本周值得关注的安全威胁事件：

APT事件

01

流行网管软件厂商SolarWinds供应链攻击事件通告

发布时间：2020年12月14日
事件来源：
https://mp.weixin.qq.com/s/YDgyDru9HL7ql_mC619prA

事件摘要：
2020年12月13日，据海外媒体报告，某黑客组织掌控了美财政部电子邮件系统进行间谍活动（Suspected Russian hackers spied on U.S. Treasury emails - sources）。

知情人士称，该黑客组织一直在监视美财政部、商务部的内部电子邮件流量。并表示，到目前为止发现的黑客攻击可能只是冰山一角，白宫于上周六召开国家安全委员会会议讨论此问题。腾讯安全正密切关注该事件，已对该事件进行应急响应。

据外媒报告，网络间谍通过暗中篡改IT公司SolarWinds发布的软件更新而获得的，该公司为美政府客户提供服务。该技巧通常称为“供应链攻击”，其作用是将恶意代码隐藏在第三方提供给目标的合法软件包内投放。

02

旺刺组织（APT-C-47）使用ClickOnce技术的攻击活动披露

发布时间：2020年12月16日
事件来源：
https://mp.weixin.qq.com/s/h_MUJfa3QGM9SqT_kzcdHQ

事件摘要：
国内安全厂商检测到多起ClickOnce恶意程序的攻击活动，这是一起来自朝鲜半岛地区未被披露APT组织的攻击行动，攻击目标涉及与半岛地区有关联的实体机构和个人，该组织的攻击活动最早可以追溯到2018年。目前还没有任何安全厂商公开披露该组织的攻击活动，也没有安全厂商公开披露利用该技术的真实APT攻击事件。

该组织通过向受害者投递包含伪装的安全插件升级钓鱼邮件实施攻击，当受害者点击伪装的升级钓鱼链接后会通过ClickOnce安装方式植入后门程序。

一般威胁事件

01

腾讯主机安全捕获Ks3_Miner木马通过爆破SSH入侵云服务器挖矿

发布时间：2020年12月16日
事件来源：
https://mp.weixin.qq.com/s/QQoGL1NBljAPCQ_LJP2sTA

事件摘要：
腾讯主机安全（云镜）捕获Ks3挖矿木马攻击云服务器，攻击团伙通过扫描网络中大量开放的SSH服务，对其进行爆破攻击。成功后植入挖矿恶意脚本进行门罗币挖矿。因挖矿木马主脚本名为ks3，腾讯安全将其命名为Ks3_Miner，腾讯安全全系列产品已支持对Ks3挖矿木马的检测和查杀。

该挖矿木马作业时，会大量占用服务器资源，使云服务器无法提供正常的网络服务。同时，该木马也会结束其他挖矿木马进程，删除其他挖矿木马文件，以独占服务器资源，该挖矿木马最早于2020年6月已开始活动。

02

针对医院的新型勒索病毒Hospit曝光

发布时间：2020年12月17日
事件来源：
https://mp.weixin.qq.com/s/Z9ZyfZvjaVSGb1WtZPQu4g

事件摘要：
捕获到一种新型勒索病毒，加密文件后缀为.guanhospit。该勒索病毒具有很强的行业特征，截止至目前国内已发现多起感染案例，均为医疗单位，因而命名为Hospit家族。

感染病毒后，会将数据库、文档等重要文件加密，其采用了非对称加密算法，加密后的文件目前无法解密。由于其主要针对医疗行业进行攻击，而该行业具有很大的业务紧迫性，并且当前国内出现疫情反复的情况，一旦被勒索，将导致业务中断。分析发现，该团伙无主动传播行为，主要通过RDP暴破后人工运行勒索病毒。

03

Phorpiex僵尸网络不甘作渠道，尝试自运营Knot勒索病毒

发布时间：2020年12月17日
事件来源：
https://mp.weixin.qq.com/s/nRNFrEPBxIzH3mmwWzn-7Q

事件摘要:
腾讯安全团队检测到Phorpiex僵尸网络正在推广Knot勒索病毒，Knot勒索病毒将自身加密文件密钥配置存放在Phorpiex僵尸网络的资产45.182.189.251上。以往Phorpiex僵尸网络主要作为其它勒索病毒的传播渠道来牟利，本次投递的Knot勒索病毒从代码相似性和C2服务器的共用性来看，更像Phorpiex僵尸网络团伙直接运营。

