今日威胁情报2020/8/14-16(第291期）

高级威胁分析

1、CactusPete APT group’s updated Bisonal backdoor，别名：Karma Panda or Tonto Team，针对东欧的军事和金融目标。

PDB有意思了：E:vs2010new big!MyServeDebugMyServe.pdb

https://securelist.com/cactuspete-apt-groups-updated-bisonal-backdoor/97962/

2、NSA发布APT28 linux 下的恶意软件： Drovorub。报告干货挺多，值得翻译一读。

https://www.nsa.gov/news-features/press-room/Article/2311407/nsa-and-fbi-expose-russian-previously-undisclosed-malware-drovorub-in-cybersecu/

https://media.defense.gov/2020/Aug/13/2002476465/-1/-1/0/CSA_DROVORUB_RUSSIAN_GRU_MALWARE_AUG_2020.PDF

3、【难得一见】FIN7高级威胁组织分析，战法、战术、人员架构。不要再见到个钓鱼邮件就说APT了……。

https://sec.okta.com/articles/2020/08/crimeops-operational-art-cyber-crime

构建一个APT组织的基本要素

https://medium.com/@thegrugq/cyber-ignore-the-penetration-testers-900e76a49500

4、样本库：

https://vxug.fakedoma.in/samples.html

5、印度CERT称，来自台湾和香港的IP攻击地址攻击了印度国家公路管理局网络，疑似发生了数据泄露

https://ciso.economictimes.indiatimes.com/news/logins-from-taiwan-hong-kong-ips-found-during-june-cyberattack-on-nhai/77539636

6、linux 版本下的特马关联到5个中文组织。

https://threatpost.com/black-hat-linux-spyware-stack-chinese-apts/158092/

7、XCSSET Mac恶意软件：感染Xcode项目，对Safari，其他浏览器执行UXSS攻击，利用零日漏洞，牛逼的黑产组织

https://documents.trendmicro.com/assets/pdf/XCSSET_Technical_Brief.pdf

https://blog.trendmicro.com/trendlabs-security-intelligence/xcsset-mac-malware-infects-xcode-projects-performs-uxss-attack-on-safari-other-browsers-leverages-zero-day-exploits/

技术分享

1、@张在峰，360ISC 威胁情报论坛张在峰同学分享了一篇IOC对比的分享，本文是国外的分享，异曲同工，荷兰和德国大学的研究人员比较了四个开源威胁情报源和两个商业源的IOC数据，结合在峰的报告，可以有个客观的分析。

https://static.sched.com/hosted_files/usenixsecurity20/c6/sec20-bouwman.pdf

2、编写自己的虚拟机，太牛逼了

https://justinmeiners.github.io/lc3-vm/

4、Chrome 86计划10月时，发布浏览器新功能，当用户将鼠标悬停在该地址上时，它将仅默认显示域名和完整URL。另外，如果用户不喜欢该新功能，则可以右键单击该URL并选择“始终显示完整URL”。

https://blog.chromium.org/2020/08/helping-people-spot-spoofs-url.html

漏洞相关

1、Apache Struts 2 CVE-2019-0230  和  CVE-2019-0233漏洞 POC，可惜了，看晚了……护网的老哥们，撸起来。

https://github.com/cellanu/cve-2019-0230

数据泄露相关

1、美国酒行业巨头Brown-Forman遭到勒索软件组织攻击，同样，数据泄露+勒索组合拳打了过来，1TB数据泄露

https://www.bleepingcomputer.com/news/security/us-spirits-and-wine-giant-hit-by-cyberattack-1tb-of-data-stolen/

网络战与网络情报

1、为什么现代大国之间网络战、网络对抗较为突出？成本！成本！成本！

https://blog.lukaszolejnik.com/why-states-resort-to-cyber-operations-fast-easy-effective/

2、美国“护网”行动结束“国土安全部网络安全和基础设施安全局（CISA）周五宣布，成功完成了为期两年的模拟网络攻击，旨在为美国及其合作伙伴做好准备，以防御对关键系统的实际攻击。为期三天的演习称为“网络风暴”，涉及来自私营企业，联邦政府和国际组织领域的2,000名参与者，CISA将该演习描述为美国最广泛的网络安全演习。”

https://thehill.com/policy/cybersecurity/512119-federal-agency-announces-completion-of-simulated-cyberattack-on-critical

人肉体温测量机

广告时间

360威胁情报中心TI新版上线

https://ti.360.cn