本帖最后由 腾讯电脑管家 于 2021-1-22 18:06 编辑
APT事件
1.蔓灵花组织(APT-C-08)使用Warzone RAT的攻击活动披露发布时间:2021年1月21日 事件来源:
事件摘要: WarzoneRAT是一款纯C/C++开发的商业木马程序,该程序在2018年出现在网络上以软件订阅的方式公开售卖,适配目前所有版本的Windows系统,具备密码采集、远程执行任意程序、键盘记录、远程桌面控制、上传下载文件、远程打开摄像头等多种远程控制功能。
国内安全团队发现,蔓灵花组织在2020年末的攻击活动中,使用Warzone RAT针对我国研究南亚关系的多位社会科学学者进行了攻击。攻击者通过伪造研究讨论学会邀请信的形式发起攻击,最终在受害者机器中植入Warzone RAT进行远程控制。
威胁事件
1.腾讯安全截获TeamTNT挖矿木马最新变种,失陷主机被安装IRC后门,攻击者可实现任意目的发布时间:2021年1月18日 事件来源:
事件摘要: 腾讯安全威胁情报中心检测到TeamTNT变种利用IRC进行通信控制肉鸡服务器组建僵尸网络,此次使用的IRC采用的是github开源的oragono,暂未检测到后门有执行拒绝服务(DoS)功能。
2.RunMiner挖矿团伙新增漏洞武器:利用Weblogic反序列化漏洞(CVE-2017-10271)攻击主机挖矿发布时间:2021年1月19日 事件来源:
事件摘要: 腾讯安全云防火墙检测到RunMiner挖矿木马团伙使用新增漏洞武器攻击云主机挖矿:利用weblogic反序列化漏洞(CVE-2017-10271)对云主机发起攻击,攻击得手后,会下载、执行恶意脚本尝试对Linux、Windows双平台植入挖矿木马,进行门罗币挖矿操作。
RunMiner挖矿木马挖矿前会尝试卸载云主机安装的防护软件,并尝试结束其他占系统资源较高的进程,以清除可能存在的挖矿木马竞争对手。RunMiner挖矿木马团伙的攻击活动会严重影响云主机性能,干扰政企机构正常业务运行。
3.MyKings Botnet新近活动跟踪 发布时间:2021年1月18日 事件来源:
事件摘要: 因BTC价格疯涨,MyKings病毒团伙也对其基础设施进行了更新。国内安全研究人员发现,MyKings通过扫描互联网上的1433等端口成功入侵受害者主机之后,分段下载混淆PowerShell脚本与加密Dll文件,通过内存解密执行的方式感染受害主机MBR达到持久化目的。
整个感染过程无文件落地,这增加了对其检测与清理的难度。同时MyKings还会向受害主机投递远控木马、挖矿木马等恶意程序。
4.“Preload”SDK:又一个影响数百万Android手机的黑产营销插件网络揭露发布时间:2021年1月19日 事件来源:
事件摘要: 国内某黑产组织投入的恶意黑产“Preload”SDK插件其访问的云控黑产插件下载服务器自2020年11月末开始进入新一轮爆发期。
“Preload” SDK自2019年7月开始被投入使用,至今共涉及百余款APP,其中部分游戏APP还出现在国内数个主流移动应用商店,累计感染百万级移动终端用户。“Preload”SDK通过加载云控下发的隐私收集、扣费及刷量等多个黑产插件进行不同黑产活动;结合追踪挖掘其对应幕后公司的业务范围,“Preload”SDK的最终目标是为了帮助幕后公司实现恶意互联网营销以牟取丰厚的黑灰色收入。
5.Sysrv-hello僵尸网络集木马、后门、蠕虫于一身,攻击Linux、Windows主机挖矿发布时间:2021年1月21日 事件来源:
事件摘要: 腾讯安全威胁情报中心检测到Sysrv-hello僵尸网络对云上Nexus Repository Manager 3存在默认帐号密码的服务器进行攻击。得手后再下载门罗币矿机程序挖矿,同时下载mysql、Tomcat弱口令爆破工具,Weblogic远程代码执行漏洞(CVE-2020-14882)攻击工具进行横向扩散。其攻击目标同时覆盖Linux和Windows操作系统。
Sysrv-hello僵尸网络挖矿前,恶意脚本还会尝试结束占用系统资源较多的进程,以独占系统资源,这一行为可能造成企业正常业务中断。CVE-2020-14882漏洞由Oracle 2020年10月21日发布公告修复,属于较新的漏洞攻击工具,因部分企业漏洞修复进度较慢,使得该团伙的攻击成功率较高。
