12 月，绿盟科技威胁情报中心（NTI）发布了多个漏洞和威胁事件通告，包含Zabbix服务器SQL注入漏洞（CVE-2024-42327）通告、微软12月安全更新多个产品高危漏洞通告、Apache Struts任意文件上传漏洞S2-067(CVE-2024-53677)通告、Apache Tomcat条件竞争代码执行漏洞（CVE-2024-50379/CVE-2024-56337）通告、Adobe ColdFusion任意文件读取漏洞（CVE-2024-53961）通告等。

绿盟科技CERT监测到微软发布12月安全更新补丁，修复了72个安全问题，涉及Windows、Windows LDAP、Microsoft Office、Windows Remote Desktop Services、Microsoft SharePoint等广泛使用的产品，其中包括权限提升、远程代码执行等高危漏洞类型。

本月的威胁事件中包含，俄罗斯黑客因涉及Hive和LockBit勒索软件被捕、波兰调查上届政府滥用Pegasus间谍软件的情况、俄罗斯攻击组织Turla渗透并控制巴基斯坦攻击组织Storm-0156和隐藏在众目睽睽之下：TA397的新攻击链提供间谍RAT等事件。

以上所有漏洞情报和威胁事件情报、攻击组织情报，以及关联的IOC，均可在绿盟威胁情报中心获取，网址：https://nti.nsfocus.com/

一、 漏洞态势

2024年12月绿盟科技安全漏洞库共收录102个漏洞, 其中高危漏洞13个，微软高危漏洞6个。

* 数据来源：绿盟科技威胁情报中心，本表数据截止到2025.01.03

注：绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等；

二、 威胁事件

1. HummingBad：持续的移动链攻击

【标签】HummingBad

【时间】2024-12-27

【简介】

2016年2月4日，检测到一种新的未知移动恶意软件，该恶意软件以属于一家大型金融服务机构员工的两台客户Android设备为目标。

【参考链接】

https://blog.checkpoint.com/research/hummingbad-a-persistent-mobile-chain-attack/

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC，绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

2. 俄罗斯黑客因涉及Hive和LockBit勒索软件被捕

【标签】LockBit

【时间】2024-12-03

【简介】

俄罗斯一名涉嫌与Hive和LockBit勒索软件行动有关的黑客在美国被通缉后，已被该国执法部门逮捕。据俄罗斯媒体RIA Novosti报道，Mikhail Pavlovich Matveev被控开发了一款恶意程序，该程序旨在加密文件并要求支付赎金以换取解密密钥。俄罗斯内政部在一份声明中表示：“目前，调查人员已经收集了足够的证据，检察官签署的刑事案件已经送交加里宁格勒市中央区法院审理。”Matveev被控违反了俄罗斯联邦刑法第273条第1部分，该条款涉及创建、使用和分发可能导致“计算机信息破坏、封锁、修改或复制”的计算机程序。

【参考链接】

https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458585163&idx=3&sn=182961c64c4b209a3a685668098485de&chksm=b18c38c186fbb1d7dd24458d2fabd5b54b9cf2f7322420bff9d80b1e09f6299b45abc7e83e33&scene=58&subscene=0#rd

【防护措施】

绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

3. 波兰调查上届政府滥用Pegasus间谍软件的情况

【标签】Pegasus

【时间】2024-12-06

【简介】

波兰政府一直在调查上届政府涉嫌滥用Pegasus间谍软件的情况，并逮捕了波兰前内务安全局局长Piotr Pogonowski。英国《金融时报》最先报道了皮奥特·波格诺夫斯基被捕的消息 。波兰前内务安全局局长于周一被捕，并被带到议会作证，指控政府此前使用间谍软件监视数百人。

【参考链接】

Poland probes Pegasus spyware abuse under the PiS government

【防护措施】

绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

4. 俄罗斯攻击组织Turla渗透并控制巴基斯坦攻击组织Storm-0156

【标签】Storm-0156

【时间】2024-12-05

【简介】

2024年11月4日，微软发布安全报告，宣传俄罗斯黑客组织Turla在一起攻击事件中，攻击并控制了巴基斯坦攻击组织Storm-0156的C&C服务器。

【参考链接】

Frequent freeloader part I: Secret Blizzard compromising Storm-0156 infrastructure for espionage

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC，绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

5. APT35活动：从美国到阿联酋，针对航空航天、半导体

【标签】APT35

【时间】2024-12-05

【简介】

ThreatBook研究与响应团队揭露了APT35的复杂网络攻击活动。活动针对美国、泰国、阿联酋等多个国家的航空航天和半导体行业。APT35也称为Magic Hound或Charming Kitten，这个由伊朗支持、与伊斯兰革命卫队（IRGC）有关联的组织，自2014年以来就有着一系列高调的网络攻击历史。

【参考链接】

https://mp.weixin.qq.com/s/RX8gQ8UqXv_lTZTcskX69g

【防护措施】

绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

6. 新型恶意软件能利用LogoFAIL漏洞感染Linux系统

【标签】LogoFAIL

【时间】2024-12-04

【简介】

韩国Best of the Best（BoB）培训计划的网络安全学生利用LogoFAIL漏洞创建了新型恶意软件Bootkitty，能够攻击Linux系统设备。固件安全公司Binarly于2023年11月发现了LogoFAIL，并警告其可能被用于实际攻击。而安全公司ESET表示，Bootkitty是第一个专门针对Linux系统的恶意软件。

