绿盟威胁周报(20200727~20200802)

一、威胁通告

  • 攻击者使用新漏洞感染TVT DVR设备

【发布时间】2020-07-28 09:00:00 GMT

【概述】

近期,研究人员在排查绿盟威胁捕获系统相关日志的过程中发现,攻击者开始使用新的漏洞(已在github上公开,并无CVE编号)感染TVT DVR设备,该漏洞具有较复杂的攻击流程,对捕获系统交互要求极高;恶意载荷经过base64编码,很容易被安全团队遗漏;使用nc命令建立一个反向shell的攻击行为也非常少见。

【链接】

https://nti.nsfocus.com/threatWarning

二、热点资讯

  1. WebSphere Application Server高危远程代码执行漏洞

【概述】

北京时间2020年6月5日,IBM官方发布通告修复了WebSphere Application Server(WAS)中的一个高危远程代码执行漏洞,漏洞描述为IIOP协议上的反序列化漏洞,分配编号CVE-2020-4450,漏洞评分为9.8分,漏洞危害较高,影响面较大。

【参考链接】

  1. Cisco SD-WAN高危漏洞

【概述】

近日,思科(Cisco)官方发布通告称修复了Cisco SD-WAN vManager Software(CVE-2020-3374)和SD-WAN Solution Software(CVE-2020-3375)的2个高危漏洞。Cisco SD-WAN是一种安全的云规模架构,具有开放性,可编程性和可扩展性。 通过Cisco vManage控制台,您可以快速建立SD-WAN覆盖结构以连接数据中心,分支机构,园区和主机托管设施,以提高网络速度,安全性和效率。

【参考链接】

  1. Emotet银行木马

【概述】

Emotet具有用于进行银行欺诈的模块,主要针对欧洲、美洲等国家的银行进行攻击,多年来,该恶意软件被全球安全厂商归类为银行木马。近期绿盟格物实验室跟踪到Emotet银行木马的新样本,该木马以其模块化架构和持久性技术出名,主要通过钓鱼邮件的方法传播。

【参考链接】

https://nti.nsfocus.com/

  1. North Star运动针对航空航天和国防行业

【概述】

North Star运动是针对航空航天和国防行业的恶意网络活动,以国防承包商的职位发布作为诱饵,利用鱼叉式网络钓鱼邮件进行针对性攻击,旨在传播恶意软件,收集有关军事和国防技术的关键情报。

【参考链接】

  1. Lazarus组织使用VHD勒索软件的恶意活动

【概述】

近期Lazarus组织使用VHD勒索软件进行恶意活动,该勒索软件通过MATA框架进行部署。攻击者利用存在漏洞的VPN网络进行入侵,获取管理员权限,并部署VHD勒索软件,该勒索软件可获取所有连接的磁盘以加密文件。Lazarus Group(又名HIDDEN COBRA、Guardians of Peace、ZINC和NICKEL ACADEMY)是一个威胁组织,归属于朝鲜政府,该组织至少从2009年以来一直活跃。

【参考链接】

  1. Ensiko有勒索软件功能的Webshell

【概述】

Ensiko是具有勒索软件功能的PHP Web Shell,其目标是安装了PHP的任何平台,该恶意软件可以远程控制系统并接受shell命令以在受感染机器上执行恶意活动,通过PHP反向shell将结果发送回攻击者,它能够扫描服务器上是否存在其他Web外壳,破坏网站,发送大量电子邮件,下载远程文件,披露有关受影响服务器的信息,针对文件传输协议(FTP),cPanel和Telnet的暴力攻击,覆盖文件具有指定的扩展名等。

【参考链接】

https://blog.trendmicro.com/trendlabs-security-intelligence/ensiko-a-webshell-with-ransomware-capabilities/

  1. Blue Mockingbird组织利用印度服务器进行挖矿活动

【概述】

Blue Mockingbird组织近期在面向公众的服务器上利用漏洞来运行多组件恶意软件,其中有攻击者利用Progress Telerik UI CVE-2019-18935实现初始访问,执行PowerShell的有效负载,从而提供加密货币恶意软件,影响系统性能、损害业务运营,还可以进行数据盗窃、勒索软件、银行木马攻击等活动,印度数百万服务器受到此次攻击活动的影响。

【参考链接】

https://www.seqrite.com/blog/blue-mockingbird-threat-group-targets-servers-in-india-for-cryptomining/

  1. Android间谍软件针对坦桑尼亚超级联赛

【概述】

近期发现新的Android间谍软件,攻击者利用该间谍软件伪装成Google Play中两个最著名足球俱乐部Simba SC和Yanga SC的官方Android应用程序误导用户下载使用,该间谍软件具有阅读短信、获取联系人、录制音频、通话功能、访问实时位置 、读/写外部存储 、窃取照片、存取相机等功能。

【参考链接】

https://www.zscaler.com/blogs/research/android-spyware-targeting-tanzania-premier-league

  1. RedDelta组织针对梵蒂冈和天主教机构

【概述】

RedDelta是一个针对与中国战略利益相关实体的活跃威胁组织,该组织以宗教团体为明确目标,利用以梵蒂冈和亚洲天主教新闻联盟有关为主题的网络钓鱼诱饵,使用PlugX和Cobalt Strike等知名工具获取情报。

【参考链接】

https://go.recordedfuture.com/hubfs/reports/cta-2020-0728.pdf

  1. H2Miner僵尸网络利用漏洞入侵Linux系统

【概述】

H2Miner是一个Linux下的大型挖矿僵尸网络,通过多个高危漏洞入侵Linux系统,并利用漏洞在企业内网或云服务器中横向扩散,并且下载恶意脚本及恶意程序进行挖矿牟利,同时具有卸载云服务器安全软件、删除云服务器镜像的能力。

【参考链接】

https://s.tencent.com//research/report/1062.html

  1. GuLoader通过恶意垃圾邮件活动分发

【概述】

GuLoader是威胁参与者用来大规模分发恶意软件的下载程序,利用带有ISO文件类型附件的垃圾邮件分发,附件包含用Visual Basic编写的GuLoader可执行文件,通过驱动器打开并执行。

【参考链接】

  1. 利用WordPress插件漏洞进行网络攻击

【概述】

WordPress是用于构建和托管网站的最流行的开源软件,攻击者针对WordPress插件中的多个漏洞,如WooCommerce插件、Yoast SEO插件和All in One SEO Pack插件进行网络钓鱼和欺诈活动。

【参考链接】

https://www.zscaler.com/blogs/research/cybercriminals-targeting-multiple-vulnerabilities-wordpress-plugins

  1. Ngrok挖矿僵尸网络针对Docker服务器

【概述】

Ngrok僵尸网络利用Docker API端口进行攻击,攻击者滥用Docker配置功能以逃避标准容器限制并从主机执行各种恶意负载,还部署了网络扫描仪以查找其他潜在的易受攻击目标。

【参考链接】

https://www.intezer.com/container-security/watch-your-containers-doki-infecting-docker-servers-in-the-cloud/

Spread the word. Share this post!

Meet The Author

Leave Comment