高级威胁分析
1、卡巴斯基发布APT报告:Operation PowerFall,疑似DarkHotel对韩国国内对朝鲜感兴趣的实体公司发起的定向攻击,攻击者使用IE Nday CVE-2020-1380,该组织对浏览器漏洞情有独钟,多次使用浏览器漏洞对朝鲜相关的实体和个人发起定向攻击。
https://securelist.com/ie-and-windows-zero-day-operation-powerfall/97976/
关于该漏洞影响版本:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1380
2、由Group-IB威胁情报专家发现的APT组织RedCurl,自2018年以来该组织一直活跃。此后,仅对商业组织就进行了26次针对性攻击,包括建筑,金融,咨询,零售,银行,保险,法律和旅行。RedCurl没有到任何区域的明确地理链接;其受害者位于俄罗斯,乌克兰,英国,德国,加拿大和挪威。
https://www.group-ib.com/resources/threat-research/red-curl.html
3、Operation ‘Dream Job’ 疑似 Lazarus group组织对以色列的网络攻击,已成功地感染了以色列乃至全球的数十家公司和组织。其主要目标包括国防,政府公司以及这些公司的特定员工。
通过社工手段,发送定向的漏洞文档。
https://www.clearskysec.com/operation-dream-job/
https://www.clearskysec.com/wp-content/uploads/2020/08/Dream-Job-Campaign.pdf
4、利用COVID-19钓鱼的IOC,美国CISA发布。
https://us-cert.cisa.gov/ncas/alerts/aa20-225a?utm_source=dlvr.it
5、安天发布的“安天针对绿斑组织近期APT攻击活动的分析报告”,湾湾钓鱼钓的号欢实。
http://www.hackdig.com/08/hack-107672.htm
6、我放个标题吧
def __init__(self):self.back_git_heart = 'https://api.github.com/repos/{}/{}/contents/{}/{}/{}'.format(B_USER, B_PROJECT, B_PATH, B_ACTION_HEART, self.back_sid)self.back_git_cmd = 'https://api.github.com/repos/{}/{}/contents/{}/{}/{}'.format(B_USER, B_PROJECT, B_PATH, B_ACTION_CMD, self.back_sid)self.back_git_answer = 'https://api.github.com/repos/{}/{}/contents/{}/{}/{}'.format(B_USER, B_PROJECT, B_PATH, B_ACTION_ANSWER, self.back_sid)self.back_git_token = 'https://api.github.com/repos/{}/{}/contents/{}/{}'.format(B_USER, B_PROJECT, B_PATH, 'token')
https://teamt5.org/tw/posts/Introducing-githubrat-malware-using-github-as-c2-server/
7、我不是、我没有、别瞎说。自2018年开始运营的Skeleton APT,最近就针对了至少7家位于台湾新竹科学工业园区的半导体制造商,采取了协调一致的攻击行动。
-
在此活动中,黑客组织的目标是知识产权和机密半导体设计。
-
对于初始访问,Chimera组使用被盗的凭据访问公司ID和VPN网络。随后,它利用远程桌面协议来访问公司的服务器。
-
APT还使用了自定义数据压缩工具ChimeRAR来存档收集的数据并将其发送到命令和控制(C2)服务器。、
-
利用Skeleton Key Injector横向移动。
-
使用了自定义形式的Cobalt Strike工具,伪装成Google Update函数(GoogleUpdate.exe),该函数实现了后门信标并执行了与持久性相关的活动
-
使用了托管在公共云平台(例如Google Cloud和Microsoft Azure)上的多个C2域以及其他公共云服务
-
用Mimikatz和Dumpert的代码段绕过API监视以及防病毒和端点保护
https://blogvaronis2.wpengine.com/azure-skeleton-key/
https://cycraft.com/download/%5BTLP-White%5D20200415%20Chimera_V4.1.pdf
技术分享
1、【牛逼工具】暗网自动化监测工具
Dark Web Monitoring服务使组织能够在收到有关在黑暗Web上泄露或看到信息的通知后立即意识到此类违规行为并做出响应(更改密码,使信用卡过期,通知用户等)
这个应该是国内外很多公司需要的功能。
https://www.sirp.io/blog/darkowl-and-sirp-automated-darkweb-monitoring-and-investigation/
2、三星手机“Find My Mobile”功能漏洞,可以执行各种操作。
https://char49.com/tech-reports/fmmx1-report.pdf
3、ReVoLTE攻击可以解密4G(LTE)通话以窃听对话
https://github.com/RUB-SysSec/mobile_sentinel
漏洞相关
1、Google15个安全补丁更新
https://chromereleases.googleblog.com/2020/08/stable-channel-update-for-desktop.html
2、思杰的漏洞更新,RCE
https://www.citrix.com/blogs/2020/08/11/citrix-provides-security-update-on-citrix-endpoint-management/
3、Apache HTTP服务器2.4.32至2.4.44 mod_proxy_uwsgi信息泄露以及RCE
https://nvd.nist.gov/vuln/detail/CVE-2020-11984
数据泄露相关
1、一家名为InMotionNow的美国项目管理公司,被发现了超过550万个文件和价值343GB的数据
https://www.hackread.com/cyber-security-firm-businesses-data-leaked-online/
2、医疗软件公司披露的310万患者详细信息
https://www.linkedin.com/pulse/31-million-patients-details-exposed-medical-software-diachenko/
网络战与网络情报
1、以色列国防部宣布挫败了来自Lazarus Group组织的针对该国国防制造商的网络攻击企图。见上。
https://securityaffairs.co/wordpress/107085/cyber-warfare-2/israel-foiled-attack-defence.html
2、波音利用软盘更新系统
https://gizmodo.com/boeing-747s-still-use-floppy-disks-to-get-critical-soft-1844683811
3、美国政府承包商“异常六号”(Anomaly Six)在500多个移动应用程序中隐藏了位置跟踪软件,该公司的sdk跟踪用户
https://www.hackread.com/us-firm-install-location-tracking-sdk-mobile-apps
4、针对开源项目网络攻击激增
https://www.helpnetsecurity.com/2020/08/13/surge-in-cyber-attacks-targeting-open-source-software-projects/
5、CIA考题:
https://www.cia.gov/kids-page/games/games_aerial_analysis.html
人肉体温测量机
广告时间
360威胁情报中心TI新版上线
https://ti.360.cn
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论