今日威脅情報2020/11/15-18(第322期)

高級威脅分析

1、看連結，自取關鍵字

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cicada-apt10-japan-espionage

2、看文章連結，自取關鍵字

https://labs.bitdefender.com/2020/11/a-detailed-timeline-of-a-chinese-apt-espionage-attack-targeting-south-eastern-asian-government-institutions/

https://www.bitdefender.com/files/News/CaseStudies/study/379/Bitdefender-Whitepaper-Chinese-APT.pdf

3、???APT27

https://github.com/StrangerealIntel/CyberThreatIntel/blob/master/China/APT/APT27/2020-11-17/Analysis.md

4、？？？winnti

9c770b12a2da76c41f921f49a22d7bc6b5a1166875b9dc732bc7c05b6ae39241

NC:

up.linux-headers[.]comcc1455e3a479602581c1c7dc86a0e02605a3c14916b86817960397d5a2f41c31

NC:

p.samkdd[.]com

5、Lazarus supply‑chain attack in South Korea，針對韓國金融、政府行業的供應鏈攻擊

https://www.welivesecurity.com/2020/11/16/lazarus-supply-chain-attack-south-korea/

6、火眼對2021年網絡空間威脅的預測分析，提醒警惕勒索軟體攻擊。

https://content.fireeye.com/predictions/rpt-security-predictions-2021

7、疑似兔子，使用COVID19的釣魚釋放的chinoxy後門

https://medium.com/@Sebdraven/new-version-of-chinoxy-backdoor-using-covid19-document-lure-83fa294c0746

8、

技術分享

1、Google瀏覽器攻擊與防禦

https://doar-e.github.io/blog/2020/11/17/modern-attacks-on-the-chrome-browser-optimizations-and-deoptimizations/

2、mcafee威脅情報事件的產品

https://www.mcafee.com/enterprise/en-us/lp/insights-preview.html

3、特斯拉Powerwall網關可能受到黑客攻擊

https://blog.rapid7.com/2020/11/17/dont-put-it-on-the-internet-tesla-backup-gateway-edition/

4、WhatsApp SMiShing攻擊印度用戶

https://labs.k7computing.com/?p=21246

5、VoltPillager：針對英特爾SGX飛地的基於硬體的故障注入攻擊。Boffins設計了一種名為VoltPillager的新攻擊，該攻擊可以通過控制CPU內核電壓來破壞Intel SGX飛地的機密性和完整性。

https://zt-chen.github.io/voltpillager/

6、JUPYTER INFOSTEALER / BACKDOOR 木馬分析

https://engage.morphisec.com/threat-profile-jupyter-infostealer

https://blog.morphisec.com/jupyter-infostealer-backdoor-introduction

7、AWS基於資源的策略API中的信息洩漏

https://unit42.paloaltonetworks.com/aws-resource-based-policy-apis/

漏洞相關

1、CVE-2020-13942 Apache Unomi pre-auth RCE (bypass CVE-2020-11975 )

2、Cisco Security Manager中的漏洞可能允許未經身份驗證的遠程攻擊者訪問敏感信息

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-path-trav-NgeRnqgR

https://gist.github.com/Frycos/8bf5c125d720b3504b4f28a1126e509e

3、持久的RTA ENIP堆棧漏洞給ICS設備帶來風險，資產測繪掃起來？

https://www.claroty.com/2020/11/17/blog-research-rta-enip-stack-vulnerability/

https://us-cert.cisa.gov/ics/advisories/icsa-20-324-03

數據洩露

1、10萬個被黑Facebook帳戶洩露

https://www.hackread.com/leaked-database-hacked-facebook-accounts/

2、TronicsXchange是一家美國公司，從事零售業務，買賣二手電子產品，包括手機，平板電腦，筆記本電腦和相機。客戶可以在TronicsXchange零售店出售二手電子設備以換取立即現金付款，以及購買二手設備和維修設備

https://www.websiteplanet.com/blog/tronicsxchange-breach-report/

3、美國銀行系統（ABS）是美國銀行和金融機構的服務提供商，遭受了勒索軟體攻擊，其部分客戶53 GB數據被洩露。涉及數據包含貸款文件，電子郵件，合同，網絡共享，密碼等。ABS的客戶包括多家銀行名稱和抵押公司，例如First Federal Community Bank，Rio Bank，Swainsboro的公民銀行， First Bank＆Trust等

https://securityreport.com/american-bank-systems-hit-by-ransomware-attack-full-53-gb-data-dump-leaked/

