本周值得关注的威胁情报：

APT情报

01

绿斑组织近期APT攻击活动的分析报告

发布时间：2020年8月11日
情报链接：
https://mp.weixin.qq.com/s/uNL6YvKDxkN4qDgATSuCDA

情报摘要：
“绿斑”APT组织为2007年发现来自中国台湾地区，2010年发现其进一步活动，2014年命名。针对我国政府、科研等机构的鱼叉邮件攻击活动。这批攻击活动的手法和代码与2019年的绿斑组织活动基本一致。鱼叉邮件中多数为钓鱼链接，目的是钓取目标邮箱账户和密码信息，钓取成功后转向一个下载页面，下载到的均为看似来自官方的正常文件。另有少数邮件带有压缩包附件，里面包含的恶意文件负责释放后续的窃密程序。

通过溯源分析发现，存在部分邮件、文档的正文和钓鱼网页的源码包含有繁体中文字，多封邮件的发件IP位于中国台湾地区，邮件字体的格式为台湾地区特有的“新細明體”，这些痕迹意味这批活动背后的攻击者可能来自中国台湾。

---

威胁事件情报

01

腾讯安全捕获Apache SkyWalking SQL注入漏洞在野攻击

发布时间：2020年8月10日
情报来源：
https://mp.weixin.qq.com/s/-qLmYvgnJzLmk_7xM5wN1Q

情报摘要：

腾讯安全威胁情报中心发布了Apache SkyWalking SQL注入漏洞（CVE-2020-13921）风险通告，仅仅几天后，腾讯安全已捕获首个利用该高危漏洞对某大型企业的定向攻击，入侵者试图利用漏洞获取服务器的敏感信息。

02

BlueHero僵尸网络与SMBGhost漏洞的初次接触

发布时间：2020年8月11日
情报链接：
https://mp.weixin.qq.com/s/ApjkOswdbGvke8qJUmJkQQ

情报摘要：
BlueHero僵尸挖矿病毒在2018年被报道出来，根据样本时间上的分析，该僵尸网络最初在2017年7月左右开始投入运行，期间也经历了几次更新。从样本分析、关联信息以及样本中的各种拼音相关名称分析，该僵尸网络挖矿病毒主要由易语言编写而成，其中夹杂着其它的黑客工具等，由此判断该作者可能是国人，在进行着网络黑产活动。

该病毒的最新版本使用RSA加密配置文件数据；释放Yara规则匹配工具，使用已编译的yara规则对挖矿进程进行匹配并记录其进程PID；其最主要的变化还是在其漏洞库中加入了SMB V3远程命令执行漏洞CVE-2020-0796（SMBGhost漏洞）。

该病毒会在受害机器上释放挖矿病毒、远控木马，对外进行漏洞攻击、在内网进行横向传播等，机器会表现的异常卡顿、网络流量异常、命令执行不成功等现象出现。

03

"匿影“木马升级Rootkit驻留，发展僵尸网络挖矿捞金

发布时间：2020年8月13日

情报来源：

https://mp.weixin.qq.com/s/UL3ahpjP7rXgzuj07PEsPg

 

情报摘要：

国内安全团队发现一起安全事件，感染主机引发了下载恶意Powershell脚本（160001） 的安全告警。

经过研究发现该病毒名为“匿影”木马，主要目的是进行挖矿，并在内网使用永恒之蓝进行横向传播，感染后在本机创建计划任务、WMI等进行持久化，通过组建大量僵尸网络、多个钱包并行挖矿以提高收益。

---

 

漏洞情报

01

TeamViewer最新漏洞PoC公开 黑客可破解用户登录密码

发布时间：2020年8月10日

情报来源：
https://mp.weixin.qq.com/s/FPeAfRb2heuDv7nFyFHKQQ

情报摘要：
TeamViewer漏洞（CVE-2020-13699）并非网传的：导致黑客可以在没有密码的情况下入侵用户电脑。而是当用户访问了黑客创建的恶意网站时，会有Windows本地登录凭证信息被窃取的可能性。TeamViewer已于两周前对该漏洞进行了修复。

02

WebLogic远程代码执行漏洞CVE-2020-14644

发布时间：2020年8月10日
情报来源：
https://mp.weixin.qq.com/s/LBVKX99h8K9Aj74a8fvfKg

情报摘要：
Oracle官方在2020年7月份发布的最新安全补丁中披露此漏洞。该漏洞允许未经身份验证的攻击者通过IIOP,T3进行网络访问，未经身份验证的攻击者成功利用此漏洞可能接管Oracle WebLogic Server。CVSS评分9.8。

03

微软发布8月安全更新，腾讯安全专家建议尽快修复

发布时间：2020年8月12日
情报链接：
https://mp.weixin.qq.com/s/HX4yeF86J3mUDDtqgdnvjw

情报摘要：
微软于8月11日（北京时间8月12日）发布月度安全更新，本次更新共修复120个安全漏洞。有17个被微软官方标记为“Critical（严重）”，103个被标记为“Important（重要）”。已存在在野利用的2个：CVE-2020-1380，CVE-2020-1464。可导致远程代码执行的漏洞22个，权限提升的漏洞57个，内存破坏漏洞11个。有8个漏洞被标记为易利用。

04

CVE-2020-0938：Windows Type1字体处理远程代码执行漏洞在野POC分析

发布时间：2020年8月11日
情报链接：
https://mp.weixin.qq.com/s/4lrOI5OVAbNlK05Ne3u4XA

情报摘要：
2020年4月，微软通告Windows Adobe Type 1漏洞CVE-2020-0938。国内安全研究人员近日发现，疑似CVE-2020-0938漏洞的在野POC出现在VirusTotal上。

05

Apache Struts远程代码执行漏洞（CVE-2019-0230）风险通告

发布时间：2020年8月13日
情报链接：
https://s.tencent.com/research/bsafe/1088.html

情报摘要：
Apache Struts 官方发布安全公告，披露 S2-059 Struts 远程代码执行漏洞（CVE-2019-0230）。在使用某些tag等情况下可能存在OGNL表达式注入漏洞，从而造成远程代码执行。腾讯安全专家提醒Apache Struts用户尽快升级到2.5.22或以上版本，避免遭遇黑客攻击。