今日威脅情報2020/6/17-19(第270期)

價值乾貨，轉發一下？

高級威脅分析

1、某針對俄羅斯境內的目標發的網絡攻擊活動，用的特馬：AcidBox，驅動級的後門，誰用誰知道。msv1_1.dll（SHA256：b3166c417d49e94f3d9eab9b1e8ab853b58ba59f734f774b5de75ee631a9b66d）

pku.dll（SHA256：3ad20ca49a979e5ea4a5e154962e7caff17e4ca4f00bec7f3ab89275fcc8f58c）

windigest.dll（SHA256：003669761229d3e1db0f5a5b333ef62b3dffcc8e27c821ce9018362e0a2df7e9

時間戳：2017年5月9日

https://unit42.paloaltonetworks.com/acidbox-rare-malware/

playbook:

https://pan-unit42.github.io/playbook_viewer/?pb=temp-acidbox

yara:

https://github.com/pan-unit42/iocs/tree/master/AcidBox

2、InvisiMole組織針對軍事領域的少數知名組織和東歐外交使團。該組織除了TCP和DNS下載器之外，InvisiMole還採用了較長執行鏈來部署RC2CM和RC2CL後門的更新變體。觀察到的長執行鏈包括：在控制面板中秘密執行Total Video Player漏洞，利用speedfan.sys驅動程序中的本地特權升級漏洞，以及利用Windows wdigest.dll中的漏洞。

C2方式（DNS）：

https://www.welivesecurity.com/2020/06/18/digging-up-invisimole-hidden-arsenal/

https://www.welivesecurity.com/wp-content/uploads/2020/06/ESET_InvisiMole.pdf

3、針對歐洲和中東的航空航天和軍事公司的攻擊，該攻擊於2019年9月至2019年12月活躍。攻擊者偽造的LinkedIn帳戶自稱是針對每個目標組織的知名航空航天和國防公司（例如美國的Collins Aerospace（原名Rockwell Collins）和General Dynamics）的HR代表。疑似與Lazarus有關。

https://www.welivesecurity.com/2020/06/17/operation-interception-aerospace-military-companies-cyberspies/

https://www.welivesecurity.com/wp-content/uploads/2020/06/ESET_Operation_Interception.pdf

4、Kimsuky組織使用來自「藍宮」（指青瓦臺）的安全電子郵件進行模擬APT攻擊

https://blog.alyac.co.kr/3071

5、【優秀技術】黑客使用偽造的Windows錯誤日誌來隱藏惡意負載，一看就知道不是一般的小黑，期待有APT組織認領。

https://blog.huntresslabs.com/hiding-in-plain-sight-556469e0a4e

logfile-comparison.ps1：

https://gist.github.com/jdferrell3/81fd76d5a8abd870e1294309bec88709

6、疑似朝鮮APT組織利用新冠疫情為誘餌的海量釣魚攻擊活動，活動針對六個國家（新加坡，韓國，日本，印度，英國和美國）的500萬個人和企業，包括大小企業……經濟不景氣，缺錢啊！

https://www.cyfirma.com/early-warning/global-covid-19-related-phishing-campaign-by-north-korean-operatives-lazarus-group-exposed-by-cyfirma-researchers/

7、emm……目標是印度的APT攻擊，來研究下……部分TTP符合APT41和APT10

https://blog.malwarebytes.com/threat-analysis/2020/06/multi-stage-apt-attack-drops-cobalt-strike-using-malleable-c2-feature/

技術分析

1、火狐的專用VPN

https://blog.mozilla.org/futurereleases/2020/06/18/introducing-firefox-private-network-vpns-official-product-the-mozilla-vpn/

2、Tsunami：一種可擴展的網絡掃描引擎，高可信地檢測高嚴重性漏洞。

https://opensource.googleblog.com/2020/06/tsunami-extensible-network-scanning.html?m=1

https://github.com/google/tsunami-security-scanner

3、LODEINFO惡意軟體的演變

https://blogs.jpcert.or.jp/en/2020/06/evolution-of-malware-lodeinfo.html

4、工控蜜罐捕獲4個0day。是蜜罐牛逼嗎？不見得，仿佛各個國家級APT組織或者高級黑客組織大肆hunting工控設備。你品，你細品。

https://ccdcoe.org/uploads/2020/05/CyCon_2020_15_Dodson_Beresford_Vingaard.pdf

漏洞相關

1、【Boom炸彈】由於嚴重的安全漏洞影響了Treck TCP / IP堆棧，全球數以百萬計的IoT設備可能會受到遠程攻擊。「19 Zero-Day Vulnerabilities Amplified by the Supply Chain」。使用Treck TCP / IP堆棧的供應商列表包括BAE Systems，BD，Broadcom，Cisco，Dell EMC，GE，Honeywell，HP，Intel，Lockheed Martin，NASA，NVIDIA，Philips，Rockwell Automation，Schneider Electric等

