Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:18742 篇
已收录公众号数量:91 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
阿里云先知 网安寻路人 网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
每周高级威胁情报解读(2021.02.11~02.18)
本文来自公众号:奇安信威胁情报中心   2021.02.19 10:04:26



2021.02.11~02.18

攻击团伙情报

  • 魔罗桫组织利用Android间谍软件Hornbill和SunBird监视印巴军事

  • MuddyWater针对阿联酋和科威特政府机构的网络间谍活动

  • Konni伪造HWP文档对中小型企业

  • 法国将一系列攻击事件与Sandworm组织相联系


攻击行动或事件情报

  • APOMacroSploit恶意软件生成器溯源分析

  • BazaLoader恶意软件通过情人节主题邮件分发

  • 欺骗德国近45万用户的Facebook网络钓鱼活动现已在英国传播


恶意代码情报

  • rinfo卷土重来,正疯狂扫描和挖矿

  • Javali银行木马为Avira杀软植入恶意软件

  • WatchDog:揭露开展了两年的加密劫持活动


漏洞情报

  • CVE-2021-24092:隐藏12年-Windows Defender中的特权升级漏洞

  • VMware vSphere Replication存在命令注入漏洞



攻击团伙情报

01

魔罗桫组织利用Android间谍软件Hornbill和SunBird监视印巴军事

披露时间 :2021年02月10日

情报来源 :https://blog.lookout.com/lookout-discovers-novel-confucius-apt-android-spyware-linked-to-india-pakistan-conflict

相关信息

近日,Lookout团队发现了两种新颖的Android间谍软件-Hornbill和SunBird,经分析,这些监视工具应为南亚组织魔罗桫使用。魔罗桫于2013年首次出现,主要的目标地区为巴基斯坦及其他南亚国家。

魔罗桫最初以Windows平台恶意软件而闻名,自2017年才开始使用Android间谍软件ChatSpy进行恶意监视活动。然而,在对Hornbill和SunBird进行详细分析后,魔罗桫或在使用ChatSpy前就开始了其长达一年的监视活动。

这些工具的目标包括与巴基斯坦军事,核当局以及克什米尔印度选举官员有关的人员。Hornbill和SunBird具有复杂的功能,可以提取SMS、加密的消息应用程序内容、地理位置以及其他类型的敏感信息。


02

MuddyWater针对阿联酋和科威特政府机构的网络间谍活动

披露时间 :2021年02月10日

情报来源 :https://www.anomali.com/blog/probable-iranian-cyber-actors-static-kitten-conducting-cyberespionage-campaign-targeting-uae-and-kuwait-government-agencies

相关信息

Anomali确定了一起恶意活动,并归因为中东组织MuddyWater。该活动与以往MuddyWater的活动(流沙行动)有着高度相似的战术,技术和程序(TTP)。

此次活动投放伪装成科威特政府和阿联酋国民议会的样本,目的是安装一个名为ScreenConnect的远程管理工具,该工具设计有自定义的启动参数。第一个恶意可执行文件中的URL参数伪装成科威特外交部mfa[.]gov.kw,另一个样本则利用mfa[.]gov作为自定义字段针对更为广泛的政府目标。


03

Konni伪造HWP文档对中小型企业

披露时间 :2021年02月17日

情报来源 :https://blog.alyac.co.kr/3586

相关信息

近日,ESTsecurity报道了一起Konni针对中小型企业的网络攻击,在此次攻击事件中,攻击者将OLE对象嵌入hwp诱饵文档中,用户点击文档弹出迷惑提示框诱导用户运行vbs脚本。若受害机器上安装有OneDrive则在其路径下创建xmllite.dll,待OneDrive被常规启动时,恶意代码也将启动。此外,恶意文件试图通过使用Base64代码编码的字符串与FTP服务器进行命令控制(C2)通信,并且通过“ XSL脚本处理”技术执行其他恶意操作。

通过策略与技术分析,此次活动归属于APT组织Konni。该组织从供应链攻击到鱼叉式网络钓鱼攻击,使用了各种入侵方法,如DOC或HWP文档,还引入了一种方法:将恶意模块隐藏在OneDrive文件夹中,并在执行常规程序时秘密地一起运行。


