绿盟威胁情报周报(20200608~20200614)

一、威胁通告

  • 微软2020年6月安全更新多个产品高危漏洞

【发布时间】2020-06-10 09:00:00 GMT 

【概述】

北京时间6月10日,微软发布6月安全更新补丁,修复了130个安全问题,涉及Micros oft Windows、InternetExplorer、MicrosoftEdge、WindowsDefender、MicrosoftOffice、Visual Studio、AdobeFlashPlayer等广泛使用的产品,其中包括内存泄露和远程代码执行等高危漏洞类型。 本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞共有12个,重要(Important)漏洞有118个。这是微软有史以来在一个月内发布CVE数量最多的一次,其中WindowsSMB远程代码执行漏洞(2018年送彩金网站大全2020-1301)与WindowsSMBv3客户端/服务器信息泄漏漏洞(2018年送彩金网站大全2020-1206)的PoC已公开。

【链接】

二、热点资讯

  1. Adobe 2020年6月安全更新

【概述】

当地时间2020年6月10日,Adobe官方发布了6月安全更新,修复了Adobe 多款产品的多个漏洞,包括Adobe Framemaker、Adobe Experience Manager和Adobe Flash Player。

【参考链接】

  1. 攻击者使用User-Agent: Abcd感染多款路由器和视频监控设备

【概述】

近期通过绿盟威胁捕获系统,我们发现了一批具有特定行为和目标的攻击者,其攻击所用HTTP请求包中的User-Agent字段往往是确定内容:“Abcd”, 主要感染目标涉及多款路由器和视频监控设备。这些攻击者从5月份出现活跃至今,近期依然捕获到其投递样本的行为,受影响的物联网资产包括AXIS摄像头、九安摄像头、TVT摄像头、LILIN DVR、ipTIME路由器以及多款存在DNS劫持漏洞的路由器。

【参考链接】

http://blog.cholochitro.com/

  1. 针对Github中Java项目的定向攻击

【概述】

2020年5月28日,Github安全团队发表了文章称Github上存在一组代码仓库正在服务于感染了恶意代码的开源项目(https://securitylab.github.com/research/octopus-scanner-malware-open-source-supply-chain),攻击者通过提交恶意代码至开源项目,并被其他开源项目所引用。本次供应链攻击针对的是经常使用开源项目的开发人员。通过感染开发人员使用的IDE(集成开发环境),以达到在开发人员开发的所有项目植入有恶意软件的目的。目前来看,该攻击者只针对JAVA项目。

【参考链接】

  1. TA410组织利用恶意软件FlowCloud针对美国公用事业提供商

【概述】

TA410组织近期针对美国公用事业提供商发起网络钓鱼攻击,此次攻击以培训和认证为主题邮件作为诱饵,通过便携式可执行附件和负载有大量宏的Microsoft Word文档传递模块化的恶意软件FlowCloud。FlowCloud恶意软件能够根据访问剪贴板、已安装的应用程序、键盘、鼠标、屏幕、文件、服务和进程等命令提供远程访问功能,并C&C传输信息。

【参考链接】

https://www.proofpoint.com/us/blog/threat-insight/ta410-group-behind-lookback-attacks-against-us-utilities-sector-returns-new

  1. Gamaredon组织利用Outlook群发鱼叉邮件

【概述】

Gamaredon恶意组织主要针对乌克兰的机构,使用具有将恶意宏和远程模板注入现有Office文档的功能的工具。这些工具可以向受害者的Microsoft Office通讯簿中的联系人发送鱼叉式电子邮件,旨在从受感染的系统中收集敏感信息并进一步传播,主要是在试图窃取数据的同时在目标网络中尽可能快地传播。

【参考链接】

https://www.welivesecurity.com/2020/06/11/gamaredon-group-grows-its-game/

  1. Dark Basin组织在全球发动大规模网络钓鱼攻击

【概述】

Dark Basin是一个以入侵为目的的黑客组织,目标群体是六大洲的数千个人和数百家机构,包括宣传团体和记者、民选和高级政府官员,金融以及其他多个行业。Dark Basin组织通过Gmail帐户和自托管帐户等向目标发送带有恶意链接的网络钓鱼电子邮件,并且使用URL缩短器来掩盖钓鱼网站,其目的是进行情报收集。

