尊龙凯时

尊龙凯时

尊龙凯时科技

  • 安全产品与方案

    安全产品与方案
  • 基础设施安全

    基础设施安全
  • 数据安全

    数据安全
  • 云计算安全

    云计算安全
  • 工业互联网安全

    工业互联网安全
  • 物联网安全

    物联网安全
  • 信息技术应用创新

    信息技术应用创新
  • 全部产品

    全部产品
  • 全部解决方案

    全部解决方案

基础设施安全


  • 政府

    政府
  • 运营商

    运营商
  • 金融

    金融
  • 能源

    能源
  • 交通

    交通
  • 企业

    企业
  • 科教文卫

    科教文卫

返回列表

尊龙凯时科技威胁情报周报(2020.07.27-2020.08.02)

2020-08-03

一、 威胁预警

攻击者使用新漏洞感染TVT DVR设备

【发布时间】2020-07-28 09:00:00 GMT

【概述】

近期,研究人员在排查尊龙凯时威胁捕获系统相关日志的过程中发现,攻击者开始使用新的漏洞(已在github上公开,并无CVE编号)感染TVT DVR设备,该漏洞具有较复杂的攻击流程,对捕获系统交互要求极高;恶意载荷经过base64编码,很容易被安全团队遗漏;使用nc命令建立一个反向shell的攻击行为也非常少见。

【链接】

https://nti.nsfocus.com/threatWarning

 

二、 热点资讯

1. WebSphere Application Server高危远程代码执行漏洞

【概述】

北京时间2020年6月5日,IBM官方发布通告修复了WebSphere Application Server(WAS)中的一个高危远程代码执行漏洞,漏洞描述为IIOP协议上的反序列化漏洞,分配编号CVE-2020-4450,漏洞评分为9.8分,漏洞危害较高,影响面较大。

【参考链接】

http://blog.nsfocus.net/ibm-was-cve-2020-4450-0730/

2. Cisco SD-WAN高危漏洞

【概述】

近日,思科(Cisco)官方发布通告称修复了Cisco SD-WAN vManager Software(CVE-2020-3374)和SD-WAN Solution Software(CVE-2020-3375)的2个高危漏洞。Cisco SD-WAN是一种安全的云规模架构,具有开放性,可编程性和可扩展性。 通过Cisco vManage控制台,您可以快速建立SD-WAN覆盖结构以连接数据中心,分支机构,园区和主机托管设施,以提高网络速度,安全性和效率。

【参考链接】

http://blog.nsfocus.net/cisco-sdwan-0731/

 

3. Emotet银行木马

【概述】

Emotet具有用于进行银行欺诈的模块,主要针对欧洲、美洲等国家的银行进行攻击,多年来,该恶意软件被全球安全厂商归类为银行木马。近期尊龙凯时格物实验室跟踪到Emotet银行木马的新样本,该木马以其模块化架构和持久性技术出名,主要通过钓鱼邮件的方法传播。

【参考链接】

https://nti.nsfocus.com/

 

4. North Star运动针对航空航天和国防行业

【概述】

North Star运动是针对航空航天和国防行业的恶意网络活动,以国防承包商的职位发布作为诱饵,利用鱼叉式网络钓鱼邮件进行针对性攻击,旨在传播恶意软件,收集有关军事和国防技术的关键情报。

【参考链接】

https://www.mcafee.com//blogs/other-blogs/mcafee-labs/operation-north-star-a-job-offer-thats-too-good-to-be-true/

 

5. Lazarus组织使用VHD勒索软件的恶意活动

【概述】

近期Lazarus组织使用VHD勒索软件进行恶意活动,该勒索软件通过MATA框架进行部署。攻击者利用存在漏洞的VPN网络进行入侵,获取管理员权限,并部署VHD勒索软件,该勒索软件可获取所有连接的磁盘以加密文件。Lazarus Group(又名HIDDEN COBRA、Guardians of Peace、ZINC和NICKEL ACADEMY)是一个威胁组织,归属于朝鲜政府,该组织至少从2009年以来一直活跃。

【参考链接】

https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/

 

6. Ensiko有勒索软件功能的Webshell

【概述】

Ensiko是具有勒索软件功能的PHP Web Shell,其目标是安装了PHP的任何平台,该恶意软件可以远程控制系统并接受shell命令以在受感染机器上执行恶意活动,通过PHP反向shell将结果发送回攻击者,它能够扫描服务器上是否存在其他Web外壳,破坏网站,发送大量电子邮件,下载远程文件,披露有关受影响服务器的信息,针对文件传输协议(FTP),cPanel和Telnet的暴力攻击,覆盖文件具有指定的扩展名等。

