APT情报
1.疑似 KimsukyAPT 组织最新攻击活动样本分析发布时间:2020年9月7日 情报来源:
情报摘要: Kimsuky APT 是一个长期活跃的 APT 攻击组织,一直针对于韩国的智囊团,政府组织,新闻组织,大学教授等等进行活动.并且该组织拥有多平台的攻击能力,载荷便捷,阶段繁多。
该组织最近半年异常活跃。近日,国内安全研究人员在日常的样本追踪过程中发现了疑似该组织最新的攻击样本。分析可以看出最新的样本依然有多阶段方便攻击者重新组合攻击工具的特点。
2.疑似BITTER组织利用LNK文件的攻击活动分析发布时间:2020年9月14日 情报来源:
情报摘要: 国内安全研究人员在日常高价值样本挖掘中,捕获了BITTER组织多个攻击样本,在此次攻击活动中,BITTER组织首次利用LNK文件作为攻击入口,从远程获取MSI文件执行,最终释放执行.NET恶意软件窃取受害者机器敏感信息。同时,其托管恶意软件的的服务器上存在多个BITTER组织攻击模块。
3.Lazarus使用招聘诱饵结合持续更新的网络武器发布时间:2020年9月16日 情报来源:
情报摘要: 近几个月来,Lazarus组织常用航天,核工业,船舶工业等专业领域头部企业招聘信息为诱饵进行攻击活动,四月中旬国内安全团队曾披露过《Lazarus APT组织使用西方某航空巨头招聘等信息针对美韩的定向攻击事件分析》,该活动后续被某安全厂商归为北极星行动(OperationNorthStar)。
近日,国内安全研究人员在日常高价值样本挖掘过程,又捕获了一例该类型攻击样本,此次攻击活动中,Lazarus组织以通用(GDMS)公司高级业务经理招聘为诱饵,通过恶意宏释放执行后续Payload。Lazarus也在对其Crat木马架构进行快速迭代,目前已经相当成熟。
4.解读伊朗黑客利用[过滤]漏洞入侵全球企业内网事件发布时间:2020年9月4日 情报来源:
情报摘要: 伊朗黑客组织攻击企业[过滤],正打算通过地下论坛向其他黑客出售这些被入侵企业内部网络的权限,以此谋得巨额利益。他们针对的企业遍布IT、电信、油气、航空、政府和安全行业。
5.蔓灵花(APT-C-08)组织大规模钓鱼攻击活动披露发布时间:2020年9月16日 情报来源:
情报摘要: 蔓灵花组织针对南亚地区发起了大规模的钓鱼窃密攻击活动,追踪溯源发现此次攻击行动的目标涉及包括我国和巴基斯坦在内的多个单位组织、政府机构,攻击活动一直持续活跃至今,本次攻击中继续沿用了之前仿冒目标邮箱系统钓鱼攻击的技战术,但其攻击规模和频次较之前大幅度增加,进一步针对部分重点目标还会以伪装会议文件或软件进行恶意载荷投递。
6.来自南亚APT组织“魔罗桫”的报复性定向攻击发布时间:2020年9月17日 情报来源:
情报摘要: “魔罗桫”APT团伙(国外安全厂商命名的Confucius)自2013年起活跃,近年来该组织对其内部攻击项目的命名:Project tibbar(提菩)。在提菩攻击活动中,攻击团伙使用了多种攻击手法:邮件结合钓鱼网站,邮件结合木马附件,单一投放木马,恶意安卓APK投放等等。其中值得注意的是,攻击团伙除了使用自定义的特种木马外,疑似还使用了一些商业、开源木马。
在分析攻击载荷过程中,国内安全研究人员发现该团伙不仅使用了高敏感性的、诱惑性的恶意文档名称,还使用了类似“商贸信”的攻击手法。这一点与以往传统的APT组织不太一致,这或许是该组织隐蔽自身攻击活动的方式,从而加大分析人员溯源的难度。
7.苦象组织近期网络攻击活动及泄露武器分析发布时间:2020年9月17日 情报来源:
情报摘要: 来自南亚国家的APT组织注册多个域名,架设钓鱼网站,对国内重要的机构单位进行邮箱钓鱼攻击。相关钓鱼网站地址构造特点和攻击目标符合2019年曝光过的苦象组织对国内钓鱼攻击的特点。
攻击者将载荷存放于攻陷网站,通过投递快捷方式格式的攻击诱饵向目标的机器植入载荷(组织特有的.NET远控木马)。通过此前对苦象组织泄露的控制后台源码和载荷分析,国内安全研究团队大致还原了该组织其中一常用木马的后台控制细节。
威胁事件情报
1.TikTok间谍软件分析发布时间:2020年9月8日 情报来源:
情报摘要: 一个名为TikTokPro的假冒App,是一款功能强大的间谍软件,可以轻松监视受害者。安装后,该间谍软件会使用名称TikTokPro将自己描绘为TikTok 。用户尝试打开应用程序后,它将启动虚假通知,并且该通知以及应用程序图标将立即消失。这种伪造的通知策略用于重定向用户的注意力,同时该应用程序隐藏自身,使用户认为该应用程序有故障。
具有窃取短信、发送短信、窃取位置信息、拍摄照片、执行命令、截图、拨打电话、启动其他应用、窃取Facebook凭证等行为。
2.塞舌尔开发银行遭受勒索软件攻击发布时间:2020年9月11日 情报来源:
情报摘要: 塞舌尔中央银行今天早些时候发表的一份新闻声明,塞舌尔开发银行(DBS)受到勒索软件的打击。目前还不清楚攻击者在加密银行系统之前是否窃取了数据,但根据攻击中使用的勒索软件应变,数据发生的可能性很高。
