今日威胁情报2020/11/15-18(第322期）

高级威胁分析

1、看链接，自取关键字

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cicada-apt10-japan-espionage

2、看文章链接，自取关键字

https://labs.bitdefender.com/2020/11/a-detailed-timeline-of-a-chinese-apt-espionage-attack-targeting-south-eastern-asian-government-institutions/

https://www.bitdefender.com/files/News/CaseStudies/study/379/Bitdefender-Whitepaper-Chinese-APT.pdf

3、???APT27

https://github.com/StrangerealIntel/CyberThreatIntel/blob/master/China/APT/APT27/2020-11-17/Analysis.md

4、？？？winnti

9c770b12a2da76c41f921f49a22d7bc6b5a1166875b9dc732bc7c05b6ae39241

NC:

up.linux-headers[.]com cc1455e3a479602581c1c7dc86a0e02605a3c14916b86817960397d5a2f41c31

NC:

p.samkdd[.]com

5、Lazarus supply‑chain attack in South Korea，针对韩国金融、政府行业的供应链攻击

https://www.welivesecurity.com/2020/11/16/lazarus-supply-chain-attack-south-korea/

6、火眼对2021年网络空间威胁的预测分析，提醒警惕勒索软件攻击。

https://content.fireeye.com/predictions/rpt-security-predictions-2021

7、疑似兔子，使用COVID19的钓鱼释放的chinoxy后门

https://medium.com/@Sebdraven/new-version-of-chinoxy-backdoor-using-covid19-document-lure-83fa294c0746

8、

技术分享

1、Google浏览器攻击与防御

https://doar-e.github.io/blog/2020/11/17/modern-attacks-on-the-chrome-browser-optimizations-and-deoptimizations/

2、mcafee威胁情报事件的产品

https://www.mcafee.com/enterprise/en-us/lp/insights-preview.html

3、特斯拉Powerwall网关可能受到黑客攻击

https://blog.rapid7.com/2020/11/17/dont-put-it-on-the-internet-tesla-backup-gateway-edition/

4、WhatsApp SMiShing攻击印度用户

https://labs.k7computing.com/?p=21246

5、VoltPillager：针对英特尔SGX飞地的基于硬件的故障注入攻击。Boffins设计了一种名为VoltPillager的新攻击，该攻击可以通过控制CPU内核电压来破坏Intel SGX飞地的机密性和完整性。

https://zt-chen.github.io/voltpillager/

6、JUPYTER INFOSTEALER / BACKDOOR 木马分析

https://engage.morphisec.com/threat-profile-jupyter-infostealer

https://blog.morphisec.com/jupyter-infostealer-backdoor-introduction

7、AWS基于资源的策略API中的信息泄漏

https://unit42.paloaltonetworks.com/aws-resource-based-policy-apis/

漏洞相关

1、CVE-2020-13942 Apache Unomi pre-auth RCE (bypass CVE-2020-11975 )

2、Cisco Security Manager中的漏洞可能允许未经身份验证的远程攻击者访问敏感信息

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-path-trav-NgeRnqgR

https://gist.github.com/Frycos/8bf5c125d720b3504b4f28a1126e509e

3、持久的RTA ENIP堆栈漏洞给ICS设备带来风险，资产测绘扫起来？

https://www.claroty.com/2020/11/17/blog-research-rta-enip-stack-vulnerability/

https://us-cert.cisa.gov/ics/advisories/icsa-20-324-03

数据泄露

1、10万个被黑Facebook帐户泄露

https://www.hackread.com/leaked-database-hacked-facebook-accounts/

2、TronicsXchange是一家美国公司，从事零售业务，买卖二手电子产品，包括手机，平板电脑，笔记本电脑和相机。客户可以在TronicsXchange零售店出售二手电子设备以换取立即现金付款，以及购买二手设备和维修设备

https://www.websiteplanet.com/blog/tronicsxchange-breach-report/

3、美国银行系统（ABS）是美国银行和金融机构的服务提供商，遭受了勒索软件攻击，其部分客户53 GB数据被泄露。涉及数据包含贷款文件，电子邮件，合同，网络共享，密码等。ABS的客户包括多家银行名称和抵押公司，例如First Federal Community Bank，Rio Bank，Swainsboro的公民银行， First Bank＆Trust等

https://securityreport.com/american-bank-systems-hit-by-ransomware-attack-full-53-gb-data-dump-leaked/

