海王捕鱼威胁情报月报(2020年4月)
2020-05-04
一、漏洞态势
2020年04月海王捕鱼安全漏洞库共收录209漏洞, 其中高危漏洞155个,微软高危漏洞18个。
* 数据来源:海王捕鱼威胁情报中心,本表数据截止到2020.04.29
注:海王捕鱼漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等。
二、威胁事件
【标签】polaris
【时间】2020-04-10
【简介】
近期海王捕鱼格物实验室发现针对Netlink GPON路由器RCE漏洞的利用行为。在2020年3月18日Netlink GPON路由器的远程执行漏洞被公布不久后,polaris僵尸网络便通过该漏洞传播其样本,导致攻击源数量、攻击次数以及捕获到攻击的节点数量均呈上升趋势。
【防护措施】
绿盟威胁情报中心关于该事件提取12条IOC,其中包含2个IP、6个样本和4个漏洞;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
【标签】DarkHotel、SSL VPN
【时间】2020-04-06
【简介】
境外黑客组织DarkHotel通过非法手段控制部分深信服SSL VPN设备,并利用客户端升级漏洞(本次漏洞为SSL VPN设备Windows客户端升级模块签名验证机制的缺陷)下发恶意文件到客户端,从而进行高级可持续攻击活动。
【关联的攻击组织】
DarkHotel是非常活跃的威胁组织,该组织经常开展酒店和商务中心Wi-Fi连接和点对点文件共享网络活动,也会利用鱼叉式网络钓鱼进行攻击。
【防护措施】
绿盟威胁情报中心关于该事件提取4条IOC,其中包含1个IP、3个样本;DarkHotel组织相关事件13件,该攻击组织有10个关联IP、2个关联漏洞、43个关联样本和24关联域名;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
【标签】APT32、COVID-19
【时间】2020-04-21
【简介】
在2020年1月至2020年4月期间,APT32组织利用COVID-19疫情向中国发起鱼叉式网络钓鱼攻击。
【关联的攻击组织】
APT32,也被称为Ocean Lotus、Ocean Buffalo和SeaLotus,是一个与越南有关的威胁组织,主要关注越南、菲律宾、老挝和柬埔寨等东南亚国家。该组织的目标是多个私营部门以及外国政府、持不同政见者和记者,主要关注越南、菲律宾、老挝和柬埔寨等东南亚国家。据称该集团以越南为基地。
【防护措施】
绿盟威胁情报中心关于该事件提取8条IOC,其中包含4个域名、3个样本和1个邮箱;APT32组织相关事件18件,该攻击组织有8个关联IP、1个漏洞、11个关联样本和107关联域名;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
【标签】APT41、Speculoos
【针对行业】医疗保健、高等教育、制造业、政府和技术服务等
【时间】2020-04-12
【简介】
APT41组织利用最近披露的漏洞特地设计了功能齐全的后门Speculoos,并发起一场全球攻击行动,该行动针对Citrix、思科和Zoho网络设备,受害者来自多个行业,如医疗保健、高等教育、制造业、政府和技术服务等,遍布全球多个地区,如北美、南美和欧洲。
【关联的攻击组织】
APT41是一个与中国有关的威胁组织,至少从2012年活跃至今,主要业务包括国家赞助的网络间谍活动以及出于经济动机的入侵活动,该组织攻击影响多个行业,包括医疗保健、电信、金融科技、电影和媒体、虚拟货币行业等。
【关联的攻击工具】
Speculoos是一个用GCC 4.2.1编译的ELF可执行文件,可以在FreeBSD系统上运行,针对Citrix应用程序交付控制器、Citrix网关和Citrix SD-WAN WANOP设备,攻击者远程执行任意命令。
【防护措施】
绿盟威胁情报中心关于该事件提取10条IOC,其中包含3个IP、2个域名、5个样本和1个漏洞;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
【标签】Gamaredon、Covid-19
【时间】2020-04-17
【简介】
Gamaredon是一个针对乌克兰政府机构的具有高度威胁的APT组织,最近该组织利用冠状病毒大流行作为诱饵发起攻击活动。Gamaredon组织使用包含恶意文档文件(docx格式)的鱼叉式钓鱼攻击,引诱受害者打开电子邮件和附件,下载并执行VBScript (VBS)的恶意宏代码,进而发起攻击。
【关联的攻击组织】
Gamaredon是一个网络威胁组织,自2013年以来一直活跃,主要针对乌克兰政府进行恶意活动。其主要目的是窃取政府,军事人员资料信息。
【防护措施】
绿盟威胁情报中心关于该事件提取46条IOC,其中包含21个域名、25个样本;Gamaredon组织相关事件7件,该攻击组织有12个关联IP、224个关联样本和63关联域名;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
【标签】Evil Eye、iOS漏洞
【时间】2020-04-21
【简介】
Evil Eye组织曾发起在安卓手机上安装恶意软件植入的攻击,到2020年1月初,该组织被发现针对维吾尔网站利用IRONSQUIRREL开源框架来启动攻击链,利用WebKit中的漏洞针对目标苹果iOS操作系统,通过恶意的iframe加载到受攻击的网站上来进行攻击。
【关联的攻击组织】
Evil Eye是一个威胁组织,曾多次针对中国维吾尔族进行攻击活动。
【防护措施】
绿盟威胁情报中心关于该事件提取18条IOC,其中包含7个IP、5个样本和6个域名;Evil Eye组织相关事件1件,该攻击组织有7个关联IP、5个关联样本和6个关联域名;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
【标签】SideWinder
【针对行业】军队
【时间】2020-04-14
【简介】
近期该组织以新冠疫情为主题针对巴基斯坦军方进行攻击,此次攻击以一个名为Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus.pdf.lnk的快捷方式作为诱饵,执行此快捷方式后安装木马,窃取并收集用户的数据信息。
【关联的攻击组织】
SideWinder是一个至少从2012年开始活跃的威胁组织,疑似来自印度,主要针对巴基斯坦及周边国家进行定向攻击。
【防护措施】
绿盟威胁情报中心关于该事件提取12条IOC,其中包含12个样本;SideWinder组织相关事件7件,该攻击组织有3个关联IP、1个漏洞、45个关联样本和18关联域名;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
【标签】APT41
【针对行业】法律
【时间】2020-04-01
【简介】
APT41组织利用Zoho ManageEngine的零日漏洞CVE-2020-10189攻击美国、欧洲地区的法律相关部门。
【关联的攻击组织】
APT41是一个与中国有关的威胁组织,至少从2012年活跃至今,主要业务包括国家赞助的网络间谍活动以及出于经济动机的入侵活动,该组织攻击影响多个行业,包括医疗保健、电信、金融科技、电影和媒体、虚拟货币行业等。
【防护措施】
绿盟威胁情报中心关于该事件提取9条IOC,其中包含3个IP、1个域名、4个样本和1个漏洞;APT41组织相关事件4件,该攻击组织有27个关联样本和26关联域名;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
【标签】VOLLGAR
【针对行业】医疗、航空、IT、电信、教育等多个领域
【时间】2020-04-01
【简介】
VOLLGAR活动旨在感染运行MS-SQL服务器的Windows计算机,使用暴力破解受害者计算机,部署多个后门并执行多个恶意模块,受害者分布在中国、印度、韩国、土耳其和美国等国家,受影响的行业涵盖医疗、航空、IT、电信、教育等多个领域。
【防护措施】
绿盟威胁情报中心关于该事件提取38条IOC,其中包含12个IP和26个域名;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
【标签】FIN6、Anchor、PowerTrick
【时间】2020-04-07
【简介】
FIN6是一个有组织的网络犯罪团伙,自2015年以来一直很活跃,主要针对美国和欧洲的实体零售商和酒店行业的POS机,该组织与TrickBot合作使用Anchor和PowerTrick对企业网络进行针对性的攻击。另外,FIN6的目标包括但不限于电子商务环境和勒索软件。
【关联的攻击组织】
FIN6是一个网络犯罪组织,以窃取支付卡数据并将其出售给地下市场以牟利,主要针对酒店和零售业等。
【防护措施】
绿盟威胁情报中心关于该事件提取4个样本;FIN6组织相关事件4件,该攻击组织有14个关联IP、18个关联样本和1关联域名;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
【标签】Donot
【时间】2020-04-08
【简介】
近期发现Donot组织大量移动端恶意app,这些app功能和内容涵盖各个方面,其中包含应用市场、新闻、游戏等,运行后会对手机进行远程控制、窃取目标手机的机密信息等。
【关联的攻击组织】
Donot是至少可以追溯到2016年的攻击组织,主要针对南亚巴基斯坦等国家进行攻击活动。
【防护措施】
绿盟威胁情报中心关于该事件提取10条IOC,其中包含4个IP、8个域名、28个样本;Donot组织提取相关事件6件;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
【标签】Lazarus
【时间】2020-04-13
【简介】
近期,Lazarus组织在定向攻击活动中伪装成韩国仁川疾控中心,发送以新型冠状病毒为主题的钓鱼邮件诱导用户,附件中带有恶意HWP文档。
【关联的攻击组织】
Lazarus Group(又名HIDDEN COBRA、Guardians of Peace、ZINC和NICKEL ACADEMY)是一个威胁组织,归属于朝鲜政府,该组织至少从2009年以来一直活跃。
【防护措施】
绿盟威胁情报中心关于该事件提取5个样本;Lazarus组织相关事件32件,该攻击组织有22个关联IP、5个关联漏洞、117个关联样本和31关联域名;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
【标签】TA505、SDBbot
【时间】2020-04-13
【简介】
TA505是一个以财务为动机的网络犯罪组织,目标包括金融、零售和餐饮在内的多个行业。最近TA505组织主要通过恶意垃圾邮件传播各种自定义和开源恶意软件,如SDBbot木马,其具有远程访问功能,并且能够窃取用户数据。
【关联的攻击组织】
TA505是至少从2014年以来一直活跃的威胁组织,该组织是臭名昭著的Dridex银行木马和Locky勒索软件的幕后黑手,这两大恶意软件借助Necurs僵尸网络通过恶意电子邮件活动传播。与TA505相关的其他恶意软件包括Philadelphia和GlobeImposter勒索软件家族。
【关联的攻击工具】
SDBbot具有远程访问功能,接受来自C&C服务器的命令,并窃取用户数据。
【防护措施】
绿盟威胁情报中心关于该事件提取18条IOC,其中包含3个IP、3个域名、12个样本;TA505组织相关事件11件,该攻击组织有1个关联IP和3关联域名;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
您的联系方式
购买热线
提交项目需求
欢迎加入海王捕鱼,成为我们的合作伙伴!
© 2024 NSFOCUS 海王捕鱼 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号