本帖最后由 腾讯电脑管家 于 2020-8-28 18:41 编辑
APT情报
1.Gorgon以口罩订单发送钓鱼文档用于窃取用户敏感信息发布时间:2020年8月24日 情报来源: 情报摘要: 国内安全研究者通过漏洞执行恶意代码和恶意脚本的恶意文档。分析后推测为Gorgon APT组织以商业买卖为主题对外贸公司进行钓鱼攻击,最终窃取受害人的敏感信息。 攻击载荷是伪装为口罩订单的RTF文档,作为商业买卖主题发送钓鱼邮件的附件到达。RTF文档打开后会触发CVE-2017-11882漏洞,通过恶意代码执行恶意脚本,脚本中的代码会下载第二阶段载荷,最终将Agent Tesla注入到合法的进程“RegAsm.exe”中。 APT组织Gorgon是一个被认为来自巴基斯坦的攻击组织,在2018年8月份由Palo Alto Unit42团队进行披露,主要针对全球外贸人士进行攻击,目标还涉及全球政府,外贸等行业。
2.游走在黑暗森林里的“狩猎者”与“黑店”组织的十年斗法发布时间:2020年8月26日 情报来源: 情报摘要: 国内安全研究者发现Darkhotel组织近年攻击行动越发频繁和“肆无忌惮”,其中已知的行为就包括W行动、Darkhotel、Erebus、Daybreak、Thinmon等。该组织使用的恶意代码极为复杂,漏洞武器库也极其充实,囊括双杀0day、双星0day等在内。 今年3月的这次攻击中,研究人员发现DarkHotel使用了一个从未被披露过的全新后门框架,并根据该攻击组件的文件名将其命名为“Thinmon”后门框架。该框架掩盖着另一个秘密——自2017年起,Darkhotel利用这一框架,对我国实施了长达三年的持续性攻击。
3.APT组织针对房地产商的攻击发布时间:2020年8月26日 情报链接: 情报摘要: 安全研究人员发现了又一个拥有APT式攻击能力的雇佣黑客组织,该组织针对至少一个房地产行业的高价值受害者,更多证据表明APT黑客攻击已用于工业间谍活动。 这是一个相对复杂的信息窃取活动,该活动针对的是一家富有的建筑和视频制作公司,在纽约,伦敦,澳大利亚和阿曼从事着数十亿美元的豪华房地产项目。为了实现其工业间谍活动目标,该组织利用了位于韩国的C&C基础设施和0day漏洞,旨在利用受害组织使用易受攻击的Autodesk 3ds Max软件进行3D建模。
该小组的窃取功能包括:屏幕捕获和用户名,计算机名称,网络适配器的IP地址,Windows产品名称,NET Framework版本,有关处理器的信息,总和可用RAM的信息,存储详细信息,文件列表Windows启动时自动启动,处理列表和最新文件。
4.揭开APT组织DeathStalker的面纱发布时间:2020年8月24日 情报链接: 情报摘要: DeathStalker是一个独特的APT组织,似乎针对金融行业的律师事务所和公司。该组织不部署勒索软件,不窃取付款信息以转售它,或从事通常与网络犯罪黑社会相关的任何类型的活动。DeathStalker是一群雇佣兵,提供黑客出租服务,或在金融界充当某种信息经纪人的角色。
威胁事件情报
1. 详解FritzFrog的发现和攻击过程发布时间:2020年8月23日 情报来源: 情报摘要: Guardicore实验室8月19日新发布了一则消息,称他们发现了一个新出现的僵尸网络——FRITZFROG,且已经秘密地将全球数百万台SSH服务器作为攻击目标。确切地说,这是一个先进的点对点的(P2P)僵尸网络,自2020年1月以来一直在攻击SSH服务器。 FritzFrog是用Golang编写的恶意软件,技术含量很高,似乎是高度专业的软件开发人员开发的。具有模块化,多线程且无文件的,在受感染设备的磁盘上不会显示任何攻击痕迹。 攻击目标:积极瞄准政府、教育、金融等领域:FritzFrog试图强行将其传播到政府办公室、教育机构、医疗中心、银行和众多电信公司的数千万IP地址。其中,它成功突破了500多台服务器、感染了美国和欧洲的知名大学以及一家铁路公司。
2.警惕Gafgyt僵尸网络对国内Linux服务器及IoT设备的攻击发布时间:2020年8月25日 情报链接: 情报摘要: 腾讯安全威胁情报中心检测到有境外IP针对国内Linux服务器的远程命令注入攻击。黑客通过批量扫描80、5555、60001端口来发现易受攻击的Linux服务器、android设备以及监控摄像头设备并利用ZeroShell远程代码执行漏洞(CVE-2019-12725)、bash shell漏洞、JAWS Webserver未授权shell命令执行漏洞进行攻击,攻击成功后下载Gafgyt家族僵尸网络木马。 Gafgyt是一种流行的僵尸网络程序,被认为是Mirai的前身,其源代码在2015年初被部分泄露。Gafgyt主要通过telent弱口令以及命令注入漏洞等方式进行攻击传播,通过感染基于Linux的IoT设备(包括基于Linux系统的路由器、智能摄像头等设备)来发起DDoS攻击,攻击类型以UDP、TCP和HTTP攻击为主。