网络战与网络情报

1、施耐德发布公告，关于Drovorub（一种Linux恶意软件）建议其客户采取防范措施保护系统。你品，你细品。今年8月FBI&CISA联合发布公告，提醒北方的毛熊APT28利用该恶意软件攻击工控系统。

https://www.se.com/ww/en/download/document/SESB-2020-315-01/

2、俄罗斯GRU 对MH17航班坠机事件的“虚假操作”分析。尼德兰政府把这个事儿上升到了政府外交事件……

https://www.bellingcat.com/news/uk-and-europe/2020/11/12/the-grus-mh17-disinformation-operations-part-1-the-bonanza-media-project/

https://www.rijksoverheid.nl/documenten/kamerstukken/2020/11/17/kamerbrief-inzake-het-bericht-dat-de-russische-militaire-inlichtingendienst-via-bonanza-media-desinformatie-verspreidt-rond-het-mh17-strafproces

3、Google的TAG团队发布2020年第四季度威胁报告

https://blog.google/threat-analysis-group/tag-bulletin-q4-2020/

4、丹麦媒体的报道称，美国暗中监视该国政府及其国防工业以及其他欧洲国承包商，以期获取有关其战斗机采购计划的信息。丹麦丹麦公共服务广播公司DR在网上发布的这些消息涉及战斗机竞赛的前期准备，该竞赛最终由美国制造的洛克希德·马丁公司的F-35隐形战斗机赢得。 

该报告援引匿名消息来源的话，暗示美国国家安全局（NSA）的目标是丹麦财政部，外交部和国防公司Terma，后者也为F-35联合打击战斗机计划做出了贡献。
https://www.thedrive.com/the-war-zone/37668/nsa-spied-on-denmark-as-it-chose-its-future-fighter-aircraft-report

5、老美测试网络弹性，这才是实战，未来网络对抗，打的是网络弹性！

https://www.army.mil/article/234391/cutting_the_cord_to_test_energy_resilience

6、川普辞退CISA局长，理由估计是大选期间，网络监管不力的由头

https://gizmodo.com/trump-fires-cyber-chief-who-debunked-claims-of-election-1845660053

7、奥巴马政府与伊朗之间的核协定，导致中东恐怖组织真主党的发展……苟且之事啊，看故事了

https://www.politico.com/interactives/2017/obama-hezbollah-drug-trafficking-investigation/

8、美国电信公司 Verizon 今天发布了有关网络间谍攻击报告：

    该报告的主要发现是，对于网络间谍违规行为，有85％的行为者是隶属国家的，有8％是国家隶属的，只有4％与有组织犯罪有关。前雇员占演员的2％。 

    在过去的七年中，受到网络间谍破坏最严重的行业是公共部门，制造业，专业，信息，采矿和公用事业，教育和金融行业。

在三个最具针对性的行业中，公共部门首当其冲（31％），而制造业和专业人士分别遭受了22％和11％的打击。 

    在网络间谍活动中受威胁最大的资产类别是台式机或笔记本电脑（88％），手机（14％）和网络应用程序（10％）。对于所有违规，主要资产类别是Web应用程序（43％），台式机或笔记本电脑（31％）和电子邮件（21％）。

    在网络间谍破坏中最常见的属性中，有91％涉及软件安装，而73％是机密。危害最大的数据种类是凭据（56％），机密（49％），内部（12％）和机密（7％）。

    该报告发现，虽然一个组织可以在几秒钟内受到威胁，但发现违规可能要花费数年时间。破坏时间为数秒至数天（91％），渗透时间为数分钟至数周（88％），发现时间为数月至数年（69％），遏制时间为数天至数月（79％）。 

    最常见的违规类型是Web应用程序（27％），其他错误（14％）和“其他所有信息”（14％），其中，网络间谍活动占了10％。

https://enterprise.verizon.com/resources/reports/2020/2020-2021-cyber-espionage-report.pdf

9、FIN7主要领导人之一的乌克兰国民Andrii Kolpakov认罪，25年，1亿美金分赃，好像业可以……

https://www.cyberscoop.com/fin7-recruiter-andrii-kolpakov-pleads-guilty-role-global-hacking-scheme/

本文始发于微信公众号（ThreatPage全球威胁情报）：今日威胁情报2020/11/15-18(第322期）