-
-
[原创]本周威胁情报概览(2021.01.23 - 2021.01.29)
-
发表于: 2021-1-29 16:44 2506
-
APT事件
1.针对安全研究人员的攻击
发布时间:2021年1月26日
事件来源:
https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/
事件摘要:
在过去的几个月中,威胁分析小组确定了一个持续的活动,该活动针对安全研究人员,这些安全研究人员在不同的公司和组织中从事漏洞研究和开发。这项攻击活动的参与者被归因于东亚某政府相关的APT组织,研究人员希望这篇文章能提醒安全研究界的人们,他们是政府支持的攻击者的目标,并且在与以前从未与之互动过的个人打交道时应保持警惕。
为了建立信誉并与安全研究人员建立联系,行动者建立了一个研究博客和多个Twitter个人资料,以与潜在目标进行互动。他们使用了这些Twitter个人资料来发布指向其博客的链接,发布其声称的漏洞利用的视频以及放大和转发来自他们所控制的其他帐户的帖子。
2.Konni APT组织以朝鲜疫情物资话题为诱饵的攻击活动分析
发布时间:2021年1月27日
事件来源:
https://mp.weixin.qq.com/s/huvrA3v31FAZMGyyswbs6A
事件摘要:
Konni APT 组织是朝鲜半岛地区最具代表性的 APT 组织之一,自 2014 年以来一直持续活动。该组织经常使用鱼叉式网络钓鱼的攻击手法。国内安全研究人员发现该组织的最新活动:
以“朝鲜疫情物资”话题相关文章作为诱饵文档进行攻击活动,诱饵文档延续了该组织以往的攻击手法,将正文颜色设置为难以阅读的颜色以诱导用户启用宏。在文档携带的恶意宏中,从失陷的服务器中下载后门模块并执行。后门模块为 Amadey 家族木马,攻击者可利用该后门模块进行下一步恶意模块的分发,该组织经常使用此家族木马进行攻击活动。本次攻击活动手法与以往安全机构披露的“隐士”、“BlueSky” 等攻击活动手法类似,另外还与具有相同背景的半岛地区 APT 组织 Kimsuky 有诸多关联之处。
威胁事件
1.Egregor勒索软件简要分析报告
发布时间:2020年12月28日
事件来源:
https://www.freebuf.com/articles/database/258970.html
事件摘要:
Egregor勒索软件是一款相对较新的勒索软件(最早出现在2020年9月),就目前的发展情况来看,它似乎正在努力成为勒索软件界的Top 1。从使用的代码混淆技术、API调用和勒索信息来看,Egregor被认为是Ransom.Sekhmet的一个变种。
在Maze勒索软件背后的攻击者宣布退出“舞台”之前,之前使用Maze勒索软件的网络犯罪团伙就已经开始转向使用Egregor。目前,受到Egregor攻击的一些知名受害者还包括Barnes&Noble、Kmart和Ubisoft等等。
攻击通常分为两个步骤:首先通过网络钓鱼邮件来尝试感染Qakbot,然后再安装实际的Egregor勒索软件。后者是由攻击者手动部署的,而这些攻击者首先需要通过初始化入侵感染来获取到目标设备的访问权限。
2.Hospit勒索新变种瞄准制造业
发布时间:2021年1月28日
事件来源:
https://mp.weixin.qq.com/s/eioU3KaZ9MnWywvI1cqeQQ
事件摘要:
Hospit勒索病毒最早于2020年12月被发现,其主要通过RDP暴破等方式传播,具有很强的行业针对性。早期变种加密后缀为”.guanhospit”,攻击目标均为医疗单位。此次发现的变种加密后缀为”.builder”,攻击目标均为制造业。
Hospit勒索病毒背后的团伙似乎不同于其他勒索团伙的随机选择,该团伙每一次行动都具有很强的目标性,未来可能将有更多的行业成为其攻击目标。
3.零售巨头牛奶集团遭勒索软件攻击,赎金高达3000万美元
发布时间:2021年1月26日
事件来源:
事件摘要:
