APT事件
1.发现新的SUNSHUTTLE第二阶段后门程序
发布时间:2021年3月4日
事件来源:
https://www.fireeye.com/blog/threat-research/2021/03/sunshuttle-second-stage-backdoor-targeting-us-based-entity.html
事件摘要:
国外研究机构发现一个新的后门程序,该后门程序是由一家美国实体于2020年8月上传到公共恶意软件存储库的,研究人员将其命名为SUNSHUTTLE。SUNSHUTTLE用GO编写,并读取嵌入式或本地配置文件,并通过HTTPS与硬编码的(C2)服务器通信,并支持命令,包括远程上载其配置,文件上传和下载,以及任意命令执行。值得注意的是,SUNSHUTTLE使用cookie标头将值传递给C2,并且如果进行了配置,则可以从受欢迎的网站URL列表中选择引荐来源网址,以帮助此类网络流量“融合”。
2.疑似Donot组织利用RTF模板注入针对周边地区的攻击活动分析
发布时间:2021年3月9日
事件来源:
https://mp.weixin.qq.com/s/UtLkzkFkJ4lI0lq10xQUOA
事件摘要:
Donot“肚脑虫”(APT-C-35)是疑似具有南亚背景的APT组织,其主要以周边国家的政府机构为目标进行网络攻击活动,通常以窃取敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力。
国内安全团队捕获到Donot APT组织近期攻击频繁,其利用恶意RTF模板注入以及公式编辑漏洞利用样本对周边国家地区开展了多次攻击活动。
3.MKLG行动:疑似针对中东地区长达数年的攻击活动分析
发布时间:2021年3月10日
事件来源:
https://mp.weixin.qq.com/s/l_mt-vzSl0oZLNRHOkrRVA
事件摘要:
国内安全研究团队注意到一起长期针对中东地区的持续性攻击活动:至少从2016年2月活跃至今,该攻击活动背后的组织主要针对Windows端开展攻击。
截止目前,共捕获到Windows平台攻击样本18个,涉及C&C域名3个。攻击活动具有以下特点:主要以带有恶意宏的Word文档,伪装成视频、浏览器等软件的可执行文件为攻击载荷开展攻击活动;C&C域名均伪装成microsoft相关,具有较强的迷惑性,其中microsoft[.]updatei[.]com自2016年开始一直沿用至今;自2016年2月开始,恶意软件中PDB路径中几乎均带有“mklg”,攻击者一直使用同一家族木马进行重复开发,根据PDB路径,我们将此次活动命名为“MKLG”;此次攻击活动的针对目标疑似为以波斯语为主要语言的中东国家;键盘记录相关功能会将记录的信息转化为波斯语,可见该行动具有较强的针对性。
4.一款利用CVE-2019-2215漏洞进行攻击的移动端新型木马SociaSpy
发布时间:2021年3月11日
事件来源:
https://mp.weixin.qq.com/s/M8YG9hmwR9jYwDGpJ4fp_Q
事件摘要:
国内安全研究人员在移动端高级威胁分析运营过程中,捕获到Android平台上一款新型间谍木马。基于该家族针对的窃取信息性质,将其命名为SociaSpy。SociaSpy木马主要利用CVE-2019-2215漏洞提权后进行信息窃取,这引起了我们的关注。目前未发现SociaSpy木马对国内有影响。
CVE-2019-2215漏洞是存在于Android Binder组件中的UAF漏洞,成功利用该漏洞可以造成本地权限提升。该漏洞已被发现到被国外数个APT组织在野攻击利用。
威胁事件
1. QNAP NAS在野漏洞攻击事件
发布时间:2021年3月5日
事件来源:
https://blog.netlab.360.com/in-the-wild-qnap-nas-attacks-2/
事件摘要:
国内安全团队检测到攻击者正在使用台湾QNAP Systems,Inc.公司的网络存储设备(NAS)诊断程序(Helpdesk)的未授权远程命令执行漏洞(CVE-2020- 2506&CVE-2020-2507)攻击,获取到系统根权限后进行恶意挖矿。
研究人员将此次发布的挖矿程序命名为UnityMiner,称为攻击者专门针对QNAP NAS设备特性,隐藏了挖矿进程,隐藏了真实的CPU内存资源占用信息,使用户无法在Web管理界面中看到系统异常行为。
2.GuardMiner利用9种手法攻击传播
发布时间:2021年3月9日
事件来源:
https://mp.weixin.qq.com/s/JkCGWq38g3EgUq9kqWW4MA
事件摘要:
