今日威脅情報2020/4/10-13(第247期)

雖然不能做到每天發布，但是質量要做到最好

高級威脅分析

1、APT攻擊事件整理，涉及全球多個APT組織的活動，clearskysec整理，群策群力，發揮廣大安全白帽子一起寫文檔。

https://docs.google.com/document/d/1oYX3uN6KxIX_StzTH0s0yFNNoHDnV8VgmVqU5WoeErc/edit#heading=h.kns86byp6wk5

html版本：

https://docs.google.com/document/d/e/2PACX-1vR2TWm68bLidO3e2X0wTCqs0609vo5RXB85f6VL_Zm79wtTK59xADKh6MG0G7hSBZi8cPOiQVWAIie0/pub

訪問不了可以後臺回復「Matrix」下載

2、快速了解常見遠控（特馬）功能，有沒有你熟悉的遠控哇，安全分析師必看，收藏先！

https://docs.google.com/spreadsheets/d/1b4mUxa6cDQuTV2BPC6aA-GR4zGZi0ooPYtBe4IgPsSc/edit#gid=0

訪問不了可以後臺回復「Matrix」下載

2、APT和COVID-19：高級持續威脅如何將冠狀病毒用作誘餌。malwarebytes整理的新冠疫情期間APT攻擊活動分析，可以留著做總結報告，當然，報告中的戰術分析也很不錯，涉及多個國家的APT活動。

https://resources.malwarebytes.com/resource/apts-and-covid-19-how-advanced-persistent-threats-use-the-coronavirus-as-a-lure/

4、Group-ib分析了2020年2月13日至2020年4月1日之間與冠狀病毒相關的網絡釣魚電子郵件。間諜軟體是隱藏在欺詐性COVID-19電子郵件中的最常見的惡意軟體類別，其中AgentTesla排名第一。

https://www.group-ib.com/media/covid-phishing-campaings/

技術分析

1、OSINT教學：反向圖像搜索的技巧和竅門。從女神照片大女神門牌號。10分鐘學技術

https://osintcurio.us/2020/04/12/tips-and-tricks-on-reverse-image-searches/

https://youtu.be/vEGSDuSbURw

2、Sophos本周宣布Sandboxie 的原始碼公開可用

https://github.com/xanasoft/Sandboxie

漏洞相關

1、VMware CVE-2020-3952信息洩露漏洞，評分10的信息洩露，涉及VMware vCenter伺服器。（VMdir）

描述：

在某些情況下，作為嵌入式或外部Platform Services Controller（PSC）一部分的VMware vCenter Server附帶的1 vmdir無法正確實現訪問控制。VMware已評估此問題的嚴重性在嚴重嚴重性範圍內，最大CVSSv3基本得分為10.0。

 已知攻擊向量：

可以通過網絡訪問受影響的vmdir部署的惡意參與者可能會提取高度敏感的信息，這些信息可能會用於破壞vCenter Server或依賴vmdir進行身份驗證的其他服務。

 https://www.vmware.com/security/advisories/VMSA-2020-0006.html

數據洩露

1、國外論壇上「曝光」我國部分數據洩露，我每個都看了下，猜了猜這些洩露的褲子的來源，數據源雜亂、有學校、銀行、金融期貨、保險、普通商業公司、兒童數據、菠菜數據等。特別像國內的小黑們黑的，黑產賣褲子這個事兒，歷史悠久。然後有專業收褲子的小團夥在QQ群、微信群、teleram群裡收集，不太像是有針對性的數據竊取。有幾個數據源數據較老。

數據找幾個有代表的：

100K Chinese national Ping An insurance data.疑似平安保險數據。

40 million (QQ number + mailbox) customers divided into various industries，看著像洗掉色的老信

202K Shanghai Financial Management - VIP customers personal data.（上海某銀行VIP？）

國外售賣網站：希望有關部門嚴厲打擊

https://raidforums.com/Thread-SELLING-80M-China-HK-HQ-private

2、3月底，伊朗telegram洩露4500萬用戶數據，4月，伊朗4萬5千人8.17GB的數據和45,221個文件。這些文件包含伊朗國民身份證，出生證，護照和借記卡等的副本數據再遭洩露

https://www.hackread.com/iranian-id-cards-selfies-sold-dark-web-hacking-forum/

3、110萬SCUF遊戲客戶記錄洩露，攻擊者全世界去爬數據洩露的站點，爬下來後勒索其母公司，勒索0.3個比特幣，不給就公開數據，說明：信息資產測繪也成了勒索工具了？也說明，數據隱私的重要性，不僅僅是洩露風險，被惡意曝光的風險也很嚴重。

https://www.ehackingnews.com/2020/04/11-million-customers-records-of-scuf.html

5、法國布依格建築公司https://www.bouygues-construction.com/數據洩露，目前仍可下載。該公司經營範圍廣泛，從羅浮宮裝修到巴黎薩克萊大學，從港口擴建到太陽能發電廠建設，從體育場到智慧城市，從地鐵下到公路上，該公司都涉獵。還不趕緊下載提交有關部門？

https://mazenews.top/bouygues-construction-czt0u

6、9500萬郵件信息洩露，羨慕，又是沒有密碼的google雲資料庫，廠商：Maropost

https://hotforsecurity.bitdefender.com/blog/maropost-customer-database-exposes-95-million-email-records-22955.html

7、vpnMentor報告稱，發現一個屬於RigUp的AmazonS3存儲桶，暴露了成千上萬個屬於美國能源部門組織和個人的私有文件。這些文件中包含大量個人身份信息（PII），例如完整的聯繫方式（姓名，地址，電話號碼，家庭住址），社會保險信息，出生日期，保險單和稅號，個人照片，以及與教育，專業經驗和個人生活有關的其他信息

下三圖：簡歷、稅表、證書

https://www.vpnmentor.com/blog/report-rigup-leak/

8、暗網有賣zoom數據，資料庫包含2,300多個受損的Zoom憑據。一些記錄還包括會議ID，名稱和主持人密鑰。存檔中包含有關各個行業組織（包括銀行，諮詢公司，醫療軟體公司）的Zoom帳戶的憑據。

https://intsights.com/blog/zooming-in-on-the-target-cybercriminals-automate-attacks-against-remote-workers

網絡戰與戰略情報

1、CIA對蘇聯非法獲取西方軍事技術分析

https://weaponsdocs.files.wordpress.com/2020/04/technology-acquisition.pdf

2、FBI教你如何成為一名合格分情報分析師，專業老司機授課，講究。

https://www.fbijobs.gov/sites/default/files/Intelligence_Analyst_Candidate_Information_Packet.pdf

3、2020年內部威脅報告

https://www.cybersecurity-insiders.com/portfolio/2020-insider-threat-report/

4、勒索不成散播數據，DoppelPaymer 勒索軟體背後的黑客組織攻擊了Visser，導致大的航空航天公司的內部機密文件已從工業承包商那裡竊取並在網上洩漏。Visser是美國的製造和設計承包商，據說客戶包括航空，汽車和工業製造公司-洛克希德·馬丁公司，SpaceX，特斯拉，波音，霍尼韋爾，藍色起源，西科斯基，喬·吉布斯賽車，科羅拉多大學，加的夫工程學院等。洩露的文件與這些客戶有關，尤其是特斯拉，洛克希德·馬丁，波音和SpaceX。

    被勒索軟體搞成這個樣子，那APT組織豈不是……伊朗你也站起來

https://www.theregister.co.uk/2020/04/10/lockheed_martin_spacex_ransomware_leak/