10月,绿盟科技威胁情报中心(NTI)发布了多个漏洞和威胁事件通告,其中,Windows Update Assistant 权限提升0day漏洞和GitLab 命令执行漏洞(CVE-2021-22205)影响范围相对较大。前者由于Windows Update Assistant 中存在特定缺陷,具有低权限身份的本地攻击者可通过创建目录连接,使用Windows Update Assistant来删除文件,成功利用此漏洞的攻击者可在目标系统上提升为管理员权限并执行任意代码;后者攻击者利用受害者在GitLab中的ExifTool没有对传入的图像文件的扩展名进行正确处理,攻击者通过上传特制的恶意图片,可以在目标服务器上执行任意命令。CVSS评分为9.9。
另外,本次微软共修复了81个漏洞,包含3个Critical级别漏洞,70个Important 级别漏洞,其中包含4个0day漏洞。强烈建议所有用户尽快安装更新。
在本月的威胁事件中,针对相关国家相关组织的攻击事件比较频繁。其中包括BlackTech组织利用Gh0stTimes恶意软件对日本组织进行攻击,研究人员发现,一个攻击组织BlackTech一直在对日本组织进行攻击:攻击者利用Gh0stTimes 使用其自定义协议与C2服务器通信,在开始与C2服务器通信时,Gh0stTimes 发送身份验证ID和数据以生成用于后续通信的加密密钥,C2服务器检查认证ID,只接受特定ID的通信;以及攻击者利用攻击工具集对东南亚一系列组织发起攻击:攻击者使用以前未记录的工具集进行的间谍活动针对东南亚的一系列组织,确定的目标包括国防、医疗保健以及信息和通信技术 (ICT) 部门的组织,攻击者使用的工具集包括加载器、模块化后门、键盘记录器和旨在滥用云存储服务 Dropbox 的渗漏工具。
以上所有漏洞情报和威胁事件情报、攻击组织情报,以及关联的IOC,均可在绿盟威胁情报中心获取,网址:https://nti.nsfocus.com/
一、漏洞态势
2021年10月绿盟科技安全漏洞库共收录521个漏洞, 其中高危漏洞24个,微软高危漏洞11个。
* 数据来源:绿盟科技威胁情报中心,本表数据截止到2021.11.01
注:绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;
二、威胁事件
- Mirai_ptea_Rimasuta变种利用新锐捷路由器0day传播
【标签】Mirai_ptea_Rimasuta变种
【时间】2021-09-29
【简介】
Mirai_ptea_Rimasuta变种,这是一种通过 KGUARD DVR 中未公开的漏洞传播的僵尸网络。起初认为这是一个短期存在的僵尸网络,很快就会消失,最近观察到它正在利用锐捷 NBR700系列路由器中的 0day 漏洞进行传播。Mirai_ptea_Rimasuta 内置机制来检查运行环境是否是沙箱,它还加密网络流量以应对网络级别检测。
【参考链接】https://ti.nsfocus.com/security-news/IlMUT
【防护措施】
绿盟威胁情报中心关于该事件提取12条IOC,其中包含6个域名和6个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 攻击者DarkHalo利用Tomiris攻击服务器
【标签】Tomiris
【时间】2021-09-29
【简介】
Tomiris 是一个用 Go 编写的后门,其作用是不断查询其 C2 服务器以获取可执行文件,以便在受害系统上下载和执行。在执行任何操作之前,它会休眠至少 9 分钟,以试图击败基于沙箱的分析系统。它通过创建和运行包含以下命令的批处理文件来建立计划任务的持久性。C2 服务器地址没有直接嵌入 Tomiris 内部:相反,它连接到信号服务器,该服务器提供后门应连接到的 URL 和端口。然后 Tomiris 向该 URL 发送 GET 请求,直到 C2 服务器使用JSON 对象响应,这个对象描述了一个可执行文件,它被放置在受害机器上并使用提供的参数运行。此功能以及 Tomiris 除了下载更多工具之外没有其他功能的事实表明此工具集还有其他部分,研究人员还发现了一个 Tomiris 变体(内部命名为“SBZ”),它充当文件窃取者,并将任何与硬编码扩展名集(.doc、.docx、.pdf、.rar 等)匹配的最新文件上传到C2。
【参考链接】
【防护措施】
