今日威脅情報2021/2/10-17(第348期)

2021-03-03 ThreatPage全球威脅情報

新年快樂

高級威脅分析

1、俄羅斯APT28攻擊法國CENTREON公司,這是一家做IT監控設備的公司,不知道有沒有後續的供應鏈攻擊事件。

https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-005/

https://github.com/Neo23x0/Fenrir/releases/tag/0.8.0-centreon

https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf

2、Lookout Discovers Novel Confucius APT Android Spyware Linked to India-Pakistan Conflict.印度APT組織孔夫子使用兩個Android間諜軟體Hornbill和SunBird 這兩種惡意軟體被用來監視與巴基斯坦軍事,核當局和克什米爾印度選舉官員有關的人員。

https://blog.lookout.com/lookout-discovers-novel-confucius-apt-android-spyware-linked-to-india-pakistan-conflict

3、탈륨 조직, 코로나19 관련 소상공인 지원 종합안내로 위장한 HWP 공격

https://blog.alyac.co.kr/3586

4、拉丁美洲Javali銀行木馬,為Avira防病毒合法注入器提供武器以植入惡意軟體


https://seguranca-informatica.pt/latin-american-javali-trojan-weaponizing-avira-antivirus-legitimate-injector-to-implant-malware/

5、接上,拉丁美洲Lampion木馬,使用與COVID-19相關的模板攻擊活動,利用Google雲存儲下載執行dll

https://seguranca-informatica.pt/lampion-trojan-disseminated-in-portugal-using-covid-19-template/

6、微軟表示,它在SolarWinds攻擊中發現了1,000多個開發人員的指紋

https://www.theregister.com/2021/02/15/solarwinds_microsoft_fireeye_analysis/

https://www.cbsnews.com/news/solarwinds-hack-russia-cyberattack-60-minutes-2021-02-14/

7、伊朗Static Kitten針對阿聯和科威特政府機構的網絡間諜活動

https://www.anomali.com/blog/probable-iranian-cyber-actors-static-kitten-conducting-cyberespionage-campaign-targeting-uae-and-kuwait-government-agencies

技術分享

1、分享一個開源C2工具:BlackMamba

https://github.com/loseys/BlackMamba

2、黑灰產ScamClub使用postMessage()Shenanigans繞過了iframe沙箱[CVE-2021–1801]

https://blog.confiant.com/malvertiser-scamclub-bypasses-iframe-sandboxing-with-postmessage-shenanigans-cve-2021-1801-1c998378bfba

C2:

xmou.s3.us-east-2.amazonaws.com/mou.jsimpve.s3.amazonaws.com/create.jsdgoi.s3.us-east-2.amazonaws.com/goi.jsyflx.s3.us-east-2.amazonaws.com/flx.jsmiil.s3.us-east-2.amazonaws.com/iia.jsdjian.s3.amazonaws.com/jia.jsaimppv.s3.amazonaws.com/jiy.jsaylei.s3.amazonaws.com/lei.jsajluo.s3.amazonaws.com/luo.jsapzaf.s3.amazonaws.com/zaf.jsappang.s3.us-east-2.amazonaws.com/pan.jsdkjieg.s3.amazonaws.com/jieg.jsadlya.s3.amazonaws.com/lya.jsyddof.s3.amazonaws.com/dof.jsmeixop.s3.us-east-2.amazonaws.com/xop.jsaqkol.s3.amazonaws.com/kol.jsimpvv.s3.us-east-2.amazonaws.com/dsd.jsmqyuj.s3.amazonaws.com/yuj.jswpbgm.s3.amazonaws.com/bgm.jspzhufm.s3.amazonaws.com/zhuf.jscxpm.s3.amazonaws.com/cx.jskhpm.s3.amazonaws.com/kh.jsvcjm.s3.amazonaws.com/vc.jslxpm.s3.amazonaws.com/lx.jsowpd.s3.amazonaws.com/ow.jskdjm.s3.amazonaws.com/kd.jsrmbp.s3.amazonaws.com/bp.jszhpmm.s3.amazonaws.com/zh.jslrydy.s3-ap-southeast-1.amazonaws.com/lr.jskiyy.s3-ap-southeast-1.amazonaws.com/ki.jsoummm.s3.amazonaws.com/ou.jsgsyyd.s3.amazonaws.com/gs.jsqqpm.s3.amazonaws.com/qq.jsnxya.s3-ap-southeast-1.amazonaws.com/nx.jszpdk.s3.amazonaws.com/zp.jsmrptm.s3.amazonaws.com/mr.jsktzmy.s3-ap-southeast-1.amazonaws.com/kt.jsnzdpy.s3-ap-southeast-1.amazonaws.com/nz.jsvpydy.s3-ap-southeast-1.amazonaws.com/vp.j

