查看: 4436|回复: 1
收起左侧

[技术原创] 2020年11月第1周威胁情报概览

[复制链接]
腾讯电脑管家
发表于 2020-11-6 15:56:14 | 显示全部楼层 |阅读模式
本帖最后由 腾讯电脑管家 于 2020-11-6 15:58 编辑

APT情报

1. 美国大选下的APT攻击:Kimsuky以选举结果预测为诱饵的攻击活动分析
发布时间:2020年11月4日
情报来源:

情报摘要:
Kimsuky,别名Mystery Baby,Baby Coin,Smoke Screen,Black Banshe。疑似具有东北亚背景,主要针对韩国,俄罗斯进行攻击活动,最早由卡巴斯基披露。韩国安全公司认为其与Group123存在部分重叠。

国内安全团队捕获东北亚地区的Kimsuky APT组织以美国大选为诱饵的攻击样本,该样本以美国总统大选预测为标题,诱导受害者点击执行,同时采用在HWP文档中嵌入VBS脚本方式,有效的绕过杀软检测,该样本在首次上传到VirusTotal时,没有杀软检测到其恶意代码。


2. 朝鲜黑客组织Kimsuky战术披露
发布时间:2020年11月4日

情报摘要:
APT组织“ Kimsuky”,据悉最早于2012年开始活动。该组织因为全球性的广泛攻击行动而臭名昭著,主要针对韩国智囊团、美国、俄罗斯和欧洲各个国家。近几个月来,Kimsuky被归因于许多以冠状病毒为主题的邮件攻击活动,以邮件中包含的武器化Word文档为其感染媒介,在受害者计算机上发起恶意软件攻击。

上周,联邦调查局与国防部和国土安全部联合发布了一份备忘录,详细介绍了Kimsuky的技术细节。


威胁事件情报

1.腾讯主机安全(云镜)捕获Kaiji DDoS木马通过SSH爆破入侵
发布时间:2020年11月2日
情报来源:

情报摘要:
腾讯安全威胁情报中心在为客户提供安全巡检服务时,发现腾讯主机安全(云镜)告警SSH爆破入侵事件,遂对事件进行溯源追查,溯源到有疑似国内黑客开发的木马Kaiji通过22端口弱口令爆破入侵服务器。攻击者入侵云主机会下载二进制木马将自身安装到系统启动项进行持久化,并且可根据C2服务器返回的指令进行DDoS攻击。由于响应及时,客户未遭受损失。

2.z0Miner挖矿木马利用Weblogic最新漏洞入侵
发布时间:2020年11月3日
情报来源:

情报摘要:
腾讯主机安全(云镜)于2020.11.02日捕获到挖矿木马团伙z0Miner利用Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)的攻击行动。

该团伙通过批量扫描云服务器发现具有Weblogic漏洞的机器,发送精心构造的数据包进行攻击。之后执行远程命令下载shell脚本z0.txt运行,再利用该shell脚本植入门罗币挖矿木马、挖矿任务本地持久化,以及通过爆破SSH横向移动。根据该团伙控制的算力推算,已有大约5000台服务器受害。

3.Dridex银行木马最新变种来袭,可进行欺诈性交易
发布时间:2020年11月3日
情报来源:

情报摘要:
国内安全研究者发现通过垃圾邮件传播的Dridex银行木马最新变种,Dridex银行木马近期处于活跃状态。Dridex是目前全球活跃且技术比较先进的银行木马之一,又被称为BUGAT和Cridex,其通常通过垃圾邮件传播,主要目的是窃取受害者网上银行和系统信息,进行欺诈性交易。Dridex通过邮件附件传播,其伪装成[过滤]通知邮件,附件是Excel文档。

4. Remcos家族分析报告
发布时间:2020年11月4日
情报链接:

情报摘要:
Remcos是2016年公开售卖的一款远控工具,至今已更新66+个版本。该工具由一家名为Breaking Security的公司出售,远程控制工具的贩卖给攻击者建立一个潜在的僵尸网络提供了所需的一切条件。