据BleepingComputer报道,REvil勒索软件组已在2021年1月14日左右入侵了牛奶集团的网络和加密设备,所要赎金高达3000万美元,该金额尚未得到确认。
为了证明他们可以访问Dairy Farm网络,威胁参与者分享了Active Directory用户和计算机MMC的屏幕快照。攻击者声称在攻击发生7天后仍然可以访问网络,包括对Dairy Farm公司电子邮件的完全控制权,他们声明将这些电子邮件用于网络钓鱼攻击。
4.欧洲刑警组织:Emotet恶意软件将在3月25日自行卸载
发布时间:2021年1月27日
事件来源:
事件摘要:
欧洲刑警组织宣布了臭名昭著的Emotet电子邮件垃圾邮件僵尸网络的破坏,该僵尸网络用于分发安装了TrickBot和Qbot等恶意软件的恶意Word垃圾邮件附件。这些攻击通常会导致感染公司网络、部署Ryuk和Conti的TrickBot木马。
安全研究人员 Milkream 发现Emotet已开始将新模块推向受感染的设备,该模块将于2021年3月25日12:00从受感染的设备上卸载Emotet恶意软件。
5.涉案数千万美元的勒索软件NetWalker官网被查封
发布时间:2021年1月28日
事件来源:
https://www.freebuf.com/news/262283.html
事件摘要:
NetWalker暗网网站用于展示受害者资料,泄露受害者数据,以及与受害者们进行谈判,目前已经被执法机构查封。同时,一名与NetWalker合作以牟利(又称NetWalker的“联盟伙伴”)的加拿大人被美国司法部起诉。
NetWalker也被称为Mailto勒索软件(Mailto是基于加密文件名格式的命名,NetWalker是基于勒索软件的勒索信内容的命名),最早被发现于2019年9月,主要针对全球企业和政府机构进行活动。
该软件活跃于2020年,索要高昂赎金,在全球累计造成了数千万美元的巨大损失。美国当局称,NetWalker已经影响了至少305名受害者,分布于27个不同国家。NetWalker转向了RaaS(勒索软件作为服务)交付模式,以吸引更多网络犯罪分子,后者被称之为“affiliate partner”,即“联盟伙伴”;联盟伙伴会从获取的赎金中抽成60%-75%。据去年8月的一份公开报道,这种模式让这些联盟伙伴在去年3到7月之间赚取了2500万美元。
6.新威胁:利用Hadoop Yarn REST API未授权漏洞攻击云主机,安装多种木马通过SSH爆破扩散
发布时间:2021年1月28日
事件来源:
https://mp.weixin.qq.com/s/yna1ejvxVhmi0NXYEnpkLA
事件摘要:
腾讯安全威胁情报中心检测到有攻击者利用Hadoop Yarn REST API未授权命令执行漏洞攻击云上主机,攻击成功后执行恶意命令,向系统植入挖矿木马、IRC BotNet后门、DDoS攻击木马,入侵成功后还会使用SSH爆破的方式进一步向目标网络横向扩散。
通过对木马家族进行关联分析,发现本次攻击活动与永恒之蓝下载器木马关联度极高,攻击者使用的攻击套件与Outlaw僵尸网络木马高度一致,但尚不能肯定攻击活动由这两个团伙发起。
因本次攻击具有蠕虫式的扩散传播能力,可下载安装后门、执行任意命令,发起DDoS攻击,对受害单位网络信息系统安全构成严重影响。
7.TeamTNT使用新的逃避检测工具交付恶意软件
发布时间:2021年1月27日
事件来源:
事件摘要:
安全研究人员从TeamTNT对手小组中识别出了一种新工具,以前发现该工具针对暴露的Docker基础架构,用于加密货币挖矿和凭证盗窃。
新工具的目的是从进程信息程序(例如ps和lsof)中隐藏恶意进程,有效地充当防御规避技术。该工具名为libprocesshider,是2014年位于Github上的开源工具,被描述为“使用ld preloader在Linux下隐藏进程。”预加载允许系统在加载其他系统库之前加载自定义共享库。自定义共享库导出的功能与系统库中的功能具有相同的签名,自定义版本将覆盖该功能。
漏洞事件
1.SonicWall SSL-VPN 远程命令执行漏洞风险通告
