绿盟威胁情报周报(20200817~20200823)

一、威胁通告

  • XXX终端检测平台(EDR)远程命令执行漏洞处置手册 

【发布时间】2020-08-19 14:00:00 GMT

【概述】

2020 年 8 月 18 日,国家信息安全漏洞共享平台(CNVD)收录了XXX终端检测响应平台(EDR)远程命令执行漏洞(CNVD-2020-46552)。未经身份验证的攻击者利用该漏洞,可向目标服务器发送恶意构造的 HTTP 请求,从而获得目标服务器的权限,实现远程执行系统命令。

【链接】

https://www.cnvd.org.cn/webinfo/show/5677

二、热点资讯

  1. Deepfake网络钓鱼

【概述】

Deepfake是描述人工智能篡改视频和音频记录的结果。Deepfake网络钓鱼,是针对特定人员的,其成功率甚至高于一般钓鱼电子邮件。最近有家诈骗者利用Deepfake网络钓鱼,制作了带某公司首席执行官声音的录音,因此得到了243,000美元。目前,Deepfake检测软件可以为目标明确的人员(例如政客)量身定制特定的检测模型。但是,对于不寻常的请求,即使是来自其雇主或认识的人的请求,人们也应保持谨慎。

【参考链接】

https://lifars.com/2020/08/deepfake-phishing/#utm_source=rss&utm_medium=rss&utm_campaign=deepfake-phishing

  1. Pagodo-自动化Google黑客数据库抓取和搜索

【概述】

Pagodo的目标是开发一个被动的Google dork脚本,以收集Internet上潜在的易受攻击的网页和应用程序。有2个部分。第一个是ghdb_scraper.py,它检索Google Dorks,其是Google搜索的集合,可用于查找潜在的易受攻击的盒子或其他由Google的搜索机器人获取的信息;第二个部分是pagodo.py,它权衡ghdb_scraper.py收集的信息。

【参考链接】

https://www.kitploit.com/2020/08/pagodo-automate-google-hacking-database.html

  1. 为WannaRen勒索软件发布的解密工具

【概述】

Bitdefender安全研究人员发布了一种解密工具,使WannaRen勒索软件的受害者能够免费恢复其文件。 8月19日,Bitdefender宣布已公开提供WannaRen解密实用程序供下载。

【参考链接】

https://www.tripwire.com/state-of-security/security-data-protection/decryption-tool-released-for-wannaren-ransomware/

  1. 乌克兰警方逮捕与勒索、洗钱有关的加密团伙

【概述】

加密货币交易所Binance协助乌克兰警方调查,逮捕了三名涉嫌为勒索软件黑帮洗钱的组织成员。该组织自2018年以来一直在乌克兰的波尔塔瓦地区,为勒索软件团体洗钱并自行传播勒索软件,已经洗劫了与勒索软件相关的价值超过4,200万美元的比特币。这是防弹交换项目的工作引起的第一次逮捕,其目的是识别加密货币领域内的恶意活动中心,追踪运营商,并与当局合作将其关闭。

【参考链接】

  1. 亚马逊Alexa被爆多个漏洞

【概述】

Checkpoint研究人员分析发现部分Amazon/Alexa 子域名存在CORS(跨域资源共享)误配置和跨站脚本漏洞。攻击者利用XSS可以获取CSRF token,并以受害者名义执行动作。

【参考链接】

http://mp.weixin.qq.com/s?__biz=MzI0MDY1MDU4MQ==&mid=2247506654&idx=2&sn=77436824683233849d67e4fd1c6c8e49&chksm=e9150ae4de6283f23e30e385f0dfde48d0248b9d55eab16b909646d3cfc74419522dc610f020#rd

  1. 美国葡萄酒巨头遭受网络攻击,被盗窃1TB数据

【概述】

REvil勒索软件运营商周五宣布,他们已经破坏了布朗·福尔曼的计算机网络。布朗·福尔曼是美国葡萄酒业务最大的公司之一,年销售收入20多亿美金。入侵之后,攻击者声称他们窃取了1TB数据,其中包括公司协议、合同、财务报表和内部通信的机密信息。在其泄漏站点上的帖子中,REvil发布了多个屏幕快照,图片显示的文件可追溯到2009年。

【参考链接】

https://www.anquanke.com/post/id/214568

  1. AWS密码劫持蠕虫在云端蔓延

【概述】

来自TeamTNT组织的一种加密采矿蠕虫正在Amazon Web Services(AWS)云中传播并收集凭据。一旦收集到登录信息,该恶意软件就会登录并部署XMRig挖掘工具来挖掘Monero加密货币。根据Cado Security的研究人员所说,这是在野外观察到的第一个威胁,专门针对AWS以进行密码劫持。

【参考链接】

https://threatpost.com/aws-cryptojacking-worm-cloud/158427

  1. 在Windows之后,Lucifer恶意软件又重新出现在Linux设备上

【概述】

Lucifer恶意软件能够进行DDoS攻击并从目标设备中挖掘Monero加密货币。除了Windows版本中的功能(如密码劫持)外,新的Linux版本还具有使它能够使用名为MIMIKATZ的工具来窃取用户凭据的功能。此外,还可以发起基于TCP,UCP,ICMP和HTTP的DDoS攻击,并通过欺骗攻击数据包的IP地址来隐藏其来源。

【参考链接】

  1. 美国Cert对朝鲜盲眼恶意软件发出警告

【概述】

美国网络安全与基础设施安全局(CISA)今天发布了一份恶意软件分析报告,揭示了由朝鲜政府支持的黑客的网络犯罪活动。该报告指出,与联邦调查局和国土安全部一起,确定了由朝鲜政府资助的黑客组织(美国政府称为“隐藏眼镜蛇”)部署的远程访问木马并以Lazarus Group或APT38而臭名昭著。

【参考链接】

https://www.hackread.com/us-cert-warns-of-north-korea-blindingcan-trojan/

  1. IBM AI驱动的数据管理软件受到攻击

【概述】

IBM Db2是包含人工智能的混合数据管理产品系列,可用于分析和管理企业内的结构化和非结构化数据。根据Trustwave的研究人员所说,最近披露的bug(CVE-2020-4414)出现是因为平台的开发人员忘记了在Db2跟踪工具使用的共享内存周围放置显式的内存保护。如果被利用,则可能导致拒绝服务或信息泄露。

【参考链接】

https://threatpost.com/ibm-ai-powered-data-management-software-subject-exploit/158497/

Spread the word. Share this post!

Meet The Author

Leave Comment