今日威胁情报2020/10/10-14(第310期）

高级威胁

1、毒云藤（APT-C-01）组织2020上半年针对我重要机构定向攻击活动揭秘

毒云藤（APT-C-01）组织是一个长期针对国内国防、政府、科技和教育领域的重要机构实施网络间谍攻击活动的APT团伙，其最早的攻击活动可以追溯到2007年，360高级威研究院针对该团伙的攻击活动一直持续在进行追踪。

2019年上半年，360高级威研究院开始注意到APT-C-01组织针对国内科研机构，军工机构，国防机构，航空机构以及政府机构进行频繁的定向攻击活动。在使用360安全大脑进行溯源分析的过程中，我们发现该组织相关攻击活动从2019年5月开始至今持续活跃，从9月开始相关技战术迭代升级，目前针对相关重点目标进行集中攻击。

该组织2020年上半年主要进行了以下的定向攻击：

• 2020年初，在国内抗击疫情期间，该组织利用新型冠状肺炎为诱饵发起定向攻击，主要用于窃取相关的目标用户的邮箱密码

• 2020年上半年期间，该组织曾使用各类诱饵主题的鱼叉邮件，针对特定目标投递lnk恶意附件安装后门程序

• 2020年6月期间，该组织开始针对特定单一人物目标实施定向攻击。

• 近期，该组织针对相关目标又集中发起了一系列定向攻击活动
  

在本报告中，我们对APT-C-01组织上半年针对我重要机构等目标的定向攻击行动进行分析和总结，后续我们会持续披露该组织的最新攻击活动。

https://mp.weixin.qq.com/s/6zy3MXSB_ip_RgwZGNmYYQ

2、针对毒云藤（APT-C-01）组织近期的大规模钓鱼攻击活动披露

毒云藤（APT-C-01）组织是一个长期针对国内国防、政府、科技和教育领域的重要机构实施网络间谍攻击活动的APT团伙，其最早的攻击活动可以追溯到2007年。360高级威研究院10月11日独家发布的《毒云藤（APT-C-01）组织2020上半年针对我重要机构定向攻击活动揭秘》报告中披露了该组织上半年利用新冠肺炎等热点事件针对国内国防、政府等重要机构频繁的网络间谍攻击活动。

近期毒云藤组织的攻击活动并未减弱蛰伏，反而异常活跃。2020年6月，该组织技战术进行了调整，开始针对特定单一人物目标实施定向攻击。进一步8月初开始，我们发现该组织针对国内高等院校、科研机构等，进行了大规模邮箱系统钓鱼窃密攻击活动，涉及了大量的相关单位，相关攻击至今持续活跃。

https://mp.weixin.qq.com/s/5GhOUClaBVpQG-AlGtDMYg

3、蓝宝菇（APT-C-12）组织使用云存储技术发起的最新攻击活动披露

蓝宝菇（APT-C-12）组织从2011年开始持续至今，长期对国内国防、政府、科研、金融等重点单位和部门进行了持续的网络间谍活动，该组织主要关注核工业和科研等相关信息。2018年7月，我们发布了《蓝宝菇-核危机行动揭秘》报告，在披露了该组织相关网络间谍活动之后，蓝宝菇组织的攻击频次有所下降，但未完全停歇。继而采用了针对关键目标进行短期集中攻击的闪电战策略，如18年11月针对驻外使馆、19年3月针对某科研机构等相关攻击事先都进行了周密计划，达成后快速隐匿蛰伏。

2020年初，在新冠疫情给全球格局带来新的冲击影响下，各APT组织针对国内的攻击活动异常活跃。蓝宝菇组织也蠢蠢欲动，相关攻击活动逐渐频繁。通过360安全大脑的遥测，我们发现该组织针对国内某重点机构的两次攻击活动中升级了技战术，开始使用云存储技术架设C2基础设施。本报告将披露该组织最新的攻击手法和网络武器。

https://mp.weixin.qq.com/s/Wi67iA3ZwY3o5X9ekRpD2w

4、血茜草：永不停歇的华语情报搜集活动

奇安信威胁情报中心红雨滴安全研究团队于2011年开始持续对华语来源的攻击活动进行追踪，并在近些年来发布了多篇关于APT组织毒云藤和蓝宝菇的分析报告。

但发布报告并不能制止该华语来源的攻击，反而变本加厉，在近些年来无休无止的进行网络情报窃取，试图大量搜集重点单位的资产，因此奇安信威胁情报中心仍在持续对这两个APT组织进行追踪。

