本周威脅情報2020/12/7-13(第329期)

2021-02-24 ThreatPage全球威脅情報

補上本周

高級威脅分析

1、APT34/OilRig新的樣本以及歸因分析,「老籤名」對應疑似APT34人員「

Iamfarhadzadeh」。

https://www.telsy.com/when-a-false-flag-doesnt-work-exploring-the-digital-crime-underground-at-campaign-preparation-stage/

https://www.telsy.com/wp-content/uploads/ATR_82599-1.pdf

2、俄羅斯APT使用COVID-19誘餌釋放Zebrocy特馬,這個是Go版本的Zebrocy的COVID-19網絡釣魚誘餌,攻擊目標之一是中國的一家醫療疫苗公司

https://www.intezer.com/blog/research/russian-apt-uses-covid-19-lures-to-deliver-zebrocy/

3、Facebook追蹤越南的APT組織「 OceanLotus」,並關閉該組織多個favebook帳號,重點:Facebook表示,它已經發現先前歸因於OceanLotus的網絡攻擊與一家名為CyberOne Group的越南公司之間的聯繫,該公司在胡志明市商業區的一條路邊列出了一個地址。

https://www.reuters.com/article/facebook-vietnam-cyber-idCAKBN28L03Y

4、Domestic Kitten組織(APT-C-50)針對中東地區反政府群體的監控活動

    Domestic Kitten組織(APT-C-50)最早被國外安全廠商披露,自2016年以來一直在進行廣泛而有針對性的攻擊,攻擊目標包括中東某國內部持不同政見者和反對派力量,以及ISIS的擁護者和主要定居在中東某國西部的庫德少數民族。值得注意的是,所有攻擊目標都是中東某國公民。伊斯蘭革命衛隊(IRGC)、情報部、內政部等中東某國政府機構可能為該組織提供支持。

    2020年9月27日,亞美尼亞與亞塞拜然之間的衝突升級,在納戈爾諾-卡拉巴赫地區交戰,敵對雙方持續發生激烈戰鬥,並且造成數十人傷亡。亞美尼亞與亞塞拜然之間存在領土爭端多年,最近再次爆發了近年最嚴重的衝突。由於中東某國與衝突兩國的共同邊界,中東某國的角色和當局的決定對此次衝突來說非常敏感。儘管中東某國對最近的緊張局勢持中立態度以及外交部要求克制和和平解決衝突的堅定立場,但中東某國國內某些團體、民間社會組織和中東某國議會議員呼籲支持亞塞拜然。或許正是這些原因,為了防止可能對中東某國政權穩定構成威脅,我們觀察到Domestic Kitten組織再次發起了攻擊行動。

    Domestic Kitten組織此次攻擊活動中使用了移動端攻擊武器,偽裝成居魯士大帝和Mohsen Restaurant相關APP,從代碼結構和功能上與商業監控軟體KidLogger高度相似。我們在此次攻擊活動中發現了一名活動在中東某國的疑似受害者,其可能參與了反政府相關活動。

https://blogs.360.cn/post/APT-C-50.html

5、火眼被APT組織入侵

https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html

洩露的紅隊工具

https://github.com/fireeye/red_team_tool_countermeasures

6、某兔攻擊分析

https://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager

7、與哈馬斯有關的黑客使用的新後門濫用Facebook、Dropbox

https://www.cybereason.com/hubfs/dam/collateral/reports/Molerats-in-the-Cloud-New-Malware-Arsenal-Abuses-Cloud-Platforms-in-Middle-East-Espionage-Campaign.pdf

https://threatpost.com/molerats-apt-espionage-facebook-dropbox/162162/

8、X兔

https://www.welivesecurity.com/2020/12/10/luckymouse-ta428-compromise-able-desktop/

9、X兔

https://decoded.avast.io/luigicamastra/apt-group-targeting-governmental-agencies-in-east-asia/

技術分享

1、C2-JARM TOOLS

https://github.com/cedowens/C2-JARM

2、Adrozek的新惡意軟體,該惡意軟體會感染設備並通過更改設置來劫持Chrome,Edge和Firefox瀏覽器。厲害了,除了做瀏覽器劫持做廣告,還可以獲取海量用戶瀏覽器隱私。

    文中技術分析還是不錯的。

https://www.microsoft.com/security/blog/2020/12/10/widespread-malware-campaign-seeks-to-silently-inject-ads-into-search-results-affects-multiple-browsers/

