今日威胁情报2020/10/1-9(第309期）

国庆/中秋合集

高级威胁

1、疑似海莲花的无文件攻击活动

https://blog.malwarebytes.com/malwarebytes-news/2020/10/kraken-attack-abuses-wer-service/

2、疑似Muddywater利用领英简历等文档对航空行业相关实体和个人进行钓鱼等攻击报告

https://www.telsy.com/operation-space-race-reaching-the-stars-through-professional-social-networks/
https://www.telsy.com/wp-content/uploads/Operation_Space_Race.pdf

IOC&YARA：

https://github.com/telsy-cyberops/research/tree/master/MuddyWater

另外，微软发现Muddywater利用CVE-2020-1472发起的攻击活动。

https://techcommunity.microsoft.com/t5/microsoft-365-defender/zerologon-is-now-detected-by-microsoft-defender-for-identity-cve/ba-p/1734034

3、Comnie恶意软件针对东亚目标进行网络攻击，本报告技术分析很好，不做过多评价，看技术挺不错的。

https://unit42.paloaltonetworks.com/unit42-comnie-continues-target-organizations-east-asia/

4、Waterbear Loader恶意软件对台湾的攻击活动，DLL劫持

https://medium.com/cycraft/taiwan-government-targeted-by-multiple-cyberattacks-in-april-2020-1980acde92b0

5、针对阿塞拜疆地区的高级威胁攻击（PoetRAT），网络攻击，真的是无处不在。

https://blog.talosintelligence.com/2020/10/poetrat-update.html

6、新的APT组织：MontysThree，针对的是俄罗斯工业组织。

https://securelist.com/montysthree-industrial-espionage/98972/

7、HackTeam的工具利用恶意活动。UEFI持久化

https://www.trendmicro.com/en_us/research/15/g/hacking-team-uses-uefi-bios-rootkit-to-keep-rcs-9-agent-in-target-systems.html

8、TA505组织小的技术整理。

https://www.telekom.com/en/blog/group/article/eager-beaver-a-short-overview-of-the-restless-threat-actor-ta505-609546

9、黑莓的报告：黑莓发现了针对政府，企业，人权团体和有影响力个人的大规模黑客组织

https://www.blackberry.com/us/en/pdfviewer?file=/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-spark-bahamut.pdf

https://www.blackberry.com/us/en/company/newsroom/press-releases/2020/blackberry-uncovers-massive-hack-for-hire-group-targeting-governments-businesses-human-rights-groups-and-influential-individuals

10、美国CERT发布SLOTHFULMEDIA恶意软件报告，曾被用于攻击印度，哈萨克斯坦，吉尔吉斯斯坦，马来西亚，俄罗斯和乌克兰的实体。

 https://us-cert.cisa.gov/ncas/analysis-reports/ar20-275a

11、ESET的研究人员发现了一个新的APT组织的活动，该小组被追踪为XDSpy，该小组至少自2011年以来一直活跃，XDSpy是ESET研究人员用来追踪至少自2011年以来就活跃的民族国家行为者的名称。ESET最近发现的APT小组针对白俄罗斯，摩尔多瓦，俄罗斯，塞尔维亚和乌克兰的政府和私营公司，包括军队和外交部。

https://www.zdnet.com/article/eset-discovers-a-rare-apt-that-stayed-undetected-for-nine-years/

https://www.virusbulletin.com/conference/vb2020/abstracts/xdspy-stealing-government-secrets-2011/

12、联合国官方发布朝鲜APT KimSuky 组织攻击联合国官员。有中文报告。

https://undocs.org/zh/S/2020/840

13、俄罗斯顶级公司和银行受到OldGremlin的攻击，OldTiremlin是一个控制TinyCryptor勒索软件的组织

https://www.group-ib.com/blog/oldgremlin

14、双尾蝎的网络攻击活动，还是安卓木马

https://www.welivesecurity.com/2020/09/30/aptc23-group-evolves-its-android-spyware/