该僵尸网络于2020年12月首次被国内安全研究人员发现,由于具备木马、后门、蠕虫等多种恶意软件的综合攻击能力,使用的漏洞攻击工具也较新,仅仅用了一个多月时间,该僵尸网络已具有一定规模,对政企机构危害较大。
6.FreakOut僵尸网络传播事件发布时间:2021年1月21日 事件来源:
事件摘要: CheckPoint发布了FreakOut –利用最新漏洞创建僵尸网络的分析报告。FreakOut恶意程序利用近期新出的三个漏洞实施扫描,并创建僵尸网络。 攻击背后的目标是创建一个IRC僵尸网络,此僵尸网络以后可用于多种目的,例如DDoS攻击或加密挖矿。
攻击针对运行以下其中一项的设备: TerraMasterTOS(TerraMaster操作系统)–用于管理TerraMaster NAS(网络附加存储)服务器的操作系统; ZendFramework –用于使用PHP构建Web应用程序和服务的软件包的集合,安装量超过5.7亿; LiferayPortal –一个免费的开源企业门户。这是一个用Java编写的Web应用程序平台,提供与门户网站和网站开发相关的功能。
漏洞事件
1.JumpServer 远程命令执行漏洞风险通告,腾讯安全全面检测发布时间:2021年1月18日 事件来源:
事件摘要: 2021年1月15日,开源堡垒机JumpServer发布安全更新,修复了一处远程命令执行漏洞。由于 JumpServer某些接口未做授权限制,攻击者可构造恶意请求获取敏感信息,或者执行相关操作控制其中所有机器,执行任意命令。
腾讯安全专家提醒受影响的用户尽快升级,解决漏洞风险,腾讯安全产品已支持全面检测。
2.Oracle发布2021年1月重要补丁更新,Weblogic远程代码执行漏洞(CVE-2021-2109)需重点关注发布时间:2021年1月19日 事件来源:
事件摘要: 2021年1月20日,Oracle发布2021年首个重要补丁更新包,本次更新含Oracle产品系列中的329个新安全补丁。
其中编号为CVE-2021-2109的Weblogic远程代码执行漏洞值得重点关注,Weblogic相关高危漏洞是网络黑产团伙最钟爱的攻击武器之一,大量勒索病毒、挖矿木马、僵尸网络活动与该组件的高危漏洞利用相关。腾讯安全专家建议受影响的用户尽快修复。
3.Win10出现重大蓝屏漏洞发布时间:2021年1月21日 事件来源:
事件摘要: Win10系统出现重大漏洞,会导致电脑系统崩溃并显示蓝屏,波及全球数亿用户。本次漏洞蓝屏主要出现在Windows101709及以上系统。当用户使用Chrome浏览器访问特殊地址时,系统会立即崩溃并显示蓝屏。安全研究人员判断,该漏洞可通过欺诈链接诱使受害者点击,主要应用于恶作剧应用,漏洞并不能导致远程代码执行。
4.Jackson-databind反序列化漏洞(CVE-2021-20190 )风险通告发布时间:2021年1月21日 事件来源:
事件摘要: 2021年1月19日,jackson-databind官方发布安全通告,披露jackson-databind< 2.9.10.6存在一处反序列化漏洞,此漏洞可能导致远程代码漏洞执行,腾讯安全全系列产品已支持检测、防御该漏洞。
5.Drupal目录穿越漏洞(CVE-2020-36193)风险通告发布时间:2021年1月21日 事件来源:
事件摘要: 2021年1月20日,Drupal官方发布安全公告,公告提示Drupal第三方库存在严重漏洞,攻击者可利用该漏洞执行恶意代码,可导致获取服务器权限等风险。
如果将Drupal配置为允许.tar、.tar.gz、.bz2、.tlz文件上传并执行,则可能会导致该漏洞的利用。该漏洞是由于第三方库Archive_Tar(1.4.11之前版本)中的Tar.php导致。由于符号链接检查不充分从而可导致目录穿越的写操作(与CVE-2020-28948相关类似)。
Drupal 是一个自由开源内容管理系统,用PHP语言编写。Drupal常被视为内容管理框架(CMF),而非一般意义上的内容管理系统(CMS)。至2019年4月,全球约有 1.9% 的网站由 Drupal 制作,占所有内容管理系统的 3.4%。
| 
发表于 2021-1-22 18:00:11