3、Palo Alto Networks 42部門的研究人員報告說,njRAT遠程訪問特洛伊木馬(RAT)(又名Bladabindi)背後的運營商正在利用Pastebin命令和控制隧道來避免檢測。,動式Pastebin C2隧道

https://www.hackread.com/hackers-pastebin-commands-njrat-bladabindi-trojan/

https://unit42.paloaltonetworks.com/njrat-pastebin-command-and-control/

4、利用CSS腳本釋放惡意軟體

https://www.zdnet.com/article/hackers-hide-web-skimmer-inside-a-websites-css-files/

5、PDF注射,可以XSS,利用PDF釣魚非常好用。惡意黑客能夠將PDF代碼注入「逃避對象,劫持連結,甚至執行任意JavaScript」到PDF文件中。

https://portswigger.net/research/portable-data-exfiltration

6、Microsoft詳細計劃提高Internet路由的安全性;1、RPKI(資源公鑰基礎結構)來源驗證;路線對象驗證;加強與對等網絡和註冊表的協作

https://azure.microsoft.com/en-us/blog/microsoft-introduces-steps-to-improve-internet-routing-security/

7、西門子樓漏洞本月的集合,非常不錯

https://www.se.com/ww/en/work/support/cybersecurity/security-notifications.jsp

漏洞相關

1、CVE-2020-29563,Western Digital My Cloud OS 5設備上發現一個問題。NAS Admin身份驗證繞過漏洞可能允許未經身份驗證的用戶訪問設備。

https://cvepremium.circl.lu/cve/CVE-2020-29563

2、牛逼工控漏洞,大網探測下?NI CompactRIO控制器漏洞可能導致生產中斷,在美國國家儀器公司的CompactRIO產品,堅固耐用,實時控制器,可提供高性能的處理能力,傳感器專用空調的I / O,以及一個緊密集成的軟體工具鏈,使它們非常適用於物聯網的產業網絡(IIoT),監控,和控制應用程式。CISA發布漏洞預警

https://us-cert.cisa.gov/ics/advisories/icsa-20-338-01

3、思科Jabber中的嚴重RCE漏洞。該漏洞會影響Windows,macOS和移動平臺的多個版本的Cisco Jabber。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-jabber-ZktzjpgO#details

4、Kerberos Bronze Bit攻擊CVE-2020-17049 POC釋放。可以繞過Windows環境中的Kerberos身份驗證協議

https://github.com/SecureAuthCorp/impacket/pull/1013

5、Apache Software Foundation發布Struts 2中與OGNL技術有關的遠程代碼執行漏洞解決方案。CVE-2020-17530。CVE-2019-0230與CVE-2020-17530類似

https://github.com/cellanu/cve-2019-0230

https://cwiki.apache.org/confluence/display/WW/S2-061

6、OpenSSL項目在TLS / SSL工具箱中披露了一個嚴重的安全漏洞,使用戶容易受到拒絕服務(DoS)攻擊

https://www.openssl.org/news/secadv/20201208.txt

7、Digital Defense的安全研究人員發現了D-Link VPN路由器中的三個漏洞,包括命令注入漏洞和經過身份驗證的crontab注入漏洞。

    專家最初發現了運行固件版本3.17的DSR-250路由器家族中的缺陷,進一步的調查使專家能夠確定這些漏洞還影響了其他設備,包括D-Link DSR-150,DSR-250,DSR-500和DSR。-1000AC VPN路由器,運行固件版本3.17和更低版本

https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10195

8、Microsoft Teams中可蠕蟲,跨平臺漏洞的技術詳細信息。

「重要的欺騙」-Microsoft Teams中的零點擊,可蠕蟲,跨平臺遠程代碼執行

https://github.com/oskarsve/ms-teams-rce/blob/main/README.md

9、思科發布了安全更新,修復了多個預身份驗證RCE漏洞,並利用了影響Cisco Security Manager的公共漏洞。Cisco Security Manager中的漏洞可能允許未經身份驗證的遠程攻擊者訪問受影響系統上的敏感信息。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-rce-8gjUz9fW

10、我們發現兩個最大的銷售點(PoS)供應商存在嚴重漏洞:Verifone和Ingenico。受影響的設備是Verifone VX520,Verifone MX系列和Ingenico Telium 2系列。

    通過使用默認密碼,我們能夠通過二進位漏洞(例如,堆棧溢出和緩衝區溢出)執行任意代碼。這些PoS終端漏洞使攻擊者能夠發送任意數據包,克隆卡,克隆終端並安裝持久性惡意軟體。

https://www.cyberdlab.com/research-blog/posworld-vulnerabilities-within-ingenico-telium-2-and-verifone-vx-and-mx-series-point-of-sales-terminals

