[原创]本周威胁情报概览（2021.01.16-2021.01.22)

发表于: 2021-1-22 18:11 2378

[原创]本周威胁情报概览（2021.01.16-2021.01.22)

腾讯电脑管家

2021-1-22 18:11

2378

APT事件

1.蔓灵花组织（APT-C-08）使用Warzone RAT的攻击活动披露

发布时间：2021年1月21日

事件来源：

https://mp.weixin.qq.com/s/C09P0al1nhsyyujHRp0FAw

事件摘要：

Warzone RAT是一款纯C/C++开发的商业木马程序，该程序在2018年出现在网络上以软件订阅的方式公开售卖，适配目前所有版本的Windows系统，具备密码采集、远程执行任意程序、键盘记录、远程桌面控制、上传下载文件、远程打开摄像头等多种远程控制功能。

国内安全团队发现，蔓灵花组织在2020年末的攻击活动中，使用Warzone RAT针对我国研究南亚关系的多位社会科学学者进行了攻击。攻击者通过伪造研究讨论学会邀请信的形式发起攻击，最终在受害者机器中植入Warzone RAT进行远程控制。

威胁事件

1.腾讯安全截获TeamTNT挖矿木马最新变种，失陷主机被安装IRC后门，攻击者可实现任意目的

发布时间：2021年1月18日

事件来源：

https://mp.weixin.qq.com/s/3vyqQBYt9pAZY1H_vTgacA

事件摘要：

腾讯安全威胁情报中心检测到TeamTNT变种利用IRC进行通信控制肉鸡服务器组建僵尸网络，此次使用的IRC采用的是github开源的oragono，暂未检测到后门有执行拒绝服务（DoS）功能。

本次攻击目前还只是检测到利用Docker remote api未授权访问漏洞进行攻击，再利用SSH攻击传播，再安装IRC后门。腾讯安全2020年11月25日曾发布文章介绍TeamTNT挖矿家族利用Docker remote api未授权访问漏洞（https://mp.weixin.qq.com/s/Bw8_zNBwpL1eTZZ0dxXQQw）。

2.RunMiner挖矿团伙新增漏洞武器：利用Weblogic反序列化漏洞（CVE-2017-10271）攻击主机挖矿

发布时间：2021年1月19日

事件来源：

https://mp.weixin.qq.com/s/qn13728yk-MbVnKpUxHHEA

事件摘要：

腾讯安全云防火墙检测到RunMiner挖矿木马团伙使用新增漏洞武器攻击云主机挖矿：利用weblogic反序列化漏洞（CVE-2017-10271）对云主机发起攻击，攻击得手后，会下载、执行恶意脚本尝试对Linux、Windows双平台植入挖矿木马，进行门罗币挖矿操作。

RunMiner挖矿木马挖矿前会尝试卸载云主机安装的防护软件，并尝试结束其他占系统资源较高的进程，以清除可能存在的挖矿木马竞争对手。RunMiner挖矿木马团伙的攻击活动会严重影响云主机性能，干扰政企机构正常业务运行。

RunMiner挖矿木马团伙是非常活跃的黑产组织，该组织擅长利用各种漏洞武器入侵存在漏洞的系统，植入木马，控制远程主机挖矿。2020年12月，腾讯安全曾捕获该组织利用Apache Shiro反序列化漏洞（CVE-2016-4437）攻击控制约1.6万台主机挖矿（https://mp.weixin.qq.com/s/7SUXrdZ4WdTVenkVcMpZJQ）。

3.MyKings Botnet新近活动跟踪

发布时间：2021年1月18日

事件来源：

https://mp.weixin.qq.com/s/Dpwj6Pz1hV8bV7IngjhaMA

事件摘要：

因BTC价格疯涨，MyKings病毒团伙也对其基础设施进行了更新。国内安全研究人员发现，MyKings通过扫描互联网上的1433等端口成功入侵受害者主机之后，分段下载混淆PowerShell脚本与加密Dll文件，通过内存解密执行的方式感染受害主机MBR达到持久化目的。

整个感染过程无文件落地，这增加了对其检测与清理的难度。同时MyKings还会向受害主机投递远控木马、挖矿木马等恶意程序。

4.“Preload”SDK：又一个影响数百万Android手机的黑产营销插件网络揭露

发布时间：2021年1月19日

事件来源：

https://mp.weixin.qq.com/s/i8GjmqZFjXrEWxaS-8hxjA

事件摘要：

国内某黑产组织投入的恶意黑产“Preload”SDK插件其访问的云控黑产插件下载服务器自2020年11月末开始进入新一轮爆发期。

“Preload” SDK自2019年7月开始被投入使用，至今共涉及百余款APP，其中部分游戏APP还出现在国内数个主流移动应用商店，累计感染百万级移动终端用户。“Preload” SDK通过加载云控下发的隐私收集、扣费及刷量等多个黑产插件进行不同黑产活动；结合追踪挖掘其对应幕后公司的业务范围，“Preload”SDK的最终目标是为了帮助幕后公司实现恶意互联网营销以牟取丰厚的黑灰色收入。

