here's what to expect from Bidenon top nuclear weapons issues”翻译中文为“这是拜登对主要核武器问题的期望”。

用户打开该恶意文档后，显示的是看似正常的相关新闻文章，实质当打开该文档后会通过相关编辑器漏洞从黑客的服务端下载了恶意文件并隐蔽执行，最终受害用户计算机被黑客组织控制。本次活动可归因为今年披露的长期针对南亚次大陆的攻击组织”魔罗桫”（国外安全厂商命名为Confucius），该组织长期针对中国，巴基斯坦，尼泊尔等国和地区进行了长达数年的网络间谍攻击活动，主要针对领域为政府机构，军工企业，核能行业等。

威胁事件情报

1. 永恒的对手：永恒之蓝挖矿木马的前世今生

发布时间：2020年11月24日

情报来源：

https://mp.weixin.qq.com/s/mMi5fHtBPuN09uH6FKm0_g

情报摘要：

“永恒之蓝木马下载器”首次被发现于2018年12月份。木马团伙通过劫持驱动人生升级服务器下发该木马致使大量客户中招。此木马近年来一直处于活跃状态，攻击、传播手法持续更新。此木马在内网的流行程度在一定程度上反映了一个网络的安全性，甚至可以用来作为指标来评价内网的安全程度。

鉴于此种情况，本文从该木马功能演进角度出发，说明了各个时间点木马的特性并对木马中的各个模块进行了一个简单的分析。

2.Muhstik僵尸网络木马来袭，挖矿、攻击两不误

发布时间：2020年11月24日

情报来源：

https://mp.weixin.qq.com/s/fTqzneug_nArjOtz_VDM4w

情报摘要：

国内安全研究人员捕获一款Muhstik僵尸网络木马，多个国内的服务器被爆破登录，在主机执行恶意代码以下载Muhstik僵尸木马和挖矿病毒，从而利用服务器进行挖矿，以及进行DDoS攻击。

3.腾讯主机安全（云镜）捕获H2Miner新变种，利用Redis高危漏洞入侵云服务器挖矿

发布时间：2020年11月24日

情报来源：

https://mp.weixin.qq.com/s/aXX8eJ6AxmXBBlFKE8onFA

情报摘要：

腾讯主机安全（云镜）捕获H2Miner挖矿木马最新变种，该变种利用Redis 4.x/5.x主从同步命令执行漏洞（CNVD-2019-21763）攻击云服务器，检测数据显示该木马活动有明显增长。由于用户将Redis默认端口6379暴露在公网且未使用强密码认证，导致攻击者入侵并通过Redis 4.x/5.x版本的主从同步功能执行任意代码。

H2Miner变种木马入侵后会下载挖矿木马，通过安装定时任务持久化，通过SSH复用连接进行横向移动感染。