今日威脅情報2020/10/10-14(第310期)

2021-02-14 ThreatPage全球威脅情報

高級威脅

1、毒雲藤（APT-C-01）組織2020上半年針對我重要機構定向攻擊活動揭秘

毒雲藤（APT-C-01）組織是一個長期針對國內國防、政府、科技和教育領域的重要機構實施網絡間諜攻擊活動的APT團夥，其最早的攻擊活動可以追溯到2007年，360高級威研究院針對該團夥的攻擊活動一直持續在進行追蹤。

2019年上半年，360高級威研究院開始注意到APT-C-01組織針對國內科研機構，軍工機構，國防機構，航空機構以及政府機構進行頻繁的定向攻擊活動。在使用360安全大腦進行溯源分析的過程中，我們發現該組織相關攻擊活動從2019年5月開始至今持續活躍，從9月開始相關技戰術迭代升級，目前針對相關重點目標進行集中攻擊。

該組織2020年上半年主要進行了以下的定向攻擊：

2020年初，在國內抗擊疫情期間，該組織利用新型冠狀肺炎為誘餌發起定向攻擊，主要用於竊取相關的目標用戶的郵箱密碼

2020年上半年期間，該組織曾使用各類誘餌主題的魚叉郵件，針對特定目標投遞lnk惡意附件安裝後門程序

2020年6月期間，該組織開始針對特定單一人物目標實施定向攻擊。

近期，該組織針對相關目標又集中發起了一系列定向攻擊活動

在本報告中，我們對APT-C-01組織上半年針對我重要機構等目標的定向攻擊行動進行分析和總結，後續我們會持續披露該組織的最新攻擊活動。

https://mp.weixin.qq.com/s/6zy3MXSB_ip_RgwZGNmYYQ

2、針對毒雲藤（APT-C-01）組織近期的大規模釣魚攻擊活動披露

毒雲藤（APT-C-01）組織是一個長期針對國內國防、政府、科技和教育領域的重要機構實施網絡間諜攻擊活動的APT團夥，其最早的攻擊活動可以追溯到2007年。360高級威研究院10月11日獨家發布的《毒雲藤（APT-C-01）組織2020上半年針對我重要機構定向攻擊活動揭秘》報告中披露了該組織上半年利用新冠肺炎等熱點事件針對國內國防、政府等重要機構頻繁的網絡間諜攻擊活動。

近期毒雲藤組織的攻擊活動並未減弱蟄伏，反而異常活躍。2020年6月，該組織技戰術進行了調整，開始針對特定單一人物目標實施定向攻擊。進一步8月初開始，我們發現該組織針對國內高等院校、科研機構等，進行了大規模郵箱系統釣魚竊密攻擊活動，涉及了大量的相關單位，相關攻擊至今持續活躍。

https://mp.weixin.qq.com/s/5GhOUClaBVpQG-AlGtDMYg

3、藍寶菇（APT-C-12）組織使用雲存儲技術發起的最新攻擊活動披露藍寶菇（APT-C-12）組織從2011年開始持續至今，長期對國內國防、政府、科研、金融等重點單位和部門進行了持續的網絡間諜活動，該組織主要關注核工業和科研等相關信息。2018年7月，我們發布了《藍寶菇-核危機行動揭秘》報告，在披露了該組織相關網絡間諜活動之後，藍寶菇組織的攻擊頻次有所下降，但未完全停歇。繼而採用了針對關鍵目標進行短期集中攻擊的閃電戰策略，如18年11月針對駐外使館、19年3月針對某科研機構等相關攻擊事先都進行了周密計劃，達成後快速隱匿蟄伏。2020年初，在新冠疫情給全球格局帶來新的衝擊影響下，各APT組織針對國內的攻擊活動異常活躍。藍寶菇組織也蠢蠢欲動，相關攻擊活動逐漸頻繁。通過360安全大腦的遙測，我們發現該組織針對國內某重點機構的兩次攻擊活動中升級了技戰術，開始使用雲存儲技術架設C2基礎設施。本報告將披露該組織最新的攻擊手法和網絡武器。

https://mp.weixin.qq.com/s/Wi67iA3ZwY3o5X9ekRpD2w

4、血茜草：永不停歇的華語情報搜集活動

奇安信威脅情報中心紅雨滴安全研究團隊於2011年開始持續對華語來源的攻擊活動進行追蹤，並在近些年來發布了多篇關於APT組織毒雲藤和藍寶菇的分析報告。

但發布報告並不能制止該華語來源的攻擊，反而變本加厲，在近些年來無休無止的進行網絡情報竊取，試圖大量搜集重點單位的資產，因此奇安信威脅情報中心仍在持續對這兩個APT組織進行追蹤。

