本帖最后由 腾讯电脑管家 于 2021-1-15 17:24 编辑
APT事件
1. Sunburst后门代码与Kazuar 重叠发布时间:2021年1月13日 事件来源:
事件摘要: 在查看Sunburst后门时,国外安全研究团队发现其与先前确定的称为Kazuar的后门重叠的若干功能。Kazuar是.NET的后门程序,由PaloAlto于2017年首次报告。尽管没有公开的归因链接,PaloAlto初步将Kazuar与Turla APT组联系起来。我们自己的观察确实证实了在过去的几年中,Kazuar与其他Turla工具一起被使用。
Sunburst和Kazuar之间的许多不寻常的共享功能包括受害人UID生成算法,睡眠算法以及FNV-1a哈希的广泛使用。
2.Spalax行动:针对哥伦比亚的恶意软件攻击发布时间:2021年1月21日 事件来源:
事件摘要: 2020年,国外安全研究人员发现几次专门针对哥伦比亚实体的攻击。在撰写本文时,这些攻击仍在继续,并且主要针对政府机构和私人公司。对于后者,最有针对性的行业是能源和冶金。攻击者依赖使用远程访问木马,最有可能监视受害者。它们具有用于命令和控制的大型网络基础结构:在2020年下半年观察到至少24个不同的IP地址正在使用。这些很可能是被破坏的设备,充当其C&C服务器的代{过}{滤}理。这与动态DNS服务的使用相结合,意味着其基础架构永远不会停滞不前。我们已经看到至少有70个域名在该时间段内处于活动状态,并且它们会定期注册新的域名。
威胁事件
1.挖矿木马围攻云主机的发令枪,SupermanMiner冲上来了发布时间:2021年1月11日 事件来源:
事件摘要: 受近期比特币爆涨带动数字虚拟币整体市值飙升影响,挖矿木马十分活跃。腾讯安全威胁情报中心检测到利用Redis未授权访问漏洞直接写入计划任务,下载用golang语言编写的挖矿木马下载器superman,根据挖矿算力推测该团伙已控制约1万台失陷系统进行门罗币挖矿。
腾讯安全近期已捕获较多利用golang语言编写的各类脚本木马,这些木马利用多个不同linux服务器组件的高危漏洞或弱密码入侵云服务器挖矿。对这些挖矿木马进行分析溯源,发现分属不同的黑产团伙控制,有点“千军万马一窝蜂携漏洞武器弱口令武器抢占云主机挖矿淘金”的意思。腾讯安全专家建议政企机构安全运维人员及时修补漏洞,排查弱口令,避免服务器沦为黑产控制的肉鸡。
2.木马围城:比特币爆涨刺激挖矿木马一拥而上围猎肉鸡资源发布时间:2021年1月12日 事件来源:
事件摘要: 2020年初至今,比特币价格一度超过了4万美元/BTC,是2019年底的10倍之多,达到了历史最高点,比特币一度摘取2020年度最佳持有资产的头衔。受比特币暴涨影响,各类数字虚拟币市值均有大幅增长,在如此大利益诱惑之下,通过传播挖矿木马来获取数字加密货币(以挖取门罗币最为普遍)的黑产团伙闻风而动,纷纷加入对主机计算资源的争夺之战。
根据腾讯安全威胁情报中心态势感知系统提供的数据,近期针对云主机的挖矿木马呈现成倍增长趋势。由于部分主机未对系统进行合理的访问策略控制、安全风险检查,导致其存在较多的弱口令、未授权访问、远程代码执行漏洞等安全缺陷,黑客团伙利用这些缺陷大规模入侵服务器并植入挖矿木马,再利用被控主机系统的计算资源挖矿数字加密货币获利。
3.“incaseformat”蠕虫病毒删除文件?不要慌,腾讯iOA、御点、管家都能杀发布时间:2021年1月13日 事件来源:
事件摘要: 有网友反应遭遇“incaseformat”病毒攻击,硬盘除C盘外,其他分区文件被删除,仅保留一个名为“incaseformat.log”的0字节文件。腾讯安全专家分析后发现,这是一个很古老的蠕虫病毒。腾讯iOA、腾讯御点、腾讯电脑管家均可查杀。即使病毒已产生破坏,被删除的文件恢复的概率也较高。
漏洞事件
1.致远OA 文件上传漏洞POC已公开,腾讯安全全面响应发布时间:2021年1月1日 事件来源:
事件摘要: 上周末,致远官方发布补丁,修复OA 系统存在的多个文件上传漏洞。很快,该漏洞的利用代码POC已在互联网公开,意味着网络黑产可能很快利用该漏洞发起攻击。腾讯安全旗下全系列安全产品已应急响应,支持检测、防御利用致远OA 文件上传漏洞的攻击。
2.Chrome 多个高危漏洞通告发布时间:2021年1月12日 事件来源:
事件摘要: Google发布了Chrome安全更新的风险通告,事件等级:严重。Goolge针对Chrome发布了新版本更新,新版中修复了16处安全漏洞,包含12个高危漏洞。安全专家建议用户升级chrome浏览器到最新版本。
3.Alibaba Nacos 未授权访问漏洞发布时间:2021年1月12日 事件来源:
事件摘要: Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-Agent导致的未授权访问漏洞。通过该漏洞,攻击者可以进行任意操作,包括创建新用户并进行登录后操作。厂商尚未发布升级补丁修复漏洞,请受影响用户时刻关注官方信息。
4.微软发布1月安全更新发布时间:2021年1月13日 事件来源:
事件摘要: 2021年1月13日,微软发布了2021年1月例行安全更新,本次发布涉及Windows、Edge、Office、OfficeServices、Visual Studio、SQLServer、.NET Core、Azure等组件。本次发布CVE 83个,其中严重级别漏洞10个,重要级别73个。远程代码执行漏洞14个,安全功能绕过漏洞6个,信息泄露漏洞11个,特权提升34个。
5.Laravel远程代码执行漏洞风险通告,腾讯安全全面检测发布时间:2021年1月14日 事件来源:
事件摘要: 2021年1月13日,国外某安全研究团队披露 Laravel <= 8.4.2 存在远程代码执行漏洞。
Laravel<= 8.4.2 存在远程代码执行漏洞。当Laravel开启了Debug模式时,攻击者可以发起恶意的请求构造恶意的日志文件,再通过phar协议去访问日志触发php反序列化漏洞,造成命令执行。
但是日志位置不固定,不一定能攻击成功,不过利用php的ftp协议,可以实现稳定的ssrf,让php去下载恶意的tcp数据包,再发送给内部的其它服务,比如本地有php-fpm服务,则可以实现稳定RCE(远程代码执行),攻击者利用漏洞可以完全控制服务器。
该漏洞的技术细节已在互联网公开,腾讯安全专家提醒受影响的用户尽快采取升级相关组件,阻止漏洞攻击。
|