绿盟威胁情报中心关于该事件提取13条IOC,其中包含9个样本、1个域名和3个IP;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- BlackTech组织利用 Gh0stTimes恶意软件对日本组织进行攻击
【标签】Gh0stTimes恶意软件
【时间】2021-10-04
【简介】
近日,研究人员发现,一个攻击组织BlackTech一直在对日本组织进行攻击。攻击者利用Gh0stTimes 使用其自定义协议与 C2 服务器通信,在开始与 C2 服务器通信时,Gh0stTimes 发送身份验证 ID 和数据以生成用于后续通信的加密密钥。C2服务器检查认证ID,只接受特定ID的通信。
【参考链接】https://ti.nsfocus.com/security-news/IlMVn
【防护措施】
绿盟威胁情报中心关于该事件提取15条IOC,其中包含4个IP,3个域名和8个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 攻击者冒充SafeMoon官方用户窃取用户信息
【标签】SafeMoon官方用户
【时间】2021-10-06
【简介】
研究人员发现了一项活动,攻击者冒充 SafeMoon官方用户,并使用虚假网站更新将 Discord 用户引诱到分发知名远程访问工具 (RAT) 的网站。诈骗者向 Discord 上的许多用户发送一条虚假链接,当用户点击虚假链接的url后,会被引诱到一个网站进行登录,该网站设计为看起来像是 SafeMoon 的旧版本。攻击者随之会窃取到用户的登录凭据、记录击键、劫持网络摄像头等信息。
【参考链接】https://ti.nsfocus.com/security-news/IlMVm
【防护措施】
绿盟威胁情报中心关于该事件提取1条IOC,其中包含1个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 攻击者利用Rmgr木马攻击Linux终端
【标签】Rmgr木马
【时间】2021-10-13
【简介】
研究人员捕获到一个后门木马样本,将其命名为Rmgr木马。攻击者利用木马病毒连接恶意域名,隐藏本身的进程,并对终端植入后门,用于后续进行其他入侵行为。木马的母体文件只有 rmgr.ko 这一个文件,通过 insmod 命令装载到内核模块后开启运作,逐步释放木马的其他组件部分。木马本身作为一个内核模块,具有ring0的权限,可以从内核层面实现隐藏进程、文件、端口等操作,相较于ring3具有更强的隐藏能力。
【参考链接】https://ti.nsfocus.com/security-news/IlMWB
【防护措施】
绿盟威胁情报中心关于该事件提取4条IOC,其中包含4个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 攻击者利用恶意软件攻击 Exchange 服务器
【标签】GhostEmperor集群
【时间】2021-10-15
【简介】
在调查最近针对 Exchange 服务器的攻击上升时,研究人员发现在几个不同的受感染网络中出现了GhostEmperor集群。该集群因其使用了我们称为 Demodex 的以前未知的 Windows 内核模式 rootkit 以及旨在提供对受攻击服务器的远程控制的复杂多阶段恶意软件框架脱颖而出。同时发现了多个触发感染链的攻击媒介,导致在内存中执行恶意软件。并注意到,大多数 GhostEmperor 感染都部署在面向公众的服务器上,因为许多恶意构件是由“httpd.exe”Apache 服务器进程、“w3wp.exe”IIS Windows 服务器进程或“oc4j”安装的。 .jar\\\’ Oracle 服务器进程。这意味着攻击者可能会滥用在这些系统上运行的 Web 应用程序中的漏洞,从而允许他们删除和执行他们的文件。
【参考链接】https://ti.nsfocus.com/security-news/IlMVv
【防护措施】
绿盟威胁情报中心关于该事件提取20条IOC,其中包含5个IP,7个域名和8个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 攻击者利用linux挖矿木马对中国某知名公司云服务商进行攻击
【标签】linux挖矿木马家族
【时间】2021-10-20
【简介】
