绿盟威胁情报周报(20200629~20200705)

一、威胁通告

Treck TCP/IP协议库“ Ripple20”漏洞

【发布时间】2020-06-30 18:00:00 GM-T

【概述】近日,以色列网络安全公司JSOF的研究人员在Treck公司开发的底层TCP/IP软件库中发现了19个0day漏洞,包括 CVE-2020-11896、CVE-2020-11897、CVE-2020-11898、CVE-2020-11899、CVE-2020-11900、CVE-2020-11901、CVE-2020-11902、CVE-2020-11903、CVE-2020-11904、 CVE-2020-11905、CVE-2020-11906、CVE-2020-11907、CVE-2020-11908、CVE-2020-11909、CVE2020-11910、CVE-2020-11911、CVE-2020-11912、CVE-2020-11913、CVE-2020-11914。这些漏洞被JSOF命名为“Ripple20”。 TreckTCP/IP是专门为嵌入式系统设计的高性能TCP/IP协议套件,这一系列漏洞都为内存 损坏问题,源于使用不同协议(包括 IPv4,ICMPv4,IPv6,IPv6OverIPv4,TCP,UDP,ARP,D HCP,DNS或以太网链路层)在网络上发送的数据包的处理错误。“Ripple20”影响广泛领域的物联网设备,涉及HP、SchneiderElectric、Cisco、RockwellAutomation、Caterpillar、Baxter等众多供应商,可能导致loT设备受到拒绝服务和远程命令执行等攻击。

【链接】

二、热点资讯

1. Microsoft Windows编解码器库远程代码执行漏洞

【概述】北京时间7月1日,微软发布临时公告称修复了2个Windows编解码器库(Microsoft Windows Codecs Library)中存在的远程代码执行漏洞(CVE-2020-1425,CVE-2020-1457)。攻击者可以通过一个特制的图像文件来触发该漏洞,从而执行代码。目前微软已经发布补丁进行了修复。

【参考链接】

2. F5 BIG-IP TMUI 远程代码执行漏洞

【概述】近日,F5官方发布公告修复了一个流量管理用户界面(TMUI)存在一个远程代码执行漏洞(CVE-2020-5902)。此漏洞允许未经身份验证的攻击者或经过身份验证的用户通过BIG-IP管理端口和/或自身IP对TMUI进行网络访问,以执行任意系统命令,创建或删除文件,禁用服务和/或执行任意操作Java代码。此漏洞可能导致完整的系统危害。

【参考链接】

3. WastedLocker勒索软件针对美国公司

【概述】攻击者通过SocGholish恶意框架在伪装成软件更新的网站上进行传播,获得受害者网络的访问权限后,使用Cobalt Strike工具和其他远程连接工具来窃取凭据,升级特权并在网络上传播部署WastedLocker勒索软件。WastedLocker勒索软件对美国公司,通过对大多数计算机和服务器进行加密来削弱IT基础架构,以要求获得数百万美元的赎金。

【参考链接】

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/wastedlocker-ransomware-us

4. PROMETHIUM组织利用StrongPity3恶意软件进行攻击

【概述】PROMETHIUM组织通过Firefox浏览器、VPNpro客户端、DriverPack驱动程序和5kPlayer媒体播放器四个新的木马化安装文件传播恶意软件StrongPity3,此次攻击活动针对哥伦比亚、印度、加拿大和越南。PROMETHIUM是一个至少从2012年开始活跃的威胁组织。

【参考链接】

https://blog.talosintelligence.com/2020/06/promethium-extends-with-strongpity3.html

5. Thanos勒索软件通过钓鱼邮件传播

【概述】Thanos勒索软件主要通过以财务信息作为诱饵的网络钓鱼电子邮件进行传播,该软件在半年内进行快速迭代,增加了许多新功能,并且使用RIPlace技术逃避安全检测。

【参考链接】

https://labs.sentinelone.com/thanos-ransomware-riplace-bootlocker-and-more-added-to-feature-set/

6. Firefox不同版本中发现mPath漏洞

【概述】近期研究人员发现Mozilla Firefox版本76.0.2 x64和Firefox Nightly版本78.0a1 x64的URL mPath漏洞,攻击者利用此漏洞需要创建一个特制的网页,并让潜在的受害者通过浏览器进行访问。URL对象导致越界读取,并使攻击者能够使用泄漏的内存来绕过ASLR和其他漏洞,并最终获得任意代码执行。

【参考链接】

https://www.binarydefense.com/threat_watch/mpath-vulnerability-discovered-in-different-firefox-versions/

7. Outlaw僵尸网络攻击国内大量企业

【概述】Outlaw僵尸网络主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。近日Outlaw僵尸网络利用物联网(IoT)设备和Linux服务器上的常见命令注入漏洞进行感染,感染成功后在Linux服务器上远程执行代码,国内大量企业用户收到影响。

【参考链接】

https://s.tencent.com//research/report/1021.html

8. Agent Tesla通过网络钓鱼邮件传播

【概述】Agent Tesla是一种可以窃取浏览器、FTP和邮件凭据等数据的间谍软件,以RTF文件作为附件的网络钓鱼电子邮件传播,用户执行附件后会通过五个连续启用宏的请求诱导用户执行生成的Powershell代码下载该恶意软件。

【参考链接】

https://www.deepinstinct.com/2020/07/02/agent-tesla-a-lesson-in-how-complexity-gets-you-under-the-radar/

9. Ursnif恶意软件假冒税务局邮件传播

【概述】攻击者通过模仿税务局的电子邮件发送给用户,并诱导用户查看邮件中附加XLS文档以安装Ursnif恶意软件。

【参考链接】

https://cert-agid.gov.it/news/finta-comunicazione-dellagenzia-delle-entrate-veicola-il-malware-ursnif/

10. MyKings僵尸网络引用Corona病毒

【概述】MyKings是一款破解SQL Server或使用EternalBlue漏洞感染计算机的僵尸网络,近期对其使用的EternalBlue模块进行了少量更改,升级了更新机制,并且使用了对Corona病毒的引用。

【参考链接】

https://news.sophos.com/en-us/2020/07/02/mykings-jumps-on-the-corona-train/

11. 新勒索软件EvilQuest针对macOS用户

【概述】新勒索软件EvilQuest旨在对macOS系统进行加密,与其他勒索软件不同的是,EvilQuest还安装了键盘记录程序、反向外壳并从受感染的主机上窃取加密货币钱包。

【参考链接】

https://securityaffairs.co/wordpress/105419/malware/macos-evilquest-ransomware.html

Spread the word. Share this post!

Meet The Author

Leave Comment