绿盟威胁情报月报-202206

6月,绿盟科技威胁情报中心(NTI)发布了多个漏洞和威胁事件通告,其中,Atlassian Confluence 远程代码执行漏洞影响范围较大。由于远程攻击者在未经身份验证的情况下,可构造OGNL表达式进行注入,实现在Confluence Server或Data Center上执行任意代码,CVSS评分为10。

另外,本次微软共修复了3个Critical级别漏洞,52个Important 级别漏洞,其中包括 1 个 0day漏洞。强烈建议所有用户尽快安装更新。

在本月的威胁事件中,攻击者利用恶意软件和勒索软件发起的网络攻击相对频繁。其中包括攻击者利用AvosLocker勒索软件新变种对Linux环境发起网络攻击:最近,以该组织命名的AvosLocker勒索软件新变种也针对Linux环境。通常,Avos使用垃圾邮件活动作为初始感染媒介来传播勒索软件。然而,在此特定事件中,最初的媒介是通过VMWare Horizon统一访问网关 (UAG) 暴露在Internet上的ESXi服务器,该服务器易受Log4Shell漏洞的攻击;及其攻击者利用恶意软件Popping Eagle发起工业间谍攻击:研究人员通过检测后发现,攻击者正在使用开源代码开发旨在逃避安全检测的自定义恶意软件。为了对抗更高级的攻击者,研究人员必须利用更复杂的检测技术。寻找签名应用程序执行的异常操作已证明自己成功地发现了以前未知的攻击和“休眠”后门;及其攻击者利用HelloXD勒索软件和x4k对Windows和Linux系统发起网络攻击:HelloXD是一个执行双重勒索攻击的勒索软件系列,于2021年11月浮出水面。在我们的研究中,我们观察到影响Windows和Linux系统的多种变体。与其他勒索软件组不同,该勒索软件系列没有活跃的泄漏站点。研究人员对勒索软件样本、该勒索软件系列的混淆和执行进行了深入分析,该系列包含与泄露的Babuk/Babyk源代码非常相似的核心功能。还观察到其中一个样本部署了MicroBackdoor,这是一个开源后门,允许攻击者浏览文件系统、上传和下载文件、执行命令并将自身从系统中删除。

以上所有漏洞情报和威胁事件情报、攻击组织情报,以及关联的IOC,均可在绿盟威胁情报中心获取,网址:https://nti.nsfocus.com

一、漏洞态势

2022年06月绿盟科技安全漏洞库共收录354个漏洞, 其中高危漏洞11个,微软高危漏洞7个。

* 数据来源:绿盟科技威胁情报中心,本表数据截止到2022.07.01

注:绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;

二、威胁事件

  • 攻击者利用Kthmimu挖矿木马向Windows与Linux双平台传播恶意脚本

【标签】Kthmimu

【时间】2022-05-31

【简介】

自2022年三月以来,研究人员陆续捕获到Kthmimu挖矿木马攻击样本,该木马主要通过Log4j 2漏洞进行传播。自Log4j 2漏洞曝光后,该木马挖矿活动较为活跃,同时向Windows与Linux双平台传播恶意脚本,下载门罗币挖矿程序进行挖矿。该挖矿木马在Windows平台上使用PowerShell脚本下载并执行门罗币开源挖矿程序XMRig。除此之外,该脚本还具有创建计划任务持久化、判断系统用户包含关键字符串和创建计划任务等功能。在Linux平台上,木马使用Shell脚本下载挖矿程序,并且该脚本还会清除竞品挖矿程序、下载其它脚本和创建计划任务等功能。

【参考链接】

https://ti.nsfocus.com/security-news/IlNzg

【防护措施】

绿盟威胁情报中心关于该事件提取8条IOC,其中包含1个域名和7个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  • 攻击者利用Microsoft诊断工具MSDT中的零日漏洞在目标系统上运行任意代码

【标签】Follina

【时间】2022-06-01

【简介】

最近在Microsoft Windows支持诊断工具 (MSDT) 中发现的一个零日漏洞在过去几天成为头条新闻。当使用URL协议从应用程序(例如 Microsoft Office、Microsoft Word 或通过 RTF 文件)调用MSDT时,存在CVE-2022-30190 ,也称为“Follina”。攻击者可以利用此漏洞获得在目标系统上运行任意代码的能力。研究人员意识到在野外的持续利用,因此鼓励用户尽快测试和实施解决方法以降低风险。恶意文档利用此漏洞的一个示例包括配置恶意文档的外部引用以指向漏洞利用有效负载,在这种情况下,该漏洞是用HTML编写的,托管在远程位置的HTML包含实际的漏洞利用,使用ms-msdt架构和故障排除包“PCWDiagnostic”,攻击者可以在受感染的端点上启动任意代码。

【参考链接】

https://ti.nsfocus.com/security-news/IlNzi

【防护措施】

绿盟威胁情报中心关于该事件提取5条IOC,其中包含5个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  • 攻击者利用僵尸网络Atombot对云主机发起DDOS攻击

