绿盟威胁情报月报-202112

12月,绿盟科技威胁情报中心(NTI)发布了多个漏洞和威胁事件通告,其中,Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)和Windows Active Directory 域服务权限提升漏洞(CVE-2021-42287,CVE-2021-42278)影响范围相对较大。前者由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在目标服务器上执行任意代码,CVSS评分10.0。后者由于Active Directory没有对域中计算器与服务器账号名进行验证,经过身份验证的远程攻击者利用该漏洞绕过安全限制,可将域中普通用户权限提升为域管理员权限并执行任意代码,CVSS评分8.8。

另外,本次微软共修复了67个漏洞,包含7个Critical级别漏洞,60个Important 级别漏洞,其中包括6个0day漏洞。强烈建议所有用户尽快安装更新。

在本月的威胁事件中,针对云主机的攻击事件相对频繁,其中包括攻击者利用GitLab远程命令执行漏洞攻击云主机,安全研究人员发现,有攻击者正在积极利用GitLab远程命令执行漏洞(CVE-2021-22205)攻击云主机,同时植入新型后门木马Gitlab-daemon,该后门木马的攻击活动已被腾讯安全通过Cyber-Holmes引擎全程分析掌握。分析发现,攻击者已控制目标系统频繁更新后门程序,攻击者首先将后门伪装为看似随机名的.gz文件,再尝试调用gunzip进行解压后执行,借此伪装其恶意命令执行操作;以及攻击者利用CERBER勒索软件通过Confluence RCE等多个高危漏洞攻击云主机,研究人员观察到大量有效载荷试图利用海康威视的远程代码执行漏洞来探测设备状态或从受害者那里提取敏感数据。特别是一种有效载荷引起了研究人员的注意。一个基于 Mirai 的 DDoS 僵尸网络试图删除一个表现出感染行为并执行 Moobot 的下载程序。攻击者可以通过海康威视漏洞传送此有效载荷发起命令注入攻击 。

以上所有漏洞情报和威胁事件情报、攻击组织情报,以及关联的IOC,均可在绿盟威胁情报中心获取,网址:https://nti.nsfocus.com/

一、漏洞态势

2021年12月绿盟科技安全漏洞库共收录426个漏洞, 其中高危漏洞23个,微软高危漏洞12个。

* 数据来源:绿盟科技威胁情报中心,本表数据截止到2022.01.04

注:绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;

二、威胁事件

  • Donot 组织利用Google云盘分发新款恶意插件针对Windows与Android双平台发起攻击

【标签】Donot APT

【时间】2021-12-02

【简介】

近日,安全研究院发现一起Donot APT组织近期攻击活动。Donot“肚脑虫”(APT-Q-38)是疑似具有南亚背景的APT组织,其主要以周边国家的政府机构 为目标进行网络攻击活动,通常以窃取敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力。根据研究人员跟踪分析,Donot此次的攻击活动有如下特点:RTF文档中嵌入Package对象,打开后自动释放文件到%temp%目录、C2不再硬编码到文件中,而是由第三方网站托管;此次捕获多个组件,相比以前功能较为完善。

【参考链接】https://ti.nsfocus.com/security-news/IlN6A

【防护措施】

绿盟威胁情报中心关于该事件提取11条IOC,其中包含11个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  • 攻击者利用GitLab远程命令执行漏洞攻击云主机

【标签】Gitlab-daemon

【时间】2021-12-02

【简介】

安全研究人员发现,有攻击者正在积极利用GitLab远程命令执行漏洞(CVE-2021-22205)攻击云主机,同时植入新型后门木马Gitlab-daemon,该后门木马的攻击活动已被腾讯安全通过Cyber-Holmes引擎全程分析掌握。分析发现,攻击者已控制目标系统频繁更新后门程序,攻击者首先将后门伪装为看似随机名的.gz文件,再尝试调用gunzip进行解压后执行,借此伪装其恶意命令执行操作。后门执行后将自身植入*/gitlab/git-data目录下,用Gitlab-daemon文件名伪装,以欺骗运维人员。然后写入计划任务启动项,此时后门并不直接连接C2,而是先行退出,等待计划任务下一次将其拉起时,再执行更进一步的恶意功能代码。多处细节表明攻击者希望将自身伪装为gitlab系统文件,以实现对目标系统的长久控制。