影響：

CVE IDCVSSv3描述潛在影響固定在版本上CVE-2020-1189610可以通過將多個格式錯誤的IPv4數據包發送到支持IPv4隧道的設備來觸發此漏洞。它會影響使用特定配置運行Treck的所有設備。它可以實現穩定的遠程代碼執行，並且已在Digi International設備上進行了演示。可能會觸發此問題的變體以導致拒絕服務或永久拒絕服務，需要進行硬重置。

遠程 

碼 

執行

6.0.1.66

（2020年3月3日發行）

CVE-2020-1189710可以通過向設備發送多個格式錯誤的IPv6數據包來觸發此漏洞。它會影響任何運行舊版支持IPv6的Treck的設備，並且先前已作為例行代碼更改進行了修復。它可能會允許穩定的遠程代碼執行。

越界 

寫

5.0.1.35

（2009年4月6日發行）

CVE-2020-119019

可以通過回答設備發出的單個DNS請求來觸發此漏洞。它會影響任何運行支持DNS且支持Treck的設備，並且我們已經證明該設備可用於在Schneider Electric APC UPS上執行遠程代碼執行。我們認為，儘管CVSS評分為9.0，這是最嚴重的漏洞，這是因為DNS請求可能會離開該設備所在的網絡，而老練的攻擊者可能能夠利用此漏洞來防禦通過DNS緩存中毒或其他方法從網絡外部通過設備訪問。因此，攻擊者可以繞過網絡並利用一個漏洞來接管設備，從而繞過任何安全措施。 

格式錯誤的數據包幾乎完全符合RFC規定，因此，防火牆等安全產品可能很難檢測到此漏洞。在仍然在某些設備上運行的非常老版本的Treck堆棧上，事務ID並非是隨機的，這使攻擊更加容易。

遠程 

碼 

執行

6.0.1.66

（版本03/03/2020）

CVE IDCVSSv3分數描述固定版本CVE-2020-118989.1處理未經授權的網絡攻擊者發送的數據包時，IPv4 / ICMPv4組件中的長度參數不一致（CWE-130）處理不當。可能暴露的敏感信息（CWE-200）

6.0.1.66

（版本03/03/2020）

CVE-2020-119008.2處理網絡攻擊者發送的數據包時，IPv4隧道組件中可能存在雙重釋放（CWE-415）。 免費使用（CWE-416）

6.0.1.41

（2014年10月15日發行）

CVE-2020-119027.3處理未經授權的網絡攻擊者發送的數據包時，IPv6OverIPv4隧道組件中的輸入驗證不正確（CWE-20）。 可能的越界讀取（CWE-125）

