[原创]本周威胁情报概览（2021.01.01-2021.01.08）

发表于: 2021-1-8 17:01 2443

[原创]本周威胁情报概览（2021.01.01-2021.01.08）

腾讯电脑管家

2021-1-8 17:01

2443

APT事件

1.来自Mustang Panda的攻击? 我兔又背锅了！

发布时间：2021年1月5日

事件来源：

https://mp.weixin.qq.com/s/gN7cUwfy4q_wVOuTn13Sxw

事件摘要：

Mustang Panda 是CrowStrike最早披露的一个APT攻击组织，这个组织主要使用的后门是PlugX,CobaltStrike。因为PlugX被人溯源到是一个中国人开发的。但实际上……

国内安全研究人员发现，类似的样本，在溯源的过程中找到一个越南安全公司的博客。在这个博客里，作者发现，这个省政府最近做了一次信息安全的培训并且把演练的内容公布了出来。博客作者提到的样本，经过关联，都是源于信息安全培训。

威胁事件

1.腾讯主机安全截获TOPMiner挖矿木马，受害服务器约1.5万台

发布时间：2021年1月4日

事件来源：

https://mp.weixin.qq.com/s/9U1V0dkL0AUIPYZWmNSjpA

事件摘要：

腾讯主机安全（云镜）检测到挖矿木马TopMiner近期攻击十分活跃，该木马通过SSH弱口令爆破进行攻击入侵，会清除竞品挖矿木马，同时会使用爆破工具在内网横向传播。根据其挖矿钱包收益估算，约有1.5万台服务器被该团伙控制挖矿。由于其使用的挖矿木马名为top，腾讯安全将其命名为TopMiner挖矿木马。

攻击者在爆破攻击程序代码留下注释："宽带充足基本可以12个小时扫描全球"，气焰可谓十分嚣张。

2.商业远程控制软件误导安装的黑产攻击模式分析

发布时间：2021年1月5日

事件来源：

https://mp.weixin.qq.com/s/WpUKNXlQMzLAmDOO2uJiRg

事件摘要：

2020年新冠病毒的阴影下，合法远程管理软件被滥用的情况格外严重，所涉及合法远控的种类和投递诱饵的数量远超以往，并且具有通用化的倾向。黑产团伙通过误导、欺骗、伪装的方式使用户在不知情的情况下安装合法远控软件实现远程控制，且合法远控一般都带有数字签名或者在杀软的白名单中，驻留程度高，对一般用户而言，没有办法轻易的删除和卸载，给个人及单位造成了极大的安全隐患。

经过长时间的收集和统计，大约有五款合法的远控深受华语黑客团伙的青睐，投递的样本主要通过zip压缩包的形式在各类社交群中进行传播，大部分诱饵会采用SFX的形式去静默安装合法远控软件，少数使用Lnk文件启动。

3.跨平台ElectroRAT恶意软件窃取加密货币钱包

发布时间：2021年1月5日

事件来源：

https://www.bleepingcomputer.com/news/security/cross-platform-electrorat-malware-drains-cryptocurrency-wallets/

事件摘要：

安全研究人员发现了一种新的远程访问木马（RAT），用于清空数千名Windows，Linux和macOS用户的加密货币钱包。跨平台RAT恶意软件在12月被发现后被命名为ElectroRAT，它是用Golang编写的，并且被用作自2020年初以来一直针对加密货币用户的活动的一部分。

为了诱骗潜在受害者，威胁行动者在社交媒体（Twitter和Telegram）以及专用在线论坛（bitcointalk和StemCoinPan）上推广了木马应用程序。到2020年1月至2020年12月，成千上万的受害者下载了这些恶意应用程序，该恶意软件用来检索命令和控制（C2）服务器地址的粘贴页面之一在一年中已被访问了近6,500次。

4.2021年第一个新企业勒索软件：Babuk Locker2

发布时间：2021年1月5日

事件来源：

https://www.bleepingcomputer.com/news/security/babuk-locker-is-the-first-new-enterprise-ransomware-of-2021/

事件摘要：

Babuk Locker是一项新的勒索软件操作，于2021年初启动，此后累积了来自世界各地的一小部分受害者。Babuk Locker当前正在使用一个黑客论坛来泄露其被盗数据，受害者被勒索6万-8.5万美元。

加密文件时，Babuk Locker将使用硬编码的扩展名并将其附加到每个加密的文件中，如下所示。到目前为止，所有受害者使用的当前硬编码扩展名是 .__ NIST_K571__。

5.基于Plex媒体播放平台的DDoS反射攻击来袭

发布时间：2021年1月7日

事件来源：

https://mp.weixin.qq.com/s/y8IqT_mT-oC4EVC4y3bVSw

事件摘要：

国内安全研究团队捕获到利用Plex（媒体播放平台）的网络服务发起的DDoS反射攻击。据现有资料表明，这种反射攻击方式尚属全网首次出现。本次攻击事件中黑客利用了基于Plex服务发起的DDoS反射攻击，Plex是一套媒体播放平台，基于UDP协议提供服务，由于UDP协议的不可靠性质，导致开启该服务的主机容易被黑客利用作为反射源进行DDoS反射攻击。