【参考链接】https://ti.nsfocus.com/security-news/IlN6z

【防护措施】

绿盟威胁情报中心关于该事件提取7条IOC,其中包含1个IP,1个域名和5个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  • 攻击者利用JavaScript 恶意软件感染windows PC

【标签】RAT

【时间】2021-12-02

【简介】

研究人员发现一种新的隐蔽JavaScript加载程序RATDispenser已被证明可用于通过网络钓鱼攻击感染具有各种远程访问木马(RAT) 的设备。这个新的加载器已经与至少八个旨在窃取信息并允许攻击者控制目标设备的恶意软件家族迅速建立了部署合作伙伴关系。感染开始于网络钓鱼电子邮件,其中包含带有双扩展名“.TXT.js”的恶意JavaScript文件。Windows 默认隐藏扩展名,因此如果收件人将文件保存在他们的计算机上,它将显示为无害的文本文件。这个文本文件可以被严重混淆以绕过安全软件的检测,当你双击文件运行它时,它会被解码。当加载器运行VBScript文件%TEMP%写入文件夹中时,运行该文件,恶意代码(RAT)下载有效负载。

【参考链接】https://ti.nsfocus.com/security-news/IlN6B

【防护措施】

绿盟威胁情报中心关于该事件提取1条IOC,其中包含1条URL;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  • APT 攻击者利用 ManageEngine ADSelfService Plus 软件中的新漏洞发起攻击

【标签】APT

【时间】2021-12-09

【简介】

研究人员表示在三个月的时间里,一个坚定的 APT 攻击者发起了多次活动,导致至少 13 个组织受到损害。一些受影响的组织涉及美国的关键基础设施部门,包括国防、交通、医疗保健和能源。该攻击者的第一个活动利用了 Zoho ManageEngine ADSelfService Plus 软件中的零日漏洞。10 月下旬,该攻击者发起了最近的活动,将重点转移到 Zoho ManageEngine ServiceDesk Plus 软件中先前未公开的漏洞 ( CVE-2021-44077 )。在利用此漏洞后,攻击者上传了一个新的 dropper,它在受害网络上部署了 Godzilla webshel​​l,能够绕过 ADSelfService 和 ServiceDesk Plus 产品上的安全过滤器。

【参考链接】https://ti.nsfocus.com/security-news/IlN7L

【防护措施】

绿盟威胁情报中心关于该事件提取2条IOC,其中包含2个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  • ScarCruft 组织利用Chinotto恶意软件攻击朝鲜叛逃者和人权活动家

【标签】Chinotto

【时间】2021-12-09

【简介】

研究人员发现ScarCruft新一波针对性强的监视攻击针对朝鲜叛逃者、报道朝鲜相关新闻的记者以及与朝鲜有关的政府组织及朝鲜半岛等。该攻击者利用了三种具有相似功能的Chinotto 恶意软件:在 PowerShell 中实现的版本、Windows 可执行文件和 Android 应用程序。尽管针对不同的平台,但它们共享基于 HTTP 通信的类似命令和控制方案。因此,恶意软件操作者可以通过一组命令和控制脚本来控制整个恶意软件家族。在主机调查中研究人员表示了一个恶意的 Windows 可执行文件,该文件包含构建路径。而Chinotto 恶意软件的 Android 应用程序版本(MD5 56f3d2bcf67cf9f7b7d16ce8a5f8140a)。这个恶意 APK 根据 AndroidManifest.xml 文件请求过多的权限,为了达到监视用户的目的,这些应用程序要求用户启用各种权限。授予这些权限允许应用程序收集敏感信息,包括联系人、消息、通话记录、设备信息和录音。

【参考链接】https://ti.nsfocus.com/security-news/IlN7M

【防护措施】

绿盟威胁情报中心关于该事件提取18条IOC,其中包含18个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  • 攻击者利用EwDoor僵尸网络针对AT客户发起DDoS 攻击

【标签】EwDoor

【时间】2021-12-09

【简介】

安全研究实验室的专家发现了一种名为EwDoor的新僵尸网络, 它针对使用公开暴露于 Internet 的 EdgeMarc 企业会话边界控制器 (ESBC) 边缘设备的 AT 客户。专家注意到 EwDoor对其C2使用了备份机制,并注册了一个备份命令和控制(C2)域 (iunno.se)来分析受感染设备的连接。并且僵尸网络实施了一系列保护措施以防止安全专家的分析,例如使用TLS协议防止通信被拦截,加密敏感资源使其难以逆向工程以及将C2移至云端并由BT跟踪器发送防止被IOC系统直接提取。