腾讯安全威胁情报中心检测到GuardMiner挖矿木马团伙新的攻击活动,该团伙利用Elasticsearch远程代码执行漏洞(CVE-2015-1427)等9种漏洞武器针对云上主机发起攻击。根据检测数据推算,受害主机已过万台,该挖矿木马会卸载云主机安装的安全软件。腾讯安全专家建议企业安全运维人员积极修复服务器组件漏洞,避免使用弱口令,防止云主机被该团伙使用的漏洞武器攻陷。
GuardMiner最早出现于2019年,至今已活跃超过2年,该挖矿木马通过Go语言编写的二进制程序针对Windows平台和Linux平台进行攻击传播,通过crontab定时任务以及安装SSH公钥后门进行持久化控制,并且还会利用比特币的交易记录来动态更新C2地址。
3.网络诈骗之贷款类诈骗研究报告
发布时间:2021年3月8日
事件来源:
https://www.anquanke.com/post/id/233448
事件摘要:
揭露网络诈骗中的贷款类诈骗App,希望大家可以对贷款诈骗提高警惕,保护个人财产安全。报告对贷款类诈骗app的特性做了分析。
4.Gootloader恶意软件感染全球WordPress网站
发布时间:2021年3月5日
事件来源:
https://threatpost.com/wordpress-injection-malware-campaign/164555/
事件摘要:
被称为Gootloader的下载恶意软件正在全球范围内污染网站,该活动通过向WordPress网站注入数百页的虚假内容来滥用WordPress网站。
到目前为止,攻击者已经提供了Cobalt Strike入侵工具,Gootkit银行木马或REvil勒索软件。
研究人员在12月发现了Gootloader恶意软件,已渗透到涉及酒店业,高端零售,教育,医疗保健,音乐和视觉艺术等领域的数十个合法网站,所有受感染的网站都在WordPress上运行。
5.Clast82恶意软件通过谷歌Play商店分发
发布时间:2021年3月9日
事件来源:
https://thehackernews.com/2021/03/9-android-apps-on-google-play-caught.html
事件摘要:
网络安全研究人员发现,通过Google Play商店分发的多达9个Android应用程序中都包含一个新的恶意软件,该恶意软件能够侵入受害者的财务帐户并对其设备进行完全控制。研究人员表示,这个称为Clast82的恶意软件利用了一系列技术来避免被Google Play保护检测所检测到。
该活动使用的应用程序包括Cake VPN,Pacific VPN,eVPN,BeatPlayer,QR /条形码扫描仪MAX,音乐播放器,tooltipnatorlibrary和QRecorder。
6.新型Ryuk勒索软件变种具备自我传播能力
发布时间:2021年2月27日
https://www.freebuf.com/news/264591.html
事件摘要:
法国安全专家近日发现一种新型 Ryuk 勒索软件变种,该变种增加了蠕虫的功能,可以在本地网络中传播。
研究报告显示:“除常见的功能外,新版本的 Ryuk 勒索软件增加了在本地网络上蠕虫式传播的功能”,“通过计划任务、恶意软件在Windows 域内的机器间传播。一旦启动,该恶意软件将在 Windows RPC 可达的每台计算机上传播”。
漏洞事件
1.微软发布2021年3月安全更新,部分高危漏洞细节已公开
发布时间:2021年3月10日
事件来源:
https://mp.weixin.qq.com/s/Ir_9qoANCKcuKAGtqF3MWg
事件摘要:
2021年3月10日,微软官方发布3月份的安全漏洞公告及相关补丁,本次更新共发布CVE 89个,其中包含严重级14个,重要级75个。远程代码漏洞45个,信息泄露漏洞6个,特权提升30个,拒绝服务漏洞4个。
影响组件包括:Windows系统、Azure、IE和Edge、Exchange Server、Office、SharePoint Server,Visual Studio,和Hyper-V。
腾讯安全推荐企业用户使用腾讯零信任无边界访问控制系统(iOA)或Windows 更新扫描安装补丁,个人用户推荐使用腾讯电脑管家或Windows Update。
2.F5 发布多个高危漏洞风险通告
发布时间:2021年3月11日
事件来源:
https://s.tencent.com/research/bsafe/1270.html
事件摘要:
2021年3月11日,F5官方发布了BIG-IP、BIG-IQ中的多个高危漏洞风险公告,多个漏洞可导致远程代码执行。其中包括四个关键的CVEs,以及三个相关的CVEs。腾讯安全专家建议受影响的用户尽快升级到最新版本。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
