今日威胁情报2020/12/1-3(第327期)

admin
admin
admin
138949
文章
114
评论
2020年12月3日21:12:56评论41 views字数 2699阅读8分59秒阅读模式

今日威胁情报2020/12/1-3(第327期)

公众号一半访问量是爬虫


高级威胁分析
今日威胁情报2020/12/1-3(第327期)


1、对欧盟国家外交部门的攻击,来自俄罗斯APT组织turla,工具后门:Crutch,该工具从受害者获取的数据传送至Dropbox,重点来了,:分析师对上传到Dropbox帐户的506个ZIP存档的时间戳进行分析,其中包含2018年10月至2019年7月之间被盗的数据,揭示了攻击者的工作时间,即UTC + 3时区(俄罗斯)。

今日威胁情报2020/12/1-3(第327期)

https://www.welivesecurity.com/2020/12/02/turla-crutch-keeping-back-door-open/

相关IOC:

https://github.com/eset/malware-ioc/tree/master/turla#turla-comrat-v4-indicators-of-compromise


2、卡巴斯基发布,“DeathStalker”黑客组织。

今日威胁情报2020/12/1-3(第327期)

https://securelist.com/what-did-deathstalker-hide-between-two-ferns/99616/


3、追踪“Mabna Institute”,攻击高校大学的高级威胁组织。

今日威胁情报2020/12/1-3(第327期)

https://community.riskiq.com/article/44eb0802


技术分享
今日威胁情报2020/12/1-3(第327期)


1、QuasarRAT-Analysis

https://github.com/JPCERTCC/QuasarRAT-Analysis

https://github.com/JPCERTCC/QuasarRAT-Analysis/blob/master/slides/Botconf2020-Hunting_the_Quasar_Family.pdf


2、容器中的无文件攻击。该恶意软件使用rootkit隐藏其正在运行的进程,然后通过从内存中执行加密矿工来劫持资源-留下后门。

今日威胁情报2020/12/1-3(第327期)

https://blog.aquasec.com/fileless-malware-container-security

正好有一个处理无文件攻击的策略,放下面:

https://www.rsaconference.com/industry-topics/blog/strategies-for-dealing-with-fileless-malware-attacks


3、TrickBot僵尸网络使用UEFI方式写入固件。这个工具慢慢成了APT的工具方式了。

今日威胁情报2020/12/1-3(第327期)

https://eclypsium.com/2020/12/03/trickbot-now-offers-trickboot-persist-brick-profit/

今日威胁情报2020/12/1-3(第327期)

https://www.advanced-intel.com/post/persist-brick-profit-trickbot-offers-new-trickboot-uefi-focused-functionality


4、利用npm包释放njrat的攻击活动分析

https://blog.sonatype.com/bladabindi-njrat-rat-in-jdb.js-npm-malware


5、OSINT技术,海上港口分析。{以后用得上,比如分析某国进出口、轮船等}

https://wondersmithrae.medium.com/maritime-osint-port-analysis-d09b4531728d


6、dns-spoofing研究

https://www.helpnetsecurity.com/2020/12/01/dns-spoofing/


漏洞相关
今日威胁情报2020/12/1-3(第327期)


1、iOS漏洞,该漏洞可能允许黑客入侵iPhone设备,该漏洞可能允许黑客入侵iPhone设备该漏洞被称为CVE-2020-3843,是一个双重免费问题,可以利用该漏洞进行利用,从而可以访问照片和其他敏感数据,包括电子邮件和私人消息。

为什么我感觉这个漏洞曝光好久了???我在哪里看到的???

https://googleprojectzero.blogspot.com/2020/12/an-ios-zero-click-radio-proximity.html


2、OpENer的以太网/ IP功能中的两个漏洞。OpENer是用于I / O适配器设备的以太网/ IP堆栈。它支持多个I / O和显式连接,并包括用于制造ODVA规范中定义的符合以太网/ IP的产品的对象和服务。该软件包含两个漏洞,分别允许攻击者在受害机器上执行代码并导致拒绝服务。

https://blog.talosintelligence.com/2020/12/vuln-spotlight-stack-group-opener-dec-2020.html


数据泄露相关
今日威胁情报2020/12/1-3(第327期)


1、开曼银行数据泄露,Azure blob导致其数据面向大众公开,

https://www.theregister.com/2020/12/01/investment_fund_data_breach/


网络战与网络情报
今日威胁情报2020/12/1-3(第327期)


1、美国CERT警告称,有APT组织针对美国智库等行业发起定向攻击,

https://us-cert.cisa.gov/sites/default/files/publications/AA20-336A-APT_Actors_Targeting_US_ThinkTanks.pdf


2、了解曝光NSO,监听你没商量,遍布全球的监听活动。

今日威胁情报2020/12/1-3(第327期)

https://citizenlab.ca/2020/12/running-in-circles-uncovering-the-clients-of-cyberespionage-firm-circles/


3、美国DOD选择合作伙伴要求

https://www.nextgov.com/cybersecurity/2020/12/what-dods-cyber-certification-program-reveals-about-info-sharing-challenges/170400/


4、这个好厉害。

https://www.spamhaus.org/news/article/802/suspicious-network-resurrections

https://cybersguards.com/more-than-fifty-networks-in-north-american-suspiciously-resurrected-at-once/


今日威胁情报2020/12/1-3(第327期)


今日威胁情报2020/12/1-3(第327期)

本文始发于微信公众号(ThreatPage全球威胁情报):今日威胁情报2020/12/1-3(第327期)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年12月3日21:12:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   今日威胁情报2020/12/1-3(第327期)https://cn-sec.com/archives/195323.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息