5.Sysrv-hello僵尸网络集木马、后门、蠕虫于一身，攻击Linux、Windows主机挖矿

发布时间：2021年1月21日

事件来源：

https://mp.weixin.qq.com/s/iNqBcLKwhVUSz5ltLN_ubw

事件摘要：

腾讯安全威胁情报中心检测到Sysrv-hello僵尸网络对云上Nexus Repository Manager 3存在默认帐号密码的服务器进行攻击。得手后再下载门罗币矿机程序挖矿，同时下载mysql、Tomcat弱口令爆破工具，Weblogic远程代码执行漏洞（CVE-2020-14882）攻击工具进行横向扩散。其攻击目标同时覆盖Linux和Windows操作系统。

Sysrv-hello僵尸网络挖矿前，恶意脚本还会尝试结束占用系统资源较多的进程，以独占系统资源，这一行为可能造成企业正常业务中断。CVE-2020-14882漏洞由Oracle 2020年10月21日发布公告修复，属于较新的漏洞攻击工具，因部分企业漏洞修复进度较慢，使得该团伙的攻击成功率较高。

该僵尸网络于2020年12月首次被国内安全研究人员发现，由于具备木马、后门、蠕虫等多种恶意软件的综合攻击能力，使用的漏洞攻击工具也较新，仅仅用了一个多月时间，该僵尸网络已具有一定规模，对政企机构危害较大。

6.FreakOut僵尸网络传播事件

发布时间：2021年1月21日

事件来源：

https://research.checkpoint.com/2021/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/

事件摘要：

CheckPoint发布了FreakOut –利用最新漏洞创建僵尸网络的分析报告。FreakOut恶意程序利用近期新出的三个漏洞实施扫描，并创建僵尸网络。攻击背后的目标是创建一个IRC僵尸网络，此僵尸网络以后可用于多种目的，例如DDoS攻击或加密挖矿。

攻击针对运行以下其中一项的设备：

TerraMaster TOS（TerraMaster操作系统）–用于管理TerraMaster NAS（网络附加存储）服务器的操作系统；

Zend Framework –用于使用PHP构建Web应用程序和服务的软件包的集合，安装量超过5.7亿；

Liferay Portal –一个免费的开源企业门户。这是一个用Java编写的Web应用程序平台，提供与门户网站和网站开发相关的功能。

漏洞事件

1.JumpServer 远程命令执行漏洞风险通告，腾讯安全全面检测

发布时间：2021年1月18日

事件来源：

https://mp.weixin.qq.com/s/yB7pSlG2ZFz65JDf5A-1Mg

事件摘要：

2021年1月15日，开源堡垒机JumpServer发布安全更新，修复了一处远程命令执行漏洞。由于 JumpServer 某些接口未做授权限制，攻击者可构造恶意请求获取敏感信息，或者执行相关操作控制其中所有机器，执行任意命令。

腾讯安全专家提醒受影响的用户尽快升级，解决漏洞风险，腾讯安全产品已支持全面检测。

2.Oracle发布2021年1月重要补丁更新，Weblogic远程代码执行漏洞（CVE-2021-2109）需重点关注

发布时间：2021年1月19日

事件来源：

https://mp.weixin.qq.com/s/psACpptjZroFJjT1zasbbg

事件摘要：

2021年1月20日，Oracle发布2021年首个重要补丁更新包，本次更新含Oracle产品系列中的329个新安全补丁。

其中编号为CVE-2021-2109的Weblogic远程代码执行漏洞值得重点关注，Weblogic相关高危漏洞是网络黑产团伙最钟爱的攻击武器之一，大量勒索病毒、挖矿木马、僵尸网络活动与该组件的高危漏洞利用相关。腾讯安全专家建议受影响的用户尽快修复。

3.Win10出现重大蓝屏漏洞

发布时间：2021年1月21日

事件来源：

https://mp.weixin.qq.com/s/tTWOcQGLbaxBiKJbAoHsUw

事件摘要：

Win10系统出现重大漏洞，会导致电脑系统崩溃并显示蓝屏，波及全球数亿用户。本次漏洞蓝屏主要出现在Windows10 1709及以上系统。当用户使用Chrome浏览器访问特殊地址时，系统会立即崩溃并显示蓝屏。安全研究人员判断，该漏洞可通过欺诈链接诱使受害者点击，主要应用于恶作剧应用，漏洞并不能导致远程代码执行。