【参考链接】

https://blog.trendmicro.com/trendlabs-security-intelligence/ensiko-a-webshell-with-ransomware-capabilities/

 

7. Blue Mockingbird组织利用印度服务器进行挖矿活动

【概述】

Blue Mockingbird组织近期在面向公众的服务器上利用漏洞来运行多组件恶意软件,其中有攻击者利用Progress Telerik UI CVE-2019-18935实现初始访问,执行PowerShell的有效负载,从而提供加密货币恶意软件,影响系统性能、损害业务运营,还可以进行数据盗窃、勒索软件、银行木马攻击等活动,印度数百万服务器受到此次攻击活动的影响。

【参考链接】

https://www.seqrite.com/blog/blue-mockingbird-threat-group-targets-servers-in-india-for-cryptomining/

 

8. androids间谍软件针对坦桑尼亚超级联赛

【概述】

近期发现新的androids间谍软件,攻击者利用该间谍软件伪装成Google Play中两个最著名足球俱乐部Simba SC和Yanga SC的官方androids应用程序误导用户下载使用,该间谍软件具有阅读短信、获取联系人、录制音频、通话功能、访问实时位置 、读/写外部存储 、窃取照片、存取相机等功能。

【参考链接】

https://www.zscaler.com/blogs/research/androids-spyware-targeting-tanzania-premier-league

 

9. RedDelta组织针对梵蒂冈和天主教机构

【概述】

RedDelta是一个针对与中国战略利益相关实体的活跃威胁组织,该组织以宗教团体为明确目标,利用以梵蒂冈和亚洲天主教新闻联盟有关为主题的网络钓鱼诱饵,使用PlugX和Cobalt Strike等知名工具获取情报。

【参考链接】

https://go.recordedfuture.com/hubfs/reports/cta-2020-0728.pdf

 

10. H2Miner僵尸网络利用漏洞入侵Linux系统

【概述】

H2Miner是一个Linux下的大型挖矿僵尸网络,通过多个高危漏洞入侵Linux系统,并利用漏洞在企业内网或云服务器中横向扩散,并且下载恶意脚本及恶意程序进行挖矿牟利,同时具有卸载云服务器安全软件、删除云服务器镜像的能力。

【参考链接】

https://s.tencent.com//research/report/1062.html

11. GuLoader通过恶意垃圾邮件活动分发

【概述】

GuLoader是威胁参与者用来大规模分发恶意软件的下载程序,利用带有ISO文件类型附件的垃圾邮件分发,附件包含用Visual Basic编写的GuLoader可执行文件,通过驱动器打开并执行。

【参考链接】

https://blog.malwarebytes.com/threat-analysis/2020/07/malspam-campaign-caught-using-guloader-after-service-relaunch/

 

12. 利用WordPress插件漏洞进行网络攻击

【概述】

WordPress是用于构建和托管网站的最流行的开源软件,攻击者针对WordPress插件中的多个漏洞,如WooCommerce插件、Yoast SEO插件和All in One SEO Pack插件进行网络钓鱼和欺诈活动。

【参考链接】

https://www.zscaler.com/blogs/research/cybercriminals-targeting-multiple-vulnerabilities-wordpress-plugins

 

13. Ngrok挖矿僵尸网络针对Docker服务器

【概述】

Ngrok僵尸网络利用Docker API端口进行攻击,攻击者滥用Docker配置功能以逃避标准容器限制并从主机执行各种恶意负载,还部署了网络扫描仪以查找其他潜在的易受攻击目标。

【参考链接】

https://www.intezer.com/container-security/watch-your-containers-doki-infecting-docker-servers-in-the-cloud/

<<上一篇

【安全通告】Cisco SD-WAN高危漏洞 (CVE-2020-3374,CVE-2020-3375)

>>下一篇

WebSphere远程代码执行漏洞(CVE-2020-4534)通告

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

提交项目需求

欢迎加入尊龙凯时科技,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

服务支持

智能客服
智能客服
购买/售后技术问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
尊龙凯时科技社区
尊龙凯时科技社区
资料下载|在线问答|技术交流
微博
微博

微博

微信
微信

微信

B站
B站

B站

抖音
抖音

抖音

视频号
视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

© 2024 NSFOCUS 尊龙凯时科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证48052245号

尊龙凯时