技术分享

1、WarezTheRemote：将遥控器变成收听设备

    Guardicore在康卡斯特（Comcast）的XR11语音遥控器上发现了一个新的攻击媒介，该攻击媒介可能使攻击者将其转变为侦听设备，从而可能侵犯您在客厅的隐私。在康卡斯特（Comcast）进行补救之前，被称为WarezTheRemote的攻击是一个非常真实的安全威胁：XR11是美国境内分布最广泛的遥控器之一，在美国各地的房屋中部署的数量超过1800万个。

https://www.guardicore.com/2020/10/wareztheremote-turning-remotes-into-listening-devices/

2、HEH, a new IoT P2P Botnet going after weak telnet services，HEH Botnet, 一个处于开发阶段的 IoT P2P Botnet

https://blog.netlab.360.com/heh-an-iot-p2p-botnet/

3、从wordpress到域控制器，渗透技术贴，很有意思。带POC。

https://seguranca-informatica.pt/using-a-wordpress-flaw-to-leverage-zerologon-vulnerability-and-attack-companies-domain-controllers/#.X4BaSWgzbIV

4、Ttint: 一款通过2个0-day漏洞传播的IoT远控木马

https://blog.netlab.360.com/ttint-an-iot-rat-uses-two-0-days-to-spread/

5、Facebook分享了自2016年以来一直在进行的长期广告欺诈活动的详细信息，该活动针对使用SilentFade恶意软件的Facebook用户。舆情分析案例

https://vblocalhost.com/uploads/VB2020-Karve-Urgilez.pdf

6、A Storm is Brewing: IPStorm Now Has Linux Malware

https://www.intezer.com/blog/research/a-storm-is-brewing-ipstorm-now-has-linux-malware/

漏洞相关

1、Check Point Security Management的内部CA Web管理漏洞

https://cve.circl.lu/cve/CVE-2020-6020

2、利用追踪漏洞作者的“指纹”来跟踪漏洞。同源分析的一个方面，建议溯源的老哥关注下。

https://research.checkpoint.com/2020/graphology-of-an-exploit-volodya/

3、Microsoft Azure云服务中发现漏洞，从SSRF到RCE

https://www.intezer.com/blog/cloud-security/kud-i-enter-your-server-new-vulnerabilities-in-microsoft-azure/

4、HP设备管理3个高风险漏洞，可以内网渗透用。

https://support.hp.com/us-en/document/c06921908

5、工控漏洞，Pepperl + Fuchs Comtrol的RocketLinx工业交换机中发现了几个潜在的严重漏洞，包括可以用来完全控制设备的漏洞。

https://www.pepperl-fuchs.com/germany/de/29079.htm

网络战与网络情报

1、Airlink International UAE的泄露数据。

https://www.defcon-lab.org/vazamento-de-dados-ira-e-emirados-arabes-kelvinsecteam/

网络战与网络情报

1、CrowdStrike Falcon被SE Labs评为最佳EDR，可提供100％的检测和0％的噪声CrowdStrike Falcon Named Best EDR by SE Labs, Delivering 100% Detection, 0% Noise

https://www.crowdstrike.com/blog/crowdstrike-named-best-edr-by-se-labs/

2、美国司法部周四推出了一种用于实施加密货币的框架，详细介绍了有关使用虚拟货币的安全问题。

https://www.justice.gov/ag/page/file/1326061/download

3、热战下的网络战争，网络间谍入侵了阿塞拜疆政府官员

https://www.cyberscoop.com/nagorno-karabakh-azerbaijan-armenia-espionage-talos-hackers/

4、新加坡提出：没有网络安全就没有国家安全。哈哈哈

https://www.darkreading.com/threat-intelligence/singapore-asks-big-cybersecurity-questions-to-improve-national-defense/d/d-id/1339068

5、英国发布的华为的软硬件安全分析报告。（听说评价很不高）

https://www.ncsc.gov.uk/information/hcsec-ob-report

https://www.gov.uk/government/publications/huawei-cyber-security-evaluation-centre-oversight-board-annual-report-2020

广告时间

360威胁情报中心TI新版上线

https://ti.360.cn

本文始发于微信公众号（ThreatPage全球威胁情报）：今日威胁情报2020/10/1-9(第309期）