如此前有所不同的是，如今該華語來源的攻擊活動趨向漁網化，通過批量與定向投方相結合，採取信息探測的方式輔助下一步的定點攻擊。該情報搜集活動被我們命名為「血茜草行動」(Operation Rubia cordifolia)，由於」血茜草」同」蒐」，而蒐一字經常用在繁體中文」蒐集情報」一詞中，顧如此命名。目前我們將該系列攻擊活動歸屬於著名的毒雲藤組織。

由於語言環境的原因，華語類網絡攻擊通常極具誘惑性。血茜草活動中，攻擊目標行業主要為軍工、國防類軍情行業、重點高等教育科研、政府機構等。

https://mp.weixin.qq.com/s/omacDXAdio88a_f0Xwu-kg

https://medium.com/@cycraft_corp/taiwan-government-targeted-by-multiple-cyberattacks-in-april-2020-3b20cea1dc20

6、火眼發布一個以經濟利益為動機的高級威脅Fin11
https://www.fireeye.com/blog/threat-research/2020/10/fin11-email-campaigns-precursor-for-ransomware-data-theft.html

技術分享

1、深度分析– Phobos Ransomware的EKING變種。

https://www.fortinet.com/blog/threat-research/deep-analysis-the-eking-variant-of-phobos-ransomware

2、檸檬鴨Lemon Duck殭屍網絡（挖礦）分析

https://blog.talosintelligence.com/2020/10/lemon-duck-brings-cryptocurrency-miners.html

3、2020年虛擬設備安全漏洞詳情報告。研究發現2,200個虛擬設備中存在40萬個漏洞

https://orca.security/virtual-appliance-security-report/

4、微軟、ESET等合作打擊Trickbot

https://www.welivesecurity.com/2020/10/12/eset-takes-part-global-operation-disrupt-trickbot/

https://www.microsoft.com/security/blog/2020/10/12/trickbot-disrupted/

5、Bazar後門分析

https://www.advanced-intel.com/post/front-door-into-bazarbackdoor-stealthy-cybercrime-weapon