3.攻击者可以利用Google Drive的漏洞分发恶意软件发布时间:2020年8月23日 情报来源: 情报摘要: 攻击者可能利用Google云端硬盘中未修补的漏洞来分发伪装成合法文档或图像的武器化文件。问题出在Google云端硬盘中实现的“ 管理版本 ”功能中,该功能允许用户上载和管理文件的不同版本,并在允许用户向用户提供文件新版本的界面中。该功能允许用户上传带有Google云端硬盘中存储的任何文件扩展名的新版本,从而允许上传恶意可执行文件。
4.DarkSide勒索软件团伙已获利数百万美元发布时间:2020年8月21日 情报摘要: 一个名为DarkSide的新勒索软件操作开始通过自定义攻击攻击组织,这些攻击已为其赢得了数百万美元的收益。从2020年8月10日左右开始,新的勒索软件操作开始对众多公司进行有针对性的攻击。在威胁行动者发布的“新闻稿”中,他们声称是曾经与其他勒索软件业务合作赚了数百万美元的前会员。受害者中,DarkSide的赎金要求从200,000美元到2,000,000美元不等。 像其他勒索病毒攻击一样,当DarkSide操作员破坏网络时,它们将在网络中横向传播,当它们横向传播时,攻击者将从受害者的服务器中收集未加密的数据,并将其上传到他们自己的设备中。然后,这些被窃取的数据将在其控制下发布到数据泄漏站点,并用作勒索企图的一部分。
5.SunCrypt勒索软件加入迷宫勒索软件产业链发布时间:2020年8月26日 情报来源: 情报摘要: 迷宫勒索病毒创建了一个勒索软件联合组织,以共享信息和技术。一个名为SunCrypt的勒索软件运营商表示,他们是Maze 勒索病毒团伙的新成员。
6.数字签名冒用引发信任危机发布时间:2020年8月27日 情报来源: 情报摘要: 国内安全研究人员发现冒用数字签名的网络攻击再度活跃,此次发现的数字签名冒用活动,均为Disc soft 盘软、SRS labs inc音频技术等境外公司,且签名程序袖里藏刀。释放白利用文件,藏身正常程序,博彩网站诱导钓鱼三管齐下,上演了又一场大型信任危机。
7.OA网站挂马"尽显狼藉",多家中招企业沦为"挖矿肉鸡"发布时间:2020年8月27日 情报来源: 情报摘要: 国内安全研究团队监测到致远OA网站出现挂马情况,不法攻击者疑似利用该OA系统曝出的GetShell漏洞实施入侵活动。不法攻击者入侵后,会将该OA网站正常组件程序替换为门罗币挖矿病毒程序,进而利用网站服务器的高速运行能力挖矿,非法获取不正当利益。截止目前,攻击者挖取到的门罗币总价值超过10万人民币。
漏洞情报
1.宝塔面板数据库未授权访问漏洞发布时间:2020年8月23日 情报来源: 情报摘要: 8月23日,宝塔面板官方发布紧急安全更新,请Linux版本7.4.2版本和windows版6.8版本的用户务必更新到最新版。 腾讯安全团队验证分析,宝塔面板Linux正式版7.4.2,Linux测试版7.5.14,Windows正式版6.8,存在未授权访问漏洞。攻击者访问特定路径可直接获取mysql数据造成数据泄露,并可能导致服务器系统权限被获取。
2.Jackson公告反序列化远程代码执行漏洞发布时间:2020年8月27日 情报来源: 情报摘要: FasterXML Jackson公告了新的高危漏洞(漏洞编号:CVE-2020-24616),其官方团队发布了 jackson-databind 的新版本 2.9.10.6,修复了几个反序列化漏洞。 FasterXML jackson-databind 2.9.10.6之前的版本中存在安全漏洞,该漏洞源于不安全的反序列化。远程攻击者可通过精心构造的恶意载荷利用该漏洞在系统执行任意代码。 FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
3.TeamViewer高危漏洞可泄露用户密码发布时间:2020年8月27日 情报来源: 情报摘要: 安全人士在TeamViewer 15.8.3之前的Windows桌面版本中发现了高危漏洞(CVE-2020-13699)。通过利用此漏洞,攻击者可以在受害者的系统上远程执行代码或破解其TeamViewer密码。 TeamViewer是一种非常流行的远程办公应用程序,允许用户远程控制一系列智能设备,以执行文件传输、桌面共享和网络会议等功能。新冠疫情全球大流行以来,TeamViewer的用户数量激增。
|