绿盟科技威胁情报周报(20200323~20200329)

一、威胁通告

  • VMware权限提升漏洞

【发布时间】2020-03-24 10:00:00 GMT

【概述】3月24日,微软发布了编号为ADV200006的安全通告,通告指出Adobe Type Manager Library在处理multi-master字体(Adobe Type 1 PostScript 格式)时存在缺陷,攻击者可以精心构造恶意文档并诱使用户使用Windows Preview pane预览,从而利用该漏洞来远程执行代码。

http://blog.nsfocus.net/type1-threat-0day-0324/

二、热点资讯

  1. APT37复盘分析报告

【概述】近年来,随着APT37的活动增多,其手段和工具特征也越来越明显,与广义上Lazarus组织攻击行为的差异也变得显著。目前,APT37已被确认为针对韩国政企与脱北人员等政治目标,使用RokRat、NavRat、KevDroid、PoorWeb等标志性木马发动攻击的高效黑客团体。绿盟科技伏影实验室复盘分析APT37威胁组织的常用攻击手段和木马工具。

http://blog.nsfocus.net/apt37-part1-0325/http://blog.nsfocus.net/apt37-part2-0325/

  1. 伏影实验室再次发现黑客利用新冠疫情实施网络钓鱼攻击

【概述】近期绿盟科技伏影实验室再次发现一起黑客利用新冠疫情实施钓鱼邮件攻击的案例,此次案例的攻击目标是一家位于中国台湾的POS解决方案提供商。黑客伪造成美国疾病预防与控制中心发送邮件,钓鱼邮件内容和附件名称也与疫情相关,通过邮件内容诱导用户打开并查看附件文档《COVID-19 – nCoV – Special Update.doc》,打开的文档没有任何内容显示,看似无害,但是实际上包含了CVE-2017-11882的漏洞利用。

https://mp.weixin.qq.com/s/DpYobO3KmVzuyhXxMani3A

  1. APT41组织利用多个漏洞发起全球入侵活动

【概述】APT41是一个与中国有关的威胁组织,至少从2012年活跃至今,主要业务包括国家赞助的网络间谍活动和出于经济动机的入侵活动。近期APT41组织试图利用Citrix NetScaler/ADC、Cisco路由器和Zoho ManageEngine Desktop Central中的漏针对全球多个行业发起入侵活动。

https://www.fireeye.com/blog/threat-research/2020/03/apt41-initiates-global-intrusion-campaign-using-multiple-exploits.html

  1. Operation Poisoned News针对香港iOS用户

【概述】最近发现的水坑攻击针对香港的iOS用户,该活动利用在多个论坛上发布链接,这些链接是各种新闻报道,将用户引导到新闻站点时,还使用隐藏的iframe加载和执行一个新的iOS恶意软件变体lightSpy,该恶意软件代码包含针对iOS 12.1和12.2中存在的漏洞的攻击。

https://blog.trendmicro.com/trendlabs-security-intelligence/operation-poisoned-news-hong-kong-users-targeted-with-mobile-malware-via-local-news-links/

  1. WildPressure瞄准中东工业相关实体

【概述】WildPressure定向攻击活动分发一个成熟的C++木马Milum,攻击活动的受害者主要来自中东地区,是一些工业部门相关的实体。Milum恶意软件使用JSON格式存储配置数据,并使用HTTP作为C2通信协议,针对不同受害者具有不同64字节密钥的RC4算法。

https://securelist.com/wildpressure-targets-industrial-in-the-middle-east/96360/

  1. TrickBot银行木马绕过2FA验证

【概述】近期发现一个新Android恶意软件应用程序TrickMo,该应用程序旨在绕过第二因素,并在需要授权交易的银行客户中强制使用强身份验证,也就是说可以拦截通过SMS或相对更安全的推送通知发送给Internet银行客户的一次性授权码,并完成欺诈性交易。TrickMo专门针对已感染TrickBot恶意软件的德国用户。

https://securityintelligence.com/posts/trickbot-pushing-a-2fa-bypass-app-to-bank-customers-in-germany/

  1. Ryuk勒索软件在COVID-19 爆发期间仍以医院为目标

【概述】在新型冠状病毒全球大爆发期间,臭名昭著的Ryuk勒索软件仍然以医疗机构作为攻击目标,目前美国已有10家医疗机构在冠状病毒爆发期间受到Ryuk勒索软件的攻击。

https://securityaffairs.co/wordpress/100548/malware/ryuk-ransomware-hospitals-covid19.html

发表评论