APT事件

1.利刃鹰组织-盘旋于中东西亚网空的针对性攻击组织活动揭露

发布时间：2020年11月30日

事件来源：

https://mp.weixin.qq.com/s/X-isSV-W5048Kf1GMXy5bA

事件摘要:

国内安全研究人员注意到一波针对ISIS、基地组织、库尔德族群和土库曼族群进行持续攻击控制的活动，时间跨度从自2019年3月起至今，通过从多源信息的交叉比对我们推测攻击组织来自中东某国，将其命名为利刃鹰组织。

利刃鹰组织主要使用开源和商业攻击软件，平台涵盖Windows和Android。

2.疑似双尾蝎APT组织以CIA资助哈马斯相关信息为诱饵的攻击活动分析

发布时间：2020年12月1日

事件来源：

https://mp.weixin.qq.com/s/gGs57IuA5LS9bzqK8Lfpbg

事件摘要：

国内安全团队捕获多个伪装成视频、文档和图片的可执行文件，此类样本将图标设置为对应的诱饵类型，诱导受害者点击执行。当样本执行后，将释放展示相关诱饵迷惑受害者。释放展示的诱饵包括CIA对哈马斯支持的相关政治类诱饵、巴勒斯坦地区美女视频图片、简历相关文档等。经过溯源关联后发现，此次捕获样本疑似均来自APT组织“双尾蝎”。

双尾蝎APT团伙是一个长期针对中东地区的高级威胁组织，其最早于2017年被披露。其至少自2016年5月起，便持续针对巴勒斯坦教育机构、军事机构等重要领域开展了有组织，有计划，有针对性的攻击，该组织拥有针对Windows和Android双平台攻击能力。

3.Strongpity组织近期攻击活动分析

发布时间：2020年12月1日

事件来源：

https://mp.weixin.qq.com/s/OYuyQt6MhxwVunALF95LGA

事件摘要：

Strongpity，又名Promethium，也有国内友商称之为APT-C-41、蓝色魔眼，在2016年曾被卡巴斯基率先披露，该组织长期针对欧洲及中东地区的组织攻击活动，然而从今年开始，该组织开始对中国开展攻击活动，国内安全团队注意到该组织大量攻击样本，其版本也在积极更新。该组织的恶意程序伪装成驱动更新软件DriverPack，通过合法安装程序DriverPack来迷惑用户，隐蔽执行。

4.挫败BITTER针对国内政企的定向攻击

发布时间：2020年12月2日

事件来源：

https://mp.weixin.qq.com/s/FU-on3jRGa-UGHNzGHqqQg

事件摘要：

国内安全研究者捕获蔓灵花组织针对国内企业的定向攻击活动，在此次攻击活动中，该组织使用了其常用的攻击手法，企图释放执行其常用的下载者进行恶意软件部署，但被成功拦截。蔓灵花组织利用中文诱饵样本的攻击活动。捕获的样本为伪装成船舶工业相关诱饵的SFX文件，运行后将向受害者展示诱饵PDF，从而达到迷惑受害者的目的，同时部署恶意软件开展窃密活动。

蔓灵花（BITTER）是疑似具有南亚背景的APT组织，该组织长期针对中国，巴基斯坦等国家进行攻击活动，主要针对政府、军工业、电力、核能等单位进行定向攻击，窃取敏感资料。

威胁事件

1.Medusalocker勒索团伙破解RemoteUtilities商业远控软件实施窃密勒索

发布时间：2020年11月30日

事件来源：

https://mp.weixin.qq.com/s/fYZJikSlifHmqikVB4FSyQ

事件摘要：

腾讯安全威胁情报中心发现Medusalocker勒索病毒团伙将商业远程控制软件RemoteUtilities（类Teamviwer软件）进行破解精简重打包，窃密后再加密勒索1比特币。该团伙武器库中包含的一系列渗透入侵工具和其他窃密木马。该团伙在勒索信中威胁称：“已收集了高度机密的资料，不付赎金就公之于众”。

2.Ryuk勒索软件继任者Conti勒索软件横空出世

发布时间：2020年12月2日

事件来源：

https://mp.weixin.qq.com/s/_k-OYR8djKCircwYOUx2yQ

事件摘要：

Conti流行勒索软件团伙目前已经启动了一个信息泄漏站点，该站点被部署在公网与暗网中。据统计，该网站已经列出了至少26家遭受该组织攻击并且拒绝支付赎金的公司，而且Conti团伙已经泄漏了从该网站上列出的每家公司的敏感文件。