如此前有所不同的是，如今该华语来源的攻击活动趋向渔网化，通过批量与定向投方相结合，采取信息探测的方式辅助下一步的定点攻击。该情报搜集活动被我们命名为“血茜草行动”(Operation Rubia cordifolia)，由于”血茜草”同”蒐”，而蒐一字经常用在繁体中文”蒐集情報”一词中，顾如此命名。目前我们将该系列攻击活动归属于著名的毒云藤组织。

由于语言环境的原因，华语类网络攻击通常极具诱惑性。血茜草活动中，攻击目标行业主要为军工、国防类军情行业、重点高等教育科研、政府机构等。

https://mp.weixin.qq.com/s/omacDXAdio88a_f0Xwu-kg

5、针对台湾政府的攻击续集分析

https://medium.com/@cycraft_corp/taiwan-government-targeted-by-multiple-cyberattacks-in-april-2020-3b20cea1dc20

6、火眼发布一个以经济利益为动机的高级威胁Fin11
https://www.fireeye.com/blog/threat-research/2020/10/fin11-email-campaigns-precursor-for-ransomware-data-theft.html

技术分享

1、深度分析– Phobos Ransomware的EKING变种。

https://www.fortinet.com/blog/threat-research/deep-analysis-the-eking-variant-of-phobos-ransomware

2、柠檬鸭Lemon Duck僵尸网络（挖矿）分析

https://blog.talosintelligence.com/2020/10/lemon-duck-brings-cryptocurrency-miners.html

3、2020年虚拟设备安全漏洞详情报告。研究发现2,200个虚拟设备中存在40万个漏洞

https://orca.security/virtual-appliance-security-report/

4、微软、ESET等合作打击Trickbot

https://www.welivesecurity.com/2020/10/12/eset-takes-part-global-operation-disrupt-trickbot/

https://www.microsoft.com/security/blog/2020/10/12/trickbot-disrupted/

5、Bazar后门分析

https://www.advanced-intel.com/post/front-door-into-bazarbackdoor-stealthy-cybercrime-weapon

