本帖最后由 腾讯电脑管家 于 2021-2-26 16:19 编辑
APT事件
1.“幼象”组织针对巴基斯坦国防制造商的攻击活动分析报告发布时间:2021年2月22日 事件来源:
事件摘要: “幼象”组织是一个来自南亚次大陆方向的APT攻击组织,其最早在2020年1月15日发布的《“折纸”行动:针对南亚多国军政机构的网络攻击》报告中披露。“幼象”组织攻击活动最早可追溯到2017年7月,其主要攻击目标为巴基斯坦、孟加拉、斯里兰卡和马尔代夫等南亚国家的政府、军事、国防、外交、核能、金融、教育、电信等部门及行业。“幼象”组织使用的木马武器既有开源工具,如:Empire渗透框架和Exploit Pack漏洞攻击平台。同时也有自研C++编写的窃密木马(可借助U盘进行横向移动突破隔离网络,窃取隔离网络主机文件)、Python语言编写的木马以及Go语言编写的木马。
国内安全研究人员近期在APT组织攻击活动狩猎工作过程中,捕获到一起“幼象”组织针对巴基斯坦国防制造商的攻击活动。在本次攻击活动中“幼象”组织主要使用恶意LNK文件下载执行远程HTA投递自研的Shell后门恶意软件“WRAT”,该样本与之前披露的“幼象”样本十分相似。在对“WRAT”恶意软件进行分析发现,该木马不仅有后门功能,同时具有窃取移动磁盘文件和感染新接入存储设备的能力(将自身伪装成文件夹复制到磁盘根目录),尝试进行横向移动扩大感染范围。
2.疑似APT28利用高碳铬铁生产商登记表为诱饵的攻击活动分析发布时间:2021年2月22日 事件来源:
事件摘要: 国内安全研究人员在日常高价值威胁挖掘过程中,捕获两例哈萨克斯坦地区上传样本,样本以哈萨克斯坦Kazchrome企业信息为诱饵,Kazchrome据称是全球最大的高碳铬铁生产商。诱导受害者启用恶意宏,一旦宏被启用后,恶意宏将释放执行远控木马到计算机执行,经分析溯源发现,释放执行的木马疑似是奇幻熊组织常用Zebrocy变种。
奇幻熊组织,业界对其有各种别名:APT28、Sednit、PawnStorm、Sofacy Group、STRONTIUM,主要针对高加索和北约开展网络攻击活动,近期其目标越来越多出现在中亚地区,主要攻击领域为对政府军事和安全组织。
3.“透明部落” APT组织移动端新近活动披露发布时间:2021年2月24日 事件来源:
事件摘要: 国内安全研究人员在移动端高级威胁分析过程中,发现APT组织“透明部落”新近活动采用的移动端Tahorse RAT出现新变种。Tahorse RAT是APT组织“透明部落”此前基于开源的Ahmyth远控定制生成,于2020年8月25日被首次披露。此次Tahorse RAT变种主要去掉了漏洞的使用,但其恶意功能保持不变,部分变种还增加了Google提供的FireBase能力实现云控制,目前未发现此恶意代码对国内有影响。
“透明部落”是一个南亚来源具有政府背景的APT组织,其长期针对周边国家和地区的军队和政府机构实施定向攻击。为了防止威胁的进一步扩散,奇安信威胁情报中心对该安全事件进行详细分析和披露,以提醒各安全厂商第一时间关注相关的攻击事件。
4.WIRTE组织以“药品信息”为饵,再对中东地区展开攻击发布时间:2021年2月24日 事件来源:
事件摘要: WIRTE 组织至少在2018年8月开始进行间谍活动,最早是由 S2 Grupo 安全人员在取证中所发现,活动一直持续针对中东地区目标,涉及约旦、巴勒斯坦等不同国家的国防、外交、司法等部门。此外,根据思科的调查,攻击者通常在早晨(中欧时区)活跃,这意味着攻击目标可能与该地区的地缘政治环境有关。
该组织攻击者十分注重资产的隐蔽,攻击者使用信誉良好的 CloudFlare 系统来隐藏其基础架构的性质和位置。根据国外安全厂商的取证研究,攻击者通常在攻击阶段部署多个侦查脚本,以检查受害者计算机的有效性,从而阻止了不符合其条件的系统。
该组织通常在攻击活动中投递携带有恶意宏代码的表格文档诱饵,在目标受害者触发宏代码后广泛使用脚本语言(VBScript、PowerShell、VBA)作为攻击的一部分,最终通过 Empire 框架进行下一阶段的攻击。除此之外,该组织早期也曾投递过 VBS 类型的诱饵,加载后会释放出 DOC 文档迷惑受害者。
国内安全研究人员近期再次捕获到 WIRTE 组织再次针对中东地区的攻击活动。
威胁事件
1.春节期间H2Miner挖矿团伙利用多个漏洞武器攻击云上主机发布时间:2021年2月22日 事件来源:
事件摘要: 腾讯安全威胁情报中心检测到春节期间H2Miner挖矿团伙异常活跃,该团伙利用多个漏洞武器攻击云上主机挖矿。H2Miner挖矿团伙攻击活跃,猜测其意图趁春节假期安全运维相对薄弱发起扩散。攻击者利用失陷主机挖矿,会大量消耗主机CPU资源,严重影响主机正常服务运行。
攻击者合并使用了多个漏洞攻击武器,除利用该团伙惯用的XXL-JOB未授权命令执行攻击之外,还使用了PHPUnit远程代码执行漏洞(CVE-2017-9841)、Supervisord远程命令执行漏洞(CVE-2017-11610)和ThinkPHP 5.X远程命令执行漏洞进行攻击扩散,最终投递名为kdevtmpfsi的XMR门罗币矿机组件挖矿牟利。