3.LILIN DVR/NVR 在野0-day漏洞攻击报告2

发布时间：2020年12月3日

事件来源：

https://mp.weixin.qq.com/s/PGXyXtk08NyDM3-PzXzdIw

事件摘要：

国内安全研究人员发现攻击者使用Merit LILIN DVR/NVR 默认密码和0-day漏洞，传播Mirai僵尸网络样本。

4.腾讯主机安全（云镜）捕获RunMiner挖矿木马攻击，约1.6万台服务器沦陷

发布时间：2020年12月3日

事件来源：

https://mp.weixin.qq.com/s/7SUXrdZ4WdTVenkVcMpZJQ

事件摘要：

腾讯主机安全（云镜）捕获RunMiner挖矿木马利用Apache Shiro反序列化漏洞（CVE-2016-4437）攻击云服务器。RunMiner挖矿团伙入侵成功后会执行命令反弹shell连接到C2服务器对肉鸡系统进行远程控制，然后继续下载执行Run.sh，下载XMRig挖矿木马tcpp进行门罗币挖矿，病毒通过安装定时任务进行持久化。

根据RunMiner挖矿木马使用的门罗币钱包算力(约268.6KH/s)推算，该挖矿团伙已控制约16000台服务器执行挖矿任务。在黑客控制的服务器上还发现多个扫描探测、网络入侵和远程控制工具，该团伙显然是专业黑灰产经营团伙之一。

5.DarkIRC恶意软件利用Oracle中RCE漏洞

发布时间：2020年12月1日

事件来源：

https://www.bleepingcomputer.com/news/security/critical-oracle-weblogic-flaw-actively-exploited-by-darkirc-malware/

事件摘要：

一个名为DarkIRC的僵尸网络正在主动针对成千上万个暴露的Oracle WebLogic服务器进行攻击，这些攻击旨在利用Oracle两个月前修复的CVE-2020-14882远程代码执行（RCE）漏洞。

6.外交部计算机被植入后门，俄APT长达5年的 "Crutch"行动揭秘

发布时间：2020年12月3日

事件来源：

https://www.freebuf.com/news/256546.html

事件摘要：

国外研究人员发现 "Crutch" （拐杖）攻击行动，将其归因于俄APT组织Turla（又名毒熊或毒蛇）。Turla常通过各种水坑和鱼叉钓鱼活动对政府、大使馆和军事组织发动广泛攻击。

除发现2016年的一个Crutch恶意软件样本与Turla另一个名为Gazer的第二阶段后门程序之间存在紧密联系外，多样化的恶意软件表明，Turla组织仍然继续专注于针对知名目标进行间谍和侦察活动。"Crutch" 的目的在于将敏感文档和其他文件传输给Turla运营商控制的Dropbox帐户。而后门植入物被秘密安装在欧盟一个不知名的国家外交部的几台机器上。

漏洞事件

1.docker 容器逃逸漏洞（CVE-2020-15257）

发布时间：2020年12月1日

事件来源：

https://s.tencent.com/research/bsafe/1188.html

事件摘要：

Containerd 是一个控制 runC 的守护进程，提供命令行客户端和 API，用于在一个机器上管理容器。在特定网络条件下，攻击者可通过访问containerd-shim API，从而实现Docker容器逃逸。

containerd使用的抽象套接字仅使用UID做验证，即任意UID为0的进程均可访问此API。当使用docker run --net=host 拉起一个容器时，容器将获取宿主机的网络权限，此时可以访问containerd的API，执行危险操作。

containerd是Docker和Kubernetes配置的容器运行支持组件。

2.Apache Tomcat HTTP / 2请求标头混淆漏洞（CVE-2020-17527 ）

发布时间：2020年12月4日

事件来源：

https://s.tencent.com/research/bsafe/1190.html

事件摘要：

Tomcat官方发布安全公告，Apache Tomcat 10.0.0-M1～10.0.0-M9、9.0.0-M1～9.0.39和8.5.0～8.5.59这些版本存在漏洞。该漏洞会导致在一个HTTP/2的连接过程中，相连的后续请求中，可重新使用来自上一个HTTP请求头中的值。这可能会导致错误并关闭HTTP/2连接，会在请求之间造成信息泄漏。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)