【标签】Atombot

【时间】2022-06-02

【简介】

安全情报中心检测到,有攻击者使用Gitlab exiftool 远程命令执行漏洞(CVE-2021-22205)对云主机展开攻击,若攻击成功会投递DDoS僵尸木马并连接C2,可控制对互联网上的其他设备发起DDoS攻击,因其木马样本中硬编码了字符串“Atom_bot”,我们将其命名为Atombot僵尸网络。Gitlab exiftool 远程命令执行漏洞(CVE-2021-22205),未正确验证传递到GitLab文件解析器的图像文件可导致远程代码执行。由于 Gitlab 某些端点路径无需授权,攻击者可在无需认证的情况下利用图片上传功能执行任意代码。Gitlab exiftool 远程命令执行漏洞是2021年4月披露并已修复的高危漏洞,CVSS评分为10(最高分),该漏洞一经出现,就得到众多网络黑产青睐,成为最常用的攻击武器之一。

【参考链接】

https://ti.nsfocus.com/security-news/IlNAa

【防护措施】

绿盟威胁情报中心关于该事件提取5条IOC,其中包含5个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  • 攻击者利用恶意软件Popping Eagle发起工业间谍攻击

【标签】Popping Eagle

【时间】2022-06-02

【简介】

研究人员发现了似乎是工业间谍攻击。观察到的活动包括执行特制的DLL劫持攻击,该攻击由以前未知的恶意软件使用,研究人员将其称为“Popping Eagle”,因为在样本中发现了几个工件。它还包括一个用Go编写的名为“Going Eagle”的第二阶段恶意工具。研究人员通过检测后发现,攻击者正在使用开源代码开发旨在逃避安全检测的自定义恶意软件。为了对抗更高级的攻击者,研究人员必须利用更复杂的检测技术。寻找签名应用程序执行的异常操作已证明自己成功地发现了以前未知的攻击和“休眠”后门。

【参考链接】

https://ti.nsfocus.com/security-news/IlNBh

【防护措施】

绿盟威胁情报中心关于该事件提取8条IOC,其中包含2个IP,2个域名和4个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  • 攻击者利用Clipminer僵尸网络进行加密货币挖掘和剪贴板劫持活动

【标签】Clipminer

【时间】2022-06-02

【简介】

安全人员发现了一项网络犯罪行动,该行动可能使幕后黑手从加密货币挖矿和剪贴板劫持中获得至少170万美元的非法收益。被研究人员追踪为Trojan.Clipminer的恶意软件与另一个名为KryptoCibule的加密挖掘特洛伊木马有许多相似之处,这表明它可能是该威胁的模仿或演变。Clipminer很可能通过木马下载的破解或盗版软件传播。该恶意软件以自解压 WinRAR 存档文件的形式到达受感染的计算机,该存档文件以带有 CPL 文件扩展名的打包可移植可执行 DLL 文件的形式删除并执行下载程序(尽管它不遵循 CPL 格式)。下载的文件连接到 Tor 网络以下载Clipminer的组件。Clipminer能够使用受损计算机的资源来挖掘加密货币。该恶意软件还修改剪贴板内容,试图重定向受感染计算机用户的加密货币交易。在每次剪贴板更新时,它都会扫描剪贴板内容以查找钱包地址,识别至少十几种不同加密货币使用的地址格式。然后将识别的地址替换为攻击者控制的钱包地址。对于大多数地址格式,攻击者提供了多个替换钱包地址可供选择。然后,恶意软件会选择与要替换的地址前缀匹配的地址。这样,受害者就不太可能注意到操纵并可能继续进行交易。

【参考链接】

https://ti.nsfocus.com/security-news/IlNA9

【防护措施】

绿盟威胁情报中心关于该事件提取4条IOC,其中包含4个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  • 攻击者通过伪造的破解软件传播加密窃取活动

【标签】FakeCrack

【时间】2022-06-08

【简介】

受害者下载了恶意破解软件时,攻击者可以拿走您PC上的所有内容,最终将失去敏感的个人数据,甚至没有最初尝试下载的软件。这正是新出现的FakeCrack活动的运作方式,诱使用户下载伪造的破解软件。该活动背后的不良行为者利用庞大的基础设施来传播恶意软件并窃取个人和其他敏感数据,包括加密资产。感染链始于可疑网站,据称这些网站提供破解版的知名和二手软件,例如游戏、办公程序或下载多媒体内容的程序。所有这些网站都位于搜索引擎结果的最高位置。第一页上的绝大多数结果都会导致破解站点受到攻击,用户最终下载的是恶意软件而不是破解。这种技术被称为利用搜索引擎索引技术的黑色SEO机制。

【参考链接】

https://ti.nsfocus.com/security-news/IlNBi

【防护措施】

绿盟威胁情报中心关于该事件提取35条IOC,其中包含7个IP,20个域名和8个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  • 攻击者利用HelloXD勒索软件和x4k对Windows和Linux系统发起网络攻击

