绿盟威胁情报周报(20200518~20200524)

一、威胁通告

  • Apache Tomcat Session反序列化远程代码执行漏洞

【发布时间】2020-05-21 11:00:00 GMT

【概述】北京时间5月20日,Apache官方发布安全通告修复了Apache Tomcat Session反序列化远程代码执行漏洞(CVE-2020-9484),如果使用了Tomcat的session持久化功能,不安全的配置将导致攻击者可以发送恶意请求执行任意代码。

【链接】https://blog.nsfocus.net/apache-tomcat-cve-2020-9484-0521/

二、热点资讯

  1. SecureCRT内存损坏漏洞

【概述】SecureCRT最新版本8.7.2中修复了一个内存损坏漏洞(CVE-2020-12651),当CSI函数接收到一个大负数作为参数时,可能允许远程系统破坏终端进程中的内存,最终导致任意代码的执行或程序崩溃。攻击者可能通过类似SSH banner的方式利用该漏洞。

【参考链接】https://blog.nsfocus.net/

  1. Cisco Unified Contact Center Express反序列化代码执行漏洞

【概述】近日,思科(Cisco)官方发布通告称修复了一个Unified Contact Center Express(Unified CCX)中的高危漏洞(CVE-2020-3280)。该漏洞源于软件在反序列化操作时,没有对用户提供的输入进行足够的限制,攻击者可以在未授权的情况下发送一个恶意的Java对象来触发该漏洞,在受影响设备上以root权限执行任意代码。

【参考链接】https://blog.nsfocus.net/cisco-unified-ccx-cve-2020-3280-0522/

  1. Greenbug组织针对南亚电信公司的攻击活动

【概述】Greenbug组织通过发送包含恶意链接的电子邮件感染目标,该链接指向受到攻击的网站,网站托管着一个包含恶意CHM文件的存档文件,在执行时安装有效负载,其中包括一个ADS用来隐藏其负载,攻击活动主要针对南亚的电信公司,旨在窃取凭证以及建立与数据库服务器的连接。Greenbug威胁组织至少从2016年活跃至今,疑似来自伊朗。

【参考链接】https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/greenbug-espionage-telco-south-asia

  1. Chafer组织针对中东政府和航空运输业的活动

【概述】Chafer是一个有伊朗背景的威胁组织,主要从事网络间谍活动。近期Chafer组织针对中东,特别是科威特和沙特阿拉伯传播恶意软件,传播途径通过鱼叉式钓鱼邮件,其目的是为了收集情报。此次攻击中,攻击者使用常见的黑客工具SafetyKat、Metasploit和CrackMapExec,以及自定义工具PLINK和用于网络扫描和凭证收集等多种功能的的Remexi恶意软件进行传播和攻击。

【参考链接】https://www.bitdefender.com/files/News/CaseStudies/study/332/Bitdefender-Whitepaper-Chafer-creat4491-en-EN-interactive.pdf

  1. Winnti组织利用新后门PipeMon针对视频游戏公司

【概述】Hangover组织针对南亚的政府和军事组织发起了鱼叉式钓鱼攻击。此次攻击使用带有信件或政府表格文件引诱用户浏览受攻击的网站,这些网站里有携带BackConfig木马的Microsoft Excel文件,该恶意木马具有灵活的插件体系结构,可用于提供各种功能的组件,包括收集系统和键盘记录信息以及上载和执行其他有效负载的能力。Hangover,也被称为Patchwork、Dropping Elephant、VICEROY TIGER等,是一个与印度有关的威胁组织。

【参考链接】https://unit42.paloaltonetworks.com/updated-backconfig-malware-targeting-government-and-military-organizations/

  1. APT15组织的新后门Ketrum

【概述】Lampion木马通过仿冒葡萄牙政府提供的抗击新冠疫情的相关电子邮件进行分发,收件人单击电子邮件中的链接时,恶意软件将从在线服务器下载。该恶意软件收集系统页面、已安装软件、Web浏览器历史记录等用户信息,还允许攻击者通过专门设计的Web界面访问和操纵受感染的计算机。

【参考链接】https://seguranca-informatica.pt/trojan-lampion-is-back-after-3-months/#.Xrudm2gzaUl

  1. Amadey恶意软件新版本可分发Remcos木马

【概述】Amadey恶意软件被感染后会将用户数据发送到C&C服务器,并执行C&C服务器发回的其他任务。近期该恶意软件出现新版本,通过著名的RIG Exploit Kit (RIG EK)交付,感染后向用户计算机分发Remcos木马。此次攻击主要针对加拿大的Windows 7系统。

【参考链接】https://www.zscaler.com/blogs/research/latest-version-amadey-introduces-screen-capturing-and-pushes-remcos-rat

  1. WolfRAT恶意软件针对泰国用户

【概述】WolfRAT恶意软件基于DenDroid恶意软件家族出现的,近期攻击者利用WolfRAT用作作情报收集工具或拦截工具,其目标针对泰国的Android设备的通讯应用程序。WolfRAT疑似有黑客组织Wolf Research有关,该组织擅长于开发窃密恶意软件。

【参考链接】https://blog.talosintelligence.com/2020/05/the-wolf-is-back.html

  1. 攻击者利用Mandrake间谍软件进行网络钓鱼攻击

【概述】Android间谍软件框架Mandrake从2016年以来就一直活跃,该间谍软件并不致力于感染更多的设备,而是旨在从用特定用户手机中窃取更多的数据,它可以调低手机音量、拦截电话或信息、窃取证书、窃取信息进行转账和勒索并且实施钓鱼攻击,受害者分布在澳大利亚、美国、加拿大和一些欧洲国家。

【参考链接】https://www.bitdefender.com/files/News/CaseStudies/study/329/Bitdefender-PR-Whitepaper-Mandrake-creat4464-en-EN-interactive.pdf

  1. 针对学术数据中心进行加密货币挖矿

【概述】攻击者使用受损的的SSH凭据从一个受害者跳到其他相关联受害者进行CPU挖矿活动,被感染的主机分成三类:XMR挖掘主机、XMR代理主机、SOCKS代理主机和隧道主机,此次攻击针对中国、欧洲和北美的学术数据中心,这些数据中心都被用于正在进行COVID-19研究。

【参考链接】https://csirt.egi.eu/academic-data-centers-abused-for-crypto-currency-mining/

Spread the word. Share this post!

Meet The Author

Leave Comment