04

法国将一系列攻击事件与Sandworm(APT28)组织相联系

披露时间 :2021年02月15日

情报来源 :http://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf

相关信息

法国国家网络安全局(ANSSI)将过去四年多起法国IT提供商遭到入侵的事件与Sandworm黑客组织联系在一起。在受感染的系统上,ANSSI发现以webshell形式存在后门,该后门落在暴露于Internet的几台Centreon服务器上。该后门被标识为PAS Webshell,版本号3.1.4。在同一台服务器上,ANSSI发现了另一个与ESET描述的后门相同的后门,并命名为Exaramel。

ANSSI无法确定服务器是如何被入侵的。因此,目前尚不清楚攻击者是利用了Centreon软件的漏洞,还是受害者遭受供应链攻击。受这场大型攻击活动影响最大的是信息技术提供商,尤其是网络托管提供商。


攻击行动或事件情报

01

APOMacroSploit恶意软件生成器溯源分析

披露时间 :2021年02月16日

情报来源 :https://research.checkpoint.com/2021/apomacrosploit-apocalyptical-fud-race/

相关信息

在11月底,CheckPoint发现了一个新的Office恶意软件生成器,该恶意软件是作为恶意电子邮件活动的一部分分发的,该活动针对全球80多个客户,以试图控制受害机器并远程窃取信息。据说总共约有40名黑客在背后进行攻击,利用100个不同的电子邮件发件人,对30多个国家的用户进行了一系列攻击。

该工具名为“ APOMacroSploit ”,是一种宏漏洞利用程序生成器,它使用户可以创建能够绕过防病毒软件,Windows Antimalware Scan Interface(AMSI)甚至Gmail和其他基于电子邮件的网络钓鱼检测的Excel文档。

APOMacroSploit被认为是两个法国威胁者“ Apocaliptique”和“ Nitrix”的作品,据估计,他们在不到两个月的时间内在HackForums.net上出售该产品至少赚了5000美元。


02

BazaLoader恶意软件通过情人节主题邮件分发

披露时间 :2021年02月11日

情报来源 :https://www.proofpoint.com/us/blog/threat-insight/baza-valentines-day

相关信息

Proofpoint的研究人员在2021年1月和20月2日发现了多个BazaLoader活动,其中涉及人机交互的恶意站点,PDF附件和电子邮件诱饵互动等策略。有很多诱饵和主题,包括存储设备,办公用品,药品和运动营养,其中最活跃的是与即将到来的情人节假期相关的适时运动。这些活动遍布不同的公司和行业。

情人节虽然没有受到其他假期的影响,但却为各种演员提供了机会。联邦调查局波士顿总部外办事处已发布有关浪漫骗局的公开警告。虽然这不是一个浪漫的骗局,但它是情人节假期恰到好处的社会工程范例。


03

欺骗德国近45万用户的Facebook网络钓鱼活动现已在英国传播

披露时间 :2021年02月15日

情报来源 :https://cybernews.com/security/facebook-phishing-campaign-spreading-to-uk/

相关信息

上周,研究人员在Facebook上发现了一个网络钓鱼活动,自1月26日在德国发起以来,欺骗了将近450000用户。

一周后,这场网络钓鱼活动的策划者似乎想把网撒得更大。据调查结果表明,其策划者并没有放弃这一行动,自2月11日新的钓鱼活动开始以来,有20000多名受害者被骗。新的钓鱼活动现在也针对英国用户,约有75%的新受害者位于英国。


恶意代码情报

01

rinfo卷土重来,正在疯狂扫描和挖矿

披露时间 :2021年02月10日

情报来源 :https://blog.netlab.360.com/rinfojuan-tu-zhong-lai-zheng-zai-feng-kuang-sao-miao-he-wa-kuang/

相关信息

2020年10月中旬开始,360Netlab检测到botnet家族的新变种再次活跃起来,并且持续至今。目前该家族仍在传播之中,研究人员就老版本与新变种对比分析,发现该家族整体结构未变,仍由扫描和挖矿2大模块组成,扫描的目的仍然是为了组建挖矿型botnet。

样本跟2018年分析的那批同源,只是功能稍有变化,为最新变种。新版本仍然依赖ngrok.io来分发样本和上报结果。扫描的端口和服务有所变化,不再扫描Apache CouchDB和MODX服务,同时增加了3个新的扫描目标:Mongo、Confluence和vBulletin。跟老版本一样,新版本的扫描模块仍然只是探测端口和服务然后上报,并没集成exploit。


