本周值得关注的威胁情报：

APT情报

01

CactusPete黑客通过Bisonal后门升级在欧洲横冲直撞

发布时间：2020年8月14日
情报来源：
https://www.zdnet.com/article/cactuspete-threat-group-goes-on-the-rampage-with-a-new-bisonal-backdoor/
 
情报摘要：
一个高级持续威胁（APT）小组已经开发了Bisonal新的后门程序，可用于攻击整个欧洲的金融和军事组织。CactusPete APT 于2013年首次发现，它已与欧洲，俄罗斯，日本和韩国的网络犯罪活动联系在一起。 

02

寄居在高加索地区的奇幻熊爪

发布时间：2020年8月18日
情报来源：
https://mp.weixin.qq.com/s/SvgpebklEhWbKzy7eqaeEA
 
情报摘要：
国内安全研究团队发现APT28组织新活动。通过对受害者进行合理推测，综合多方面线索分析，判断本次活动是针对阿塞拜疆国内知名人士、意见领袖以及政治家进行定向攻击的APT事件。
 
本次捕获的样本为Zebrocy新样本，其功能主要为Downloader，与五月份捕获的样本相比，免杀效果更好，运行后会先进行持久化操作并弹出错误提示框迷惑用户，当以特定的参数启动时会进行屏幕截图，通过定时器回调函数，将数据发送到远程服务器，并等待下载后续payload。

03

美国揭露朝鲜新的BLINDINGCAN后门恶意软件

发布时间：2020年8月19日
情报来源：
https://www.bleepingcomputer.com/news/security/us-govt-exposes-new-north-korean-blindingcan-backdoor-malware/

情报摘要：
美国政府发布了一份恶意软件分析报告，揭示了朝鲜黑客在针对政府承包商的攻击中使用的远程访问木马（RAT）。该木马是由这两个机构归因于政府背景资助的黑客组织“ HIDDEN COBRA”（又名Lazarus Group和APT38）。

---

威胁事件情报

01

商业技术巨头柯尼卡美能达遭到新勒索软件的打击

发布时间：2020年8月16日
情报来源：
https://www.bleepingcomputer.com/news/security/business-technology-giant-konica-minolta-hit-by-new-ransomware/
 
情报摘要：
商业技术巨头柯尼卡美能达（Konica Minolta）在7月底遭受了勒索软件攻击，该攻击影响了服务近一周。该公司提供广泛的服务和产品，从打印解决方案，医疗技术到为企业提供托管的IT服务。柯尼卡美能达受到RansomEXX勒索软件的打击。

02

XCSSET Mac恶意软件：感染Xcode项目，利用零日漏洞对Safari浏览器执行UXSS攻击

发布时间：2020年8月13日
情报来源：
https://blog.trendmicro.com/trendlabs-security-intelligence/xcsset-mac-malware-infects-xcode-projects-performs-uxss-attack-on-safari-other-browsers-leverages-zero-day-exploits/
 
情报摘要：
研究人员发现，开发人员的Xcode项目包含恶意软件，最值得注意的是发现了两个零日漏洞：一个漏洞是通过Data Vaults行为的缺陷来窃取Cookie，另一个漏洞是滥用Safari开发版本。
 
恶意代码注入本地Xcode项目，以便在构建项目时运行恶意代码，给Xcode开发人员带来了风险。由于受影响的开发人员在GitHub上共享了他们的项目，因此威胁不断升级，导致依赖这些存储库作为自己项目依赖项的用户遭受类似于供应链的攻击。研究人员还在VirusTotal等来源中发现了这种威胁。
 
在受影响的系统上，恶意程序可以：利用漏洞，窃取浏览器用户数据；使用Safari开发版本通过通用跨站点脚本（UXSS）攻击将JavaScript后门注入网站；窃取Evernote，Notes，Skype，Telegram，QQ和微信有关的信息；获取屏幕截图；上传用户文件到指定服务器；可以加密勒索。

03

加密蠕虫窃取AWS凭证

发布时间：2020年8月17日
情报来源：
https://www.zdnet.com/article/crypto-mining-worm-steal-aws-credentials/
 
情报摘要：
安全研究人员发现一个从受感染服务器窃取AWS凭证的功能。这种新的数据窃取功能已在TeamTNT使用的恶意软件中发现，TeamTNT是一个针对Docker安装的网络犯罪组织。趋势科技今年早些时候发布的研究，该组织至少从4月开始活跃。根据该报告，TeamTNT的工作方式是在互联网上扫描配置错误的Docker系统，并将其管理API暴露在互联网上而无需输入密码。
 
在8月17日发布的 新报告中，英国安全公司Cado Security表示，TeamTNT帮派最近更新了其操作方式。除原始功能之外，TeamTNT现在扩大了针对Kubernetes安装的攻击范围。

04

美国烈酒和葡萄酒巨头遭受Sodinokibi勒索病毒攻击

发布时间：2020年8月17日
情报来源：
https://www.bleepingcomputer.com/news/security/us-spirits-and-wine-giant-hit-by-cyberattack-1tb-of-data-stolen/
 
