高级威胁分析
1、Darkhotel(APT-C-06)组织利用Thinmon后门框架的多起攻击活动揭秘
"2020年3月期间,360安全大脑发现并披露了涉半岛地区APT组织Darkhotel(APT-C-06)利用VPN软件漏洞攻击我国政府机构和驻外机构的APT攻击行动。在攻击行动中Darkhotel(APT-C-06)组织使用了一系列新型的后门框架,该后门程序未被外界披露和定义过,360高级威胁研究院根据攻击组件的文件名将其命名为“Thinmon”后门框架。通过对Darkhotel(APT-C-06)组织利用“Thinmon”后门框架实施攻击活动的追踪,我们发现该组织最早从2017年就开始利用该后门框架实施了长达三年时间的一系列攻击活动,其攻击意图主要在于长期监控和窃取机密文件,受害者主要集中在我国华北和沿海地区,被攻击目标主要包括政府机构、新闻媒体、大型国企、外贸企业等行业,占比最大的为外贸及涉外机构。在这三年多的时间内,该组织不断更新后门框架,持续对目标发起攻击。"
后门很屌,植入方式也挺不错。
https://mp.weixin.qq.com/s/nyxZFXgrtm2-tBiV3-wiMg
2、南亚APT组织“透明部落”在移动端上与对手的较量。
“2020年8月,奇安信威胁情报中心移动安全团队在日常的威胁分析运营过程中,捕获到Android平台上一款新型的恶意RAT,基于该家族C2的特点,我们将其命名为Tahorse。Tahorse RAT携带有Ahmyth开源远控新变种子包及qu1ckr00开源项目中利用CVE-2019-2215漏洞的ELF模块,并针对中国数款主流品牌国产手机进行了定制,这类新活动引起了我们的关注。
2019年9月,Google公司Project Zero小组发现并提交了CVE-2019-2215漏洞。该漏洞是存在于Android Binder组件中的UAF漏洞,可被利用来提升权限到root级别。2020年1月,趋势科技安全厂商发布报告披露南亚“响尾蛇”(SideWinder)APT组织利用该漏洞进行开展移动端上的在野攻击。
经关联分析,此次攻击活动一共涉及Android平台攻击样本41个,Windows平台攻击样本9个, C2域名4个。其中通过关联到的Windows平台攻击样本相关信息表明,此次攻击活动与南亚“透明部落”(Transparent Tribe)APT组织相关。
“透明部落”是一个南亚来源具有政府背景的APT组织,其长期针对周边国家和地区的军队和政府机构实施定向攻击,其和南亚“响尾蛇”APT组织属于两个相互 “敌对”的APT组织。有趣的是在趋势科技披露“响尾蛇”使用了CVE-2019-2215后的第二个月, “透明部落”也开始了对CVE-2019-2215的使用,这或许不是一种巧合,更像是一种回应。为了防止威胁的进一步扩散,奇安信威胁情报中心对该安全事件进行详细分析和披露,以提醒各安全厂商第一时间关注相关的攻击事件。”
https://mp.weixin.qq.com/s/mkEV2pxl8dX9jd3ArM0KPw
3、卡巴斯基发布报告,黑客雇佣军DeathStalker。专门针对金融机构的组织,特别期望普华永道和毕威马出安全报告。
https://securelist.com/deathstalker-mercenary-triumvirate/98177/
4、牛逼报告。APT组织针对工业间谍利用Autodesk 3D Max软件,该组织针对视频机构和建筑机构,C2位于朝鲜半岛……
https://www.bitdefender.com/files/News/CaseStudies/study/365/Bitdefender-PR-Whitepaper-APTHackers-creat4740-en-EN-GenericUse.pdf
5、Lazarus APT使用LinkedIn诱饵瞄准加密货币组织
https://labs.f-secure.com/assets/BlogFiles/f-secureLABS-tlp-white-lazarus-threat-intel-report.pdf
https://securityaffairs.co/wordpress/107519/apt/lazarus-targets-cryptocurrency.html
技术分享
1、CVE-2020-1380,IE 0day分析,很牛逼。Microsoft修复了一个针对Internet Explorer11的零日漏洞,尤其是CVE-2020-1380。这是Internet Explorer的JavaScript引擎jscript9.dll中的“用后可用(UAF)”错误。Internet Explorer的零日攻击通常利用vbscript.dll和jscript.dll运行shellcode。
https://www.trendmicro.com/en_us/research/20/h/cve-2020-1380-analysis-of-recently-fixed-ie-zero-day.html
2、EDR的同学注意了!
https://labs.sentinelone.com/living-off-windows-land-a-new-native-file-downldr/
3、drovorub-hunt:Dispatches from Drovorub: Network Threat Hunting for Russia GRU GTsSS' Malware at Scale
https://github.com/Insane-Forensics/drovorub-hunt
4、mitre shield
https://shield.mitre.org/
漏洞相关
1、CVE-2020-1493。Windows 10 1909 x64上安装的Outlook 2019(16.0.12624.20424)中,该漏洞也是零点击漏洞。
https://github.com/0neb1n/CVE-2020-1493
2、CVE-2020-13699,TeamViewer漏洞,可允许攻击者窃取密码。
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13699
3、远程执行代码,Microsoft Azure Sphere中的权限提升漏洞
https://blog.talosintelligence.com/2020/08/vuln-spotlight-microsoft-azure-aug-2020.html
4、Use-after-free vulnerability in Google Chrome WebGL could lead to code execution
https://blog.talosintelligence.com/2020/08/vuln-spotlight-chrome-use-free-aug-2020.html
网络战与网络情报
1、如何在网络空间竞争,网络司令部的新方法
https://www.foreignaffairs.com/articles/united-states/2020-08-25/cybersecurity
https://thehill.com/policy/cybersecurity/513655-us-cyber-command-leader-vows-to-defend-forward-in-protecting-nation-from
2、澳大利亚创建网军
https://www.zdnet.com/article/nsw-pledges-au60m-to-create-cyber-army/
3、CISA 5G STRATEGY,CISA的5G安全防御
https://www.cisa.gov/sites/default/files/publications/cisa_5g_strategy_508.pdf
人肉体温测量机
广告时间
360威胁情报中心TI新版上线
https://ti.360.cn
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论