从2019年11月下旬的迷宫勒索软件开始,勒索软件运营商已经改变了他们的勒索策略,在加密受害者数据之前也窃取了受害者的文件,这些被盗的文件后来被用作迫使受害者支付赎金的杠杆。
3.Equinix 遭到 Netwalker 勒索软件攻击,被索 450 万美元赎金发布时间:2020年9月12日 情报来源:
情报摘要: 数据中心和主机托管巨头Equinix已遭到了Netwalker勒索软件攻击,威胁分子索要450万美元赎金,才肯交出解密工具,否则发布窃取的数据。Equinix是一家庞大的数据中心和托管服务提供商,在全球50多个地方建有数据中心。客户使用这些数据中心来放置设备或与其他ISP和网络提供商进行互连。
4.深入挖掘涉案金额上亿的黑色诈骗产业链发布时间:2020年9月14日 情报来源:
情报摘要: 从利用木马病毒诈骗到网络刷单,匪夷所思的钓鱼诈骗产业链。
5.bZx再次遭到黑客攻击,因为复制错误使协议中的用户存款损失800万美元发布时间:2020年9月14日 情报来源:
情报摘要: bZx遭到两个主要黑客攻击的七个月后,损失了超过$954K,在又一个漏洞被利用之后,它再次成为头条新闻。这次,用户存款损失高达800万美元,或bZX锁定总价值的30%。此事件再次提出了DeFi协议中用户资产的安全性问题。
6.Magento 在线商店迄今为止最大的营销活动被黑客攻击发布时间:2020年9月14日 情报来源:
情报摘要: 超过2000家Magento在线商店遭到黑客入侵,安全研究人员将其称为“ 有史以来规模最大的活动”。黑客入侵网站,然后在商店的源代码中植入恶意脚本,这些代码记录了购物者在结帐表格中输入的支付卡详细信息。
7.错误配置的Elasticsearch服务器负责泄露总计3.7亿条记录的数据发布时间:2020年9月14日 情报来源:
情报摘要: [过滤]Mentor发布了一份新报告,该报告调查了70多个网站的新数据泄漏,这些网站主要属于社交应用,也包括电子商务网站。70个网站全部使用的是同一家名为Mailfire的电子邮件营销公司,该公司的Elasticsearch服务器无需任何身份验证即可找到。开放给所有人查看,包含882.1GB的数据,总计3.7亿条记录。
包括许多机密数据,包括全名,电子邮件地址,IP地址,个人资料图片和描述,性别,年龄,出生日期以及来自全球100多个国家的真实对话。
8.Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器发布时间:2020年9月17日 情报来源:
情报摘要: 腾讯安全威胁情报中心检测到Dofloo(AESDDoS)僵尸网络正批量扫描和攻击Docker容器。部分云主机上部署的Docker容器没有针对远程访问做安全认证,存在Remote API允许未授权使用漏洞且暴露在公网,导致黑客通过漏洞入侵并植入Dofloo僵尸网络木马。
Docker作为开源的引擎可以轻松地为任何应用创建一个轻量级的、可移植的、自给自足的容器,逐渐得到广泛应用。开发者在部署Docker时未对相关服务进行正确合理的配置导致其容易成为黑客入侵的路径之一。
漏洞情报
1.NetLogon特权提升漏洞利用工具公开,腾讯御界支持检测发布时间:2020年9月15日 情报来源:
情报摘要: 有关NetLogon特权提升漏洞(CVE-2020-1472)的详细技术分析、验证脚本、漏洞利用工具9月11日后在github陆续公开。
NetLogon特权提升漏洞(CVE-2020-1472)高度危险,漏洞利用代码公开意味着大规模的漏洞利用将很快到来。腾讯安全团队紧急响应,腾讯T-Sec高级威胁检测系统(御界)已率先支持检测NetLogon特权提升漏洞的攻击利用。
2.漏洞焦点:Nitro Pro PDF阅读器中的多个漏洞发布时间:2020年9月15日 情报来源:
情报摘要: 思科Talos最近在Nitro Pro PDF阅读器中发现了多个代码执行漏洞。Nitro PDF允许用户在其计算机上保存,阅读,签名和编辑PDF。该软件包含的漏洞可能使对手以多种方式利用受害者的机器,最终使他们能够执行代码。
3.CVE-2020-16875:Microsoft Exchange远程代码执行漏洞通告发布时间:2020年9月15日 情报来源:
情报摘要: 有安全人员公开了Exchange Server远程代码执行漏洞(CVE-2020-16875)的利用程序,此漏洞为微软在9月的安全更新补丁中披露;Microsoft Exchange在Internet Explorer处理内存中的对象时存在该漏洞。利用此漏洞需要具有以某个Exchange角色进行身份验证的用户权限,攻击者可通过向受影响的Exchange服务器发送包含特殊的cmdlet参数的邮件来触发此漏洞,成功利用此漏洞的攻击者可在受影响的系统上以system权限执行任意代码。
4.Jenkins多个插件漏洞风险通告(2020.9.16)发布时间:2020年9月17日 情报来源:
情报摘要: Jenkins2020年9月16日发布安全公告,通报了多款Jenkins插件存在的安全漏洞。漏洞可能导致跨站脚本(XSS)攻击、跨站点请求伪造(CSRF)攻击、中间人攻击、任意命令执行或信息泄露。
|