绿盟威胁情报周报(20200622~20200628)

一、威胁通告

  • Apache Dubbo Provider默认反序列化远程代码执行漏洞

【发布时间】2020-06-23 17:00:00 GMT

【概述】2020年6月23日,Apache Dubbo发布安全公告披露Provider默认反序列化导致的远程代码执行漏洞(CVE-2020-1948),攻击者可以发送带有无法识别的服务名或方法名及某些恶意参数负载的RPC请求,当恶意参数被反序列化时将导致代码执行。

【链接】http://blog.nsfocus.net/apache-dubbo-0623/

二、热点资讯

  1. 攻击者使用IndigoDrop针对南亚军事和政府组织

【概述】近期以军事主题为诱饵的攻击活动,通过恶意Microsoft Office文档传播包含完整RAT功能的Cobalt Strike,这些恶意文档使用恶意宏来进行多阶段和高度模块化的感染,并且使用公共服务器和私有服务器的组合来托管其恶意有效负载,IndigoDrop负责从下载URL获取最终的有效负载以进行部署,此次攻击针对南亚的军事和政府组织。

【参考链接】https://blog.talosintelligence.com/2020/06/indigodrop-maldocs-cobalt-strike.html

  1. XORDDoS和Kaiji僵尸网络变种针对Docker服务器

【概述】XORDDoS和Kaiji是Linux僵尸网络恶意软件类型的变体,此次攻击是XORDDoS首次将Docker服务器作为目标。攻击者扫描暴露的Docker服务器通信端口2375后使用僵尸网络执行暴力攻击;Kaiji僵尸网络同样扫描端口2375暴露的主机,对Docker服务器执行ping操作,然后部署执行Kaiji二进制文件的恶意ARM容器。

【参考链接】https://blog.trendmicro.com/trendlabs-security-intelligence/xorddos-kaiji-botnet-malware-variants-target-exposed-docker-servers/

  1. BRONZE VINEWOOD组织瞄准供应链机构

【概述】BRONZE VINEWOOD,也被称为APT31、ZIRCONIUM,是一个至少从2016年活跃至今的威胁组织,该组织与中国有关。近期BRONZE VINEWOOD组织尝试窃取凭据并使用合法的远程访问解决方案和协议等多种工具和技术来访问环境,对软件提供商和其他供应链组织的攻击旨在访问客户的数据或网络。

【参考链接】https://www.secureworks.com/research/bronze-vinewood-targets-supply-chains

  1. 针对缅甸的网络间谍攻击活动

【概述】攻击者针对缅甸发起鱼叉式钓鱼攻击,向目标用户分发带有恶意LNK文件的电子邮件,恶意文件托管在Google云端硬盘中以逃避防病毒和安全扫描程序识别,该文件一旦执行,将在后台拖放并运行可执行文件,并利用工具Octopus进行命令和控制(C2)通信。

【参考链接】https://www.anomali.com/blog/unknown-china-based-apt-targeting-myanmarese-entities

  1. Lucifer恶意软件利用漏洞感染Windows设备

【概述】Lucifer是加密劫持和DDoS恶意软件变体的结合,它利用旧漏洞在Windows平台上传播和执行恶意活动,该恶意软件可以进行Monero的密码劫持,能够利用多个漏洞和凭据进行命令和控制(C2)操作以及自我传播,并且针对内部易受攻击的目标感染并运行EternalBlue,EternalRomance和DoublePulsar后门。

【参考链接】https://unit42.paloaltonetworks.com/lucifer-new-cryptojacking-and-ddos-hybrid-malware/

  1. FIN7组织利用Pillowmint恶意软件针对零售终端系统

【概述】FIN7,是一个有财务动机的威胁组织,自2015年以来一直活跃,主要针对酒店和餐饮业。近期FIN7组织利用Pillowmint恶意软件针对零售终端系统,通过恶意的shim数据库分发,能够捕获Track1和Track2信用卡数据。

【参考链接】https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/pillowmint-fin7s-monkey-thief/

  1. 勒索软件CryCryptor伪装成COVID-19追踪应用传播

【概述】近期攻击者在攻击活动中将勒索软件CryCryptor伪装成官方COVID-19联系人追踪应用程序,通过两个恶意分发网站分发给位于加拿大的Android设备用户,并对设备上的文件进行加密。

【参考链接】https://www.welivesecurity.com/2020/06/24/new-ransomware-uses-covid19-tracing-guise-target-canada-eset-decryptor/

  1. Hidden Cobra组织的新恶意工具

【概述】Hidden Cobra组织在过去的十年中一直很活跃,今年5月美国政府机构发布的报告中描述Hidden Cobra组织的三个新恶意工具COPPERHEDGE、TAINTEDSCRIBE和PEBBLEDASH。

【参考链接】https://blog.reversinglabs.com/blog/hidden-cobra

  1. 利用Google Analytics服务窃取用户数据

【概述】攻击者利用Google Analytics中的信任来使用Google Analytics API绕过内容安全策略(CSP),在线商店网站使用Google Analytics服务跟踪访问者,因此,Google Analytics域在其CSP配置中列入了白名单,攻击者可以访问Google Analytics帐户中的被盗数据。

【参考链接】https://securityaffairs.co/wordpress/105086/cyber-crime/google-analytics-e-skimming.html

  1. DarkVision RAT模块化恶意软件正在被积极销售

【概述】DarkVision RAT是一个远程访问工具(RAT),采用模块化插件结构,是一种简单、易用和用户友好的工具包,具有系统控制,进程管理器,注册表编辑和文件管理器等功能。近日DarkVision RAT在网络犯罪和黑客论坛中被积极销售,还有专门的销售网站。

【参考链接】https://www.deepinstinct.com/2020/06/23/new-on-the-scene-darkvision-rat/

  1. IcedID银行木马变种使用COVID-19诱饵传播

【概述】IcedID银行木马于2017年首次出现在威胁领域,类似于其他金融木马,IcedID可发起浏览器中的攻击,以及拦截和窃取受害者的金融信息。近期IcedID银行木马新变种以COVID-19主题垃圾邮件传播,新变种可窃听受害者的网络活动,此次攻击主要针对美国用户。

【参考链接】https://securityaffairs.co/wordpress/105049/malware/icedid-banking-trojan-steganography.html

  1. Trickbot利用Cobalt Strike攻击服务器

【概述】Trickbot运营商利用服务器内部的PowerTrick和Cobalt Strike部署Anchor后门程序和RYUK勒索软件,利用许多开源脚本和工具来收集信息,并感染转移到其他系统,TrickBot模块在受感染的系统上收集大量数据,并尝试转到域控制器。

【参考链接】https://labs.sentinelone.com/inside-a-trickbot-cobaltstrike-attack-server/

  1. 利用EXIF元数据隐藏信用卡分离器

【概述】攻击者使用图像的“版权元数据”字段来加载其Web分离器,由受到破坏的在线商店秘密加载,并且利用图像文件作为伪装进行传播。此分离器将捕获输入字段的内容,如在线购物者的姓名,账单地址和信用卡详细信息等数据。

【参考链接】https://blog.malwarebytes.com/threat-analysis/2020/06/web-skimmer-hides-within-exif-metadata-exfiltrates-credit-cards-via-image-files/

Meet The Author

Leave Comment