尊龙凯时科技威胁情报周报(2020.07.27-2020.08.02)
2020-08-03
一、 威胁预警
攻击者使用新漏洞感染TVT DVR设备
【发布时间】2020-07-28 09:00:00 GMT
【概述】
近期,研究人员在排查尊龙凯时威胁捕获系统相关日志的过程中发现,攻击者开始使用新的漏洞(已在github上公开,并无CVE编号)感染TVT DVR设备,该漏洞具有较复杂的攻击流程,对捕获系统交互要求极高;恶意载荷经过base64编码,很容易被安全团队遗漏;使用nc命令建立一个反向shell的攻击行为也非常少见。
【链接】
https://nti.nsfocus.com/threatWarning
二、 热点资讯
1. WebSphere Application Server高危远程代码执行漏洞
【概述】
北京时间2020年6月5日,IBM官方发布通告修复了WebSphere Application Server(WAS)中的一个高危远程代码执行漏洞,漏洞描述为IIOP协议上的反序列化漏洞,分配编号CVE-2020-4450,漏洞评分为9.8分,漏洞危害较高,影响面较大。
【参考链接】
http://blog.nsfocus.net/ibm-was-cve-2020-4450-0730/
2. Cisco SD-WAN高危漏洞
【概述】
近日,思科(Cisco)官方发布通告称修复了Cisco SD-WAN vManager Software(CVE-2020-3374)和SD-WAN Solution Software(CVE-2020-3375)的2个高危漏洞。Cisco SD-WAN是一种安全的云规模架构,具有开放性,可编程性和可扩展性。 通过Cisco vManage控制台,您可以快速建立SD-WAN覆盖结构以连接数据中心,分支机构,园区和主机托管设施,以提高网络速度,安全性和效率。
【参考链接】
http://blog.nsfocus.net/cisco-sdwan-0731/
3. Emotet银行木马
【概述】
Emotet具有用于进行银行欺诈的模块,主要针对欧洲、美洲等国家的银行进行攻击,多年来,该恶意软件被全球安全厂商归类为银行木马。近期尊龙凯时格物实验室跟踪到Emotet银行木马的新样本,该木马以其模块化架构和持久性技术出名,主要通过钓鱼邮件的方法传播。
【参考链接】
4. North Star运动针对航空航天和国防行业
【概述】
North Star运动是针对航空航天和国防行业的恶意网络活动,以国防承包商的职位发布作为诱饵,利用鱼叉式网络钓鱼邮件进行针对性攻击,旨在传播恶意软件,收集有关军事和国防技术的关键情报。
【参考链接】
5. Lazarus组织使用VHD勒索软件的恶意活动
【概述】
近期Lazarus组织使用VHD勒索软件进行恶意活动,该勒索软件通过MATA框架进行部署。攻击者利用存在漏洞的VPN网络进行入侵,获取管理员权限,并部署VHD勒索软件,该勒索软件可获取所有连接的磁盘以加密文件。Lazarus Group(又名HIDDEN COBRA、Guardians of Peace、ZINC和NICKEL ACADEMY)是一个威胁组织,归属于朝鲜政府,该组织至少从2009年以来一直活跃。
【参考链接】
https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/
6. Ensiko有勒索软件功能的Webshell
【概述】
Ensiko是具有勒索软件功能的PHP Web Shell,其目标是安装了PHP的任何平台,该恶意软件可以远程控制系统并接受shell命令以在受感染机器上执行恶意活动,通过PHP反向shell将结果发送回攻击者,它能够扫描服务器上是否存在其他Web外壳,破坏网站,发送大量电子邮件,下载远程文件,披露有关受影响服务器的信息,针对文件传输协议(FTP),cPanel和Telnet的暴力攻击,覆盖文件具有指定的扩展名等。
【参考链接】
7. Blue Mockingbird组织利用印度服务器进行挖矿活动
【概述】
Blue Mockingbird组织近期在面向公众的服务器上利用漏洞来运行多组件恶意软件,其中有攻击者利用Progress Telerik UI CVE-2019-18935实现初始访问,执行PowerShell的有效负载,从而提供加密货币恶意软件,影响系统性能、损害业务运营,还可以进行数据盗窃、勒索软件、银行木马攻击等活动,印度数百万服务器受到此次攻击活动的影响。
【参考链接】
https://www.seqrite.com/blog/blue-mockingbird-threat-group-targets-servers-in-india-for-cryptomining/
8. androids间谍软件针对坦桑尼亚超级联赛
【概述】
近期发现新的androids间谍软件,攻击者利用该间谍软件伪装成Google Play中两个最著名足球俱乐部Simba SC和Yanga SC的官方androids应用程序误导用户下载使用,该间谍软件具有阅读短信、获取联系人、录制音频、通话功能、访问实时位置 、读/写外部存储 、窃取照片、存取相机等功能。
【参考链接】
https://www.zscaler.com/blogs/research/androids-spyware-targeting-tanzania-premier-league
9. RedDelta组织针对梵蒂冈和天主教机构
【概述】
RedDelta是一个针对与中国战略利益相关实体的活跃威胁组织,该组织以宗教团体为明确目标,利用以梵蒂冈和亚洲天主教新闻联盟有关为主题的网络钓鱼诱饵,使用PlugX和Cobalt Strike等知名工具获取情报。
【参考链接】
https://go.recordedfuture.com/hubfs/reports/cta-2020-0728.pdf
10. H2Miner僵尸网络利用漏洞入侵Linux系统
【概述】
H2Miner是一个Linux下的大型挖矿僵尸网络,通过多个高危漏洞入侵Linux系统,并利用漏洞在企业内网或云服务器中横向扩散,并且下载恶意脚本及恶意程序进行挖矿牟利,同时具有卸载云服务器安全软件、删除云服务器镜像的能力。
【参考链接】
https://s.tencent.com//research/report/1062.html
11. GuLoader通过恶意垃圾邮件活动分发
【概述】
GuLoader是威胁参与者用来大规模分发恶意软件的下载程序,利用带有ISO文件类型附件的垃圾邮件分发,附件包含用Visual Basic编写的GuLoader可执行文件,通过驱动器打开并执行。
【参考链接】
12. 利用WordPress插件漏洞进行网络攻击
【概述】
WordPress是用于构建和托管网站的最流行的开源软件,攻击者针对WordPress插件中的多个漏洞,如WooCommerce插件、Yoast SEO插件和All in One SEO Pack插件进行网络钓鱼和欺诈活动。
【参考链接】
13. Ngrok挖矿僵尸网络针对Docker服务器
【概述】
Ngrok僵尸网络利用Docker API端口进行攻击,攻击者滥用Docker配置功能以逃避标准容器限制并从主机执行各种恶意负载,还部署了网络扫描仪以查找其他潜在的易受攻击目标。
【参考链接】