发布时间:2021年1月27日
事件来源:
https://s.tencent.com/research/bsafe/1236.html
事件摘要:
国外安全研究人员披露了SonicWall SSL-VPN 历史版本远程命令执行漏洞以及相关利用脚本,由于SonicWall SSL-VPN使用了旧版本内核以及HTTP CGI 可执行程序,攻击者可构造恶意其HTTP请求头,造成远程任意命令执行,并取系统控制权限。
腾讯安全专家建议受影响的用户尽快升级到安全版本。SonicWall SSL-VPN 是SonicWall公司旗下的VPN软件,该公司总部位于美国硅谷。
2.SAP Solution Manager EemAdmin 远程代码执行漏洞(CVE-2020-6207)风险通告
发布时间:2021年1月21日
事件来源:
https://s.tencent.com/research/bsafe/1237.html
事件摘要:
2020年3月,SAP官方发布安全更新修复了位于UXMon中的一处远程代码执行漏洞(CVE-2020-6207),由于缺少身份验证检查,SAP Solution Manager(用户体验监控)7.2以下版本不对服务执行任何身份验证,从而破坏了连接到SAP Solution Manager的SMDAgent。
2021年1月25日,有国外安全研究人员披露了SAP Solution Manager EemAdmin 远程代码执行漏洞(CVE-2020-6207)利用脚本。攻击者可构造恶意请求控制SAP Solution Manager服务器,执行任意命令。
腾讯安全专家建议受影响的用户尽快升级到最新版本。SAP Solution Manager是提供给SAP客户的中央支持和系统管理套件,能方便对企业进行技术相关与应用相关功能的监控。
3.sudo堆溢出漏洞(CVE-2021-3156)风险通告
发布时间:2021年1月27日
事件来源:
https://s.tencent.com/research/bsafe/1238.html
事件摘要:
国外研究团队发现sudo堆溢出漏洞(CVE-2021-3156),漏洞隐藏十年之久,普通用户可以通过利用此漏洞,在默认配置的 sudo 主机上获取root权限。漏洞细节已在互联网上公开,腾讯安全专家提醒linux系统管理员尽快修复。
Sudo是一个功能强大的实用程序,大多数(如果不是全部)基于Unix和Linux的操作系统都包含Sudo。
成功利用此漏洞,任何没有特权的用户都可以在易受攻击的主机上获得root特权。研究人员已经在Ubuntu 20.04(Sudo 1.8.31),Debian 10(Sudo 1.8.27)和Fedora 33(Sudo 1.9.2)上独立验证漏洞并开发多种利用漏洞并获得完整的root用户特权,其他操作系统和发行版也可能会被利用。
4.WebSphere Application Server容易受到XML外部实体(XXE)注入漏洞(CVE-2020-4949)攻击风险通告
发布时间:2021年1月27日
事件来源:
https://s.tencent.com/research/bsafe/1239.html
事件摘要:
在处理XML数据时,IBM WebSphere Application Server 7.0、8.0、8.5和9.0容易受到XML外部实体注入(XXE)攻击。远程攻击者可能利用此漏洞来泄露敏感信息或消耗内存资源。
IBM WebSphere Application Server(WAS)是由IBM遵照开放标准,例如Java EE、XML及Web Services,开发并发行的一种应用服务器。与其兼容的Web服务器包括Apache HTTP Server、Netscape Enterprise Server、微软Internet Information Services(IIS)以及IBM HTTP Server。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!