漏洞相關

1、微軟補丁日，微軟多個產品高危漏洞安全風險通告，修復了87個漏洞，包括21個RCE

編號描述新版可利用性歷史版本可利用性公開狀態在野利用導致結果CVE-2020-17003[嚴重]Base3D 遠程代碼執行漏洞可利用可利用未公開不存在遠程代碼執行CVE-2020-16898[嚴重]Windows TCP/IP 遠程代碼執行漏洞易利用易利用未公開不存在遠程代碼執行CVE-2020-16968[嚴重]Windows 攝像頭編解碼器遠程代碼執行漏洞可利用可利用未公開不存在遠程代碼執行CVE-2020-16951[嚴重]Microsoft SharePoint 遠程代碼執行漏洞可利用可利用未公開不存在遠程代碼執行CVE-2020-16952[嚴重]Microsoft SharePoint 遠程代碼執行漏洞可利用可利用未公開不存在遠程代碼執行CVE-2020-16915[嚴重]Windows Media Foundation組件損壞漏洞可利用可利用未公開不存在內存破壞CVE-2020-16891[嚴重]Windows Hyper-V 遠程代碼執行漏洞可利用可利用未公開不存在遠程代碼執行CVE-2020-16967[嚴重]Windows 攝像頭編解碼器遠程代碼執行漏洞可利用可利用未公開不存在遠程代碼執行CVE-2020-16911[嚴重]GDI 遠程代碼執行漏洞可利用可利用未公開不存在遠程代碼執行CVE-2020-16947[嚴重]Microsoft Outlook 遠程代碼執行漏洞可利用可利用未公開不存在遠程代碼執行CVE-2020-16923[嚴重]Microsoft 圖形組件遠程代碼執行漏洞可利用可利用未公開不存在遠程代碼執行CVE-2020-16938[高危]Windows 內核信息洩漏漏洞可利用可利用已公開不存在信息洩漏CVE-2020-16901[高危]Windows 內核信息洩漏漏洞可利用可利用已公開不存在信息洩漏CVE-2020-16909[高危]Windows 錯誤報告組件特權提升漏洞可利用可利用已公開不存在權限提升CVE-2020-16937[高危].NET Framework 信息洩漏漏洞可利用可利用已公開不存在信息洩漏CVE-2020-16908[高危]Windows 安裝程序特權提升漏洞可利用可利用已公開不存在權限提升CVE-2020-16885[高危]Windows 存儲 VSP 驅動程序特權提升漏洞可利用可利用已公開不存在權限提升CVE-2020-16946[高危]Microsoft Office SharePoint可利用可利用未公開不存在跨站腳本攻擊CVE-2020-16894[高危]Windows NAT 遠程代碼執行漏洞可利用可利用未公開不存在遠程代碼執行CVE-2020-16886[高危]PowerShellGet 模塊 WDAC 安全功能繞過漏洞可利用可利用未公開不存在
CVE-2020-16934[高危]Microsoft Office 即點即用特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16955[高危]Microsoft Office 即點即用特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16920[高危]Windows 應用程式兼容性客戶端庫特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16976[高危]Windows 備份服務特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16944[高危]Microsoft SharePoint Reflective可利用可利用未公開不存在跨站腳本攻擊CVE-2020-16928[高危]Microsoft Office 即點即用特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16900[高危]Windows 事件系統特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16930[高危]Microsoft Excel 遠程代碼執行漏洞可利用可利用未公開不存在遠程代碼執行CVE-2020-16877[高危]Windows 特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16913[高危]Win32k 特權提升漏洞易利用易利用未公開不存在權限提升CVE-2020-16914[高危]Windows GDI+ 信息洩漏漏洞可利用可利用未公開不存在信息洩漏CVE-2020-16921[高危]Windows 文本服務框架信息洩漏漏洞可利用可利用未公開不存在信息洩漏CVE-2020-1167[高危]Microsoft 圖形組件遠程代碼執行漏洞可利用可利用未公開不存在遠程代碼執行CVE-2020-16941[高危]Microsoft SharePoint 信息洩漏漏洞可利用可利用未公開不存在信息洩漏CVE-2020-16995[高危]適用於 Linux 的網絡觀察程序代理虛擬機擴展特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16933[高危]Microsoft Word 安全功能繞過漏洞可利用可利用未公開不存在
CVE-2020-1047[高危]Windows Hyper-V 特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16907[高危]Win32k 特權提升漏洞易利用易利用未公開不存在權限提升CVE-2020-16922[高危]Windows 欺騙漏洞易利用易利用未公開不存在欺騙攻擊CVE-2020-16977[高危]Visual Studio Code Python 擴展程序遠程代碼執行漏洞可利用可利用未公開不存在遠程代碼執行CVE-2020-16974[高危]Windows 備份服務特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16942[高危]Microsoft SharePoint 信息洩漏漏洞可利用可利用未公開不存在信息洩漏CVE-2020-16950[高危]Microsoft SharePoint 信息洩漏漏洞可利用可利用未公開不存在信息洩漏CVE-2020-16935[高危]Windows COM Server 特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16939[高危]組策略特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-1243[高危]Windows Hyper-V 拒絕服務漏洞可利用可利用未公開不存在拒絕服務CVE-2020-1080[高危]Windows Hyper-V 特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16940[高危]Windows - User Profile Service 特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16924[高危]Jet 資料庫引擎遠程代碼執行漏洞可利用可利用未公開不存在遠程代碼執行CVE-2020-16897[高危]NetBT 信息洩漏漏洞可利用可利用未公開不存在信息洩漏CVE-2020-16957[高危] Windows Office 訪問連接引擎遠程代碼執行漏洞可利用可利用未公開不存在遠程代碼執行CVE-2020-16904[高危]Azure 功能特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16969[高危]Microsoft Exchange 信息洩漏漏洞可利用可利用未公開不存在信息洩漏CVE-2020-16902[高危]Windows 程序安裝組件特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16912[高危]Windows 備份服務特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16954[高危]Microsoft Office 遠程代碼執行漏洞可利用可利用未公開不存在遠程代碼執行CVE-2020-16905[高危]Windows 錯誤報告組件特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16927[高危]Windows 遠程桌面協議 (RDP) 拒絕服務漏洞可利用可利用未公開不存在拒絕服務CVE-2020-16975[高危]Windows 備份服務特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16899[高危]Windows TCP/IP 拒絕服務漏洞易利用易利用未公開不存在拒絕服務CVE-2020-16910[高危]Windows 安全功能繞過漏洞可利用可利用未公開不存在
CVE-2020-0764[高危]Windows 存儲服務特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16918[高危]Base3D 遠程代碼執行漏洞可利用可利用未公開不存在遠程代碼執行CVE-2020-16892[高危]Windows 映像特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16887[高危]Windows 網絡連接服務權限提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16945[高危]Microsoft Office SharePoint可利用可利用未公開不存在跨站腳本攻擊CVE-2020-16953[高危]Microsoft SharePoint 信息洩漏漏洞可利用可利用未公開不存在信息洩漏CVE-2020-16890[高危]Windows 內核特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16896[高危]Windows 遠程桌面協議 (RDP) 信息洩漏漏洞易利用易利用未公開不存在信息洩漏CVE-2020-16948[高危]Microsoft SharePoint 信息洩漏漏洞可利用可利用未公開不存在信息洩漏CVE-2020-16916[高危]Windows COM Server 特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16931[高危]Microsoft Excel 遠程代碼執行漏洞可利用可利用未公開不存在遠程代碼執行CVE-2020-16876[高危]Windows 應用程式兼容性客戶端庫特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16972[高危]Windows 備份服務特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16929[高危]Microsoft Excel 遠程代碼執行漏洞可利用可利用未公開不存在遠程代碼執行CVE-2020-16936[高危]Windows 備份服務特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16932[高危]Microsoft Excel 遠程代碼執行漏洞可利用可利用未公開不存在遠程代碼執行CVE-2020-16889[高危]Windows KernelStream 信息洩漏漏洞可利用可利用未公開不存在信息洩漏CVE-2020-16943[高危]Dynamics 365 Commerce 特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16863[高危]Windows 遠程桌面服務拒絕服務漏洞可利用可利用未公開不存在拒絕服務CVE-2020-16973[高危]Windows 備份服務特權提升漏洞可利用可利用未公開不存在權限提升CVE-2020-16980[高危]Windows iSCSI 目標服務特權提升漏洞可利用可利用未公開不存在權限提升