3、關於防彈主機的一些必須知道的事兒

https://intel471.com/blog/bulletproof-hosting-fast-flux-dns-double-flux-vps/

4、Telegram的 animated stickers遠程攻擊,擁有10億用戶的Android應用無法修復漏洞

https://www.shielder.it/blog/2021/02/hunting-for-bugs-in-telegrams-animated-stickers-remote-attack-surface/

5、BazaLoader惡意軟體,使用.bazar後綴C2。


https://www.proofpoint.com/us/blog/threat-insight/baza-valentines-day

6、開源情報工具大會以及工具集合,必收藏!

https://www.sans.org/blog/list-of-resource-links-from-open-source-intelligence-summit-2021/

7、微軟稱,自2020以來,每月的Web Shell攻擊數量已經翻了一番。

https://www.microsoft.com/security/blog/2021/02/11/web-shell-attacks-continue-to-rise/

8、MAC 版本的telegram 可以通過用戶數據存儲位置找到那些「隱私、撤回、銷毀」的音頻信息。取證可用。

https://www.inputzero.io/2020/12/telegram-privacy-fails-again.html

漏洞相關

1、SHAREit缺陷遠程執行代碼,SHAREit在Google Play中擁有超過10億的下載量,被評為2019年下載次數最多的應用程式之一。SHAREit最初由中國技術巨頭聯想製造,是目前由Smart Media4U Technology開發的一種流行的跨平臺文件共享應用程式。

https://www.trendmicro.com/en_us/research/21/b/shareit-flaw-could-lead-to-remote-code-execution.html

2、FileZen漏洞(CVE-2021-20655)Soliton Systems KK發布了有關文件數據傳輸設備FileZen中的漏洞(CVE-2021-20655)的信息。具有系統管理員帳戶訪問權限的遠程攻擊者可以利用此漏洞執行任意OS命令。

https://www.jpcert.or.jp/english/at/2021/at210009.html

3、CVE-2020-11635 Zscaler Windows客戶端連接器本地特權升級漏洞

https://trust.zscaler.com/posts/7316

4、SAP幾個漏洞,CVE-2021-21477 代碼執行,老牛逼了

https://onapsis.com/blog/sap-security-patch-day-february-2021-critical-patch-released-sap-commerce

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=568460543

5、IBM InfoSphere Information Server 0DAY,反序列化(CWE-502),標識為CVE-2020-27583,CVSS3評分為9.8。該漏洞允許具有root特權的不受限制的遠程代碼執行,而無需任何身份驗證。

https://nvd.nist.gov/vuln/detail/CVE-2020-27583

6、TCP / IP堆棧中的漏洞允許TCP連接劫持,研究人員發現其中9個堆棧無法正確爾託防火牆軟體漏生成ISN,從而使連接容易受到攻擊。這些漏洞統稱為NUMBER:JACK,影響到CycloneTCP,FNET,MPLAB Net,Nucleus NET,Nut / Net,picoTCP,uIP,uC / TCP-IP和TI-NDKTCPIP(Nanostack和lwIP不受影響)

https://www.forescout.com/company/resources/numberjack-weak-isn-generation-in-embedded-tcpip-stacks/

7、平底鍋幾個高階漏洞

https://portswigger.net/daily-swig/palo-alto-firewall-software-vulnerability-quartet-revealed

8、西門子修補了2種工具中的21個漏洞

https://www.govinfosecurity.com/siemens-patches-21-vulnerabilities-in-2-tools-a-15983

數據洩露

1、反惡意軟體公司Emsisoft意外暴露了內部資料庫

https://blog.emsisoft.com/en/37707/incident-report/

 

2、yandex內部人員洩露用戶郵箱數據。

https://yandex.com/company/press_center/press_releases/2021/2021-12-02

3、國際律師事務所Jones Day受Clop勒索軟體攻擊而被盜的文件超過100G,追蹤器原因,疑似是攻擊通過平底鍋的軟體漏洞進來的。

https://siliconangle.com/2021/02/16/law-firm-jones-day-hit-clop-ransomware-attack-files-stolen/

4、Adorcam應用程式通過ElasticSearch資料庫洩漏了數百萬條用戶記錄,該資料庫收入超過1.24億行數據,公開的數據包括用戶電子郵件地址,哈希密碼,Wi-Fi網絡名稱,客戶端IP,用戶ID,網絡攝像頭序列號,網絡攝像頭設置(包括麥克風狀態),國家/地區地理位置,SSID/無線網絡,名稱和網絡攝像頭捕獲的圖像。

https://cisomag.eccouncil.org/adorcam-app-leaks-millions-of-user-records-via-elasticsearch-database/

5、黑客論壇上出售烏克蘭的PrivatBank資料庫,大概4000W數據

https://cybernews.com/security/largest-commercial-bank-ukraine-40-million-user-records-sold-online/