情报摘要：
Sodinokibi （REvil） 勒索软件运营商上周五宣布，他们已经入侵了 Brown-Forman 的计算机网络，并花了一个多月的时间检查用户服务、云数据存储和一般结构。入侵后，攻击者声称他们窃取了 1TB 的数据，其中包括有关员工、公司协议、合同、财务报表和内部通信的机密信息。
 
在他们泄漏站点上的帖子中，REvil 发布了多个包含目录树的屏幕截图、显示支持其声明的名称的文件以及一些员工之间的内部对话。图片显示的文件可以追溯到2009年。

05

医疗债务收集公司 R1 RCM 命中勒索软件攻击

发布时间：2020年8月20日
情报来源：
https://krebsonsecurity.com/2020/08/medical-debt-collection-firm-r1-rcm-hit-in-ransomware-attack/
 
总部位于芝加哥的R1RCM公司承认在勒索软件攻击中关闭了其系统，该公司可以访问数以千万计的患者个人、财务和医疗信息，包括姓名、出生日期、社会保险号码、账单信息和医疗诊断数据。目前还不清楚入侵者何时首次入侵R1的网络，但勒索软件是在一周多前发布的，就在该公司准备发布2020年第二季度财务业绩的时候。

06

Lucifer僵尸网络攻击linux系统进行门罗币挖矿

发布时间：2020年8月19日
情报来源：
https://www.bleepingcomputer.com/news/security/lucifer-cryptomining-ddos-malware-now-targets-linux-systems/
 
情报摘要：
Lucifer DDoS僵尸网络进行门罗币挖矿，正在扫描并感染Linux系统。除了增加Linux目标外，Lucifer僵尸网络的创建者还扩展了Windows版本的功能，以使用Mimikatz后利用工具窃取凭据并提升特权。

07

南非益百利数据泄露影响2400万客户

发布时间：2020年8月19日
情报来源：
https://www.zdnet.com/article/experian-south-africa-discloses-data-breach-impacting-24-million-customers/

情报摘要：
来自反欺诈和银行业非营利性组织南非银行风险中心（SABRIC）的一份报告称，该违规行为影响了2400万南非人和793,749家本地企业。益百利Experian说，在删除数据之前，没有任何数据被用于欺诈目的，并且欺诈者并未损害其基础架构，系统或客户数据库。

---

 

漏洞情报

01

Apache Dubbo反序列化漏洞(CVE-2020-11995)风险通告

发布时间：2020年8月15日
情报来源：
https://mp.weixin.qq.com/s/Q0d8lTrlFI-Z2jJeaqsSmg
 
情报摘要：
Apache Dubbo默认反序列化协议Hessian2被曝存在代码执行漏洞，攻击者可利用漏洞构建一个恶意请求达到远程代码执行的目的。
 
Apache Dubbo 是一种基于 Java 的高性能 RPC 框架。该项目最初由阿里巴巴开发，于 2011 年开源，并于 2018 年 2 月进入 Apache 孵化器，它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡，以及服务自动注册和发现。

02

CVE-2020-13933: Apache Shiro 权限绕过漏洞通告

发布时间：2020年8月18日
情报来源：
https://s.tencent.com/research/bsafe/1091.html
 
情报摘要：
2020年8月17日，Apache Shiro官方发布安全更新，修复了一个最新权限绕过漏洞。攻击者利用该漏洞可以绕过验证访问到后台功能，风险较高。
 
攻击者可以使用包含payload的恶意请求绕过Shiro的身份认证，漏洞于1.5.3修复。实际上，这个修复并不完全，由于shiro在处理url时与spring仍然存在差异，shiro最新版仍然存在身份校验绕过漏洞。
 
2020年8月17日，Apache Shiro发布1.6.0版本修复该漏洞绕过。腾讯安全专家提醒Apache Shiro用户尽快采取安全措施阻止漏洞攻击。

03

CVE-2019-17638|Jenkins Jetty组件漏洞风险通告

发布时间：2020年8月19日
情报来源：
https://s.tencent.com/research/bsafe/1092.html
 
情报摘要：
Jenkins 2.224-2.242和LTS 2.222.1-2.235.4中自带的Jetty 存在安全漏洞，攻击者可以在未登陆的状态下访问到其他用户的敏感信息。腾讯安全专家建议用户将Jenkins、Jenkins LTS升级到安全版本。
 
Jenkins是一款由Java编写的开源的持续集成工具。Jenkins提供了软件开发的持续集成服务。

04

通达OA多个高危漏洞风险通告

发布时间：2020年8月21日
情报来源：
https://s.tencent.com/research/bsafe/1097.html
 
情报摘要：
通达OA官方发布安全更新，修复了多个高危漏洞。攻击者通过文件删除漏洞，以及配合早期版本的后台文件上传漏洞，可以获取服务器系统权限。