绿盟威胁情报周报(20200601~20200607)

一、威胁通告

  • WebSphere远程代码执行漏洞

【发布时间】2020-06-05 20:00:00 GMT

【概述】北京时间6月5日,IBM官方发布通告修复了 WebSphereApplicationServer(WAS)中的远程代码执行(CVE-2020-4450)漏洞,此漏洞由IIOP协议上的反序列化造成,未经身份认证的攻击者可以通过IIOP协议远程攻击WAS服务器,在目标服务端执行任意代码,获取系统权限,进而接管服务器。CVSS评分为9.8分,漏洞危害较高。

【链接】https://blog.nsfocus.net/websphere-cve-2020-4450-0605/

二、热点资讯

  1. Windows SMBv3远程代码执行漏洞防护方案

【概述】北京时间3月11日,微软发布了3月安全补丁更新,其中包含一条安全通告称其已经了解到在Microsoft Server Message Block 3.1.1(SMBv3)中存在一个远程代码执行漏洞,成功利用该漏洞的攻击者可以在目标SMB服务器或SMB客户端上执行代码。该漏洞源于SMBv3协议对于特定请求的处理方式存在错误,攻击者可以在未经身份验证的情况下利用该漏洞。若要针对SMBv3服务器,攻击者可以将特制的数据包发送到SMB服务器来触发。若要针对SMBv3客户端,攻击者需要配置好一个恶意的SMB服务器,并诱使用户连接该服务器。

【参考链接】https://blog.nsfocus.net/poc-smbv3-0603/

  1. 用友NC远程命令执行漏洞

【概述】近日,国内安全组织发布了关于用友NC远程命令执行漏洞的通告。攻击者可以通过构造特定的HTTP请求来触发反序列化漏洞,在目标服务器上远程执行任意代码。用友NC是一款企业级管理软件,在大中型企业广泛使用。实现建模、开发、继承、运行、管理一体化的IT解决方案信息化平台。

【参考链接】https://blog.nsfocus.net/yonyou-nc-0605/

  1. 匿名者黑客组织向美国警局发出声明

【概述】一段据称来自黑客组织“匿名者”的视频表示,将对乔治·弗洛伊德(George Floyd)在被捕期间遭白人警察“压颈”后死亡这一事件进行报复。当地时间上周六晚些时候,明尼阿波利斯警察局网站有遭到黑客攻击的迹象。

【参考链接】https://www.freebuf.com/news/238492.html

  1. Cycldek组织利用USBCulprit工具针对东南亚国家

【概述】近期Cycldek组织利用USBCulrpit针对东南亚通过网络钓鱼邮件进行传播,USBCulrpit恶意软件是Cycldek工具集中最能说明数据窃取和横向移动功能的示例之一,它能够扫描受害机器中的各种路径,收集具有特定扩展名的文档,复制自身并传递给USB驱动器。

【参考链接】https://securelist.com/cycldek-bridging-the-air-gap/97157/

  1. Linux挖矿木马通过Kubernetes组件入侵

【概述】Kubernetes是一个完备的分布式系统支撑平台,构建在docker之上,提供应用部署、维护、扩展机制等功能。近期发现Linux挖矿木马疑似通过低版本Kubernetes组件入侵,入侵成功后在机器内执行恶意sh脚本,进行同类木马清理,同时拉取矿机进行非法挖矿。

【参考链接】https://s.tencent.com/research/report/1003.html

  1. Mustang Panda组织使用Dll-Sideload技术加载PlugX木马

【概述】Mustang Panda组织使用Dll-Sideload技术与合法的二进制文件进行传播,通过一个非常小的DLL,加载一个加密的文件,在被解密后包含一个插件木马PlugX,该恶意软件可以远程执行多种命令,以检索计算机信息、捕获屏幕、管理服务和管理进程。

【参考链接】https://lab52.io/blog/mustang-panda-recent-activity-dll-sideloading-trojans-with-temporal-c2-servers/

  1. Higaisa组织分发简历和考试等主题的钓鱼邮件

【概述】Higaisa是一个与朝鲜半岛有关的组织,其目标包括政府官员和人权组织,以及与朝鲜有关的其他组织机构。近期,攻击者使用伪装成简历和国际英语语言测试系统考试结果的恶意LNK文件,与存档文件捆绑在一起,通过鱼叉式网络钓鱼邮件进行分发。

【参考链接】https://blog.malwarebytes.com/threat-analysis/2020/06/higaisa/

  1. Tycoon勒索软件针对教育和软件行业

【概述】Tycoon是针对Windows系统和Linux系统的多平台勒索软件,由Java语言写成,攻击者使用一种称为“ 图像文件执行选项”注入的技术在受害者的机器上实现持久性,并且使用非对称RSA算法对安全生成的AES密钥进行加密。该恶意软件针对教育和软件行业。

【参考链接】https://blogs.blackberry.com/en/2020/06/threat-spotlight-tycoon-ransomware-targets-education-and-software-sectors

  1. Metamorfo银行木马劫持受信任的应用程序以运行恶意软件

【概述】Metamorfo是一个银行木马软件,主要针对巴西通过垃圾邮件附件中装有宏的Office文件进行分发,其主要功能是窃取用户的银行信息和其他个人数据并将其扩散到C2服务器。Metamorfo当前使用一种称为DLL劫持的技术来隐藏在系统中,并增加了在目标计算机上的权限。

【参考链接】https://securityboulevard.com/2020/06/banking-trojan-metamorfo-hijacks-trusted-apps-to-run-malware/

Spread the word. Share this post!

Meet The Author

Leave Comment