-
-
[原创]2021年3月第3周威胁情报概览
-
发表于: 2021-3-19 18:16 2844
-
APT事件
1.针对印度锡克教分离主义运动的攻击活动
发布时间:2021年3月16日
事件来源:
https://mp.weixin.qq.com/s/dxN9bwALw4pmU-iqJ2KBKg
事件摘要:
由于受到政治和宗教的影响,锡克教徒群体一直是APT组织攻击的重点目标。2020年10月国外安全研究机构披露Bahamut组织就通过钓鱼方式仿冒“2020年锡克教徒公投”网站针对锡克教徒进行积极的攻击活动。
国内安全研究者发现多个伪装成宣传锡克教分离主义相关的钓鱼网站,该网站还提供了对应的APP分发服务,该APP不但包含正常功能介绍锡克教分离主义的一些历史、文章。还添加了远控功能,可以后台窃取用户隐私。通过进一步关联发现,本次攻击活动自2019年就开始实施,至今仍在进行中。攻击平台包含Windows和Android。结合受害人的分析,此次攻击目标针对主张锡克教分离主义运动的相关人员以及从事外贸行业的从业人员。
威胁事件
1.仅仅一周,那个打鸡血的Sysrv-hello僵尸网络又多了14种漏洞武器
发布时间:2021年3月15日
事件来源:
https://mp.weixin.qq.com/s/pLnaoai6QMSUcg9k4xMypA
事件摘要:
腾讯安全威胁情报中心检测到,Sysrv-hello僵尸网络近期更新频率极高。从当前捕获到的病毒版本来看,该僵尸网络蠕虫模块攻击方式由之前以爆破攻击为主、漏洞利用为辅转变为:更加依赖漏洞攻击。
新变种在极短时间内向蠕虫传播模块集成了14种新漏洞攻击方式,而这次发现离腾讯安全本月初报告该团伙增加5种漏洞攻击方式仅仅过去一周多。Sysrv-hello僵尸网络最早被安全厂商关注到的时间为2020年12月,该团伙对新漏洞武器的采用速度较快,已是目前技术更新最为频繁的僵尸网络之一,被其攻陷的主机系统有数万台之多。我们预见该团伙未来一段时间仍会高频更新其病毒版本和漏洞攻击工具。
腾讯安全全系列产品已支持对Sysrv-hello僵尸网络各个环节的攻击传播活动进行检测防御。
2.通过U盘传播的多功能勒索软件分析
发布时间:2021年3月16日
事件来源:
https://mp.weixin.qq.com/s/P-mDJtc8rhveY9yMQyloHA
事件摘要:
国内安全研究人员捕获到一种具备可移动介质传播功能的BleachGap勒索软件。该勒索软件最早出现于2021年2月,目前已迭代多个版本。
BleachGap勒索软件具备添加自启动、添加计划任务、改写MBR、使键盘按键失效、通过可移动介质传播等多项功能,采用“AES-256”对称加密算法加密文件,在已知密钥的情况下可快速解密。目前,勒索软件的功能已经不局限于加密文件,开始尝试通过可移动介质的方式横向传播。
3.使用腾讯安全威胁情报分析:黑灰产工具作者终走向木马开发(新挖矿木马NicoMiner)
发布时间:2021年3月17日
事件来源:
https://mp.weixin.qq.com/s/qDbk0C1wrUprU8t_BmkgYQ
事件摘要:
腾讯安全威胁情报中心捕获一起快速增长的挖矿木马NicoMiner,该木马通过Hadoop Yarn未授权访问漏洞、PostgreSQL未授权及提权代码执行漏洞(CVE-2019-9193)进行入侵攻击,会根据操作系统不同分别植入Windows和Linux平台的门罗币挖矿木马。
由于攻击者使用的域名和样本PDB信息中包含“nico jiang”的ID信息,腾讯安全威胁情报中心将该挖矿木马命名为NicoMiner。根据该挖矿木马使用的钱包算力推算,该木马在近一个月内感染量已翻倍,估计受害服务器已达3000台左右。
溯源分析还发现,“nico jiang”在较早时候已从事黑灰产业,该ID陆续注册了与游戏推广、刷量黑灰产有关的域名,近期启用之前留置的相关网络资源从事挖矿黑产。也不排除近期可能有其他黑客掌控 “nico jiang”曾经注册的相关域名和开发设备,用来制作、传播NicoMiner挖矿木马。
漏洞事件
1.XStream发布十余个高危漏洞风险通告
发布时间:2021年3月15日
事件来源:
https://mp.weixin.qq.com/s/hx2_zDOqeNB2qEFNoKybug
事件摘要:
3月15日,XStream官方发布十余个高危漏洞公告。漏洞可能导致拒绝服务、服务端请求伪造或远程代码执行。
XStream是Java类库,用来将对象序列化成XML (JSON)或反序列化为对象。XStream是自由软件,可以在BSD许可证的许可下分发。
2.Apache Solr stream.url SSRF与任意文件读取漏洞风险通告,腾讯安全已支持检测
发布时间:2021年3月18日
事件来源:
https://s.tencent.com/research/bsafe/1273.html
事件摘要:
Apache Solr全版本存在一个SSRF(服务器端请求伪造)与文件读取漏洞。任意文件读取漏洞,因Apache Solr整体默认安装为未授权,且大部分资产都为未授权,提供众多api接口,支持未授权用户通过config api更改配置文件,攻击面较大,腾讯安全产品已支持检测该漏洞。
3.GitLab 远程代码执行漏洞风险通告
发布时间:2021年3月18日
事件来源:
https://s.tencent.com/research/bsafe/1275.html
事件摘要:
GitLab官方发布了GitLab 远程代码执行漏洞风险通告。未经授权但经过身份验证的用户,能够利用该漏洞在服务器上执行任意代码。腾讯安全专家建议受影响的用户将GitLab升级到最新版本。