绿盟威胁情报周报(20200810~20200816)

一、威胁通告

  •  微软2020年8月安全更新多个产品高危漏洞通告

【发布时间】2020-08-13 10:30:00 GMT

【概述】

北京时间2020年8月12日,微软发布8月安全更新补丁,修复了120个安全问题,涉及Micros oft Windows、InternetExplorer、MicrosoftSQL Server、MicrosoftEdge、ChakraCore、.Net框架等广泛使用的产品,其中包括远程代码执行和权限提升等高危漏洞类型。

【链接】

https://nti.nsfocus.com/threatWarning

【发布时间】2020-08-14 22:00:00 GMT

【概述】

2020年8月 13 日,Struts 官方发布安全通告公布了2个安全漏洞:S2-059(CVE-2019-0230)是一 个潜在的远程代码执行漏洞,S2-060(CVE-2019-0233)是一个拒绝服务漏洞。S2-059(CVE-20 19-0230)源于ApacheStruts框架在被强制使用时,会对某些标签的属性进行二次求值,这可能导致远程代码执行,当在Struts标签属性中强制使用OGNL表达式并可被外部输入修改时, 攻击者可构造恶意的OGNL表达式触发漏洞。S2-060(CVE-2019-0233)源于在上传文件时,攻击者可以通过构造特别的请求造成访问权限的错误,从而导致后续操作失败并报错,造成拒绝服务攻击。

【链接】

https://nti.nsfocus.com/threatWarning

二、热点资讯

  1. Adobe 2020年8月安全更新

【概述】

当地时间2020年8月11日,Adobe官方发布了8月安全更新,主要修复了Adobe Acrobat and Reader和Adobe Lightroom中的多个安全问题。

【参考链接】

  1. Struts2 S2-059,S2-060漏洞

【概述】

北京时间2020年8月13日,Struts官方发布新的安全通告,公布了2个安全漏洞:S2-059(CVE-2019-0230)是一个潜在的远程代码执行漏洞,S2-060(CVE-2019-0233)是一个拒绝服务漏洞。

【参考链接】

  1. DARKHOTEL之中间组件篇

【概述】

Darkhotel组织攻击链中使用的注入和中间下载组件,目的是为了得到下一阶段程序。这类组件类型从可执行文件到脚本不等,通常包含大量环境检测,以对抗调试环境和杀软。Darkhotel还使用专门的升级工具,用于升级攻击链末端的RAT和窃密组件,这与传统RAT自身集成更新功能有所不同。此外,使用感染类和传播类工具亦是Darkhotel的一大特色,这直接延升了该组织的攻击范围。

【参考链接】

  1. 20GB英特尔内部文件泄露

【概述】

2020年8月7日,瑞典籍工程师Till Kottmann在推特上发布了英特尔内部文件泄露的相关信息并将该起事件命名为秘密湖(exconfidential Lake),目前该推特账号已被冻结。该工程师声称其于前一日收到了一封黑客的匿名邮件,并获取到这份泄密文件。据称总泄露文件大小约为90GB,目前网络上流传的资料为第一部分(Intel exconfidential Lake drop 1)16.9GB和第二部分(Intel exconfidential Lake drop 1.5)412MB,剩余文件有待更新。

【参考链接】

  1. PowerFall运动使用Internet Explorer漏洞和Windows漏洞针对韩国

【概述】

Operation PowerFall战役中攻击者使用两个0day漏洞针对韩国进行攻击,这两个漏洞分别:Internet Explorer的远程代码执行漏洞(CVE-2020-1380),该漏洞在JavaScript引擎中攻击者能够远程执行任意代码;Windows特权提升漏洞(CVE-2020-0986),该漏洞在操作系统服务中被检测到,攻击者可以提升特权并执行未经授权的操作。此次攻击活动以Windows10的最新版本为目标。 

【参考链接】

https://securelist.com/ie-and-windows-zero-day-operation-powerfall/97976/

  1. 勒索软件Dharma针对中小企业的攻击活动

【概述】

勒索软件Dharma于2016年首次被发现,具有多个变种,其变种已成为勒索软件即服务RaaS运营的基础,该勒索软件提供商提供技术专业知识和支持,操作支持勒索软件攻击的后端系统,网络犯罪分子为RaaS的使用付费,并使用标准工具包自行进行针对性的攻击。RDP攻击是约85%Dharma攻击成功的起因。近期攻击者利用Dharma勒索软件针对中小企业发起攻击活动。

【参考链接】

https://news.sophos.com/en-us/2020/08/12/color-by-numbers-inside-a-dharma-ransomware-as-a-service-attack/

