绿盟科技威胁情报月报-2019年11月

一、漏洞态势

2019年11月绿盟科技安全漏洞库共收录218漏洞, 其中高危漏洞118个,微软高危漏洞38个。

* 数据来源:绿盟科技威胁情报中心,本表数据截止到2019.11.28 

注:绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等; 

二、 威胁事件

1. Lazarus组织的Mac后门针对韩国用户

【标签】Lazarus、NUKESPED

【时间】2019-11-20

【简介】

最近发现Mac后门新变种,该变种关联到Lazarus威胁组织。Mac后门样本使用了带有嵌入式宏的Excel文档,一旦运行,宏将运行PowerShell脚本,并尝试连接到三台C2服务器,其上有Mac应用程序捆绑包含恶意和合法的Flash Player,恶意Flash Player文件实则是MacOS木马新变种NUKESPED。本次攻击活动针对韩国用户。

【关联的攻击组织】

Lazarus(又名HIDDEN COBRA、Guardians of Peace、ZINC和NICKEL ACADEMY)是一个威胁组织,归属于朝鲜政府,该组织至少从2009年以来一直活跃。

【参考链接】

https://blog.trendmicro.com/trendlabs-security-intelligence/mac-backdoor-linked-to-lazarus-targets-korean-users/

【防护措施】

绿盟威胁情报中心关于Lazarus组织的关注可追溯到2017年,关于Lazarus组织相关事件存在28件。Lazarus组织相关联IP22个,相关联域名31个,相关联样本112个。绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

2. TA2101组织在攻击活动中分发Maze勒索软件和IceID木马

【标签】A2101、Cobalt Strike、IcedID、Maze

【针对行业】制造业、卫生保健、IT服务

【时间】2019-11-14

【简介】

TA2101组织选择商业化渗透测试工具Cobalt Strike,在近期的攻击活动中伪装成政府机构,通过恶意电子邮件向德国、意大利和美国的组织分发Maze勒索软件和IceID木马,影响的行业包括IT服务业、制造业和卫生保健等领域。

【关联的攻击组织】

TA2101是一个相对较新的威胁组织,目前主要针对德国、意大利、美国的企业和组织,通过钓鱼邮件向受害者提供后门恶意软件,受影响的行业有IT服务、制造业和卫生保健等。

【关联的攻击工具】

Cobalt Strike是一个功能齐全的商业化渗透测试工具,旨在执行有针对性的攻击并模仿高级威胁参与者的攻击利用行为。

【参考链接】

https://www.proofpoint.com/us/threat-insight/post/ta2101-plays-government-imposter-distribute-malware-german-italian-and-us

【防护措施】

绿盟威胁情报中心关于该事件提取7条IOC。绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

3. APT33组织使用多层混淆策略定向攻击

【标签】APT33、C&C

【针对行业】能源

【时间】2019-11-13

【简介】

近期发现APT33威胁组织使用12个实时C&C服务器进行定向攻击活动,利用多层混淆处理,以隐藏并运行这些C&C服务器,受影响范围包括中东、美国和亚洲的组织。

【关联的攻击组织】

APT33,又名Elfin,是一个与伊朗有关的威胁组织,至少从2013年开始运营,目标针对美国、沙特阿拉伯、韩国的多个行业和组织,尤其对航空和能源领域感兴趣。

【参考链接】

https://blog.trendmicro.com/trendlabs-security-intelligence/more-than-a-dozen-obfuscated-apt33-botnets-used-for-extreme-narrow-targeting/

【防护措施】

绿盟威胁情报中心关于该事件有18条相关IOC;APT33攻击组织相关事件6件,该攻击组织有15个关联域名、40个关联样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

4. DarkUniverse APT框架

【标签】DarkUniverse、APTframework

【针对行业】军事

【时间】2019-11-05

【简介】

DarkUniverse是一个至少活跃八年(2009年-2017年)的网络间谍活动框架,包含用于收集有关用户和受感染系统的各种信息的所有必要模块,与ItaDuke系列活动有关。攻击者利用鱼叉式钓鱼邮件传播恶意软件,向目标发送带有恶意Microsoft Office文档的电子邮件。受害者包含平民组织和军事组织,分别位于叙利亚、伊朗、阿富汗、坦桑尼亚、埃塞俄比亚、苏丹、俄罗斯、白俄罗斯和阿拉伯联合酋长国。

【参考链接】

【防护措施】

绿盟威胁情报中心关于该事件提取7条相关IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

5. BlackTech组织使用IconDown恶意软件对日本的攻击

【标签】BlackTech、IconDown

【时间】2019-11-21

【简介】

绿盟威胁情报中心关于BlackTech组织关注最早可以追溯到2017年,关于BlackTech组织相关事件存在6件,相关事件主要集中在2019年,存在3件相关事件,2018年存在2件,2017年存在1件,由此可见2019年该组织较为活跃。BlackTech使用各种类型的恶意软件对日本进行攻击,近期发现该组织利用IconDown恶意软件,该恶意软件通过ASUS WebStorage的更新功能进行传播。

【关联的攻击组织】

BlackTech是一个至少从2011年活跃至今的威胁组织,主要针对东亚地区。

【参考链接】

https://blogs.jpcert.or.jp/en/2019/11/icondown-downloader-used-by-blacktech.html

【防护措施】

绿盟威胁情报中心关于该事件提取到5条相关IOC,绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

报告下载

发表评论