數據洩露

1、世界第三大飛機製造商巴西航空工業公司洩漏數據,黑客勒索軟體利用漏洞攻擊。

https://www.prnewswire.com/news-releases/embraer-sa-material-fact-301182014.html

https://www.zdnet.com/article/hackers-leak-data-from-embraer-worlds-third-largest-airplane-maker/

網絡戰與網絡情報

1、智庫觀點:印度紀事:深入研究以服務印度利益為核心目標為期15年的針對歐盟和聯合國的服務項目。這算是印度的「遊說集團」,在國際上尋找符合印度利益的項目。有關部門可以注意下,X它?

https://www.disinfo.eu/publications/indian-chronicles-deep-dive-into-a-15-year-operation-targeting-the-eu-and-un-to-serve-indian-interests

2、國家安全局(NSA)警告稱,與俄羅斯有聯繫的黑客正在網絡間諜活動中利用VMware漏洞

https://us-cert.cisa.gov/ncas/current-activity/2020/11/23/vmware-releases-workarounds-cve-2020-4006

https://media.defense.gov/2020/Dec/07/2002547071/-1/-1/0/CSA_VMWARE%20ACCESS_U_OO_195076_20.PDF

3、美國網絡司令部和澳大利亞國防軍信息戰司(IWD)共同開發了虛擬網絡培訓平臺,美國和澳大利亞已經籤署了第一個網絡協議,以開發虛擬網絡培訓平臺,該項目將由美國網絡司令部(USCYBERCOM)和澳大利亞國防軍信息戰部(IWD)設計。五眼聯盟新合作。

https://www.cybercom.mil/Media/News/Article/2434919/us-and-australia-sign-first-ever-cyber-agreement-to-develop-virtual-training-ra/

4、美國與朝鮮半島的未來,來自美國國務院。

https://www.state.gov/the-future-of-the-united-states-and-the-korean-peninsula/

5、澳大利亞情報界尋求建立絕密雲,澳大利亞國家情報局呼籲供應商表達興趣,以為國家情報界構建高度安全的私有社區雲服務

https://www.zdnet.com/article/australian-intelligence-community-seeking-to-build-a-top-secret-cloud/