6.0.1.66

（03/03/20版）

CVE-2020-119045.6

處理未經授權的網絡攻擊者發送的數據包時，內存分配組件中可能存在整數溢出或環繞（CWE-190）

可能的界外寫入（CWE-787）

6.0.1.66

（版本03/03/2020）

CVE-2020-118995.4

處理未經授權的網絡攻擊者發送的數據包時，IPv6組件中的輸入驗證不正確（CWE-20）。

可能的越界讀取（CWE-125）和可能的拒絕服務。  

6.0.1.66

（03/03/20版）

CVE-2020-119035.3

處理未經授權的網絡攻擊者發送的數據包時，DHCP組件中可能的越界讀取（CWE-125）。

可能暴露的敏感信息（CWE-200）

6.0.1.28

（版本10/10/12）

CVE-2020-119055.3

處理未經授權的網絡攻擊者發送的數據包時，DHCPv6組件中可能的越界讀取（CWE-125）。

可能暴露的敏感信息（CWE-200）

6.0.1.66

（03/03/20版）

CVE-2020-119065

未經授權用戶發送的數據包中的乙太網鏈路層組件中的輸入驗證不正確（CWE-20）。

整數下溢（CWE-191）

6.0.1.66

（03/03/20版）

CVE-2020-119075

TCP組件中的長度參數不一致（CWE-130）處理不當，來自未經授權的網絡攻擊者發送的數據包

整數下溢（CWE-191） 

6.0.1.66

（03/03/20版）

CVE-2020-119093.7

處理未經授權的網絡攻擊者發送的數據包時，IPv4組件中的輸入驗證不正確（CWE-20）。

整數下溢（CWE-191）

6.0.1.66

（03/03/20版）

CVE-2020-119103.7

處理未經授權的網絡攻擊者發送的數據包時，ICMPv4組件中的輸入驗證不正確（CWE-20）。

可能的越界讀取（CWE-125）

6.0.1.66

（03/03/20版）

CVE-2020-119113.7處理未經授權的網絡攻擊者發送的數據包時，ICMPv4組件中的訪問控制（CWE-284）不正確。 關鍵資源的權限分配不正確（CWE-732）

6.0.1.66

（03/03/20版）

CVE-2020-119123.7

處理未經授權的網絡攻擊者發送的數據包時，TCP組件中的輸入驗證不正確（CWE-20）。

可能的越界讀取（CWE-125）

6.0.1.66

（03/03/20版）

CVE-2020-119133.7

處理未經授權的網絡攻擊者發送的數據包時，IPv6組件中的輸入驗證不正確（CWE-20）。

可能的越界讀取（CWE-125）

6.0.1.66

（03/03/20版）

CVE-2020-119143.1

「處理未經授權的網絡攻擊者發送的數據包時，ARP組件中的輸入驗證不正確（CWE-20）。」

可能的越界讀取（CWE-125） 

6.0.1.66

（03/03/20版）

CVE-2020-119083.1

處理未經授權的網絡攻擊者發送的數據包時，DHCP組件中的Null終止（CWE-170）不正確。

可能暴露的敏感信息（CWE-200）

4.7.1.27

（07年11月8日發行）

https://www.jsof-tech.com/ripple20/

2、Oracle EBS漏洞使黑客可以篡改財務記錄

https://go.onapsis.com/l/127021/2020-06-11/43q2vp/127021/169116/Onapsis_ThreatReport_Oracle_Ledger_BigDebIT_PRINT_6.11.2020.pdf

3、drupal任意PHP代碼執行

https://www.drupal.org/sa-core-2020-005

4、【重點，要考】發電廠使用的脆弱平臺（OSIsoft Software的PI System 安裝在一些世界上最大的關鍵基礎設施中，是一個數據管理平臺，可訪問其服務站點中的廣泛核心OT網絡資產。）使攻擊者能夠在用戶瀏覽器上運行惡意代碼

https://www.us-cert.gov/ics/advisories/icsa-20-163-01

https://www.helpnetsecurity.com/2020/06/18/icsa-20-163-01/

網絡戰與網絡情報

1、川普的競選app有漏洞，洩露內容如下：

https://www.websiteplanet.com/blog/trump-app-vulnerability-report/

2、美國寬帶和網絡半導體製造商MaxLinear稱其某些作業系統感染了Maze勒索軟體。（為啥把個勒索軟體事件放在這裡，你品，你細品）

https://www.sec.gov/Archives/edgar/data/1288469/000128846920000139/mxl-20200616.htm

3、澳大利亞網絡安全告警，提醒大家注意 畢威馬這家事務所的報告，本公眾號搜畢威馬，應該有其他相關內容。

https://www.afr.com/politics/federal/in-for-a-rude-shock-cyber-insecurity-warnings-20200618-p553tw

https://www.bbc.com/news/world-australia-46096768?&web_view=true

對澳大利亞攻擊的戰法：

https://www.cyber.gov.au/threats/advisory-2020-008-copy-paste-compromises-tactics-techniques-and-procedures-used-target-multiple-australian-networks

4、【狗咬狗系列】美國家安全局局長聲稱博爾頓的書將對美國機密造成「無法彌補的損害」

https://intelnews.org/2020/06/19/01-2809/

5、俄羅斯Disinfo行動，俄羅斯六年多的利用假新聞和偽造文件來塑造國際政治影響的活動，值得學習，烏拉！

發現了在300多個平臺上發布的內容，從Facebook，Twitter，YouTube和Reddit等社交媒體巨頭到WordPress和Medium等博客平臺，以及在巴基斯坦和澳大利亞的利基討論論壇。

https://secondaryinfektion.org/downloads/secondary-infektion-report.pdf

廣告時間

360威脅情報中心TI上線。

https://ti.360.cn