【参考链接】https://ti.nsfocus.com/security-news/IlN7N

【防护措施】

绿盟威胁情报中心关于该事件提取29条IOC,其中包含2个IP,11个域名和16个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  • 攻击者利用基于Mirai的僵尸网络Moobot攻击海康威视

【标签】Moobot

【时间】2021-12-16

【简介】

研究人员观察到大量有效载荷试图利用海康威视的远程代码执行漏洞来探测设备状态或从受害者那里提取敏感数据。特别是一种有效载荷引起了研究人员的注意。一个基于 Mirai 的 DDoS 僵尸网络试图删除一个表现出感染行为并执行 Moobot 的下载程序。攻击者可以通过海康威视漏洞传送此有效载荷发起命令注入攻击 。

【参考链接】https://ti.nsfocus.com/security-news/IlN9q

【防护措施】

绿盟威胁情报中心关于该事件提取2条IOC,其中包含2个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  • 攻击者利用CERBER勒索软件通过Confluence RCE等多个高危漏洞攻击云主机

【标签】CERBER勒索软件

【时间】2021-12-16

【简介】

安全专家发现CERBER勒索软件传播者利用Atlassian Confluence远程代码执行漏洞(CVE-2021-26084)和GitLab exiftool 远程代码执行漏洞(CVE-2021-22205)攻击云上主机。前者,是一个对象图导航语言 (ONGL) 注入漏洞,允许未经身份验证的攻击者在 Confluence Server 或Data Center实例上执行任意代码,攻击者利用漏洞可完全控制服务器。后者由于Gitlab某些端点路径无需授权,攻击者可在无需认证的情况下利用图片上传功能执行任意代码,攻击者利用漏洞同样可以完全控制服务器。被勒索软件加密破坏的文件无密钥暂不能解密,安全专家建议所有受影响的用户尽快修复漏洞,避免造成数据完全损失,业务彻底崩溃。

【参考链接】https://ti.nsfocus.com/security-news/IlN9o

【防护措施】

绿盟威胁情报中心关于该事件提取4条IOC,其中包含1个IP和3个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  • 攻击者在基于Dark Mirai的MANGA活动中利用恶意软件攻击TP-Link无线路由器

【标签】恶意软件

【时间】2021-12-16

【简介】

安全实验室团队发现了一个恶意软件样本,是 MANGA 活动(也称为 Dark)的更新变体,它根据 Mirai 已发布的源代码正在野外分发样本,目标是 TP-link 无线路由器。它利用最近两周前发布的经过身份验证的 RCE 漏洞披露时间与应用补丁来破坏物联网设备之间的差距。研究人员表示与 Mirai 的正常感染程序一样,执行的 shell 脚本下载不同架构和平台的主要有效载荷二进制文件,并在受害者系统中盲目执行。此外,它还通过阻止与常见目标端口的连接来防止其他僵尸网络接管设备。然后,恶意软件等待来自其命令和控制 (C2) 服务器的命令来执行拒绝服务 (DOS) 攻击的不同变体。

【参考链接】https://ti.nsfocus.com/security-news/IlN9r

【防护措施】

绿盟威胁情报中心关于该事件提取23条IOC,其中包含23个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

  • 攻击者利用Log4j 漏洞针对 Linux 系统发起攻击

【标签】Log4j 漏洞

【时间】2021-12-23

【简介】

安全研究院捕获了 2 波利用 Log4j 漏洞形成僵尸网络的攻击,并且快速样本分析表明它们分别用于形成 Muhstik 和 Mirai 僵尸网络,均针对 Linux 设备。并表示新的 Muhstik 变体添加了一个后门模块 ldm,它能够使用安装的后门公钥添加 SSH 后门公钥。将公钥添加到~/.ssh/authorized_keys 文件后,攻击者无需密码验证即可直接登录远程服务器。考虑到 log4j2 的特殊漏洞机制,Muhstik 采取了一种生硬的方式,在知道会有漏洞机器的情况下漫无目的地传播payload,并且为了知道谁已经被感染,Muhstik 采用 TOR 网络作为其报告机制。

【参考链接】https://ti.nsfocus.com/security-news/IlNam

【防护措施】

绿盟威胁情报中心关于该事件提取2条IOC,其中包含2个域名;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author

Leave Comment