公众号一半访问量是爬虫
高级威胁分析
1、趋势科技研究人员发现越南海莲花组织新的MACOS后门,后门行为和代码特征与海莲花组织代码相似性较高。C2域名竟然运营了一个小网站。
历史样本和新样本的代码相似性:
旧样本
新样本
https://www.trendmicro.com/en_us/research/20/k/new-macos-backdoor-connected-to-oceanlotus-surfaces.html
2、微软发布,与海莲花组织基因相似的组织BISMUTH组织借用挖矿软件的手段降低其真实意图曝光风险(降低告警优先级),
BISMUTH与OceanLotus具有相似之处,早在2012年就一直在进行网络间谍攻击,同时使用定制和开源工具来针对大型跨国公司,政府,金融服务,教育机构以及人权和民权组织。但在2020年7月至2020年8月的竞选活动中,该组织将Monero挖矿软件部署到针对法国和越南的私营部门以及政府机构的攻击中。
技术手法:
-
钓鱼样本精心构造,体现其大量事先侦察工作。
-
无文件攻击,powershell
-
带引号的“白加黑”,白软件加载恶意dll.
https://www.microsoft.com/security/blog/2020/11/30/threat-actor-leverages-coin-miner-techniques-to-stay-under-the-radar-heres-how-to-spot-them/
3、近期奇安信威胁情报中心移动安全团队注意到一波针对伊斯兰国、基地组织、库尔德族群和土库曼族群进行持续攻击控制的活动,时间跨度从自2019年3月起至今,通过从多源信息的交叉比对我们推测攻击组织来自中东某国,将其命名为利刃鹰组织。
https://mp.weixin.qq.com/s/X-isSV-W5048Kf1GMXy5bA
4、疑似双尾蝎APT组织以CIA资助哈马斯相关信息为诱饵的攻击活动分析
双尾蝎APT团伙是一个长期针对中东地区的高级威胁组织,其最早于2017年被披露。其至少自2016年5月起,便持续针对巴勒斯坦教育机构、军事机构等重要领域开展了有组织,有计划,有针对性的攻击,该组织拥有针对Windows和Android双平台攻击能力。
近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获多个伪装成视频、文档和图片的可执行文件,此类样本将图标设置为对应的诱饵类型,诱导受害者点击执行。当样本执行后,将释放展示相关诱饵迷惑受害者。释放展示的诱饵包括CIA对哈马斯支持的相关政治类诱饵、巴勒斯坦地区美女视频图片、简历相关文档等。奇安信威胁情报中心经过溯源关联后发现,此次捕获样本疑似均来自APT组织:双尾蝎
https://mp.weixin.qq.com/s/gGs57IuA5LS9bzqK8Lfpbg
技术分享
1、内盖夫本古里安大学的一组研究人员描述了对DNA科学家的新网络攻击,使用恶意软件破坏生物学家的计算机,以替换DNA测序中的子字符串,该攻击可能会引发生物战。
https://www.nature.com/articles/s41587-020-00761-y.epdf
2、BruteShark,比肩于wireshark,网络pcap包分析工具
https://github.com/odedshimon/BruteShark
漏洞相关
1、WebKit中的多个漏洞,其中包含命令执行漏洞,CVE-2020-13543。WebKit是由Apple开发的浏览器引擎,主要用于其Safari Web浏览器以及所有iOS Web浏览器。BlackBerry Browser
https://blog.talosintelligence.com/2020/11/vuln-spotlight-webkit-use-after-free-nov-2020.html
2、【重点关注】由Massimiliano Brolli领导的TIM红队研究在Schneider Electric StruxureWare中发现了6个新的零日漏洞。太牛逼了
https://www.linkedin.com/in/massimiliano-brolli-5378389/
重点关注这个漏洞网站:
https://www.gruppotim.it/redteam
3、Windows 7和Windows Server 2008 R2中发现的零日漏洞 POC
https://itm4n.github.io/windows-registry-rpceptmapper-eop/
数据泄露相关
1、数据泄露专题报告,哪些国家最受到数据泄露攻击的风险,哪些组织单位数据泄露风险最大,非常不错的报告。
https://www.uswitch.com/broadband/data-breaches-report/
2、芯片制造商研华遭到Conti勒索软件攻击,要求提供750比特币,相当于约1400万美元,以解密受感染的文件并删除所窃取的数据。为了让研华知道自己并没有虚张声势,勒索软件在其泄漏站点上发布了从被盗的.zip存档中获取的文件列表。张贴在网站泄露数据的3.03GB。
研华专注于物联网(IoT)智能系统,工业4.0,机器自动化,嵌入式计算,嵌入式系统,运输等。
https://threatpost.com/conti-iot-chip-advantech-ransom-demand/161691/
3、印度工作门户网站IIMJobs被黑,数据库在线泄漏,涉及140万用户数据,泄漏的数据包括敏感的个人信息,例如姓名,电子邮件地址,电话号码,地理位置,工作/行业以及其LinkedIn个人资料链接。
https://www.hackread.com/indian-job-portal-iimjobs-hacked-database-leaked/
4、法国Apodis Pharma(是一家为药房,医疗机构,制药实验室和健康保险公司提供数字供应链管理平台和其他软件解决方案的公司)的ElasticSearch数据库Kibana可以公开访问,泄露大量机密信息,包括:超过1.7 TB的与业务相关的机密数据,包括药品销售数据,Apodis Pharma合作伙伴和员工的全名,客户仓库库存统计信息,药品装运位置和地址等。
https://cybernews.com/security/french-pharmaceuticals-distribution-platform-leaking-1-7-tb-confidential-data/
网络战与网络情报
1、韩国国家情报局称,成功阻止朝鲜黑客入侵韩国国内冠状病毒疫苗生产商
https://jp.reuters.com/article/south-korea-north-korea-vaccine-idJPKBN2870AK
本文始发于微信公众号(ThreatPage全球威胁情报):今日威胁情报2020/11/28-31(第326期)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论