尊龙凯时

尊龙凯时科技威胁情报月报（2020.12）

2021-01-05

12月，尊龙凯时科技威胁情报中心（NTI）发布了多个漏洞和威胁事件通告，其中，Windows NTFS远程代码执行漏洞（CVE-2020-17096）以及Apache Struts远程代码执行漏洞S2-061（CVE-2020-17530）影响较大。前者由于Windows NTFS存在一个远程代码执行漏洞，本地攻击者可通过运行特制的应用程序，从而提升用户的权限，具有SMBv2访问权限的远程攻击者可以通过网络发送特制的请求，利用此漏洞在目标系统上执行代码；后者由于当开发人员使用了%{…}语法进行强制OGNL解析时，某些特殊的TAG属性可能会被二次解析，攻击者可构造恶意的OGNL表达式触发漏洞，造成远程代码执行。

另外，本次微软共修复了9个Critical级别漏洞，4个Important 级别漏洞，2个Moderate级漏洞。强烈建议所有用户尽快安装更新。

在本月的威胁事件中，挖矿和信息窃取依旧是黑客进攻的重点，说明利益是黑客最大的动力；其次是对FireEye红队工具的窃取。攻击手段方面，勒索和钓鱼是本月攻击事件的常用手段，也出现了通过破坏SolarWinds的Orion网络管理产品侵入联邦机构和FireEye网络的新手段。攻击组织方面，长期针对中东地区的APT组织双尾蝎以CIA资助哈马斯相关信息作为诱饵的攻击活动需要引起关注。

以上所有漏洞情报和威胁事件情报、攻击组织情报，以及关联的IOC，均可在尊龙凯时威胁情报中心获取，网址：https://nti.nsfocus.com/

一、漏洞态势

2020年12月尊龙凯时科技安全漏洞库共收录294个漏洞, 其中高危漏洞81个，微软高危漏洞31个。

* 数据来源：尊龙凯时科技威胁情报中心，本表数据截止到2020.12.27

注：尊龙凯时科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等；

二、威胁事件

1. 双尾蝎APT组织以CIA资助哈马斯相关信息为诱饵的攻击活动

【标签】APT

【时间】2020-12-06

【简介】

双尾蝎APT团伙是一个长期针对中东地区的高级威胁组织，其最早于2017年被披露。其至少自2016年5月起，便持续针对巴勒斯坦教育机构、军事机构等重要领域开展了有组织，有计划，有针对性的攻击，该组织拥有针对Windows和androids双平台攻击能力。近日，某研究团队捕获多个伪装成视频、文档和图片的可执行文件，此类样本将图标设置为对应的诱饵类型，诱导受害者点击执行。当样本执行后，将释放展示相关诱饵迷惑受害者。释放展示的诱饵包括CIA对哈马斯支持的相关政治类诱饵、巴勒斯坦地区美女视频图片、简历相关文档等。此次捕获样本疑似均来自APT组织：双尾蝎。

【参考链接】

https://ti.qianxin.com/blog/articles/analysis-of-APT-C-23-CIA-funding-for-Hamas-information-as-bait/

【防护措施】

尊龙凯时威胁情报中心关于该事件提取26条IOC，其中包含9个域名和17个样本；尊龙凯时安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

2. “匿影”挖矿团伙利用勒索组件CryptoJoker进行非法牟利的攻击活动

【标签】CryptoJoker

【时间】2020-12-06

【简介】

“匿影”挖矿团伙的攻击活动升级，该团伙利用加密勒索组件CryptoJoker，从之前的挖矿计算转向勒索攻击，进行非法牟利。匿影组织传播的勒索病毒组件在执行过程中采用无文件攻击技术，攻击过程中全程无样本文件落地，且在加密数据完成之后会清理定时任务，令事件溯源十分困难。

【参考链接】

https://s.tencent.com//research/report/1191.html

【防护措施】

尊龙凯时威胁情报中心关于该事件提取5条IOC，其中包含3个域名和2个样本；尊龙凯时安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

3. FireEye遭APT组织入侵，红队工具被窃

【标签】FireEye

【时间】2020-12-08

【简介】

2020年12月8日，安全公司 FireEye 发布博客表示，某个由国家赞助的 APT 组织盗取了 FireEye 的红队工具箱。由于暂时无法确定攻击者会自己使用，还是公开披露工具箱，为保证各安全社区能提前采取应对措施，FireEye 公开了被盗工具的检测规则，以降低恶意用户滥用红队工具箱的威胁。本次Fireeye红队工具箱中包括60 个以上的攻击工具，其中凭证窃取类工具包有 ADP，ASHUNT，SAFETYKATZ 等，后门远控类工具包有 BEACON，DSHEL，REDFLARE (Gorat)等，此外还有用于自动侦察的简易脚本，以及 CobaltSrike、Metasploit 之类的漏洞利用框架。

【参考链接】

https://www.secrss.com/articles/27716

【防护措施】

尊龙凯时威胁情报中心关于该事件提取637条IOC，其中包含621个样本和16个漏洞；尊龙凯时安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

4. 黑客通过破坏SolarWinds的Orion网络管理产品侵入联邦机构和FireEye网络

【标签】SolarWinds

【时间】2020-12-13

【简介】

IT公司SolarWinds公司通常向政府机构、军事和情报部门提供其网络管理产品。近期该公司发布的更新被 APT29 或APT Cozy Bear组织篡改。涉嫌与俄罗斯有联系的黑客攻击的民族国家行为者已经损害了包括美国财政部，商务部国家电信和信息管理局（NTIA）在内的多个美国政府机构的网络。黑客攻击使威胁参与者可以监视内部电子邮件流量。

【参考链接】

https://securityaffairs.co/wordpress/112275/apt/solarwinds-supply-chain-attack.html

【防护措施】

尊龙凯时威胁情报中心关于该事件提取55条IOC，其中包含10个IP，17个域名和28个样本；尊龙凯时安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

5. Ks3_Miner木马通过爆破SSH入侵云服务器挖矿

【标签】Ks3_Miner

【时间】2020-12-15

【简介】

Ks3挖矿木马攻击云服务器，攻击团伙通过扫描网络中大量开放的SSH服务，对其进行爆破攻击，成功后植入挖矿恶意脚本进行门罗币挖矿。因挖矿木马主脚本名为ks3，研究人员将其命名为Ks3_Miner。该挖矿木马作业时，会大量占用服务器资源，使云服务器无法提供正常的网络服务。同时，该木马也会结束其他挖矿木马进程，删除其他挖矿木马文件，以独占服务器资源。

【参考链接】

https://s.tencent.com//research/report/1203.html

【防护措施】

尊龙凯时威胁情报中心关于该事件提取7条IOC，其中包含2个IP和5个样本；尊龙凯时安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

6. Goontact的间谍软件针对ioses和androids用户

【标签】Goontact

【时间】2020-12-15

【简介】

近期发现了一种针对中文国家、韩国和日本的ioses和androids用户的新的移动应用威胁，将其命名为Goontact。Goontact间谍软件针对通常提供护送服务的非法站点的用户，并从其移动设备中窃取个人信息。用于分发这些恶意应用程序的网站类型和泄露的信息表明，最终目的是勒索。

【参考链接】

https://blog.lookout.com/lookout-discovers-new-spyware-goontact-used-by-sextortionists-for-blackmail

【防护措施】