本周,知名安全厂商趋势科技披露了一个针对中国某知名公有云服务商进行攻击的linux挖矿木马家族,研究人员称,该挖矿木马仅针对云环境,木马会删除其他竞品挖矿木马,并同时删除其他入侵者创建的用户。攻击者会利用多个高危漏洞和弱口令爆破攻击入侵,其中包括:SSH 弱口令爆破、 Oracle WebLogic Server 漏洞 (CVE-2020-14882)和Redis 未授权访问漏洞或弱口令爆破等,攻击成功后会在失陷主机添加SSH密钥留置后门方便登录,同时会添加具备root权限的管理员帐户以完全控制失陷系统。为避免被检测到,攻击者通过安装Tor代理服务,加密相关网络流量以实现匿名化。
【参考链接】https://ti.nsfocus.com/security-news/IlMXK
【防护措施】
绿盟威胁情报中心关于该事件提取1条IOC,其中包含1个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 攻击者利用yanluowang勒索软件针对目标用户进行分布式拒绝服务攻击
【标签】Yanluowang 勒索软件
【时间】2021-10-20
【简介】
研究者首先在受害组织的网络上发现了 AdFind(一种合法的命令行 Active Directory 查询工具)的可疑使用。该工具经常被勒索软件攻击者用作侦察工具,并为攻击者提供他们通过 Active Directory 进行横向移动所需的资源。作为前体工具它首先会创建一个 .txt 文件,使用 Windows Management Instrumentation (WMI) ,并获取在 .txt 文件中列出的远程计算机上运行的进程列表,最后将所有进程和远程机器名称记录到 processes.txt。这些准备工作完成后,攻击者将在目标计算机上部署 Yanluowang 勒索软件实施侵染。
【参考链接】https://ti.nsfocus.com/security-news/IlMXJ
【防护措施】
绿盟威胁情报中心关于该事件提取3条IOC,其中包含3个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 攻击者利用大量RAT攻击阿富汗和印度
【标签】RAT
【时间】2021-10-29
【简介】
研究人员最近发现攻击者使用政治和政府为主题的恶意域来针对印度和阿富汗的实体。这些攻击使用 dcRAT 和 QuasarRAT for Windows,通过利用CVE-2017-11882(Microsoft Office 中的内存损坏漏洞)和 AndroidRAT 的恶意文档来攻击移动设备。攻击者还在攻击的初始侦察阶段使用自定义文件枚举器和感染器。它的感染链由恶意 RTF 文档和向受害者分发恶意软件的 PowerShell 脚本组成,与此同时研究人员还观察到使用基于 C# 的下载程序二进制文件来部署恶意软件,同时向受害者显示诱饵图像以使其看起来合法,最后实现对受害者端点的完全控制——从初步侦察能力到任意命令执行和数据泄露。
【参考链接】https://ti.nsfocus.com/security-news/IlMZf
【防护措施】
绿盟威胁情报中心关于该事件提取496条IOC,其中其中包含450个样本、10个域名、34个URL和2个IP;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
- 攻击者利用攻击工具集对东南亚一系列组织发起攻击
【标签】加载器,模块化后门,键盘记录器
【时间】2021-10-29
【简介】
研究人员发现攻击者使用以前未记录的工具集进行的间谍活动针对东南亚的一系列组织,确定的目标包括国防、医疗保健以及信息和通信技术 (ICT) 部门的组织。该活动似乎已于 2020 年 9 月开始,并至少持续到 2021 年 5 月。攻击者使用的工具集包括加载器、模块化后门、键盘记录器和旨在滥用云存储服务 Dropbox 的渗漏工具。最早迹象是一个加载器,它从 .dat 文件解密和加载负载。.dat 文件至少有两个不同的文件名:sdc-integrity.dat 和 scs-integrity.dat。加载程序还从解密的有效负载中调用 DumpAnalyze 导出。有效载荷尚未确定,但几乎可以肯定是模块化后门。
【参考链接】https://ti.nsfocus.com/security-news/IlMZe
【防护措施】
绿盟威胁情报中心关于该事件提取8条IOC,其中包含8个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。