推测Phorpiex僵尸网络已不满足于仅仅作为其他勒索病毒的传播渠道牟利，开始直接利用所掌控的僵尸网络资源传播自行开发的勒索病毒来获取更大的利益了。

04

带着数字签名的Ryuk勒索软件又回来了

发布时间：2020年12月17日
事件来源：
https://mp.weixin.qq.com/s/Q31DjJnzRxYtT3ki1114Cw

事件摘要：
Ryuk勒索软件最早于2018年8月被首次发现，其前身是Hermes勒索软件家族（Hermes2.1勒索软件于2017年底首次出现，并于2018年8月在公开市场上发售。Ryuk勒索软件的传播方式主要通过垃圾邮件活动和僵尸网络分发，Ryuk的传播和TrickBot僵尸网络有着密切的关系，TrickBot是一种恶意僵尸网络程序，一旦感染了系统，就会向攻击者创建一个反向shell，用于下载其他恶意代码。

该勒索软件典型传播方式为通过垃圾邮件传播Emotet银行木马，Emotet木马下载TrickBot僵尸网络，TrickBot僵尸网络开启反向shell，从而通过shell来投放Ryuk勒索软件。

安全漏洞事件

01

CVE-2020-26258/26259: XStream 反序列化漏洞通告

发布时间：2020年12月14日
事件来源：
https://mp.weixin.qq.com/s/DkSt4U_C9ZnMxPd5y8aBtg

事件摘要：
XStream官方发布了关于XStream反序列化漏洞的风险通告（漏洞编号：CVE-2020-26258，CVE-2020-26259），如果代码中使用了XStream，未授权的远程攻击者，可构造特定的序列化数据造成任意文件删除或服务端请求伪造。腾讯安全团队对漏洞进行了复现验证，腾讯主机安全（云镜）支持对该漏洞进行检测。

02

CVE-2020-29436：Nexus Repository Manager 3 XML外部实体注入漏洞风险通告

发布时间：2020年12月16日

事件来源：
https://mp.weixin.qq.com/s/fcLDZ77qrXoVz5aVSKg2pg

事件摘要：
2020年12月16日，Sonatype官方发布了 Nexus Repository Manager 3命令注入漏洞风险通告，在Nexus Repository Manager中发现了XML外部实体（XXE）注入漏洞。

在 Nexus Repository Manager 3中存在XML外部实体注入（ XXE ）漏洞。该漏洞使具有NXRM中管理帐户的攻击者能够以一种方式配置系统，使他们可以查看文件系统上的文件，并与NXRM可以访问的任何后端或外部系统进行交互。攻击者必须在Repository Manager实例中具有管理级别的用户帐户才能以这种方式配置系统。
 
Nexus Repository是一个开源的仓库管理系统，在安装、配置、使用简单的基础上提供了更加丰富的功能。

03

OpenTSDB远程代码执行漏洞通告（CVE-2020-35476）

发布时间：2020年12月18日

事件来源：
https://mp.weixin.qq.com/s/DYUeNoPLzIhOMlNZkwRxcQ

事件摘要：
OpenTSDB 2.4.0及更低版本参数中存在远程执行代码漏洞（其他参数可能也容易受到攻击），远程攻击者通过此参数，执行精心构造的任意代码。

04

Jackson-databind反序列化漏洞（CVE-2020-35490/CVE-2020-35491)风险通告

发布时间：2020年12月18日
事件来源：
https://s.tencent.com/research/bsafe/1205.html

事件摘要：
2020年12月17日，jackson-databind官方发布安全通告，披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞（CVE-2020-35490/CVE-2020-35491），利用漏洞可导致远程执行服务器命令，腾讯云防火墙已支持检测、拦截该漏洞利用。

本文始发于微信公众号（腾讯安全威胁情报中心）：一周安全威胁事件概览（12.12-12.18）