攻击者采用反射方式实施DDoS攻击时，不是直接攻击受害者IP，而是伪造了大量受害者IP的请求发给相应的开放服务，通常这类开放服务不对源进行校验而是立即完成响应，这样更大更多的响应数据包发送到受害者IP，从而实现了流量的反射。

6.黑客使用假特朗普的丑闻视频传播QNode恶意软件

发布时间：2021年1月6日

事件来源：

https://thehackernews.com/2021/01/hackers-using-fake-trumps-scandal-video.html

事件摘要：

国外研究人员今天揭示了一个新的恶意垃圾邮件活动，该活动通过散布特朗普（Donald Trump）的丑闻视频来分发远程访问木马（RAT）。

电子邮件的主题为“ GOOD LOAN OFFER !!”，附带一个名为“ TRUMP_SEX_SCANDAL_VIDEO.jar”的Java存档（JAR）文件，下载后，该文件将Qua或Quaverse RAT（QRAT）安装到渗透的文件系统中。

攻击程序的第一阶段将Node.Js平台安装到系统上，然后下载并执行第二阶段下载程序，称为“ wizard.js”，该程序负责实现持久性并获取并运行Qnode RAT（“ qnode-win32-ia32.js”）。

QRAT是典型的远程访问木马，具有各种功能，包括获取系统信息，执行文件操作以及从Google Chrome，Firefox，Thunderbird和Microsoft Outlook等应用程序获取凭据。

7.区块链金融借贷平台WarpFinance 500万美元损失攻击事件分析

发布时间：2021年1月7日

事件来源：

https://mp.weixin.qq.com/s/YXRATmsHMpE2N62N9wKCQg

事件摘要：

区块链技术蓬勃发展产生了大量应用，其中最热门的一个方向当属DeFi去中心化金融。WarpFinance，作为一个借贷平台，实现了使用LPtoken作为抵押资产进行贷款的功能。在抵押借贷的过程中，WarpFinance需要评估该流动性凭证的价值以确定可以贷出的货币数量。由于WarpFinance对LPtoken的估值算法存在缺陷，导致攻击者可以通过操控池中贵价币的数量，使持有的LPtoken增值，进而可以借出更多的货币。

漏洞事件

1.在超过100,000个Zyxel防火墙、VPN网关中发现后门帐户

发布时间：2021年1月2日

事件来源：

https://www.zdnet.com/article/backdoor-account-discovered-in-more-than-100000-zyxel-firewalls-vpn-gateways/

事件摘要：

超过100,000个Zyxel防火墙、VPN网关和访问点控制器包含一个硬编码的管理员级别后门帐户，该帐户可以使攻击者通过SSH界面或Web管理面板对设备进行根访问。安全专家建议设备所有者尽快更新系统。

安全专家警告说，从DDoS僵尸网络运营商到国家资助的黑客组织和勒索软件团伙，任何人都可能滥用此后门帐户来访问易受攻击的设备，并转至内部网络以进行其他攻击。

受影响的模型包括合勤科技许多企业级设备中的顶级产品，这些产品通常部署在私营企业和政府网络中。

这些设备中的许多设备都是在公司网络的边缘使用的，一旦遭到破坏，攻击者就可以对内部主机进行攻击并发起进一步的攻击。

2.Node.js发布多个安全更新

发布时间：2021年1月5日

事件来源：

https://s.tencent.com/research/bsafe/1214.html

事件摘要：

1月4日，Node.js发布多个安全更新。包括一个TLSWrap的use-after-free漏洞（CVE-2020-8265），可能被利用来破坏内存，从而导致拒绝服务或其他潜在的利用。及一个HTTP Request Smuggling漏洞（CVE-2020-8287）。

3.Apache Flink目录遍历漏洞风险通告，腾讯安全全面检测

发布时间：2021年1月6日

事件来源：

https://mp.weixin.qq.com/s/ZsNOKC8ulVk66BZZxqD-BA

事件摘要：

2021年1月5日，Apache官网发布公告，通报了Apache Flink目录遍历漏洞，可通过REST API读/写远程文件。该漏洞风险等级为高，漏洞利用poc代码已在互联网上公开，意味着黑客利用攻击很快就会到来。

腾讯安全网络空间测绘结果显示，采用Apache Flink的服务器中国大陆地区最多，占比超过60%。腾讯安全已紧急响应，全面检测该漏洞风险。

4.jackson-databind 多个反序列化漏洞风险通告

发布时间：2021年1月7日

事件来源：

https://mp.weixin.qq.com/s/Axo9lEYQtQTB1QVkDjaNqw

事件摘要：

2021年1月6日，jackson-databind官方发布公告，通报了多个反序列化漏洞，漏洞风险等级为“高危”，攻击者利用漏洞可能实现远程代码执行。

FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的核心组件之一。

5.FortiWeb 多个高危漏洞安全通告

发布时间：2021年1月7日

事件来源：

https://mp.weixin.qq.com/s/5PPEuODbGdd-dRLyCNE2Cg

事件摘要：

FortiWeb发布了FortiWeb 多个高危漏洞的风险通告，漏洞编号有CVE-2020-29015，CVE-2020-29016，CVE-2020-29019，CVE-2020-29018。事件等级：严重。FortiGate防火墙 FortiWeb应用中存在多处漏洞：SQL注入漏洞，栈溢出漏洞，信息泄漏漏洞。