绿盟威胁情报周报(20200427~20200510)
2020-05-11
一、威胁通告
- Jenkins插件多个漏洞
【发布时间】2020-05-08 18:00:00 GMT
【概述】5月6日,Jenkins官方发布安全公告修复插件中的9个漏洞,有5个插件受到影响。其中SCM Filter Jervis插件存在远程代码执行漏洞(CVE-2020-2189),官方定级为高危。由于SCM Filter Jervis插件默认不配置YAML解析器,导致用户可以使用过滤器配置项目,也可以操作SCM已存储配置过的项目内容。Credentials Binding 插件存在两个凭据泄露漏洞(CVE-2020-2181、CVE-2020-2182),Copy Artifact 插件存在权限校验不当漏洞(CVE-2020-2183),CVS 插件的跨站请求伪造漏洞(CVE-2020-2184)及Amazon EC2 插件中的4 个漏洞(CVE-2020-2185、CVE-2020-2186、CVE-2020-2187、CVE-2020-2188)。
【链接】http://blog.nsfocus.net/jenkins-0508/
二、热点资讯
- SaltStack多个漏洞
【概述】近日,服务器基础架构集中化管理平台SaltStack Salt被披露存在两个安全漏洞(CVE-2020-11651、CVE-2020-11652)。开源项目Salt是SaltStack公司产品的核心,作为管理数据中心和云环境中服务器的配置工具,广受欢迎。SaltStack Salt存在的两个漏洞分别是身份验证绕过漏洞(CVE-2020-11651)和目录遍历漏洞( CVE-2020-11652)。
【参考链接】http://blog.nsfocus.net/saltstack-0504/
- Weblogic远程代码执行漏洞
【概述】在Oracle官方发布的2020年4月关键补丁更新公告CPU(Critical Patch Update)中,两个针对 WebLogic Server,CVSS 3.0评分为 9.8的严重漏洞(CVE-2020-2883、CVE-2020-2884),允许未经身份验证的攻击者通过T3协议网络访问并破坏易受攻击的WebLogic Server,成功的漏洞利用可导致WebLogic Server被攻击者接管,从而造成远程代码执行。漏洞存在于WebLogic Server核心组件中,利用时无需身份认证及额外交互,并且在Weblogic控制台开启的情况下默认开启T3协议,故影响面较大。
【参考链接】http://blog.nsfocus.net/weblogic-solution-0508/
- H2Miner僵尸网络利用SaltStack漏洞入侵服务器挖矿
【概述】H2Miner是一个linux下的挖矿僵尸网络,通过hadoop yarn未授权、thinkphp 5 RCE、confluence RCE、docker和Redis未授权等多种手段进行入侵,分发恶意程序进行挖矿获取利益。近日H2Miner僵尸网络利用SaltStack身份验证绕过漏洞(CVE-2020-11651)和目录遍历漏洞( CVE-2020-11652)入侵企业主机进行挖矿。
【参考链接】https://s.tencent.com/research/report/976.html
- PerSwaysion运动滥用Microsoft文档共享服务
【概述】近期,多个网络犯罪集团发起一系列小型但有针对性的网络钓鱼攻击,因为其滥用了Sway服务,这次行动被称为PerSwaysion,此次行动主要是通过滥用Microsoft的文件共享服务来实现的,攻击还采用各种洗白技术和反情报方法逃避检测,其目标是位于美国、加拿大、德国、英国、荷兰、香港和新加坡等全球和地区金融中心的中小型金融服务公司、律师事务所和房地产集团。
【参考链接】https://www.group-ib.com/blog/perswaysion
- Naikon组织利用新后门Aria-body针对亚太地区
【概述】Naikon组织针对亚太地区包括澳大利亚、印度尼西亚、菲律宾、越南、泰国、缅甸和文莱几个国家的政府实体进行监视和收集情报。该组织从受感染的计算机和政府部门的网络、可移动驱动器中定位和收集特定的文件、截屏和键盘记录,还利用受感染部门的服务器作为C2服务器来收集、转发和路由窃取的数据。此次攻击该组织使用了一个名为Aria-body的新后门,以控制受害者的网络,Aria-body使用特定加载器加载到计算机中,并允许攻击者完全控制受害者的计算机,执行文件和进程操作,执行shell命令,以及上传和下载数据和其他插件。
【参考链接】https://research.checkpoint.com/2020/naikon-apt-cyber-espionage-reloaded/
- OceanLotus组织滥用合法证书通过Android应用市场传播恶意软件
【概述】OceanLotus组织通过官方和第三方市场传播Android应用程序的恶意软件的行为可以追溯到2014年,近期OceanLotus组织使用了合法的数字证书对一些样本进行了签名,首先上传一个干净的版本,然后添加恶意软件,通过Google Play和第三方市场进行传播,此次攻击活动的目标受害者主要针对非洲和亚洲地区。OceanLotus,也被称为APT32、SeaLotus和Ocean Buffalo,是一个与越南有关的威胁组织。
- Lazarus组织通过2FA应用程序分发Dacls木马
【概述】Lazarus组织自2009年以来从事网络间谍和网络犯罪活动,具有朝鲜背景,也被称为Hidden Cobra。Dacls是一种远程访问木马,是一种针对Windows和Linux平台的全功能隐蔽远程访问木马。近期Lazarus组织利用Dacls远程访问木马的新变种,通过2FA应用程序分发,针对使用Mac操作系统的中国用户进行攻击,进行命令执行、文件管理、流量代理和蠕虫扫描等操作。
- 新恶意软件Kaiji通过SSH暴力破解传播
【概述】近期一个新的僵尸网络活动利用自定义植入工具Kaiji,该恶意软件与中国有关,这个僵尸网络使用Golang编程语言从零开始构建,并通过SSH暴力破解目标服务器和物联网设备。
【参考链接】https://intezer.com/blog/research/kaiji-new-chinese-linux-malware-turning-to-golang/
- EVILNUM恶意软件针对全球金融业的攻击活动
【概述】EVILNUM恶意软件针对全球金融业,通过使用伪装成pdf和jpeg的木马文件进行传播。当文件被打开时,包含信用卡、驾照、护照和水电费的诱骗图像被显示给用户,同时暗中调用一个用headless Javascript编写的代理,这个代理针对Windows操作系统,允许攻击者上传下载文件、运行命令、窃取cookie和访问其他受保护的数据。
【参考链接】https://blog.prevailion.com/2020/05/phantom-in-command-shell5.html
- 新Aggah垃圾邮件活动分发多个远程访问木马
【概述】近期Aggah运动比较活跃,攻击者利用免费基础设施通过恶意垃圾邮件(malspam)附带恶意Microsoft Office文档,向目标用户的终端分发多阶段感染,感染的最终有效负载包括多个远程访问工具,Agent Tesla、njRAT和Nanocore RAT。
【参考链接】https://blog.talosintelligence.com/2020/04/upgraded-aggah-malspam-campaign.html
