绿盟威胁情报周报（20200525~20200531）

一、威胁通告

1. Fastjson<=1.2.68远程代码执行漏

【发布时间】2020-05-28 20:00:00 GMT

【概述】5月28日，绿盟科技监测到有消息称Fastjson在1.2.68及以下版本中存在远程代码执行漏洞，该漏洞可绕过autoType开关的限制，从而反序列化有安全风险的类，攻击者利用该漏洞可实现在目标机器上的远程代码执行。

【链接】https://blog.nsfocus.net/fastjson-0528/

2. ApacheKylin远程命令执行漏洞

【发布时间】2020-05-29 19:00:00 GMT

【概述】近日，Apache官方发布安全公告，修复了一个ApacheKylin的远程命令执行漏洞（CVE-2020-1956）。在Kylin中存在一些restfulAPI，可以将操作系统命令与用户输入的字符串连接起来，由于未对用户输入内容做合理校验，导致攻击者可以在未经验证的情况下执行任意系统命令。

【链接】https://blog.nsfocus.net/apache-kylin-0529/

二、热点资讯

1. APT Group系列：来自北极熊的威胁—Turla

【概述】Turla，又名Snake、Uroburos、Waterbug，WhiteBear，最早可追溯到2014年，是来源于俄罗斯的威胁攻击组织。绿盟伏影实验室对Turla组织使用的恶意软件进行分析和总结：a.攻击者在编写恶意软件时输出的debug信息是英文，但不是母语；b.攻击者的基础设施来源于俄罗斯；c.攻击者使用的默认语言为俄语；d.Agent.BTZ中也出现了类似的痕迹。

【参考链接】https://blog.nsfocus.net/apt-group-turla-0529/

2. 挖矿木马SoulemanMiner利用永恒之蓝漏洞针对企业

【概述】挖矿木马SoulemanMiner出现在2020年1月，利用永恒之蓝漏洞在内网攻击传播，攻击成功后会下载由XMRig编译的门罗币挖矿程序、窃密木马AZORult和盗取数字货币的木马Bitcoin-Grabber，该木马运行时，会结束其他挖矿木马进程以独占资源。该木马的部分钱包通过盗取和挖矿已获利超过27万元人民币。

【参考链接】https://s.tencent.com/research/report/995.html

3. Grandoreiro木马新变种针对葡萄牙银行

【概述】Grandoreiro是一个针对拉丁美洲银行的木马，目标是巴西、墨西哥、西班牙、秘鲁，葡萄牙，近期Grandoreiro恶意软件新变种将目标扩展到葡萄牙，针对葡萄牙银行通过包含恶意附件的垃圾邮件进行攻击，附件是一个HTML文档，可以下载VBScript文件，然后从在线服务器下载ISO文件。Grandoreiro僵尸网络的新变种能够从受害者的设备收集银行信息、完全控制操作系统、重新启动和锁定、Windows覆盖和键盘记录功能，并执行浏览器交互。

【参考链接】https://seguranca-informatica.pt/the-updated-grandoreiro-malware-equipped-with-latenbot-c2-features-in-q2-2020-now-extended-to-portuguese-banks/#.Xs2-5jozbic

4. Turla组织更新ComRAT木马

【概述】Turla也被称为Snake、WhiteBear和Waterbug，是一个主要针对外交机构和军方的俄罗斯APT组织，近期该组织针对两个外交部和一个国家议会分发新的ComRAT木马。ComRAT间谍软件能够绕过一些安全控制，并且在被入侵的计算机上执行许多操作，例如执行附加程序或过滤文件，旨在窃取机密情报。

【参考链接】https://www.welivesecurity.com/2020/05/26/agentbtz-comratv4-ten-year-journey/

5. Lazarus组织针对韩国证券公司进行攻击

【概述】Lazarus组织近期针对韩国证券公司发起攻击，该攻击通过带有恶意附件的电子邮件进行传播，该附件由20个HWP、XLSX、JPEG文件组成，另外9个文件以大容量附加文件的形式被追加。

【参考链接】https://blog.alyac.co.kr/3018

6. SANDWORM组织针对Exim服务器的攻击活动

【概述】SANDWORM是一个从2009年活跃至今的俄罗斯威胁组织，至少从2019年8月起一直在利用Exim邮件传输代理(MTA)软件的漏洞进行攻击活动。Exim是一个常用的MTA软件，用于Unix系统，Exim 4.87版本引入了远程代码执行漏洞，未经身份验证的远程攻击者可以发送经过特殊设计的电子邮件来执行具有特权的命令，允许攻击者安装程序、修改数据和创建新帐户。

【参考链接】https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Sandworm

7. FuckUnicorn勒索软件活动利用Covid-19作为诱饵

【概述】FuckUnicorn勒索软件利用了Covid-19的流行进行传播，通过字母“ l”代替“ i”的方法假冒官方网站，从假网站下载的是一个名为“ IMMUNI.exe”的可执行文件。该恶意软件对受害者Windows系统上存在的文件进行加密，并通过分配扩展名“ .fuckunicornhtrhrtjrjy”对其重命名，并显示勒索文本文件。

【参考链接】https://cert-agid.gov.it/news/campagna-ransomware-fuckunicorn-sfrutta-emergenza-covid-19/

8. TrickBot木马利用新传播模块Nworm更好的规避检测

【概述】TrickBot是一种信息窃取软件，可提供后门访问，这些后门有时被犯罪集团用来分发其他恶意软件。TrickBot使用模块执行不同的功能，\”Nworm“模块可执行其传播功能，从受感染的Windows客户端传播到易受攻击的域控制器。由Nworm引起的感染不会在被感染的域控制器上留下痕迹，并且在重新启动或关闭后消失。

【参考链接】https://unit42.paloaltonetworks.com/goodbye-mworm-hello-nworm-trickbot-updates-propagation-module/

9. Valak恶意软件攻击活动针对美国和德国企业

【概述】Valak既可以作为其他恶意软件的加载器，还可以独立作为针对个人和企业的信息窃取软件。近期Valak的新版本面向Microsoft Exchange服务器，针对美国和德国窃取企业邮件信息和密码以及企业证书，并且使用ADS等高级回避技术并在注册表中隐藏组件。

【参考链接】https://www.cybereason.com/blog/valak-more-than-meets-the-eye

10. Sarwent恶意软件新增命令并专注于RDP

【概述】Sarwent恶意软件可打开Windows PC上的RDP端口，以便进行远程访问。攻击者仍在不断的开发和使用Sarwent恶意软件，最近增加了许多在恶意软件中通常会看到的新的命令，这些命令主要集中在后门或RAT之类的功能上。

【参考链接】https://labs.sentinelone.com/sarwent-malware-updates-command-detonation/