【参考链接】

https://citizenlab.ca/2020/06/dark-basin-uncovering-a-massive-hack-for-hire-operation/

  1. Valak恶意软件使用无文件脚本感染设备

【概述】

Valak是基于脚本的多阶段恶意软件,该软件通过嵌入恶意URL或附件的电子邮件进行传播,并使用无文件脚本感染设备,攻击活动中Valak恶意软件从帐户中收集电子邮件,其中电子邮件凭证插件CLIENTGRABBER还用于从注册表中窃取电子邮件凭据。

【参考链接】

https://labs.sentinelone.com/valak-malware-and-the-connection-to-gozi-loader-confcrew/

  1. Kingminer僵尸网络利用公共领域的工具分发采矿机

【概述】

Kingminer通过对SQL Server的用户名/密码和EternalBlue漏洞进行传播,使用开放源代码或公共领域的软件来托管交付的内容,并且使用特权提升漏洞提高自己的权限,感染成功后分发XMRig矿机的变体。

【参考链接】

https://news.sophos.com/en-us/2020/06/09/kingminer-report/

  1. Tor2Mine组织部署AZORult等恶意软件

【概述】

Tor2Mine是一个以提供加密货币挖矿恶意软件而闻名的组织,该组织正在部署其他恶意软件,包括信息窃取恶意软件AZORult,远程访问工具Remcos,DarkVNC后门木马和剪贴板上的加密货币盗窃者用来集凭据并窃取更多钱。

【参考链接】

https://blog.talosintelligence.com/2020/06/tor2mine-is-up-to-their-old-tricks-and_11.html

  1. EKANS勒索软件针对工业控制系统

【概述】

EKANS勒索软件在2020年1月首次被发现,近期发现EKANS针对工业控制系统ICS的攻击活动,Honda和Enel等知名厂商均受到影响。

【参考链接】

https://blog.malwarebytes.com/threat-analysis/2020/06/honda-and-enel-impacted-by-cyber-attack-suspected-to-be-ransomware/

  1. RagnarLocker勒索软件攻击企业用户

【概述】

RagnarLocker勒索软件的代码量小,以高级编程语言进行编码,目标是对它可以加密的所有文件加密并进行勒索。近期RagnarLocker勒索软件攻击企业用户,然后要求勒索近1100万美元的赎金换取未泄露从公司窃取的信息。

【参考链接】

https://www.mcafee.com//blogs/other-blogs/mcafee-labs/ragnarlocker-ransomware-threatens-to-release-confidential-information/

  1. Phorphiex/Trik僵尸网络分发勒索软件Avaddon

【概述】

近期在Phorphiex/Trik僵尸网络活动中,攻击者利用钓鱼邮件分发勒索软件Avaddon,受感染的用户机器被加密的文件扩展名为.avdn,并在桌面上留下自述文件,定向到一个暗网地址,以引导受害者进一步获取解密信息。

【参考链接】

https://appriver.com/resources/blog/june-2020/phorphiextrik-botnet-delivers-avaddon-ransomware

  1. Higaisa组织使用恶意LNK文件针对中国用户

【概述】

Higaisa组织近期针对中国用户使用包含诱骗文件的LNK文件传播恶意后门,诱饵内容作为Internet快捷方式文件或PDF文件显示,并在后台执行恶意活动时显示给用户,该后门使用复杂的欺骗性技术,旨在规避安全检测。

【参考链接】

https://www.zscaler.com/blogs/research/return-higaisa-apt

  1. QakBot变种通过网络钓鱼邮件传播

【概述】

QBot木马,也称为QakBot,通过带有MS Office Word文档的网络钓鱼电子邮件进行传播,并且可以隐藏自己不被识别。该恶意软件最初被称为金融恶意软件,旨在通过窃取用户凭据和击键来针对政府和企业进行金融欺诈。

【参考链接】

https://www.fortinet.com/blog/threat-research/deep-analysis-of-a-qbot-campaign-part-1

Meet The Author

Leave Comment