  1. 新间谍组织RedCurl以窃取信息为目的

【概述】

近期发现一个新的讲俄语的间谍组织RedCurl,目标是全球范围窃取公司商业机密和员工个人信息,已发现其针对14个目标的攻击活动,最早可追溯到2018年,受害人在各个国家和行业中各不相同,包括来自俄罗斯、乌克兰、加拿大、德国、挪威和英国等国家的建筑公司、零售商、旅行社、保险公司、银行、法律和咨询公司。RedCurl组织在攻击活动中并未使用复杂的工具和技术,而是严重依赖于鱼叉式网络钓鱼进行初始访问。

【参考链接】

https://www.group-ib.com/resources/threat-research/red-curl.html

  1. Operation DreamJob- Lazarus组织针对以色列国防政府的行动

【概述】

Operation DreamJob运动在2020年6月到8月期间一直活跃,目前已成功攻击以色列乃至全球数十家公司和组织,主要目标是国防部、政府机构以及特定企业员工,目标系统的感染和渗透通过社会工程学进行,其中包括侦察、创建虚拟的LinkedIn个人资料、向目标的个人地址发送电子邮件以及直接与目标进行WhatsApp对话在电话,随后收集受害企业或组织相关活动和财务状况的情报。Lazarus Group(又名HIDDEN COBRA、Guardians of Peace、ZINC和NICKEL ACADEMY)是一个威胁组织,归属于朝鲜政府,该组织至少从2009年以来一直活跃。

【参考链接】

https://www.clearskysec.com/operation-dream-job/

  1. 银行木马Mekotio针对拉丁美洲银行和金融机构

【概述】

Mekotio是一个至少从2015年开始活跃的银行木马,主要针对巴西、智利、墨西哥、西班牙、秘鲁和葡萄牙,该木马家族的最新变种中最显著的功能是使用SQL数据库作为C&C服务器。近期Mekotio木马在攻击活动中使用最新功能针对拉丁美洲银行和其他金融机构发起攻击活动,通过使用运行键或在启动文件夹中创建LNK文件来确保持久性,向受害者显示伪造的弹出窗口进行攻击,来诱使他们泄露敏感信息,包括防火墙配置、是否具有管理特权、安装Windows操作系统的版本、已安装反恶意软件解决方案列表等。

【参考链接】

https://www.welivesecurity.com/2020/08/13/mekotio-these-arent-the-security-updates-youre-looking-for/

  1. Bisonal后门针对东欧的金融和军事组织

【概述】

CactusPete,也被称为Karma Panda和Tonto Team,是一个至少从2013年活跃至今的威胁组织,长期目标针对亚洲和东欧的军事、外交和基础设施。近期CactusPete组织利用Bisonal后门新变种瞄准东欧的金融和军事部门,该组织通过带有恶意附件的鱼叉式网络钓鱼邮件的方式来传递恶意软件Bisonal,该恶意软件以获取受害者的敏感数据的访问权限为目的。

【参考链接】

https://securelist.com/cactuspete-apt-groups-updated-bisonal-backdoor/97962/
  1. 基于脚本的恶意软件针对Windows操作系统用户

【概述】

近期研究人员通过Internet Explorer浏览器漏洞检测到复杂基于脚本的恶意软件,这些恶意软件针对Windows操作系统用户,恶意脚本利用了CVE-2019-0752漏洞,其中一个JScript远程访问木马可以确保在目标系统上的持久性,然后连接到远程服务器,攻击者可以在目标计算上执行任意命令,已进行完全控制,第二个AutoIT下载器使用网络连接和脚本功能来下载和执行恶意软件。

【参考链接】

https://unit42.paloaltonetworks.com/script-based-malware/

  1. 利用COVID-19为诱饵的钓鱼攻击活动依然活跃

【概述】

近期利用新型冠状病毒COVID-19主题作为诱饵的钓鱼攻击活动依然活跃,其中有攻击者通过使用主题为”Covid-19基金救济奖”,或者滥用联合国的标志来诱导受害者;有的攻击活动以比特币窃取为目的,通过将受害者引导至钓鱼页面以窃取比特币钱包以及账户凭据;还有发现以”由于新型冠状病毒导致延迟付款”为主题,诱使受害者打开附件,然后恶意文件将解压缩并从Google云盘下载有效负载NetWire。

【参考链接】

https://www.fortinet.com/blog/threat-research/latest-covid-19-variants-from-the-ridiculous-to-the-malicious

Spread the word. Share this post!

Meet The Author

Leave Comment