海王捕鱼威胁情报周报（20200330~20200406）

2020-04-07

一、威胁通告

Linux Kernel信息泄漏&权限提升漏洞

【发布时间】2020-03-31 21:00:00 GMT

【概述】3月31日，Manfred Paul选手在Pwn2Own比赛上用于演示Linux内核权限提升的漏洞被CVE收录，漏洞编号为CVE-2020-8835。此漏洞由于bpf验证系统在Linux内核中没有正确计算某些操作的寄存器限制，导致本地攻击者可以利用此缺陷越界读取机密信息(内核内存)或将用户提升为管理权限。

http://blog.nsfocus.net/cve-2020-8835-0401/

Vollgar僵尸网络

【发布时间】2020-04-02 18:00:00 GMT

【概述】4月1日，Guardicore Labs团队发布了一份长期攻击活动的分析报告，此攻击活动主要针对运行MS-SQL服务的Windows系统。此攻击活动至少从2018年5月开始，攻击者会针对目标的MS-SQL进行暴力猜解，成功登录目标系统后，再在系统中部署后门并运行远控工具等恶意程序。这一系列的攻击活动被命名为“Vollgar”。

http://blog.nsfocus.net/vollgst-botnet-0402/

二、热点资讯

境外黑客利用深信服SSL VPN进行攻击

【概述】境外黑客组织“DarkHotel”通过非法手段控制部分深信服SSL VPN设备，并利用客户端升级漏洞（本次漏洞为SSL VPN设备Windows客户端升级模块签名验证机制的缺陷）下发恶意文件到客户端，从而进行APT攻击活动。绿盟威胁情报中心已支持对该事件的检测。

https://mp.weixin.qq.com/s/FyZGfe2TLibru3CRgcjFiw

新型勒索软件WannaRen

【概述】近日，网络上出现一种新型勒索病毒“WannaRen”并在PC上开始传播。该勒索软件会加密Windows系统中几乎任何文件，并且以“.WannaRen”后缀命名。攻击者留下比特币钱包并索取0.05比特币。目前该勒索软件影响Windows 7与Windows 10系统。

http://blog.nsfocus.net/wannaren-0407/

黑客利用nCoV-19疫情信息在西班牙投放SmokeLoader

【概述】自covid-19肺炎病毒在世界范围内爆发以来，海王捕鱼伏影实验室密切关注该时事话题在黑客产业链中的利用情况。近期，伏影实验室发现了新的利用疫情话题传播的邮件木马，隐藏在其中的攻击流程显示黑客已将现阶段的主流攻击手法与疫情诱饵结合起来，给疫情诱饵邮件的大规模传播制造了条件。

http://blog.nsfocus.net/smokeloader-0407/

Vollgar运动-针对运行MS-SQL服务的Windows系统

【概述】近期发现一个长期运行的攻击活动Vollgar，该活动旨在感染运行MS-SQL服务器的Windows计算机，使用密码暴力破解受害者计算机，部署多个后门并执行多个恶意模块，受害者分布在中国、印度、韩国、土耳其和美国等国家，受影响的行业涵盖医疗、航空、IT、电信、教育等多个领域。

https://www.guardicore.com/2020/04/vollgar-ms-sql-servers-under-attack/

攻击者利用Zoom视频会议应用传播恶意软件

【概述】近期发现攻击者将恶意软件伪装成合法Zoom视频会议软件，主要针对由于冠状病毒爆发而在家工作的用户。恶意程序不仅分布在Google Play上，还针对在Droids上加载应用程序的用户。其中还发现专门针对中国用户的Zoom APK，该恶意软件会在启动时询问电话、位置和照片权限。

https://labs.bitdefender.com/2020/03/infected-zoom-apps-for-android-target-work-from-home-users/

Raccoon信息窃取器滥用谷歌云服务

【概述】Raccoon恶意软件于2019年4月首次被发现，具有信息窃取功能，能够窃取登录凭证、信用卡信息、加密货币钱包和浏览器信息。近期发现Raccoon使用漏洞利用攻击包Fallout和Rig的攻击活动，攻击者滥用谷歌云服务使Raccoon规避检测，受影响国家包含印度、日本、哥伦比亚、加拿大和美国等。

https://blog.trendmicro.com/trendlabs-security-intelligence/raccoon-stealers-abuse-of-google-cloud-services-and-multiple-delivery-techniques/