2020年9月第2周威胁情报概览

腾讯电脑管家

APT情报1.TransprentTribe APT组织针对印度COVID-19攻击样本分析

发布时间：2020年9月5日

情报来源：

https://mp.weixin.qq.com/s/QPugT-KYimco9H1DWvNPyw

情报摘要：

针对印度新冠状病毒（COVID-19）的攻击样本，该攻击中使用到的诱饵文件来自于印度当前COVID-19的实时新闻与相关政策。经过分析，初步认为该次攻击由TransparentTribe APT组织发起，该组织又称ProjectM，C-Major，是一个来自巴基斯坦的APT攻击组织，主要目标是针对印度政府，军事目标。

威胁事件情报1.“钓鱼客”瞄准网络热游，玩家氪肝之余小心沦为“待宰肥羊”

发布时间：2020年9月3日

情报来源：

https://mp.weixin.qq.com/s/9xnXBw-tfE6TSa7d0CHQ_Q

情报摘要：

国内安全团队监测到一批恶意钓鱼样本正在有组织的小规模投放测试，该恶意软件成功运行后会在用户电脑上建立后门，用户电脑沦为木马团伙手中的肉鸡。木马团伙混进游戏玩家交流社区，将钓鱼木马伪装成与游戏有关的文件名，通过社群共享传播。

2.“银行窃贼”转型“病毒分销商”，Emotet木马加持横向渗透掀起安全危机！

发布时间：2020年9月3日

情报来源：

https://mp.weixin.qq.com/s/ukqtV2VulUXw1Ha4-u0qiw

情报摘要：

因窃取银行登录凭据而臭名昭著的Emotet木马，现在开始通过创建远程服务的手法进行横向渗透，成为了分发Qakbot、TrickBot等其他恶意软件的Loader。

国内安全研究团队对该木马进行溯源并深入分析后，发现该木马作者正在利用以“新型冠状病毒”疫情为话题的钓鱼邮件进行传播，当木马程序被启动后，最新的Emotet变种通过下发Qbot进行横向渗透。

3.勒索团伙追踪：Avaddon的发展历程

发布时间：2020年9月9日

情报来源：

https://mp.weixin.qq.com/s/kFZq-e6iWdV04YaIuY8iGA

情报摘要：

截至9月初，Avaddon勒索团伙已成功攻击2家美国企业和1家美国院校，并在勒索未果后，在暗网上公开其敏感文件。通过情报还发现，Avaddon勒索团伙的攻击目标亦包含中国，已有小部分国内企业受到影响，通过梳理新型勒索团伙Avaddon的发展历程，并分析其在国内的影响情况，以帮助大家更好的了解和防范此勒索团伙。

4.黑产利用感染型宏文档，配合挖矿软件肆虐多年

发布时间：2020年9月10日

情报来源：

https://mp.weixin.qq.com/s/JBRGpAW5-qFMQoCFUBjxgw

情报摘要：

国内安全研究团队在黑产挖掘过程中发现一VT查杀率较低的宏脚本，经过分析发现为挖矿木马Downloader。通过IOC溯源发现早在2018年，该黑产组织就开始通过大量钓鱼邮件传播样本，且有不少人中招。

样本存在有两个版本，低版本是通过绑定静态域名来诱导用户下载挖矿木马。可能由于攻击成功率不高（触发了宏脚本后，还需用户登陆被绑定的域名才能进行下一步攻击），另一个版本为直接URLDownload并执行恶意程序，同时还存在“版本更新“功能，检测到当前文档宏代码里存在”OfficeCheck“等字样时将当前代码被替换为新版本代码。两个版本代码都具有感染功能，可达成蠕虫的效果。

5.Mykings僵尸网络新变种通过PcShare远程控制，已感染超5万台电脑挖矿

发布时间：2020年9月10日

情报来源：

https://mp.weixin.qq.com/s/wZvnq6gVnEdGSH6f6oG8MA

情报摘要：

腾讯安全威胁情报中心检测到Mykings挖矿僵尸网络变种木马，更新后的Mykings会在被感染系统安装开源远程控制木马PcShare，对受害电脑进行远程控制：可进行操作文件、服务、注册表、进程、窗口等多种资源，并且可以下载和执行指定的程序。

Mykings僵尸网络木马还会关闭Windows Defender、检测卸载常见杀毒软件；卸载竞品挖矿木马和旧版挖矿木马；下载“暗云”木马感染硬盘主引导记录（MBR)实现长期驻留；通过计划任务、添加启动项等实现开机自动运行等行为。根据门罗币钱包算力1000KH/s进行推测，Mykings僵尸网络目前已控制超过5万台电脑进行挖矿作业。

漏洞情报1.Apache Shiro 权限绕过漏洞 （CVE-2020-1957）分析

发布时间：2020年9月8日

情报来源：

https://mp.weixin.qq.com/s/iwUp-8g3MxNGx5SgDHxGAA

情报摘要：

Apache Shiro 1.5.2之前的版本，由于Shiro拦截器和requestURI的匹配流程与Web框架的拦截器的匹配流程有差异，攻击者构造一个特殊的http请求，可以绕过Shiro的认证，未授权访问敏感路径。

2.微软发布9月安全更新

发布时间：2020年9月9日

情报来源：

https://mp.weixin.qq.com/s/5eH5wVxTZBC2iEGQGKmk6A

情报摘要：

微软于9月9日（北京时间）发布9月例行安全更新公告，本月公告包括129个CVE，其中严重级别23个，重要级别104个。按漏洞性质分类：38个可导致远程代码执行，41个可导致特权提升，23个可导致信息泄露，5个可导致拒绝服务，4个可导致安全功能绕过。

3.Apache ActiveMQ JMX易受中间人攻击漏洞风险通告

发布时间：2020年9月10日

情报来源：

https://mp.weixin.qq.com/s/f-QeIPX92-8Lu1lDxuKeIw

情报摘要：

Apache ActiveMQ使用“LocateRegistry.createRegistry()”创建JMX RMI注册表。攻击者可能在没有身份验证的情况下连接到此注册表，并调用“LocateRegistry.createRegistry()”重新创建注册表，可将JMX RMI绑定在由攻击者控制的恶意的代{过}{滤}理节点上，导致中间人攻击。

Apache ActiveMQ是Apache Software Foundation所研发的开放源码消息中间件。