Remcos传播方式一般都是钓鱼邮件,附带附件以及内嵌宏代码。通过观察最新活动,是通过COVID-19钓鱼邮件进行传播,附件中包含一个使用误导性PDF 图标的可执行文件,该可执行文件一旦执行便会启动 商业化Remcos 远控木马。该木马执行后将自身注入到系统默认浏览器中并添加到注册表。下载并执行命令,键盘记录,屏幕记录以及使用摄像头和麦克风进行录音录像等功能。


漏洞情报

1. Microsoft cng.sys权限提升漏洞(CVE-2020-17087)被在野0day利用通告
发布时间:2020年11月1日
情报来源:

情报摘要:
2020年10月20日,Google安全研究员披露了一次使用Chrome 0day漏洞(CVE-2020-15999)的攻击事件,相关漏洞为Chrome FreeType字体渲染时的一处内存破坏漏洞。攻击过程中为了绕过Chrome沙箱,攻击者还使用了一个Windows系统的提权漏洞,此漏洞被报告给厂商微软并处于修复过程中。2020年10月31日,由于该Winodws提权漏洞超过了Google要求7天内修补在野0day漏洞的期限,Google Progect Zero团队将该漏洞的技术细节和验证POC公开。

该漏洞为Windows中cng.sys驱动中的一处整数溢出,由于该驱动导出了名为\Device\CNG的设备链接,导致攻击者可以在用户态通过IOCTL 0x390400发送对应的畸形数据,造成整数溢出。

2.Apache Shiro 权限绕过漏洞通告(CVE-2020-17510)
发布时间:2020年11月2日
情报来源:

情报摘要:
Apache Shiro官方披露了一个认证绕过漏洞(漏洞编号:CVE-2020-17510),攻击者可发送特定HTTP请求绕过权限限制,获取敏感权限。

3.腾讯安全团队向Linux社区提交多个NFC套接字资源泄露0day漏洞
发布时间:2020年11月3日
情报来源:

情报摘要:
腾讯安全团队近日提交了4个linux NFC套接字多处资源泄露漏洞(CVE-2020-25670/25671/25672/25673),漏洞可能造成权限提升,攻击者利用漏洞可能控制整个系统。漏洞风险等级为高,漏洞影响内核版本为3.10~5.10-rc2的Linux系统。目前这些漏洞尚未修复,漏洞细节已按Linux社区规则予以公开披露,腾讯安全专家建议Linux用户密切关注最新的安全更新。

Linux内核在实现NFC套接字相关的函数中,存在多处资源泄漏漏洞,其中引用计数泄漏漏洞最为严重,可以导致内核对象释放后重新使用,造成权限提升,攻击者可以利用这些漏洞完成权限提升,控制整个系统。基于Linux内核的Ubuntu、CentOS、RedHat、SUSE、Debian等操作系统都受到这些漏洞的影响。

4.SaltStack多个高危漏洞风险通告
发布时间:2020年11月4日
情报链接:

情报摘要:
SaltStack官方于11月3日发布Salt安全更新,以解决三个关键漏洞。未授权的远程攻击者通过发送特制的请求包,可造成任意命令执行。

5.Apache Tomcat WebSocket拒绝服务漏洞(CVE-2020-13935)EXP公开
发布时间:2020年11月6日
情报来源:

情报摘要:
2020年7月14日,Apache官方通报Apache Tomcat 两个拒绝服务漏洞:CVE-2020-13934、CVE-2020-13935,并发布安全更新。2020年11月5日,腾讯安全团队注意到该漏洞的利用代码(EXP)已在互联网上公开。


小冋广隶磊
发表于 2020-11-8 19:05:28 | 显示全部楼层
支持支持,愿管家越来越好
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:56 , Processed in 0.121160 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表