相關焦點

  • 今日威脅情報2020/4/10-13(第247期)
    年2月13日至2020年4月1日之間與冠狀病毒相關的網絡釣魚電子郵件。10分鐘學技術https://osintcurio.us/2020/04/12/tips-and-tricks-on-reverse-image-searches/https://youtu.be/vEGSDuSbURw2、Sophos本周宣布Sandboxie 的原始碼公開可用
  • 今日威脅情報2020/7/11-13(第279期)
    奇安信威脅情報中心在日常的樣本跟蹤分析過程中,捕獲該組織多個近期針對周邊國家和地區的定向攻擊樣本。在此次捕獲的樣本中,摩訶草組織採用了多種利用方式:例如偽裝成南亞地區某國的網絡安全協議的CVE-2017-0261漏洞利用文檔,偽裝成疫情防範指導指南的宏利用樣本,在巴基斯坦某證券交易網站投放的偽裝成java運行環境的可執行文件等。
  • 今日威脅情報2020/12/14-16(第330期)
    年12月13日,據外媒報導美國多個重要政府機構遭受了國家級APT組織的攻擊入侵,攻擊疑似是由於基礎網絡管理軟體供應商SolarWinds的產品缺陷導致。https://www.volexity.com/blog/2020/12/14/dark-halo-leverages-solarwinds-compromise-to-breach-organizations/關於這個產品的全球使用情況https://app.binaryedge.io/services/query?
  • 今日威脅情報2020/12/23-26(第333期)
    ti.360.cn高級威脅分析
  • 今日威脅情報2020/12/1-3(第327期)
    https://eclypsium.com/2020/12/03/trickbot-now-offers-trickboot-persist-brick-profit/https://googleprojectzero.blogspot.com/2020/12/an-ios-zero-click-radio-proximity.html2、OpENer的乙太網/ IP功能中的兩個漏洞。OpENer是用於I / O適配器設備的乙太網/ IP堆棧。
  • 今日威脅情報2020/10/23-26(第314期)
    通過分析,我們發現此次攻擊活動來自阿爾及利亞,主要利用釣魚網站和第三方文件託管網站進行載荷投遞,並且使用社交媒體進行傳播,受害者主要分布在阿拉伯語地區,其中包含疑似具有軍事背景的相關人員。根據此次攻擊活動的偽裝對象和攻擊目標,我們認為該組織目的是為了獲取情報先機。
  • 今日威脅情報2020/10/1-9(第309期)
    >5、針對亞塞拜然地區的高級威脅攻擊(PoetRAT),網絡攻擊,真的是無處不在。/12、聯合國官方發布朝鮮APT KimSuky 組織攻擊聯合國官員。https://undocs.org/zh/S/2020/84013、俄羅斯頂級公司和銀行受到OldGremlin的攻擊,OldTiremlin是一個控制TinyCryptor勒索軟體的組織
  • 今日威脅情報2020/11/15-18(第322期)
    https://www.welivesecurity.com/2020/11/16/lazarus-supply-chain-attack-south-korea/6、火眼對2021年網絡空間威脅的預測分析
  • 今日威脅情報2020/10/10-14(第310期)
    2018年7月,我們發布了《藍寶菇-核危機行動揭秘》報告,在披露了該組織相關網絡間諜活動之後,藍寶菇組織的攻擊頻次有所下降,但未完全停歇。繼而採用了針對關鍵目標進行短期集中攻擊的閃電戰策略,如18年11月針對駐外使館、19年3月針對某科研機構等相關攻擊事先都進行了周密計劃,達成後快速隱匿蟄伏。2020年初,在新冠疫情給全球格局帶來新的衝擊影響下,各APT組織針對國內的攻擊活動異常活躍。
  • 今日威脅情報2020/4/14-15(第248期)
    https://unit42.paloaltonetworks.com/apt41-using-new-speculoos-backdoor-to-target-organizations-globally/2、響尾蛇(SideWinder)APT組織使用新冠疫情為誘餌的攻擊活動分析,最近,騰訊安全威脅情報中心就捕獲到了一起
  • 今日威脅情報2020/8/5-6(第287期)
    高級威脅分析
  • 今日威脅情報2020/8/21-24(第294期)
    高級威脅分析
  • 今日威脅情報2021/1/16-19(第340期)
    -25687,CVE-2020-25683,CVE-2020-25682,CVE-2020-25681。你再品上一篇情報中,NSA號召大家使用DOH技術,冥冥中是巧合?b@e#r$h%o^m*esuperadmin / s(f)u_h+g|uadmin / lnadminadmin / CUadminadmin / admintelecomadmin / nE7jA%5madminpldt / z6dUABtl270qRxt7a2uGTiwgestiontelebucaramanga
  • 今日威脅情報2020/5/6-7(第256期)
    雖然不能做到每天發布,但是質量要做到最好高級威脅分析IOC:https://github.com/StrangerealIntel/CyberThreatIntel/blob/master/North%20Korea/APT/Lazarus/2020-05-05/CSV/IOC-Lazarus_2020_05_05.csv4、Lazarus組織的Lazarus Dacls RAT的新Mac變體分析。
  • 每周高級威脅情報解讀(2020-10-08—10-15)
    >攻擊行動或事件情報惡意代碼情報漏洞相關情報披露時間:2020年10月13日情報來源:https://mp.weixin.qq.com/s/omacDXAdio88a_f0Xwu-kg相關信息:       奇安信威脅情報中心紅雨滴安全研究團隊於2011年開始持續對華語來源的攻擊活動進行追蹤。
  • 今日威脅情報2020/5/20-21(第262期)
    雖然不能做到每天發布,但是質量要做到最好高級威脅分析/05/iranian-chafer-apt-targeted-air-transportation-and-government-in-kuwait-and-saudi-arabia/7、分享個樣本:https://www.virustotal.com/gui/file/2e3138220ff53df90c5cda449263dbbeb36df7612431d775ddfe047d2ece4281
  • 綠盟威脅情報專欄|6月威脅熱點
    另外,本月微軟修復的漏洞中,Critical的漏洞共有 12 個,Important的漏洞118 個,是有史以來最多的一次,其中 Windows SMB 遠程代碼執行漏洞(CVE-2020-1301)與 Windows SMBv3 客戶端/伺服器信息洩漏漏洞(CVE-2020-1206)的 PoC 已公開,請相關用戶及時更新補丁進行防護。
  • 安全通告2020年第40、41期
    本周收錄的漏洞中,涉及0day漏洞42個(佔25%),其中網際網路上出現「iCMS跨站請求偽造漏洞(CNVD-2020-54957)、WordPress跨站腳本漏洞(CNVD-2020-54948)」等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數3670個,與上周(2902個)環比增加26%。本周,CNVD收錄了169個漏洞。
  • 秋名山顯卡團第329期!
    秋名山顯卡團第302期!spm=a1z38n.10677092.0.0.11891debDIB5ZW&id=543265170213下單備註「秋名山顯卡團第329期」並拍套餐一,聯繫客服改價即可,無需等待返現。
  • 今日威脅情報2021/1/25-26(第342期)
    TI.360.CN高級威脅分析