-
-
[原创]本周威胁情报概览(2021.03.20 - 2021.03.26)
-
发表于: 2021-3-26 16:09 4506
-
APT事件
1.双尾蝎组织利用选举话题对巴勒斯坦展开攻击活动
发布时间:2021年3月25日
事件来源:
https://mp.weixin.qq.com/s/Y6lPTN4bqiM2qaRYDP2PWA
事件摘要:
双尾蝎(APT-C-23)组织至少2016年5月起活跃至今,长期对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的持续性攻击,背后攻击者疑似具备中东背景。攻击活动涉及 Windows 与 Android 平台,投递的诱饵主要伪装成文档、播放器、聊天软件以及一些特定领域常用软件,通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透,向特定目标人群进行攻击。
近期国内安全研究人员发现多起双尾蝎利用选举话题针对巴勒斯坦国的攻击活动,分析有如下特点:
攻击活动以“总统和领导层在选举中的立场以及有关法令的建议”和“开幕式和选举权”等选举相关时事热点为话题,对目标受害者进行鱼叉式钓鱼攻击。
捕获到的 Windows 平台样本包含 VC 和 Delphi 开发的两种后门(Delephi 版本后门也称 Micropsia),其中 VC 版本后门已迭代更新到 8.0 版本,两种后门具备的功能和早期版本相比指令趋向于精简化。这让攻击更加隐蔽,攻击者会挑选特定感兴趣的目标然后下发后续攻击载荷。
威胁事件
1.多款商业木马正通过钓鱼邮件传播
发布时间:2021年3月22日
事件来源:
https://mp.weixin.qq.com/s/h8F_v4isUTcxY_i_0Uz08w
事件摘要:
国内安全研究人员在日常样本运营中观察到多款商业木马正在通过钓鱼邮件广泛传播,包括RemcosRAT、AgentTesla、SnakeKeylogger、AsyncRAT、Nanocore等等。
商业木马主要由钓鱼邮件进行传播,邮件内容通常为热点话题或人们感兴趣的内容,邮件附件通常为带有恶意宏代码的office文档文件或漏洞利用的文档文件。邮件附件被受害者执行之后,通常会层层解密从攻击者的服务器下载后续,最终加载执行木马主体文件,实现对用户设备的远程控制或信息窃取。
2.腾讯安全云监测系统试用即发现罗马尼亚黑客对企业云服务器的攻击
发布时间:2021年3月25日
事件来源:
https://mp.weixin.qq.com/s/pGscE_KM2a823RH-b6AKeA
事件摘要:
腾讯安全威胁情报中心检测到nasapaul僵尸网络通过SSH爆破攻击云服务器,该僵尸网络疑似由罗马尼亚黑客Paul控制,根据其挖矿钱包收入估算,被控肉鸡服务器数量超3万台。该僵尸网络除控制肉鸡挖矿之外,还会收集敏感信息、利用肉鸡系统进行DDoS攻击,具备扫描爆破横向扩散的能力。腾讯安全专家建议政企客户高度重视SSH登录弱口令风险,及时纠正,防止受害。
3.仿软件、劫网站、插广告、窃隐私,还有什么是他不敢干的?
发布时间:2021年3月24日
事件来源:
https://mp.weixin.qq.com/s/Ifn373Tdbx4-97q95sGsJQ
事件摘要:
有网友反馈,在访问网站时被强行插入广告,且部分无法关闭。经分析发现,是一些浏览器恶意扩展在正常访问的网站中强插广告导致,进一步溯源发现,这些浏览器扩展来源主要是搜索推广的恶意下载器软件携带安装的。
国内安全研究人员对这些下载器分析,发现恶意下载器仿冒了超过3500款软件,涵盖办公、行业、设计、媒体等常见类型,其在启动后会静默向浏览器安装恶意扩展,该扩展通过云控在用户访问的其它网站中插入广告、劫持电商、导航、私服等超过6000个网站,此外扩展还会收集用户的上网数据甚至会收集用户在360论坛、QQ电脑管家论坛的发贴反馈情况;所有劫持规则均通过云端下发并使用AES、DES进行加密。
漏洞事件
1.Apache OFBiz RMI反序列化任意代码执行漏洞风险通告
发布时间:2021年3月22日
事件来源:
https://s.tencent.com/research/bsafe/1276.html
事件摘要:
2021年3月22日,Apache OFBiz官方发布安全更新,修复了一处由RMI反序列化造成的远程代码执行漏洞。攻击者可构造恶意请求,触发反序列化,从而造成任意代码执行,控制服务器。
2.Adobe ColdFusion 远程代码执行漏洞(CVE-2021-21087)风险通告
发布时间:2021年3月23日
事件来源:
https://s.tencent.com/research/bsafe/1277.html
事件摘要:
2021年3月22日,Adobe ColdFusion 官方发布安全更新,修复了一个远程代码执行漏洞(CVE-2021-21087)。由于过滤不严,未经授权的攻击者可构造恶意请求,造成任意代码执行,攻击者可能控制服务器。
Adobe ColdFusion是一个快速应用程序开发平台。
3.ntopng 权限绕过与任意代码执行漏洞(CVE-2021-28073/CVE-2021-28074)风险通告
发布时间:2021年3月24日
事件来源:
https://s.tencent.com/research/bsafe/1278.html
事件摘要:
2021年3月24日,国内某安全团队公开披露ntopng 权限绕过与任意代码执行漏洞,CVE编号为 CVE-2021-28073、CVE-2021-28074。
攻击者可构造恶意请求,绕过相关认证,配合相关功能造成任意代码执行,控制服务器。漏洞技术细节与poc代码已公开。
ntopng是一款基于Web的流量分析与集流工具。
4.Cisco Jabber 多个高危漏洞风险通告
发布时间:2021年3月25日
事件来源:
https://s.tencent.com/research/bsafe/1280.html
事件摘要:
CVE-2021-1411:代码执行,可导致服务器被接管
此漏洞是由于邮件内容验证不正确引起。攻击者可以通过向受影响的软件发送特制的XMPP消息来利用此漏洞,攻击者利用漏洞可以在目标系统执行任意命令。
CVE-2021-1469:代码执行,可导致服务器被接管
此漏洞是由于邮件内容验证不正确引起的。攻击者可以通过向受影响的软件发送特制的XMPP消息来利用此漏洞,攻击者利用漏洞可以在目标系统执行任意命令。
CVE-2021-1417:信息泄露
攻击者可以通过将精心制作的XMPP消息发送到目标系统来利用此漏洞,攻击者利用此漏洞可以获取敏感的身份验证信息。
CVE-2021-1471:证书校验,可导致流量劫持
攻击者可以通过在网关处拦截受影响软件的网络请求并提供恶意制作的证书,从而利用此漏洞劫持流量。
CVE-2021-1418:拒绝服务
攻击者可以通过将精心制作的XMPP消息发送到目标系统来利用此漏洞。攻击者利用漏洞可能执行DDos攻击。
5.OpenSSL发布两个高危漏洞风险通告(CVE-2021-3449/3450)
发布时间:2021年3月26日
事件来源:
https://s.tencent.com/research/bsafe/1281.html
事件摘要:
3月25日,OpenSSL官方发布两个高危漏洞风险通告,漏洞风险等级为“高”,攻击者利用漏洞可导致拒绝服务和中间人攻击。
OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连线者的身份。这个包广泛被应用在互联网的网页服务器上,已是互联网最重要的基础设施之一。