網絡戰與網絡情報

1、美國海軍發布標準化作戰指導書4.0

海軍於2月16日發布了COVID-19標準化操作指南(SOG)4.0版,以與冠狀病毒大流行作鬥爭,以對抗NAVADMIN 037/21。

https://www.navy.mil/Press-Office/News-Stories/Article/2503737/us-navy-issues-standardized-operational-guidance-40/utm_source/twitter/utm_medium/social/utm_content/100001854090010/utm_campaign/Man/linkId/100000032802624/

2、法院文件顯示FBI可以使用工具訪問iPhone上的私人Signal消息。其實,斯諾登早就告訴大家了

https://beta.documentcloud.org/documents/20474939-usa-v-jarrett-crisler-signal-extraction-2

3、xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

https://ciso.economictimes.indiatimes.com/news/clubhouse-may-be-leaking-data-to-chinese-govt-stanford-report/80959425


相關焦點

  • 今日威脅情報2021/1/10-12(第338期)
    隨後的2019年10月版的Orion平臺似乎包含一些修改,旨在測試犯罪者將代碼插入我們的構建中的能力將SUNBURST惡意代碼插入Orion Platform的惡意代碼注入源的更新版本從2020年2月20日開始發布。犯罪者一直未被發現,並於2020年6月從我們的環境中刪除了SUNBURST惡意代碼。
  • 今日威脅情報2020/10/23-26(第314期)
    高級威脅
  • 今日威脅情報2020/6/17-19(第270期)
    高級威脅分析1、某針對俄羅斯境內的目標發的網絡攻擊活動,用的特馬:AcidBox,驅動級的後門,誰用誰知道。可能暴露的敏感信息(CWE-200)6.0.1.66(版本03/03/2020)CVE-2020-119008.2處理網絡攻擊者發送的數據包時,IPv4隧道組件中可能存在雙重釋放(CWE-415)。
  • 每周高級威脅情報解讀(2021.10.21~10.28)
    漏洞情報披露時間:2021年10月21日情報來源:https://geminiadvisory.io/fin7-ransomware-bastion-secure/相關信息:研究人員發現NOBELIUM 針對委託管理權限以促進更廣泛的攻擊披露時間:2021年10月25日情報來源:https://www.microsoft.com/security/blog/2021/10/25/nobelium-targeting-delegated-administrative-privileges-to-facilitate-broader-attacks
  • 今日威脅情報(2019/4/17)
    寫公眾號的初衷是想通過發布威脅情報新聞激發網絡安全愛好者對APT攻擊與溯源分析技術的興趣,所以採集的情報數據主要圍繞著APT攻擊技術姿勢、漏洞、
  • 每周高級威脅情報解讀(2021.01.14~01.21)
    攻擊團夥情報Raindrop:SolarWinds攻擊事件中的第四種惡意軟體Kimsuky以拜登政府企劃問卷為誘餌的攻擊活動分析Lazarus入侵後使用合法軟體進行竊密STEELCORGI工具:UNC1945的瑞士軍刀攻擊行動或事件情報
  • 今日威脅情報(2019/8/13)
    寫公眾號的初衷是想通過發布威脅情報新聞激發網絡安全愛好者對APT攻擊與溯源分析技術的興趣,所以採集的情報數據主要圍繞著APT攻擊技術姿勢、漏洞、工具、
  • 今日威脅情報2020/8/27-30(第296期)
    高級威脅分析
  • 【補】今日威脅情報2020/4/8-9(第246期)
    1、由ASEC發布報告,重點關注最重要的安全威脅和最新的安全技術,以防範此類威脅。id=2f45e9274a8a894c2b358903a6f6115f2、以色列國防公司服務新冠疫情的控制,將其技術提供給醫院。實時監控通訊系統,連結醫護通訊,(可以理解成對講機……軍用簡易便攜加密通訊對講機)
  • 每周高級威脅情報解讀(2021.03.04~03.11)
    捕獲的樣本以「泰國皇家海軍第82指揮和參謀課程」、「OPS檢查細節」,「OPS需求」、「國防部副本」等標題為誘餌進行攻擊。其中OPS是位於泰國的石油天然氣公司。根據誘餌標題可以猜測該組織疑似開始針對泰國開展攻擊活動。此次活動與奇安信此前2月披露的攻擊活動中採用手法類似,其Payload均採用多層解密加載且大多存放在該組織伺服器的」jack」目錄下。
