一周威胁情报概览(8.8-8.14)

  • A+
所属分类:安全新闻

本周值得关注的威胁情报:

APT情报


01

绿斑组织近期APT攻击活动的分析报告

发布时间:2020年8月11日
情报链接:
https://mp.weixin.qq.com/s/uNL6YvKDxkN4qDgATSuCDA

情报摘要:
“绿斑”APT组织为2007年发现来自中国台湾地区,2010年发现其进一步活动,2014年命名。针对我国政府、科研等机构的鱼叉邮件攻击活动。这批攻击活动的手法和代码与2019年的绿斑组织活动基本一致。鱼叉邮件中多数为钓鱼链接,目的是钓取目标邮箱账户和密码信息,钓取成功后转向一个下载页面,下载到的均为看似来自官方的正常文件。另有少数邮件带有压缩包附件,里面包含的恶意文件负责释放后续的窃密程序。

通过溯源分析发现,存在部分邮件、文档的正文和钓鱼网页的源码包含有繁体中文字,多封邮件的发件IP位于中国台湾地区,邮件字体的格式为台湾地区特有的“新細明體”,这些痕迹意味这批活动背后的攻击者可能来自中国台湾。




威胁事件情报

01

腾讯安全捕获Apache SkyWalking SQL注入漏洞在野攻击

发布时间:2020年8月10日
情报来源:
https://mp.weixin.qq.com/s/-qLmYvgnJzLmk_7xM5wN1Q

情报摘要:

腾讯安全威胁情报中心发布了Apache SkyWalking SQL注入漏洞(CVE-2020-13921)风险通告,仅仅几天后,腾讯安全已捕获首个利用该高危漏洞对某大型企业的定向攻击,入侵者试图利用漏洞获取服务器的敏感信息。


02

BlueHero僵尸网络与SMBGhost漏洞的初次接触

发布时间:2020年8月11日
情报链接:
https://mp.weixin.qq.com/s/ApjkOswdbGvke8qJUmJkQQ

情报摘要:
BlueHero僵尸挖矿病毒在2018年被报道出来,根据样本时间上的分析,该僵尸网络最初在2017年7月左右开始投入运行,期间也经历了几次更新。从样本分析、关联信息以及样本中的各种拼音相关名称分析,该僵尸网络挖矿病毒主要由易语言编写而成,其中夹杂着其它的黑客工具等,由此判断该作者可能是国人,在进行着网络黑产活动。

该病毒的最新版本使用RSA加密配置文件数据;释放Yara规则匹配工具,使用已编译的yara规则对挖矿进程进行匹配并记录其进程PID;其最主要的变化还是在其漏洞库中加入了SMB V3远程命令执行漏洞CVE-2020-0796(SMBGhost漏洞)。

该病毒会在受害机器上释放挖矿病毒、远控木马,对外进行漏洞攻击、在内网进行横向传播等,机器会表现的异常卡顿、网络流量异常、命令执行不成功等现象出现。


03

"匿影“木马升级Rootkit驻留,发展僵尸网络挖矿捞

发布时间:2020813

情报来源:

https://mp.weixin.qq.com/s/UL3ahpjP7rXgzuj07PEsPg

 

情报摘要:

国内安全团队发现一起安全事件,感染主机引发了下载恶意Powershell脚本(160001) 的安全告警。


经过研究发现该病毒名为“匿影”木马,主要目的是进行挖矿,并在内网使用永恒之蓝进行横向传播,感染后在本机创建计划任务、WMI等进行持久化,通过组建大量僵尸网络、多个钱包并行挖矿以提高收益。



 

漏洞情报

01

TeamViewer最新漏洞PoC公开 黑客可破解用户登录密码

发布时间:2020年8月10日

情报来源:
https://mp.weixin.qq.com/s/FPeAfRb2heuDv7nFyFHKQQ

情报摘要:
TeamViewer漏洞(CVE-2020-13699)并非网传的:导致黑客可以在没有密码的情况下入侵用户电脑。而是当用户访问了黑客创建的恶意网站时,会有Windows本地登录凭证信息被窃取的可能性。TeamViewer已于两周前对该漏洞进行了修复。

02

WebLogic远程代码执行漏洞CVE-2020-14644

发布时间:2020年8月10日
情报来源:
https://mp.weixin.qq.com/s/LBVKX99h8K9Aj74a8fvfKg

情报摘要:
Oracle官方在2020年7月份发布的最新安全补丁中披露此漏洞。该漏洞允许未经身份验证的攻击者通过IIOP,T3进行网络访问,未经身份验证的攻击者成功利用此漏洞可能接管Oracle WebLogic Server。CVSS评分9.8。

03

微软发布8月安全更新,腾讯安全专家建议尽快修复

发布时间:2020年8月12日
情报链接:
https://mp.weixin.qq.com/s/HX4yeF86J3mUDDtqgdnvjw

情报摘要:
微软于8月11日(北京时间8月12日)发布月度安全更新,本次更新共修复120个安全漏洞。有17个被微软官方标记为“Critical(严重)”,103个被标记为“Important(重要)”。已存在在野利用的2个:CVE-2020-1380,CVE-2020-1464。可导致远程代码执行的漏洞22个,权限提升的漏洞57个,内存破坏漏洞11个。有8个漏洞被标记为易利用。


04

CVE-2020-0938:Windows Type1字体处理远程代码执行漏洞在野POC分析

发布时间:2020年8月11日
情报链接:
https://mp.weixin.qq.com/s/4lrOI5OVAbNlK05Ne3u4XA

情报摘要:
2020年4月,微软通告Windows Adobe Type 1漏洞CVE-2020-0938。国内安全研究人员近日发现,疑似CVE-2020-0938漏洞的在野POC出现在VirusTotal上。


05

Apache Struts远程代码执行漏洞(CVE-2019-0230)风险通告

发布时间:2020年8月13日
情报链接:
https://s.tencent.com/research/bsafe/1088.html

情报摘要:
Apache Struts 官方发布安全公告,披露 S2-059 Struts 远程代码执行漏洞(CVE-2019-0230)。在使用某些tag等情况下可能存在OGNL表达式注入漏洞,从而造成远程代码执行。腾讯安全专家提醒Apache Struts用户尽快升级到2.5.22或以上版本,避免遭遇黑客攻击。


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: