海王捕鱼威胁情报周报-2020年第5周(2020.1.27-2020.2.02)
2020-02-02
一、 威胁通告
FusionAuth远程代码执行漏洞
【发布时间】2020-02-03 11:00:00 GMT
【概述】
北京时间1月28日,NVD发布了一个FusionAuth存在ApacheFreemarker模板远程命令执行(CVE-2020-7799)的漏洞;发现在FusionAuth中经过身份验证的用户可以编辑电子邮件模板(Home->Settings->EmailTemplates)或主题(Home->Settings->Themes),从而通过处理自定义模板的Apache FreeMarker引擎中的freemarker.template.utility.Execute在底层操作系统上执行任意命令。
【链接】
http://blog.nsfocus.net/cve-2020-7799/
二、 暗网情报
|
分类 |
发现时间 |
暗网交易标题 |
|
金融 |
2020/02/02 22:38 |
19年8月至11月某证券网站会员信息 |
|
金融 |
2020/02/02 14:20 |
218w全国股民基民数据 |
|
金融 |
2020/02/03 02:30 |
沿海发达城市股民数据10W |
| 金融 | 2020/02/02
23:23 |
19年98000条某银行信用卡用户详细信息 |
*更多详细内容,可与海王捕鱼商务人员联系或通过[email protected]与我们联系
三、 热点资讯
1. Emotet木马利用新型冠状病毒主题邮件传播
【概述】
最近Emotet木马的活动有所增加,它通过诱导用户打开恶意电子附件文档来实现传播,附件主题描述为有关新型冠状病毒预防措施的通知,攻击活动针对日本用户。
【参考链接】
https://exchange.xforce.ibmcloud.com/collection/18f373debc38779065a26f1958dc260b
2. Konni组织利用CARROTBALL针对美国政府机构
【概述】
近期发现一种新的恶意软件CARROTBALL被用于定向攻击活动中,恶意软件通过鱼叉式钓鱼邮件附件分发给美国政府机构和与朝鲜问题相关的专业人士,主题围绕朝鲜正进行的地缘政治问题诱导受害者打开。此次攻击活动疑似由Konni组织发起,该组织是一个与韩国有关的威胁组织。
【参考链接】
https://unit42.paloaltonetworks.com/the-fractured-statue-campaign-u-s-government-targeted-in-spear-phishing-attacks/
3. Winnti组织针对香港高校
【概述】
2019年11月发现Winnti针对两所香港大学发起新的攻击活动,攻击活动中发现ShadowPad后门的新变种,它使用新的启动器部署并嵌入许多模块。Winnti是一个与中国有关的威胁组织,至少自2010年以来一直活跃,该组织主要针对游戏行业,但也不断扩大其定位范围。
【参考链接】
https://www.welivesecurity.com/2020/01/31/winnti-group-targeting-universities-hong-kong/
4. xHunt活动:继续针对科威特的水坑攻击活动
【概述】
最近发现到一个科威特政府组织的网站被植入了恶意代码,以试图收集网站访问者的登录凭据,该网站自2019年5月至2020年1月期间,引用了Hisoka活动相关C2服务器上托管的图像,攻击者以试图从网页的访问者那里以NTLM散列的形式被动地获取帐户凭据。
【参考链接】
https://unit42.paloaltonetworks.com/xhunt-campaign-new-watering-hole-identified-for-credential-harvesting/
5. Aggah活动:针对意大利零售行业
【概述】
针对意大利零售行业的攻击活动近期被发现,攻击基于合法的第三方服务构建了自定义的stager植入程序,活动中分发的恶意软件包含AZOrult和Lokibot木马变种,其中AZOrult恶意软件主要针对美国、阿拉伯联合酋长国以及巴基斯坦、德国和以色列的少量受害者,而Lokibot是众所周知的信息窃取器。
【参考链接】
https://blog.yoroi.company/research/aggah-how-to-run-a-botnet-without-renting-a-server-for-more-than-a-year/
6. 超过20万个Wordpress网站遭受黑客攻击
【概述】
由于Code Snippets插件中存在严重的跨站点请求伪造(CSRF)漏洞CVE-2020-8417,超过20万个WordPress网站受到攻击。Code Snippets插件允许用户执行代码,而无需在其主题的functions.php文件中添加自定义片段。
【参考链接】
https://securityaffairs.co/wordpress/97037/hacking/code-snippets-plugin-csrf-flaw.html