02

Javali银行木马为Avira杀软植入恶意软件

披露时间 :2021年02月16日

情报来源 :https://seguranca-informatica.pt/latin-american-javali-trojan-weaponizing-avira-antivirus-legitimate-injector-to-implant-malware/

相关信息

Javali是一种强大的恶意软件,其主要功能是从用户计算机上窃取银行信息和其他个人信息,并将其发送到C2服务器。该木马滥用了Avira Firm公司的合法注入器来创建子进程,并通过木马操作将受保护的DLL加载到内存中。有了这项技术,就有可能绕过某些AV和EDR,并且木马活动可能会长期被伪装。

除此之外,该木马还具有自我更新、捕获击键和鼠标移动、截屏、阻止访问多个基于Windows的应用程序、银行和金融门户网站以及在合法时启动Windows覆盖过程等功能。

根据对Javali的分析,研究人员还发现拉丁美洲的运营商正在不同的特洛伊木马之间共享代码,例如Lampion,URSA,Grandoreiro,Casbaneiro等等。


03

WatchDog:揭露开展了两年的加密劫持活动

披露时间 :2021年02月17日

情报来源 :https://unit42.paloaltonetworks.com/watchdog-cryptojacking/

相关信息

WatchDog矿工由三部分组成的Go语言二进制文件集和bash或PowerShell脚本文件组成。二进制文件执行特定的功能,其中之一通过确保挖掘过程不会意外挂起,过载或终止来模拟Linux watchdogd守护程序功能。第二个Go二进制文件在提供扫描操作期间发现的已标识NIX或Windows系统的目标利用操作功能之前,下载IP地址网络范围的可配置列表。最后,第三个Go二进制脚本将使用已启动的bash或PowerShell脚本中的自定义配置在Windows或NIX操作系统(OS)上启动挖掘操作。

研究人员已经规划了采矿作业背后的基础设施。他们确定了18个根IP终结点和7个恶意域,它们至少提供125个用于下载其工具集的恶意URL地址。unit42于2019年10月在Docker Hub上的可蠕虫Monero采矿操作Graboid上进行了报道。就活动系统的总数而言,Graboid是迄今为止已知的最大采矿操作。在运行时,它至少包含2,000个暴露的和受感染的Docker Daemon API系统。每个Graboid矿工有65%的时间处于运行状态,这意味着大约有1300个受损的Docker容器可随时开采。此外,由于配置脚本利用了所有可用的容器中央处理单元(CPU),因此Graboid还可以实现更高的处理速度。但是,在删除Docker Hub映像之前,仅已知Graboid可以运行三个月。

另一方面,WatchDog并不依赖第三方站点来承载其恶意有效载荷,因此截至报告发布,WatchDog已经处于活跃状态超过两年。


漏洞相关

01

CVE-2021-24092:隐藏了12年Windows Defender中的特权提升漏洞

披露时间 :2021年02月10日

情报来源 :https://labs.sentinelone.com/cve-2021-24092-12-years-in-hiding-a-privilege-escalation-vulnerability-in-windows-defender/

相关信息

SentinelOne披露了Windows Defender中的一个严重漏洞,攻击者可以利用该漏洞来提升非管理员用户的特权。Windows Defender已与Windows操作系统深度集成,并且默认情况下会在每台Windows计算机(超过10亿台设备)上安装Windows Defender。

Windows或Windows组件中的特权服务可能包含一些错误,这些错误会导致特权的恶意升级。攻击者经常使用此类漏洞进行复杂的攻击。

Microsoft修补了Windows Defender中的漏洞,并于2月9日发布了修复程序。在修复此漏洞之前,该漏洞已被发现12年了,这可能是由于激活此特定机制的性质所致。


02

VMware vSphere Replication存在命令注入漏洞

披露时间 :2021年02月11日

情报来源 :https://www.vmware.com/security/advisories/VMSA-2021-0001.html

相关信息

vSphere Replication是VMware vSphere组件,是为数据保护和灾难恢复而设计的虚拟机复制引擎。VMware在其通报中表示,该产品的几个版本都受到一个高度严重的命令注入漏洞的影响,具有管理员权限的黑客可以利用这个漏洞在底层系统上执行shell命令。

该漏洞编号为CVE-2021-21976。VMware已为每个受影响的vSphere Replication版本发布了补丁。