绿盟威胁情报周报(20200420~20200426)

热点资讯

  1. 绿盟科技20周年 | 专题汇总

【概述】2000年,伴随着新世纪千禧年的钟声,中国互联网和计算机科学技术迎来高速发展期,同年4月25日,绿盟科技在北京成立。2020年4月25日,见证中国网络安全行业发展的绿盟科技集团(以下简称绿盟科技)迎来了20周岁生日,以成年人的姿态奋进在下一个二十年的新征程上。

【参考链接】http://blog.nsfocus.net/20years-special-topic/

  1. 绿盟科技在RSAC热点研讨会带来的干货

【概述】4月17日由中国计算机学会主办,CCF计算机安全专业委员会、绿盟科技集团和360 集团承办的“第十二届信息安全高级云论坛暨美国RSA热点研讨会”,以“以人为本”为话题,邀请了18位行业专家,共同分享、解读对今年 RSAC 的理解和收获。绿盟科技的三个议题,重点介绍对中美网安产业的深度观察、针对今年创新沙盒对网安创新方向的解读,以及从安全运营实例来谈更契合国情、对安全工作更具指导价值的思考。

【参考链接】http://blog.nsfocus.net/rsac-share-0421/

  1. 攻击者利用漏洞攻击Edimax WiFi桥接器

【概述】2020年4月14日,Exploit DB公布了一个针对Edimax WiFi桥接器的远程执行漏洞的利用,该利用从shodan搜索条件到下发样本非常详细,绿盟格物实验室结合威胁情报中心对相应设备的暴露情况进行了验证,发现2020年至今,其暴露数量总计在6000台以上。4月18日捕获到针对该漏洞的探测和利用行为,并出现了爆发的现象。

【参考链接】https://mp.weixin.qq.com/s/snPYk118J2z_wAuRcs0tfA

  1. 思科公开Zoom Communications中的用户枚举漏洞

【概述】2020年4月21日思科公开了Zoom Communications中的一个用户枚举漏洞,该漏洞可能允许恶意用户获取特定组织内的Zoom用户的完整列表。

【参考链接】https://blog.talosintelligence.com/2020/04/zoom-user-enumeration.html

  1. Gafgyt样本变种Corona发起僵尸网络攻击

【概述】目前网络上已发现的以新冠病毒热点为噱头的攻击,基本是以邮件方式发送网络钓鱼,且攻击目标主要是windows服务器,绿盟科技伏影实验室近期捕获到针对linux内核系统ARM7架构的以Corona新冠病毒命名的Gafgyt样本变种。攻击者定位为欧美国家,针对国内能源、电信行业,进行僵尸网络攻击。

【参考链接】http://blog.nsfocus.net/

  1. APT32组织利用COVID-19针对中国的攻击

【概述】APT32,也被称为Ocean Lotus、Ocean Buffalo和SeaLotus,是一个与越南有关的威胁组织,主要关注越南、菲律宾、老挝和柬埔寨等东南亚国家。在2020年1月至2020年4月期间,APT32组织利用COVID-19疫情向中国发起鱼叉式网络钓鱼攻击。

【参考链接】https://www.fireeye.com/blog/threat-research/2020/04/apt32-targeting-chinese-government-in-covid-19-related-espionage.html

  1. Evil Eye组织通过iOS漏洞攻击针对维吾尔语网站

【概述】Evil Eye威胁组织曾发起在安卓手机上安装恶意软件植入的攻击,到2020年1月初,该组织被发现针对中国维吾尔网站利用IRONSQUIRREL开源框架来启动攻击链,利用WebKit中的漏洞针对目标苹果iOS操作系统,通过恶意的iframe加载到受攻击的网站上来进行攻击。

【参考链接】https://www.volexity.com/blog/2020/04/21/evil-eye-threat-actor-resurfaces-with-ios-exploit-and-updated-implant/

  1. VictoryGate僵尸网络通过可移动设备传播进行挖矿活动

【概述】VictoryGate是一个自2019年5月以来一直活跃的僵尸网络,主要由拉丁美洲(特别是秘鲁)的设备组成,90%以上的受感染设备位于该地区。VictoryGate仅使用在动态DNS提供商No-IP上注册的子域以更好控制其僵尸网络,它通过可移动设备传播,主要目的进行Monero挖矿活动。

【参考链接】https://www.welivesecurity.com/2020/04/23/eset-discovery-monero-mining-botnet-disrupted/

  1. 攻击者利用Agent Tesla木马针对能源行业

【概述】攻击者最近利用石油和天然气危机发起了鱼叉式网络钓鱼攻击活动,伪装成著名的埃及工程承包商Enppi发送邀请邮件,在邮件附件中添加Agent Tesla木马进行分发,攻击瞄准马来西亚、美国、伊朗、南非、阿曼和土耳其等地的能源行业。另外菲律宾的船运公司也被相同的手段攻击。

【参考链接】https://labs.bitdefender.com/2020/04/oil-gas-spearphishing-campaigns-drop-agent-tesla-spyware-in-advance-of-historic-opec-deal/

Meet The Author

Leave Comment