漏洞相关

1、微软补丁日，微软多个产品高危漏洞安全风险通告，修复了87个漏洞，包括21个RCE

编号	描述	新版可利用性	历史版本可利用性	公开状态	在野利用	导致结果
CVE-2020-17003	[严重]Base3D 远程代码执行漏洞	可利用	可利用	未公开	不存在	远程代码执行
CVE-2020-16898	[严重]Windows TCP/IP 远程代码执行漏洞	易利用	易利用	未公开	不存在	远程代码执行
CVE-2020-16968	[严重]Windows 摄像头编解码器远程代码执行漏洞	可利用	可利用	未公开	不存在	远程代码执行
CVE-2020-16951	[严重]Microsoft SharePoint 远程代码执行漏洞	可利用	可利用	未公开	不存在	远程代码执行
CVE-2020-16952	[严重]Microsoft SharePoint 远程代码执行漏洞	可利用	可利用	未公开	不存在	远程代码执行
CVE-2020-16915	[严重]Windows Media Foundation组件损坏漏洞	可利用	可利用	未公开	不存在	内存破坏
CVE-2020-16891	[严重]Windows Hyper-V 远程代码执行漏洞	可利用	可利用	未公开	不存在	远程代码执行
CVE-2020-16967	[严重]Windows 摄像头编解码器远程代码执行漏洞	可利用	可利用	未公开	不存在	远程代码执行
CVE-2020-16911	[严重]GDI 远程代码执行漏洞	可利用	可利用	未公开	不存在	远程代码执行
CVE-2020-16947	[严重]Microsoft Outlook 远程代码执行漏洞	可利用	可利用	未公开	不存在	远程代码执行
CVE-2020-16923	[严重]Microsoft 图形组件远程代码执行漏洞	可利用	可利用	未公开	不存在	远程代码执行
CVE-2020-16938	[高危]Windows 内核信息泄漏漏洞	可利用	可利用	已公开	不存在	信息泄漏
CVE-2020-16901	[高危]Windows 内核信息泄漏漏洞	可利用	可利用	已公开	不存在	信息泄漏
CVE-2020-16909	[高危]Windows 错误报告组件特权提升漏洞	可利用	可利用	已公开	不存在	权限提升
CVE-2020-16937	[高危].NET Framework 信息泄漏漏洞	可利用	可利用	已公开	不存在	信息泄漏
CVE-2020-16908	[高危]Windows 安装程序特权提升漏洞	可利用	可利用	已公开	不存在	权限提升
CVE-2020-16885	[高危]Windows 存储 VSP 驱动程序特权提升漏洞	可利用	可利用	已公开	不存在	权限提升
CVE-2020-16946	[高危]Microsoft Office SharePoint	可利用	可利用	未公开	不存在	跨站脚本攻击
CVE-2020-16894	[高危]Windows NAT 远程代码执行漏洞	可利用	可利用	未公开	不存在	远程代码执行
CVE-2020-16886	[高危]PowerShellGet 模块 WDAC 安全功能绕过漏洞	可利用	可利用	未公开	不存在
CVE-2020-16934	[高危]Microsoft Office 即点即用特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16955	[高危]Microsoft Office 即点即用特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16920	[高危]Windows 应用程序兼容性客户端库特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16976	[高危]Windows 备份服务特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16944	[高危]Microsoft SharePoint Reflective	可利用	可利用	未公开	不存在	跨站脚本攻击
CVE-2020-16928	[高危]Microsoft Office 即点即用特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16900	[高危]Windows 事件系统特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16930	[高危]Microsoft Excel 远程代码执行漏洞	可利用	可利用	未公开	不存在	远程代码执行
CVE-2020-16877	[高危]Windows 特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16913	[高危]Win32k 特权提升漏洞	易利用	易利用	未公开	不存在	权限提升
CVE-2020-16914	[高危]Windows GDI+ 信息泄漏漏洞	可利用	可利用	未公开	不存在	信息泄漏
CVE-2020-16921	[高危]Windows 文本服务框架信息泄漏漏洞	可利用	可利用	未公开	不存在	信息泄漏
CVE-2020-1167	[高危]Microsoft 图形组件远程代码执行漏洞	可利用	可利用	未公开	不存在	远程代码执行
CVE-2020-16941	[高危]Microsoft SharePoint 信息泄漏漏洞	可利用	可利用	未公开	不存在	信息泄漏
CVE-2020-16995	[高危]适用于 Linux 的网络观察程序代理虚拟机扩展特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16933	[高危]Microsoft Word 安全功能绕过漏洞	可利用	可利用	未公开	不存在
CVE-2020-1047	[高危]Windows Hyper-V 特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16907	[高危]Win32k 特权提升漏洞	易利用	易利用	未公开	不存在	权限提升
CVE-2020-16922	[高危]Windows 欺骗漏洞	易利用	易利用	未公开	不存在	欺骗攻击
CVE-2020-16977	[高危]Visual Studio Code Python 扩展程序远程代码执行漏洞	可利用	可利用	未公开	不存在	远程代码执行
CVE-2020-16974	[高危]Windows 备份服务特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16942	[高危]Microsoft SharePoint 信息泄漏漏洞	可利用	可利用	未公开	不存在	信息泄漏
CVE-2020-16950	[高危]Microsoft SharePoint 信息泄漏漏洞	可利用	可利用	未公开	不存在	信息泄漏
CVE-2020-16935	[高危]Windows COM Server 特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16939	[高危]组策略特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-1243	[高危]Windows Hyper-V 拒绝服务漏洞	可利用	可利用	未公开	不存在	拒绝服务
CVE-2020-1080	[高危]Windows Hyper-V 特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16940	[高危]Windows - User Profile Service 特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16924	[高危]Jet 数据库引擎远程代码执行漏洞	可利用	可利用	未公开	不存在	远程代码执行
CVE-2020-16897	[高危]NetBT 信息泄漏漏洞	可利用	可利用	未公开	不存在	信息泄漏
CVE-2020-16957	[高危] Windows Office 访问连接引擎远程代码执行漏洞	可利用	可利用	未公开	不存在	远程代码执行
CVE-2020-16904	[高危]Azure 功能特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16969	[高危]Microsoft Exchange 信息泄漏漏洞	可利用	可利用	未公开	不存在	信息泄漏
CVE-2020-16902	[高危]Windows 程序安装组件 特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16912	[高危]Windows 备份服务特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16954	[高危]Microsoft Office 远程代码执行漏洞	可利用	可利用	未公开	不存在	远程代码执行
CVE-2020-16905	[高危]Windows 错误报告组件特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16927	[高危]Windows 远程桌面协议 (RDP) 拒绝服务漏洞	可利用	可利用	未公开	不存在	拒绝服务
CVE-2020-16975	[高危]Windows 备份服务特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16899	[高危]Windows TCP/IP 拒绝服务漏洞	易利用	易利用	未公开	不存在	拒绝服务
CVE-2020-16910	[高危]Windows 安全功能绕过漏洞	可利用	可利用	未公开	不存在
CVE-2020-0764	[高危]Windows 存储服务特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16918	[高危]Base3D 远程代码执行漏洞	可利用	可利用	未公开	不存在	远程代码执行
CVE-2020-16892	[高危]Windows 映像特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16887	[高危]Windows 网络连接服务权限提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16945	[高危]Microsoft Office SharePoint	可利用	可利用	未公开	不存在	跨站脚本攻击
CVE-2020-16953	[高危]Microsoft SharePoint 信息泄漏漏洞	可利用	可利用	未公开	不存在	信息泄漏
CVE-2020-16890	[高危]Windows 内核特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16896	[高危]Windows 远程桌面协议 (RDP) 信息泄漏漏洞	易利用	易利用	未公开	不存在	信息泄漏
CVE-2020-16948	[高危]Microsoft SharePoint 信息泄漏漏洞	可利用	可利用	未公开	不存在	信息泄漏
CVE-2020-16916	[高危]Windows COM Server 特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16931	[高危]Microsoft Excel 远程代码执行漏洞	可利用	可利用	未公开	不存在	远程代码执行
CVE-2020-16876	[高危]Windows 应用程序兼容性客户端库特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16972	[高危]Windows 备份服务特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16929	[高危]Microsoft Excel 远程代码执行漏洞	可利用	可利用	未公开	不存在	远程代码执行
CVE-2020-16936	[高危]Windows 备份服务特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16932	[高危]Microsoft Excel 远程代码执行漏洞	可利用	可利用	未公开	不存在	远程代码执行
CVE-2020-16889	[高危]Windows KernelStream 信息泄漏漏洞	可利用	可利用	未公开	不存在	信息泄漏
CVE-2020-16943	[高危]Dynamics 365 Commerce 特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16863	[高危]Windows 远程桌面服务拒绝服务漏洞	可利用	可利用	未公开	不存在	拒绝服务
CVE-2020-16973	[高危]Windows 备份服务特权提升漏洞	可利用	可利用	未公开	不存在	权限提升
CVE-2020-16980	[高危]Windows iSCSI 目标服务特权提升漏洞	可利用	可利用	未公开	不存在	权限提升