  • 每周高級威脅情報解讀(2021.08.05~08.12)
    攻擊團夥情報攻擊行動或事件情報惡意代碼情報漏洞情報披露時間:2021年08月10日情報來源:https:披露時間:2021年08月11日情報來源:https://mp.weixin.qq.com/s/Ln7iBm-Go17CQhIaRNHD0Q相關信息:The Dukes系列是APT29最早的組織代號,早期的Dukes特馬工具是在2013
  • 每周高級威脅情報解讀 (2021.06.03~06.10)
    奇安信威脅情報中心紅雨滴安全研究團隊多年來持續對南亞次大陸方向的攻擊活動進行追蹤,對魔羅桫組織均做了大量的分析和總結。今年3月,奇安信威脅情報中心捕獲到幾例利用相關國家外交政策為誘餌的惡意樣本。此類樣本偽裝成大使館向巴基斯坦委員會的投資回信、建立港口防疫能力等熱點信息開展攻擊。一旦受害者執行此類惡意樣本,初始LNK文件將從遠程伺服器下載惡意腳本執行,惡意腳本將釋放展示正常的誘餌文檔以迷惑受害者,並繼續從遠程伺服器獲取第二階段惡意腳本執行。
  • 每周高級威脅情報解讀(2021.09.16~09.23)
    2021年09月23情報來源:https://mp.weixin.qq.com/s/o-rvkERRn_7TCX_31s1LQQ相關信息:Turla,也被稱為Venomous Bear、Waterbug Uroboros,是迄今為止最為高級的威脅組織之一,被認為隸屬於東歐某國情報機構
  • 今日威脅情報2020/5/20-21(第262期)
    雖然不能做到每天發布,但是質量要做到最好高級威脅分析1、Winnti新活動曝光,2020年2月,針對總部位於韓國和臺灣並開發MMO(大型多人在線)遊戲公司。https://www.welivesecurity.com/2020/05/21/no-game-over-winnti-group/2、在朝鮮對國防承包商領域的網絡攻擊中,。
  • 每周高級威脅情報解讀(2021.12.02~12.09)
    :威脅情報團隊發現了一項網絡釣魚活動,該活動似乎針對位於美國、英國和歐洲的多名受害者。威脅行為者不斷創新和識別新技術和技巧,以保持對受害者環境的持續訪問、阻礙檢測和混淆歸因工作:自 2020 年以來,多種技術解決方案、服務和經銷商公司的妥協;使用第三方參與者可能從信息竊取惡意軟體活動中獲得的憑據來獲得對組織的初始訪問權限;自 2021 年第一季度以來,使用具有應用程式模擬權限的帳戶來收集敏感郵件數據;使用住宅 IP 代理服務和新配置的地理定位基礎設施與受感染的受害者進行通信
  • 每周高級威脅情報解讀(2021.02.04~02.11)
    2021年開年僅一個月,奇安信威脅情報中心紅雨滴團隊便多次捕獲到該地區APT組織攻擊活動。>:2021年2月4日,奇安信威脅情報中心監測到一個IE瀏覽器的漏洞信息,通過發送MHTML文件誘導目標人員點擊並觸發後續的Interne Explorer 瀏覽器相關0day漏洞,以此獲取攻擊者機器的控制權。
  • 安恆高級安全威脅情報周報(2021.7.10~7.16)
    近日,安恆威脅情報中心獵影實驗室捕獲到一例惡意攻擊樣本,通過對樣本進行溯源分析,發現該樣本是疑似俄語國家的黑客團夥針對喬治亞的一次攻擊行動。樣本以喬治亞在2021-2022的戰略計劃為主題,當受害者打開惡意文檔觸發宏代碼後,樣本會下載載荷並收集受害者電腦用戶區的文檔聯網回傳至攻擊者伺服器。
  • 每周高級威脅情報解讀(2021.07.29~08.05)
    近日,奇安信威脅情報中心紅雨滴在日常的威脅狩獵發現,Transparent Tribe近期針對南亞地區的攻擊活動主要以國防部會議、軍事材料等為主題。根據紅雨滴研究人員跟蹤分析發現此次攻擊活動中,攻擊者利用此前披露的透明部落組織類似攻擊手法,即通過帶惡意宏的文檔最終釋放CrimsonRAT執行。
  • 每周高級威脅情報解讀(2020.12.10~12.17)
    同時,SolarWinds在其官網發布安全通告稱,受影響的產品為2020年3月至2020年6月間發布的2019.4到2020.2.1版本的SolarWinds Orion管理軟體,並表示約有18000名客戶下載使用了受影響的軟體產品,但攻擊者並未對所有使用者採取進一步的攻擊行動,而僅選擇感興趣的目標開展後續攻擊活動。
  • 每周高級威脅情報解讀(2021.04.01~04.08)
    攻擊團夥情報攻擊行動或事件情報惡意代碼情報漏洞情報披露時間:2021年03月31日情報來源:https://www.anomali.comGitHub上開源Android RAT工具「AndroSpy」開始活躍披露時間:2021年04月06日情報來源:https://mp.weixin.qq.com/s/mpoiwvYW2ryz4oYTF4L0iQ相關信息