今日威胁情报2020/8/12-13(第290期)

  • A+
所属分类:安全新闻

今日威胁情报2020/8/12-13(第290期)


高级威胁分析
今日威胁情报2020/8/12-13(第290期)


1、卡巴斯基发布APT报告:Operation PowerFall,疑似DarkHotel对韩国国内对朝鲜感兴趣的实体公司发起的定向攻击,攻击者使用IE Nday CVE-2020-1380,该组织对浏览器漏洞情有独钟,多次使用浏览器漏洞对朝鲜相关的实体和个人发起定向攻击。

今日威胁情报2020/8/12-13(第290期)

https://securelist.com/ie-and-windows-zero-day-operation-powerfall/97976/

关于该漏洞影响版本:

今日威胁情报2020/8/12-13(第290期)

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1380


2、由Group-IB威胁情报专家发现的APT组织RedCurl,自2018年以来该组织一直活跃。此后,仅对商业组织就进行了26次针对性攻击,包括建筑,金融,咨询,零售,银行,保险,法律和旅行。RedCurl没有到任何区域的明确地理链接;其受害者位于俄罗斯,乌克兰,英国,德国,加拿大和挪威。

今日威胁情报2020/8/12-13(第290期)

https://www.group-ib.com/resources/threat-research/red-curl.html


3、Operation ‘Dream Job’ 疑似 Lazarus group组织对以色列的网络攻击,已成功地感染了以色列乃至全球的数十家公司和组织。其主要目标包括国防,政府公司以及这些公司的特定员工。

通过社工手段,发送定向的漏洞文档。


今日威胁情报2020/8/12-13(第290期)

https://www.clearskysec.com/operation-dream-job/

https://www.clearskysec.com/wp-content/uploads/2020/08/Dream-Job-Campaign.pdf


4、利用COVID-19钓鱼的IOC,美国CISA发布。

https://us-cert.cisa.gov/ncas/alerts/aa20-225a?utm_source=dlvr.it


5、安天发布的“安天针对绿斑组织近期APT攻击活动的分析报告”,湾湾钓鱼钓的号欢实。

今日威胁情报2020/8/12-13(第290期)

今日威胁情报2020/8/12-13(第290期)

http://www.hackdig.com/08/hack-107672.htm


6、我放个标题吧

今日威胁情报2020/8/12-13(第290期)

def __init__(self):    self.back_git_heart = 'https://api.github.com/repos/{}/{}/contents/{}/{}/{}'.format(B_USER, B_PROJECT, B_PATH, B_ACTION_HEART, self.back_sid)    self.back_git_cmd = 'https://api.github.com/repos/{}/{}/contents/{}/{}/{}'.format(B_USER, B_PROJECT, B_PATH, B_ACTION_CMD, self.back_sid)    self.back_git_answer = 'https://api.github.com/repos/{}/{}/contents/{}/{}/{}'.format(B_USER, B_PROJECT, B_PATH, B_ACTION_ANSWER, self.back_sid)    self.back_git_token = 'https://api.github.com/repos/{}/{}/contents/{}/{}'.format(B_USER, B_PROJECT, B_PATH, 'token')


今日威胁情报2020/8/12-13(第290期)

https://teamt5.org/tw/posts/Introducing-githubrat-malware-using-github-as-c2-server/


7、我不是、我没有、别瞎说。自2018年开始运营的Skeleton APT,最近就针对了至少7家位于台湾新竹科学工业园区的半导体制造商,采取了协调一致的攻击行动。

  • 在此活动中,黑客组织的目标是知识产权和机密半导体设计。

  • 对于初始访问,Chimera组使用被盗的凭据访问公司ID和VPN网络。随后,它利用远程桌面协议来访问公司的服务器。

  • APT还使用了自定义数据压缩工具ChimeRAR来存档收集的数据并将其发送到命令和控制(C2)服务器。、

  • 利用Skeleton Key Injector横向移动。

  • 使用了自定义形式的Cobalt Strike工具,伪装成Google Update函数(GoogleUpdate.exe),该函数实现了后门信标并执行了与持久性相关的活动

  • 使用了托管在公共云平台(例如Google Cloud和Microsoft Azure)上的多个C2域以及其他公共云服务

  • 用Mimikatz和Dumpert的代码段绕过API监视以及防病毒和端点保护

今日威胁情报2020/8/12-13(第290期)

https://blogvaronis2.wpengine.com/azure-skeleton-key/

https://cycraft.com/download/%5BTLP-White%5D20200415%20Chimera_V4.1.pdf


技术分享
今日威胁情报2020/8/12-13(第290期)


1、【牛逼工具】暗网自动化监测工具

Dark Web Monitoring服务使组织能够在收到有关在黑暗Web上泄露或看到信息的通知后立即意识到此类违规行为并做出响应(更改密码,使信用卡过期,通知用户等)

这个应该是国内外很多公司需要的功能。

https://www.sirp.io/blog/darkowl-and-sirp-automated-darkweb-monitoring-and-investigation/


2、三星手机“Find My Mobile”功能漏洞,可以执行各种操作。

https://char49.com/tech-reports/fmmx1-report.pdf


3、ReVoLTE攻击可以解密4G(LTE)通话以窃听对话

今日威胁情报2020/8/12-13(第290期)

https://github.com/RUB-SysSec/mobile_sentinel


漏洞相关
今日威胁情报2020/8/12-13(第290期)


1、Google15个安全补丁更新

https://chromereleases.googleblog.com/2020/08/stable-channel-update-for-desktop.html


2、思杰的漏洞更新,RCE

https://www.citrix.com/blogs/2020/08/11/citrix-provides-security-update-on-citrix-endpoint-management/


3、Apache HTTP服务器2.4.32至2.4.44 mod_proxy_uwsgi信息泄露以及RCE

https://nvd.nist.gov/vuln/detail/CVE-2020-11984


数据泄露相关
今日威胁情报2020/8/12-13(第290期)


1、一家名为InMotionNow的美国项目管理公司,被发现了超过550万个文件和价值343GB的数据

今日威胁情报2020/8/12-13(第290期)

https://www.hackread.com/cyber-security-firm-businesses-data-leaked-online/


2、医疗软件公司披露的310万患者详细信息

今日威胁情报2020/8/12-13(第290期)

https://www.linkedin.com/pulse/31-million-patients-details-exposed-medical-software-diachenko/


网络战与网络情报
今日威胁情报2020/8/12-13(第290期)


1、以色列国防部宣布挫败了来自Lazarus Group组织的针对该国国防制造商的网络攻击企图。见上。

https://securityaffairs.co/wordpress/107085/cyber-warfare-2/israel-foiled-attack-defence.html


2、波音利用软盘更新系统

https://gizmodo.com/boeing-747s-still-use-floppy-disks-to-get-critical-soft-1844683811


3、美国政府承包商“异常六号”(Anomaly Six)在500多个移动应用程序中隐藏了位置跟踪软件,该公司的sdk跟踪用户

https://www.hackread.com/us-firm-install-location-tracking-sdk-mobile-apps


4、针对开源项目网络攻击激增

https://www.helpnetsecurity.com/2020/08/13/surge-in-cyber-attacks-targeting-open-source-software-projects/


5、CIA考题:

今日威胁情报2020/8/12-13(第290期)

今日威胁情报2020/8/12-13(第290期)

https://www.cia.gov/kids-page/games/games_aerial_analysis.html


人肉体温测量机

今日威胁情报2020/8/12-13(第290期)


广告时间

360威胁情报中心TI新版上线

https://ti.360.cn


今日威胁情报2020/8/12-13(第290期)

                            

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: