绿盟威胁情报周报（20200406~20200412）

2020-04-13

一、威胁通告

新型勒索软件WannaRen

【发布时间】2020-04-08 22:00:00 GMT

【概述】近日，网络上出现一种新型勒索病毒并在PC上开始传播。该勒索软件会加密Windows系统中的文件，并且以“.WannaRen”后缀命名。攻击者留下比特币钱包并索取 0.05 比特币。海王捕鱼应急响应团队通过跟踪分析，发现“kms激活工具19.5.2.exe”为勒索软件下载器，该下载器伪装成kms激活工具诱导用户下载。绿盟威胁情报中心已支持对该事件的在线检测，已使用情报赋能的产品在离线升级包中也可获取相应IOC（持续更新）。

【链接】http://blog.nsfocus.net/wannaren-0407/

深信服SSL VPN被境外APT组织利用并下发恶意代码

【发布时间】2020-04-06 23:00:00 GMT

【概述】4月6日，深信服官方发布通告称，有境外APT组织通过非法手段控制部分深信服SSL VPN设备，并利用客户端升级漏洞下发恶意文件到客户端，海王捕鱼对该事件密切关注，并进行了整体的梳理和分析，建议相关用户及时采取防护和应急措施。

【链接】http://blog.nsfocus.net/sslvpn-0407/

二、热点资讯

polaris僵尸网络攻击全球Netlink路由器

【概述】近期海王捕鱼格物实验室发现针对Netlink GPON路由器RCE漏洞的利用行为。在2020年3月18日Netlink GPON路由器的远程执行漏洞被公布不久，polaris僵尸网络便通过该漏洞传播其样本，导致攻击源数量、攻击次数以及捕获到攻击的节点数量均呈上升趋势。

【参考链接】https://mp.weixin.qq.com/s/9xEVrC5UzyuCF56Es1ppGA

xHelper木马针对Android手机进行大规模攻击

【概述】xHelper木马在2019年10月被发现开始针对Android手机进行大规模攻击，但即使现在，该木马仍然向以前一样活跃。xHelper是极具攻击性的木马软件，它将自己伪装成一款手机清理加速应用程序，安装之后在主屏幕或程序菜单自动隐藏，即使找到并删除它甚至恢复出厂设置也无用，它仍会保留在那里，而且可以安装后门向其他恶意软件暴露用户的数据。

【参考链接】https://securelist.com/unkillable-xhelper-and-a-trojan-matryoshka/96487/

APT41利用Zoho ManageEngine中漏洞针对法律相关实体

【概述】近期APT41组织利用Zoho ManageEngine的零日漏洞CVE-2020-10189攻击美国、欧洲地区的法律相关部门。APT41是一个与中国有关的威胁组织，至少从2012年活跃至今，主要业务包括国家赞助的网络间谍活动以及出于经济动机的入侵活动。

【参考链接】https://www.darktrace.com/en/blog/catching-apt-41-exploiting-a-zero-day-vulnerability/

Kinsing恶意软件针对容器环境的攻击

【概述】近期针对容器环境的攻击数量在增加。攻击者利用不受保护的开放Docker API端口来运行一个带有Kinsing恶意软件的Ubuntu容器，该恶意软件运行一个加密器，然后试图将恶意软件传播到其他容器和主机上。

【参考链接】https://blog.aquasec.com/threat-alert-kinsing-malware-container-vulnerability

WINDSHIFT组织针对中东的网络间谍活动

【概述】WINDSHIFT是一个从事高针对性的网络间谍活动的组织，针对整个中东地区的政府部门和关键基础设施工作的特定个人，攻击活动中WindTail是该组织使用的第一阶段macOS植入程序，通过滥用macOS对自定义URL方案的支持来远程感染macOS目标。

【参考链接】https://www.virusbulletin.com/virusbulletin/2020/04/vb2019-paper-cyber-espionage-middle-east-unravelling-osxwindtail/

FIN6组织在攻击活动中分发Anchor和PowerTrick后门

【概述】近两年来，有组织的网络犯罪集团之间的合作日益加强。FIN6是一个有组织的网络犯罪团伙，自2015年以来一直很活跃，主要针对美国和欧洲的实体零售商和酒店行业的POS机。近期其与TrickBot合作使用Anchor和PowerTrick对企业网络进行针对性的攻击。另外，FIN6的目标包括但不限于电子商务环境和勒索软件。

【参考链接】https://securityintelligence.com/posts/itg08-aka-fin6-partners-with-trickbot-gang-uses-anchor-framework/

Hoaxcalls僵尸网络利用Grandstream和DrayTek设备漏洞传播

【概述】Hoaxcalls是一个新的DDoS僵尸网络，利用Grandstream和DrayTek设备漏洞在全球范围内广泛传播，它通过IRC与C2服务器通信，接收到C2命令后，可以使用CVE-2020-8515和CVE-2020-5722漏洞通过扫描和感染易受攻击的设备进行传播。目前已有许多Grandstream UCM6200和Draytek Vigor设备被感染或攻击。

【参考链接】https://unit42.paloaltonetworks.com/new-hoaxcalls-ddos-botnet/

<<上一篇

绿盟威胁情报月报（2020年3月）

>>下一篇

绿盟威胁情报周报（20200420~20200426）