網絡戰與網絡情報

1、施耐德發布公告，關於Drovorub（一種Linux惡意軟體）建議其客戶採取防範措施保護系統。你品，你細品。今年8月FBI&CISA聯合發布公告，提醒北方的毛熊APT28利用該惡意軟體攻擊工控系統。

https://www.se.com/ww/en/download/document/SESB-2020-315-01/

2、俄羅斯GRU 對MH17航班墜機事件的「虛假操作」分析。尼德蘭政府把這個事兒上升到了政府外交事件……

https://www.bellingcat.com/news/uk-and-europe/2020/11/12/the-grus-mh17-disinformation-operations-part-1-the-bonanza-media-project/

https://www.rijksoverheid.nl/documenten/kamerstukken/2020/11/17/kamerbrief-inzake-het-bericht-dat-de-russische-militaire-inlichtingendienst-via-bonanza-media-desinformatie-verspreidt-rond-het-mh17-strafproces

3、Google的TAG團隊發布2020年第四季度威脅報告

https://blog.google/threat-analysis-group/tag-bulletin-q4-2020/

4、丹麥媒體的報導稱，美國暗中監視該國政府及其國防工業以及其他歐洲國承包商，以期獲取有關其戰鬥機採購計劃的信息。丹麥丹麥公共服務廣播公司DR在網上發布的這些消息涉及戰鬥機競賽的前期準備，該競賽最終由美國製造的洛克希德·馬丁公司的F-35隱形戰鬥機贏得。 

該報告援引匿名消息來源的話，暗示美國國家安全局（NSA）的目標是丹麥財政部，外交部和國防公司Terma，後者也為F-35聯合打擊戰鬥機計劃做出了貢獻。
https://www.thedrive.com/the-war-zone/37668/nsa-spied-on-denmark-as-it-chose-its-future-fighter-aircraft-report

5、老美測試網絡彈性，這才是實戰，未來網絡對抗，打的是網絡彈性！

https://www.army.mil/article/234391/cutting_the_cord_to_test_energy_resilience

6、川普辭退CISA局長，理由估計是大選期間，網絡監管不力的由頭

https://gizmodo.com/trump-fires-cyber-chief-who-debunked-claims-of-election-1845660053

7、歐巴馬政府與伊朗之間的核協定，導致中東恐怖組織真主黨的發展……苟且之事啊，看故事了

https://www.politico.com/interactives/2017/obama-hezbollah-drug-trafficking-investigation/

8、美國電信公司 Verizon 今天發布了有關網絡間諜攻擊報告：

    該報告的主要發現是，對於網絡間諜違規行為，有85％的行為者是隸屬國家的，有8％是國家隸屬的，只有4％與有組織犯罪有關。前僱員佔演員的2％。 

    在過去的七年中，受到網絡間諜破壞最嚴重的行業是公共部門，製造業，專業，信息，採礦和公用事業，教育和金融行業。

在三個最具針對性的行業中，公共部門首當其衝（31％），而製造業和專業人士分別遭受了22％和11％的打擊。 

    在網絡間諜活動中受威脅最大的資產類別是臺式機或筆記本電腦（88％），手機（14％）和網絡應用程式（10％）。對於所有違規，主要資產類別是Web應用程式（43％），臺式機或筆記本電腦（31％）和電子郵件（21％）。

    在網絡間諜破壞中最常見的屬性中，有91％涉及軟體安裝，而73％是機密。危害最大的數據種類是憑據（56％），機密（49％），內部（12％）和機密（7％）。

    該報告發現，雖然一個組織可以在幾秒鐘內受到威脅，但發現違規可能要花費數年時間。破壞時間為數秒至數天（91％），滲透時間為數分鐘至數周（88％），發現時間為數月至數年（69％），遏制時間為數天至數月（79％）。 

    最常見的違規類型是Web應用程式（27％），其他錯誤（14％）和「其他所有信息」（14％），其中，網絡間諜活動佔了10％。

https://enterprise.verizon.com/resources/reports/2020/2020-2021-cyber-espionage-report.pdf

9、FIN7主要領導人之一的烏克蘭國民Andrii Kolpakov認罪，25年，1億美金分贓，好像業可以……

https://www.cyberscoop.com/fin7-recruiter-andrii-kolpakov-pleads-guilty-role-global-hacking-scheme/