【标签】HelloXD

【时间】2022-06-10

【简介】

HelloXD是一个执行双重勒索攻击的勒索软件系列,于2021年11月浮出水面。在我们的研究中,我们观察到影响Windows和Linux系统的多种变体。与其他勒索软件组不同,该勒索软件系列没有活跃的泄漏站点;相反,它更喜欢通过TOX聊天和基于洋葱的信使实例来指导受影响的受害者进行谈判。研究人员对勒索软件样本、该勒索软件系列的混淆和执行进行了深入分析,该系列包含与泄露的Babuk/Babyk源代码非常相似的核心功能。还观察到其中一个样本部署了MicroBackdoor,这是一个开源后门,允许攻击者浏览文件系统、上传和下载文件、执行命令并将自身从系统中删除。

【参考链接】

https://ti.nsfocus.com/security-news/IlNBj

【防护措施】

绿盟威胁情报中心关于该事件提取113条IOC,其中包含5个IP,55个域名和53个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  • 黑客组织使用新的PingPull工具对电信、政府和金融部门发起攻击

【标签】PingPull

【时间】2022-06-13

【简介】

研究人员最近发现了一个名为PingPull的新的、难以检测的远程访问木马,该木马正被高级持续威胁 (APT) 组织GALLIUM使用。在过去一年中,该组织已将其目标扩大到电信公司之外,还包括金融机构和政府实体。在此期间,我们已经确定了GALLIUM 基础设施与阿富汗、澳大利亚、比利时、柬埔寨、马来西亚、莫桑比克、菲律宾、俄罗斯和越南的目标实体之间的若干联系。最重要的是,我们还发现该组织使用了一种名为PingPull的新型远程访问木马。PingPull能够利用三种协议(ICMP、HTTP(S)和原始TCP)进行命令和控制 (C2)。虽然使用 ICMP 隧道不是一项新技术,但PingPull使用ICMP使其更难检测其C2通信,因为很少有组织在其网络上实施ICMP流量检查。

【参考链接】

https://ti.nsfocus.com/security-news/IlNBh

【防护措施】

绿盟威胁情报中心关于该事件提取149条IOC,其中包含129个IP,13个域名和7个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  • 攻击者利用AvosLocker勒索软件新变种对Linux环境发起网络攻击

【标签】AvosLocker

【时间】2022-06-21

【简介】

Avos是一个于 2021 年首次发现的勒索软件组织,最初针对Windows机器。最近,以该组织命名的AvosLocker勒索软件新变种也针对 Linux 环境。Avos资金充足且具有财务动机,自2021年6月以来一直活跃,并遵循勒索软件即服务 (RaaS) 模式,这是一项招募潜在合作伙伴的联盟计划。该计划的公告包括有关勒索软件功能的信息,并让附属公司知道AvosLocker运营商将处理谈判和勒索行为。通常,Avos使用垃圾邮件活动作为初始感染媒介来传播勒索软件。然而,在此特定事件中,最初的媒介是通过VMWare Horizon统一访问网关 (UAG) 暴露在Internet上的ESXi服务器,该服务器易受Log4Shell漏洞的攻击。客户于2022年3月7日通知了Talos,但早在2022年2月7日就注意到了与勒索软件攻击相关的活动。

【参考链接】

https://ti.nsfocus.com/security-news/IlNCb

【防护措施】

绿盟威胁情报中心关于该事件提取16条IOC,其中包含2个IP和14个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  • 攻击者ToddyCat对欧洲和亚洲知名实体发起网络攻击

【标签】ToddyCat

【时间】2022-06-21

【简介】

ToddyCat是一个相对较新的APT攻击者,研究人员无法将其与其他已知攻击者联系起来,它负责自2020年12月以来检测到的针对欧洲和亚洲知名实体的多组攻击。该组织于2020年12月开始活动,利用未知漏洞攻击台湾和越南的选定 Exchange 服务器。在该链中,我们观察到了许多组件,其中包括自定义加载程序,这些加载程序用于完成被动后门 Samurai 的最终执行。在第一阶段,即2020年12月至2021年2月期间,该组织针对台湾和越南的数量非常有限的服务器,这些服务器与三个组织有关。从2月26日到3月初,研究人员观察到快速升级和攻击者滥用ProxyLogon漏洞危害欧洲和亚洲的多个组织。研究人员怀疑该组织于2020年12月开始利用Microsoft Exchange漏洞,但不幸的是,研究人员没有足够的信息来证实这一假设。无论如何,值得注意的是,所有在12月至2 月期间被感染的目标机器都是Microsoft Windows Exchange服务器。攻击者利用未知漏洞破坏了服务器,攻击链的其余部分与3月份使用的相同。

【参考链接】

https://ti.nsfocus.com/security-news/IlNCa

【防护措施】

绿盟威胁情报中心关于该事件提取17条IOC,其中包含1个IP,1个域名和15个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author