【補】今日威脅情報2020/4/8-9(第246期)

雖然不能做到每天發布，但是質量要做到最好

高級威脅分析

1、韓朝雙邊，朝鮮給韓國發的釣魚郵件、受害人、攻擊者，管中窺豹，以小見大。

他們攻擊的目標是部長，前部長和特別顧問，主席，總統，主任和教授。他們還向定製主題發送電子郵件，偽裝成與目標相關組織的研究人員或公職人員。他們每天對數十至數百個韓國關鍵人物發起魚叉式網絡釣魚攻擊。這只是在很短的時間內發生的攻擊的一小部分

https://twitter.com/issuemakerslab/status/1247835278007390208

https://drive.google.com/file/d/1LARUc7NBaHQeuAzmzT3plVpJvu9T4V4T/view

2、黑莓發布的報告，外媒今天傳瘋了……嗯，涉兔，自己看吧（預警）

https://blogs.blackberry.com/en/2020/04/decade-of-the-rats

https://www.forbes.com/sites/daveywinder/2020/04/07/linux-security-chinese-state-hackers-have-compromised-holy-grail-targets-since-2012/

後臺回復「BlackBerry」獲取報告

3、火眼發布的報告，由COVID-19驅動下的網絡威脅格局變化（局部變化）。報告為新冠肺炎下的網絡安全趨勢分析，作為總結參考可用。

https://www.fireeye.com/blog/threat-research/2020/04/limited-shifts-in-cyber-threat-landscape-driven-by-covid-19.html

4、終於，卡巴斯基把PPT發出來了，YARA網絡研討會，卡巴手把手教你如何用yara抓APT。乾貨，不得不看

https://securelist.com/yara-webinar-follow-up/96505/

其他看這裡：

https://securelist.com/hunting-apts-with-yara/96386/

後臺回復「hunter」，下載PPT文件

5、AhnLab安全應急響應中心發布的一篇報告，不過多介紹，大家自己看吧，另外，韓語翻譯起來太難受了！

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=29129

http://download.ahnlab.com/kr/site/library/[Analysis%20Report]Operation%20Shadow%20Force_KOR.pdf

技術分析

1、由ASEC發布報告，重點關注最重要的安全威脅和最新的安全技術，以防範此類威脅。ASEC（AhnLab安全應急響應中心）是一個由惡意軟體分析師和安全專家組成的全球安全響應小組。

https://global.ahnlab.com/global/upload/download/asecreport/ASEC%20REPORT_vol.98_ENG.pdf

https://github.com/maaaaz/tgcd-windows

2、網絡犯罪分子使用SSL證書隱藏惡意軟體和網絡釣魚站點，點名一下wordpress

https://www.menlosecurity.com/blog/the-critical-role-of-ssl-inspection-to-avoid-secure-malware-delivery

3、DDG殭屍網絡，無節制泛濫更新，（個人由衷佩服360netlab）

https://blog.netlab.360.com/an-update-on-the-ddg-botnet/

https://blog.netlab.360.com/ddg-upgrade-to-new-p2p-hybrid-model/

4、「震網」三代和二代漏洞技術分析報告，給磊大佬跪了。
https://cert.360.cn/report/detail?id=3e6f34de3afb14cfd6cd65231e16790b

5、強大的「dark_nexus」物聯網殭屍網絡應運而生，dark_nexus，具有模塊化架構，它與以前觀察到的惡意軟體具有某些功能，甚至可以重用Qbot和Mirai代碼，殭屍網絡的有效載荷針對12種不同的CPU架構進行了編譯，並根據受害者的配置進行動態傳送。還使用計分系統觀察了該惡意軟體，以確定哪些進程可能對其構成威脅，並殺死了那些進程，該殭屍網絡似乎包含至少1,372個殭屍網絡，分別位於中國（653），韓國（261），泰國（172），巴西（151），俄羅斯（148），臺灣（110），烏克蘭（77），美國國家（68），印度（46）和越南（24）。

受損的設備包括路由器（包括Dasan Zhone，D-Link和ASUS）到錄像機和熱像儀。殭屍網絡的開發人員提供更新的速度很快，因此可能會針對更多的設備模型。

Bitdefender的安全研究人員在dark_nexus的代碼中確定了一系列將其連接到希臘語的字符串。Helios，據信是Mirai變體「 hoho」的作者。

https://www.bitdefender.com/files/News/CaseStudies/study/319/Bitdefender-PR-Whitepaper-DarkNexus-creat4349-en-EN-interactive.pdf

6、ITG08（又名FIN6）與TrickBot Gang合作，使用TrickBot的新惡意軟體框架（稱為「錨定點」）針對組織獲取財務利潤。

https://securityintelligence.com/posts/itg08-aka-fin6-partners-with-trickbot-gang-uses-anchor-framework/

漏洞相關

1、Google和Mozilla發布了其瀏覽器的新版本，以解決各種高嚴重性漏洞，其中有漏洞可能導致遠程執行代碼。

https://chromereleases.googleblog.com/2020/04/stable-channel-update-for-desktop_7.html

https://www.mozilla.org/en-US/security/advisories/mfsa2020-12/

網絡戰與戰略情報

1、勒索軟體WannaRen的作者「妥協了」，或者是怕警方追捕，或者是良心發現，還是把技術用到正途，祝好。

https://www.huorong.cn/info/1586414080453.html

另外，各個安全廠家出了解密工具，安利一個

https://cert.360.cn/warning/detail?id=2f45e9274a8a894c2b358903a6f6115f

2、以色列國防公司服務新冠疫情的控制，將其技術提供給醫院。實時監控通訊系統，連結醫護通訊，（可以理解成對講機……軍用簡易便攜加密通訊對講機）

https://www.jns.org/israeli-hospitals-adopt-defense-companys-command-and-control-system-to-manage-battle-against-virus/

3、極左極右都不好，隱私「特權」和「集權」工具下的惡意利用，多位極右勢力人員在國外某面部識別技術的公司任職，用戶隱私無法保障。

https://www.huffpost.com/entry/clearview-ai-facial-recognition-alt-right_n_5e7d028bc5b6cb08a92a5c48

4、新冠疫情下，微軟在全球危機中共享新的威脅情報和安全指導

https://www.microsoft.com/security/blog/2020/04/08/microsoft-shares-new-threat-intelligence-security-guidance-during-global-crisis/

5、美國國土安全部（DHS）網絡安全和基礎設施安全局（CISA）和英國國家網絡安全中心（NCSC）的聯合警報：惡意網絡參與者利用的COVID-19進行網絡攻擊。

https://www.us-cert.gov/ncas/alerts/aa20-099a

6、最後留一個重磅情報，關於俄羅斯。

一項對近期社交媒體活動的最新分析顯示，俄羅斯的一個情報部門依靠偽造的外交電子郵件，在許多社交媒體網站上植入文章，企圖破壞多個政府並冒充美國立法者。總部位於麻薩諸塞州的recordedfuture周三發表了調查結果，詳細介紹了俄語工作人員如何使用流行的網際網路服務花費數月來試圖幹擾愛沙尼亞，喬治亞共和國和美國。這項工作似乎是先前稱為「行動」的俄羅斯戰役的延續Secondary Infektion，利用Facebook和數十個在線平臺在西方散播分裂並抹黑政治努力。

Operation Pinball

https://www.recordedfuture.com/operation-pinball-tactics/