【参考链接】

https://www.freebuf.com/news/416709.html

【防护措施】

绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

7. FrostyGoop样本分析

【标签】FrostyGoop

【时间】2024-12-12

【简介】

11月19日，研究人员监测发现以运营技术（OT）为中心的恶意软件FrostyGoop/BUSTLEBERM破坏了关键基础设施，第一个使用Modbus TCP通信影响600多栋公寓楼供暖服务的电源的恶意软件。

【参考链接】

https://unit42.paloaltonetworks.com/frostygoop-malware-analysis/

【防护措施】

绿盟威胁情报中心关于该事件提取8条IOC，绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

8. 新的PhantomLoader恶意软件分发SSLoad：技术分析

【标签】PhantomLoader

【时间】2024-12-27

【简介】

2024年10月7日，研究人员深入研究了攻击者如何使用名为PhantomLoader的未记录加载程序来分发基于Rust的恶意软件，称为SSLoad。

【参考链接】

https://any.run/cybersecurity-blog/phantomloader-and-ssload-analysis/#first-loader-phantomloader-9103

【防护措施】

绿盟威胁情报中心关于该事件提取6条IOC，绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

9. 觉醒Likho觉醒了：APT集团的新技术

【标签】Awaken Likho

【时间】2024-12-27

【简介】

2024年10月7日，研究人员发现我们发现了一种我们以前在该Awaken Likho组织中从未见过的新植入物。

【参考链接】

Awaken Likho is awake: new techniques of an APT group

【防护措施】

绿盟威胁情报中心关于该事件提取9条IOC，绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

10. 隐藏在众目睽睽之下：TA397的新攻击链提供间谍RAT

【标签】TA397

【时间】2024-12-27

【简介】

2024年12月17日，研究人员观察到高级持续威胁（APT）TA397以土耳其国防部门组织为目标，以马达加斯加的公共基础设施项目为诱饵。TA397在此攻击链的最后阶段手动交付WmRAT和MiyaRAT恶意软件系列。这两个恶意软件系列都旨在实现情报收集和泄露。

【参考链接】

https://www.proofpoint.com/us/blog/threat-insight/hidden-plain-sight-ta397s-new-attack-chain-delivers-espionage-rats

【防护措施】

绿盟威胁情报中心关于该事件提取2条IOC，绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

11. 黑客利用MOONSHINE漏洞和DarkNimbus后门攻击

【标签】MOONSHINE

【时间】2024-12-09

【简介】

趋势科技在一篇分析报告中表示：“Earth Minotaur使用MOONSHINE将DarkNimbus后门传送到Android和Windows设备，使其成为跨平台威胁。”“MOONSHINE利用基于Chromium的浏览器和应用程序中的多个已知漏洞，要求用户定期更新软件以防止攻击。”Earth Minotaur攻击的目标分布在澳大利亚、比利时、加拿大、法国、德国、印度、意大利、日本、尼泊尔、荷兰、挪威、俄罗斯、西班牙、瑞士、土耳其和美国。

【参考链接】

https://thehackernews.com/2024/12/hackers-target-uyghurs-and-tibetans.html

【防护措施】

绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

12. Lazarus Group利用新旧恶意软件发展其感染链

【标签】Lazarus

【时间】2024-12-27

【简介】

2024年12月19日，发现Lazarus组织在一个月内向至少两名与同一核相关组织相关的员工交付了包含恶意文件的存档文件。

【参考链接】

Lazarus group evolves its infection chain with old and new malware

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC，绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

13. 一份 Egg-Cellent 简历的奇特案例

【标签】TA4557

【时间】2024-12-27

【简介】

2024年3月，一起由TA4557/FIN6组织发起的复杂网络攻击活动被曝光。

【参考链接】

The Curious Case of an Egg-Cellent Resume

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC，绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

14. 国家网络安全通报中心：重点防范境外恶意网址和恶意IP

【标签】IP

【时间】2024-12-17

【简介】

2024年10月31日，中国国家网络与信息安全信息通报中心发现一批境外恶意网址和恶意IP，有多个具有某大国政府背景的境外黑客组织，利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、网络钓鱼、勒索病毒等，以达到窃取商业秘密和知识产权、侵犯公民个人信息等目的，对中国国内联网单位和互联网用户构成重大威胁，部分活动已涉嫌刑事犯罪

【参考链接】

https://www.4hou.com/posts/42W0

【防护措施】

绿盟威胁情报中心关于该事件提取8条IOC，绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

 

15. Sath-ı Müdafaa简介

【标签】Sath-ı Müdafaa

【时间】2024-12-17

【简介】

土耳其黑客组织Sath-ı Müdafaa正在鼓励个人加入其DDoS积分平台，该平台提供积分和奖品，用于对一系列预定目标进行分布式拒绝服务（DDoS）攻击。他们的DDoS工具还包含一个用于黑客入侵黑客的后门。

【参考链接】

https://malpedia.caad.fkie.fraunhofer.de/actor/sath-%C4%B1_m%C3%BCdafaa

【防护措施】

绿盟威胁情报中心关于该事件提取1条IOC，绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。