https://www.zdnet.com/article/microsoft-october-2020-patch-tuesday-fixes-87-vulnerabilities/

https://cert.360.cn/warning/detail?id=59eb03237e0f68df8dd8de2ab5f2834b

2、CVE-2020-14386：Linux内核中的特权升级漏洞

https://unit42.paloaltonetworks.com/cve-2020-14386/

3、Adobe Flash Player中一个严重的远程代码执行漏洞

https://helpx.adobe.com/security/products/flash-player/apsb20-58.html

4、CVE-2020-16898: Windows TCP/IP远程执行代码漏洞通告

https://cert.360.cn/warning/detail?id=cd37c1ae12bd5a921b0261f55e50255b

数据泄露

1、家庭摄像机3TB数据泄露，哎，多防护下吧

https://www.hackread.com/3tb-clips-hacked-home-security-cameras-leaked/

2、北约和土耳其军事/国防制造商Havelsan的机密文件。

https://cybleinc.com/2020/10/12/alleged-sensitive-documents-of-nato-and-turkey-leaked-case-of-cyber-hacktivism-or-cyber-espionage/

网络战与网络情报

1、英国网军入侵能力达成新阶段，英国网军具备进攻性打击能力。

https://www.theguardian.com/technology/2020/sep/25/britain-has-offensive-cyberwar-capability-top-general-admits

2、研究报告：商业电子邮件钓鱼攻击分析，25%攻击者在美国

https://www.agari.com/insights/whitepapers/threat-intelligence-brief-geography-bec/

3、供应链攻击是未来网络攻击的主要方式之一

https://acn-marketing-blog.accenture.com/wp-content/uploads/2020/09/2020FutureofCyberThreats_Final.pdf

4、美国国土安全部报告，警惕美国人口情报信息面临网络攻击

https://www.dhs.gov/sites/default/files/publications/2020_10_06_homeland-threat-assessment.pdf

5、美国将增加太空部队网络安全团队

https://www.infosecurity-magazine.com/news/us-to-grow-space-force/

广告时间

360威胁情报中心TI新版上线

https://ti.360.cn

本文始发于微信公众号（ThreatPage全球威胁情报）：今日威胁情报2020/10/10-14(第310期）