本周威胁情报概览（2021.02.27 - 2021.03.05）

腾讯电脑管家

APT事件
1. 利用恶意Office文档（maldocs）传播远程访问木马（RAT）ObliqueRAT

发布时间：2021年3月2日

事件来源：

https://blog.talosintelligence.com/2021/02/obliquerat-new-campaign.html

事件摘要：

国外安全研究人员观察到一起恶意软件活动，该活动利用恶意Microsoft Office文档（maldocs）传播远程访问木马（RAT）ObliqueRAT。

该活动分发了恶意远程访问木马（RAT）ObliqueRAT，过去，Talos将ObliqueRAT与2019年12月发布的另一个CrimsonRAT活动联系在一起。这两个恶意软件家族共享相似的maldocs和宏。但是，此新活动使用了完全不同的宏代码来下载和部署ObliqueRAT有效负载。攻击者还更新了感染链，以通过对手控制的网站提供ObliqueRAT。

威胁事件
1.Sysrv-hello僵尸网络最新版新增5种攻击能力

发布时间：2021年3月1日

事件来源：

https://mp.weixin.qq.com/s/p7s6aqxyznfZUQOnJavXsA

事件摘要：

腾讯安全威胁情报中心检测到Sysrv-hello僵尸网络近期十分活跃，该僵尸网络具备木马、后门、蠕虫等多种恶意软件的综合攻击能力。

Sysrv-hello僵尸网络于2020年12月首次披露，腾讯安全曾在今年1月发现该团伙使用Weblogic远程代码执行漏洞（CVE-2020-14882）攻击传播，本月该团伙再次升级攻击手法：新增5种攻击武器，已观察到失陷主机数量呈上升趋势。其入侵方式覆盖到多数政企单位常用的Web服务，危害严重，腾讯安全专家提醒相关单位安全运维人员高度警惕。

Sysrv-hello僵尸网络攻击目标同时覆盖Linux和Windows操作系统，最终利用失陷主机挖矿，会大量消耗主机CPU资源，严重影响主机正常服务运行，该僵尸网络还会利用已失陷主机继续扫描攻击其他目标。

2.Immunity Canvas“军工级”武器库泄露，大幅降低攻击门槛，企业宜早做防范

发布时间：2021年3月4日

事件来源：

https://mp.weixin.qq.com/s/F4SFUmOgtlXD1dCDPypbAw

事件摘要：

2021年3月2日，有国外安全研究人员在社交媒体称，Immunity Canvas 7.26工具的源码遭到泄露，里面包含959个漏洞利用工具（已做排重处理）。值得注意的是，2018年公开的英特尔"幽灵"漏洞的利用工具也在泄露的武器库中。

腾讯安全团队对已泄露的工具包做了简单分析，判断这是个功能完整的红队工具包。本次泄露包括该工具的源码，可以直接在windows和linux直接安装。其中老漏洞比较多，新漏洞比较少，从有CVE标示的漏洞插件来看，2019年和2020的漏洞占比<5%，暂时未发现本次泄露的武器库中存在0day漏洞。

腾讯安全专家建议用户对正在运行的业务进行安全检查，及时扫描修复包括个人电脑、企业服务器在内的各种安全漏洞，降低黑客入侵风险。

3.腾讯云防火墙成功阻断Ks3-Miner团伙利用Nexus 2 yum插件漏洞（CVE-2019-5475）攻击云主机

发布时间：2021年3月4日

事件来源：

https://s.tencent.com/research/report/1264.html

事件摘要：

腾讯安全威胁情报中心检测到Ks3-Miner挖矿木马团伙的攻击活动，该团伙利用Nexus 2 yum插件远程命令执行漏洞（CVE-2019-5475）对云上主机发起攻击。Ks3-Miner挖矿木马家族最早出现于2020年6月，早期依靠暴力破解ssh服务攻击传播。该团伙除通过挖矿牟利外，还会在系统预留后门登录配置项。

漏洞事件
1.Apache Tomcat HTTP/2cleartext (H2C) 请求混合漏洞（CVE-2021-25122）风险通告

发布时间：2021年3月1日

事件来源：

https://s.tencent.com/research/bsafe/1260.html

事件摘要：

ApacheTomcat 官方于3月1日发布一个安全漏洞公告，Apache Tomcat 在响应新的h2c连接请求时，可以将请求标头和数量有限的请求主体从一个请求复制到另一个请求，这意味着用户A和用户B都可以看到用户A的请求结果。

2.微软Exchange多个高危漏洞通告

发布时间：2021年3月1日

事件来源：

https://mp.weixin.qq.com/s/kdXqtRcL1vovqT-z6F7oow

事件摘要：

微软紧急发布了Exchange 多个高危漏洞的风险通告，攻击者可以利用相关漏洞在无需用户交互的情况下攻击指定Exchange服务器，执行任意代码。Exchange服务器被入侵者控制会导致十分严重的后果，包括但不限于：严重的信息泄露风险，以及后续导致的其他严重攻击事件。

如果企业使用Exchange Server作为邮件服务器，在存在漏洞的情况下，会被入侵者轻易攻破，入侵者可以绕开授权机制，提取该企业所有通信邮件，造成机密信息泄漏；攻击者还可以内部员工凭据发送钓鱼邮件（成功率极高），进一步入侵内网其他系统，或以此作为跳板入侵其他服务器。如果在安全演练场景下，则有很高的几率导致失分甚至直接出局。

按常规进度，该漏洞会在3月份的例行安全公告中发布，因漏洞影响严重，已有在野攻击利用，微软已提前发布漏洞补丁，微软提前发布安全补丁的事件十分少见，表明该漏洞的危险等级十分严重。

微软标记已有在野攻击利用，漏洞破坏力较大，腾讯安全专家建议受影响的政企用户尽快升级修复。

3.VMware View Planner 远程代码执行漏洞(CVE-2021-21978)风险通告

发布时间：2021年3月4日

事件来源：

https://s.tencent.com/research/bsafe/1263.html

事件摘要：

2021年03月02日，VMware官方发布安全公告，通报了View Planner存在的一个安全高危漏洞风险，View Planner 在处理上传文件时存在一处漏洞。该漏洞允许攻击者上传文件至任意目录，并在特定情况下导致远程代码执行，该漏洞POC（概念验证代码）已在互联网上公开。腾讯安全专家建议受影响的用户下载并安装最新的VMWareVMSA-2021-0003 安全通告补丁。