腾讯安全专家表示,自比特币市价屡创新高以来,比特币、门罗币、以太坊币、狗狗币等虚拟加密币市场空前活跃,大量挖矿木马团伙正跃跃欲试,腾讯安全专家提醒政企用户注意防范。
2.SilentFade:正利用Facebook进行广告欺诈发布时间:2021年2月23日 事件来源:
事件摘要: 国内安全研究人员在中国香港、中国台湾以及马来西亚、泰国、越南等地区,捕获一批SilentFade家族最新变种,它们捆绑依附于盗版或者热门软件上。在安装软件之外,不仅窃取Facebook、Instagram、GoogleAds等相关账号信息后进行虚假广告欺诈,还会通过云端下发病毒变种和勒索样本执行。
SilentFade在2019年给Facebook 造成了400万美元损失的诈骗案,它在盗取受害者Facebook的登录凭证后,登录受害者账号,利用受害者账户中绑定的信用卡(或盗取来的信用卡、预付礼品卡),在Facebook上投放减肥药、保健用品、假冒名牌产品等劣质广告,进而从中进行牟利。
该团伙窃取信息的方式在不断更新,从最开始的与木马结合、浏览器注入劫持,再到与浏览器插件结合。窃取目标的范围也是越来越广,由前期的单纯盗取Twitter和Facebook账户信息,后期扩大到了对Instagram、Amazon、GoogleAds账户的盗取。
3.NPM遭遇供应链投毒攻击窃取K8S集群凭证发布时间:2021年2月24日 事件来源:
事件摘要: 腾讯洋葱反入侵系统检测发现 NPM官方仓库被上传了radar-cms 恶意包,并通知官方仓库下架处理。由于国内开源镜像站均同步于NPM官方仓库,所以该问题不仅会通过官方仓库,还可能通过各个开源镜像站影响广大用户。
4.腾讯安全发布《2020挖矿木马年度报告》:比特币涨10倍、门罗币涨6倍,挖矿木马同步增长发布时间:2021年2月24日 事件来源:
事件摘要: 2020年各类数字加密货币价格迎来暴涨,比特币价格一度超过5万美元/BTC,市值达到9200亿美元,是2019年底的10倍之多,达到了历史最高点。同期挖矿木马最偏好的门罗币价格也同步增长6倍,这意味着黑客通过进行门罗币挖矿,兑现后收益可达到以往收益的6倍。在如此大利益诱惑之下,黑产团伙已闻风而动,纷纷加入了对主机计算资源的争夺。
报告以腾讯安全产品获取的安全事件告警工单数据为基础,统计分析得出2020年挖矿木马的活跃家族TOP榜,从挖矿木马主要入侵特点、漏洞利用偏好、持久化运行手段等方面展示其主要威胁,预测未来挖矿木马攻击可能呈现的新趋势,给政企机构安全运维团队提供常见挖矿木马的防御清理建议。
漏洞事件
1.VMware 多个高危漏洞(CVE-2021-21972,CVE-2021-21973,CVE-2021-21974)风险通告发布时间:2021年2月24日 事件来源:
事件摘要: VMwareESXi和vSphere Client(HTML5)中的多个漏洞已秘密报告给VMware,有可用的更新程序来修复受影响的VMware产品中的这些漏洞。
vSphereClient中的远程执行代码漏洞(CVE-2021-21972) vSphereClient(HTML5)在vCenterServer插件中包含一个远程执行代码漏洞。VMware已评估此漏洞等级为高风险,CVSS 得分为9.8。
恶意攻击者可能会利用此问题在托管vCenter Server的操作系统上以不受限制的特权执行任意命令。
ESXi OpenSLP堆溢出漏洞(CVE-2021-21974) ESXi中使用的OpenSLP存在堆溢出漏洞,VMware已评估此问题的严重性为“重要”级别,CVSS得分为8.8。 与ESXi处于同一网段中且可以访问端口427的攻击者可能会触发OpenSLP服务中的堆溢出问题,从而导致远程执行代码。
vSphereClient中的SSRF漏洞(CVE-2021-21973) 由于vCenter Server插件中URL的验证不正确,vSphere Client(HTML5)包含SSRF(服务器端请求伪造)漏洞。漏洞等级:中等,CVSS得分为5.3。
攻击者可以通过端口443访问网络向vCenter Server插件发送POST请求来导致信息泄露。
2.Saltstack高危漏洞(CVE-2021-25281等)风险通告,腾讯安全全面检测 发布时间:2021年2月25日 事件来源:
事件摘要: 2021年2月25日,SaltStack发布安全更新,修复了由腾讯安全云鼎实验室提交的三个安全漏洞。利用这些漏洞,最严重情形可导致未授权远程代码执行。SaltStack套件已是政企机构 IT运维管理人员常用的管理工具,该组件的高危漏洞风险极大,值得高度关注。腾讯安全专家建议Saltstack用户尽快修复漏洞,避免黑客入侵后造成严重损失。 | 
发表于 2021-2-26 16:15:12