https://www.zdnet.com/article/microsoft-october-2020-patch-tuesday-fixes-87-vulnerabilities/

https://cert.360.cn/warning/detail?id=59eb03237e0f68df8dd8de2ab5f2834b

2、CVE-2020-14386：Linux內核中的特權升級漏洞

https://unit42.paloaltonetworks.com/cve-2020-14386/

3、Adobe Flash Player中一個嚴重的遠程代碼執行漏洞

https://helpx.adobe.com/security/products/flash-player/apsb20-58.html

4、CVE-2020-16898: Windows TCP/IP遠程執行代碼漏洞通告

https://cert.360.cn/warning/detail?id=cd37c1ae12bd5a921b0261f55e50255b

數據洩露

1、家庭攝像機3TB數據洩露，哎，多防護下吧

https://www.hackread.com/3tb-clips-hacked-home-security-cameras-leaked/

2、北約和土耳其軍事/國防製造商Havelsan的機密文件。

https://cybleinc.com/2020/10/12/alleged-sensitive-documents-of-nato-and-turkey-leaked-case-of-cyber-hacktivism-or-cyber-espionage/

網絡戰與網絡情報

1、英國網軍入侵能力達成新階段，英國網軍具備進攻性打擊能力。

https://www.theguardian.com/technology/2020/sep/25/britain-has-offensive-cyberwar-capability-top-general-admits

2、研究報告：商業電子郵件釣魚攻擊分析，25%攻擊者在美國

https://www.agari.com/insights/whitepapers/threat-intelligence-brief-geography-bec/

3、供應鏈攻擊是未來網絡攻擊的主要方式之一

https://acn-marketing-blog.accenture.com/wp-content/uploads/2020/09/2020FutureofCyberThreats_Final.pdf

4、美國國土安全部報告，警惕美國人口情報信息面臨網絡攻擊

https://www.dhs.gov/sites/default/files/publications/2020_10_06_homeland-threat-assessment.pdf

5、美國將增加太空部隊網絡安全團隊

https://www.infosecurity-magazine.com/news/us-to-grow-space-force/

廣告時間

360威脅情報中心TI新版上線

https://ti.360.cn

今日威脅情報2020/10/10-14(第310期)

相關焦點

今日威脅情報2020/10/23-26(第314期)

今日威脅情報2020/10/1-9(第309期)

今日威脅情報2020/4/10-13(第247期)

今日威脅情報2020/12/14-16(第330期)

每周高級威脅情報解讀(2020-10-08—10-15)

今日威脅情報2020/4/14-15(第248期)

今日威脅情報2020/11/15-18(第322期)

今日威脅情報(2019/10/--28)

今日威脅情報2021/2/10-17(第348期)

今日威脅情報2020/12/1-3(第327期)

每周高級威脅情報解讀(2020.10.15~10.22)

今日威脅情報(2019/10/21)

今日威脅情報2020/7/11-13(第279期)

今日威脅情報2020/12/23-26(第333期)

今日威脅情報2020/8/21-24(第294期)

今日威脅情報2020/8/5-6(第287期)

每周高級威脅情報解讀(2020.12.10~12.17)

今日威脅情報2021/1/20-24(第341期)

今日威脅情報2020/5/20-21(第262期)

今日威脅情報2020/4/24-26(第252期)