海王捕鱼威胁情报周报(2020.06.08-2020.06.14)
2020-06-15
一、 威胁通告
微软2020年6月安全更新多个产品高危漏洞
【发布时间】2020-06-10 09:00:00 GMT
【概述】
北京时间6月10日,微软发布6月安全更新补丁,修复了130个安全问题,涉及Micros oft Windows、InternetExplorer、MicrosoftEdge、WindowsDefender、MicrosoftOffice、Visual Studio、AdobeFlashPlayer等广泛使用的产品,其中包括内存泄露和远程代码执行等高危漏洞类型。 本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞共有12个,重要(Important)漏洞有118个。这是微软有史以来在一个月内发布CVE数量最多的一次,其中WindowsSMB远程代码执行漏洞(CVE-2020-1301)与WindowsSMBv3客户端/服务器信息泄漏漏洞(CVE-2020-1206)的PoC已公开。
【链接】
http://blog.nsfocus.net/ms-security-update-0610/
二、 热点资讯
1. Adobe 2020年6月安全更新
【概述】
当地时间2020年6月10日,Adobe官方发布了6月安全更新,修复了Adobe 多款产品的多个漏洞,包括Adobe Framemaker、Adobe Experience Manager和Adobe Flash Player。
【参考链接】
http://blog.nsfocus.net/adobe-security-update-0610/
2. 攻击者使用User-Agent: Abcd感染多款路由器和视频监控设备
【概述】
近期通过绿盟威胁捕获系统,我们发现了一批具有特定行为和目标的攻击者,其攻击所用HTTP请求包中的User-Agent字段往往是确定内容:“Abcd”, 主要感染目标涉及多款路由器和视频监控设备。这些攻击者从5月份出现活跃至今,近期依然捕获到其投递样本的行为,受影响的物联网资产包括AXIS摄像头、九安摄像头、TVT摄像头、LILIN DVR、ipTIME路由器以及多款存在DNS劫持漏洞的路由器。
【参考链接】
http://blog.nsfocus.net/
3. 针对Github中Java项目的定向攻击
【概述】
2020年5月28日,Github安全团队发表了文章称Github上存在一组代码仓库正在服务于感染了恶意代码的开源项目(https://securitylab.github.com/research/octopus-scanner-malware-open-source-supply-chain),攻击者通过提交恶意代码至开源项目,并被其他开源项目所引用。本次供应链攻击针对的是经常使用开源项目的开发人员。通过感染开发人员使用的IDE(集成开发环境),以达到在开发人员开发的所有项目植入有恶意软件的目的。目前来看,该攻击者只针对JAVA项目。
【参考链接】
http://blog.nsfocus.net/github-ocs-0605/
4. TA410组织利用恶意软件FlowCloud针对美国公用事业提供商
【概述】
TA410组织近期针对美国公用事业提供商发起网络钓鱼攻击,此次攻击以培训和认证为主题邮件作为诱饵,通过便携式可执行附件和负载有大量宏的Microsoft Word文档传递模块化的恶意软件FlowCloud。FlowCloud恶意软件能够根据访问剪贴板、已安装的应用程序、键盘、鼠标、屏幕、文件、服务和进程等命令提供远程访问功能,并C&C传输信息。
【参考链接】
5. Gamaredon组织利用Outlook群发鱼叉邮件
【概述】
Gamaredon恶意组织主要针对乌克兰的机构,使用具有将恶意宏和远程模板注入现有Office文档的功能的工具。这些工具可以向受害者的Microsoft Office通讯簿中的联系人发送鱼叉式电子邮件,旨在从受感染的系统中收集敏感信息并进一步传播,主要是在试图窃取数据的同时在目标网络中尽可能快地传播。
【参考链接】
https://www.welivesecurity.com/2020/06/11/gamaredon-group-grows-its-game/
6. Dark Basin组织在全球发动大规模网络钓鱼攻击
【概述】
Dark Basin是一个以入侵为目的的黑客组织,目标群体是六大洲的数千个人和数百家机构,包括宣传团体和记者、民选和高级政府官员,金融以及其他多个行业。Dark Basin组织通过Gmail帐户和自托管帐户等向目标发送带有恶意链接的网络钓鱼电子邮件,并且使用URL缩短器来掩盖钓鱼网站,其目的是进行情报收集。
【参考链接】
https://citizenlab.ca/2020/06/dark-basin-uncovering-a-massive-hack-for-hire-operation/
7. Valak恶意软件使用无文件脚本感染设备
【概述】
Valak是基于脚本的多阶段恶意软件,该软件通过嵌入恶意URL或附件的电子邮件进行传播,并使用无文件脚本感染设备,攻击活动中Valak恶意软件从帐户中收集电子邮件,其中电子邮件凭证插件CLIENTGRABBER还用于从注册表中窃取电子邮件凭据。
【参考链接】
https://labs.sentinelone.com/valak-malware-and-the-connection-to-gozi-loader-confcrew/
8. Kingminer僵尸网络利用公共领域的工具分发采矿机
【概述】
Kingminer通过对SQL Server的用户名/密码和EternalBlue漏洞进行传播,使用开放源代码或公共领域的软件来托管交付的内容,并且使用特权提升漏洞提高自己的权限,感染成功后分发XMRig矿机的变体。
【参考链接】
https://news.sophos.com/en-us/2020/06/09/kingminer-report/
9. Tor2Mine组织部署AZORult等恶意软件
【概述】
Tor2Mine是一个以提供加密货币挖矿恶意软件而闻名的组织,该组织正在部署其他恶意软件,包括信息窃取恶意软件AZORult,远程访问工具Remcos,DarkVNC后门木马和剪贴板上的加密货币盗窃者用来集凭据并窃取更多钱。
【参考链接】
https://blog.talosintelligence.com/2020/06/tor2mine-is-up-to-their-old-tricks-and_11.html
10. EKANS勒索软件针对工业控制系统
【概述】
EKANS勒索软件在2020年1月首次被发现,近期发现EKANS针对工业控制系统ICS的攻击活动,Honda和Enel等知名厂商均受到影响。
【参考链接】
11. RagnarLocker勒索软件攻击企业用户
【概述】
RagnarLocker勒索软件的代码量小,以高级编程语言进行编码,目标是对它可以加密的所有文件加密并进行勒索。近期RagnarLocker勒索软件攻击企业用户,然后要求勒索近1100万美元的赎金换取未泄露从公司窃取的信息。
【参考链接】
12. Phorphiex/Trik僵尸网络分发勒索软件Avaddon
【概述】
近期在Phorphiex/Trik僵尸网络活动中,攻击者利用钓鱼邮件分发勒索软件Avaddon,受感染的用户机器被加密的文件扩展名为.avdn,并在桌面上留下自述文件,定向到一个暗网地址,以引导受害者进一步获取解密信息。
【参考链接】
https://appriver.com/resources/blog/june-2020/phorphiextrik-botnet-delivers-avaddon-ransomware
13. Higaisa组织使用恶意LNK文件针对中国用户
【概述】
Higaisa组织近期针对中国用户使用包含诱骗文件的LNK文件传播恶意后门,诱饵内容作为Internet快捷方式文件或PDF文件显示,并在后台执行恶意活动时显示给用户,该后门使用复杂的欺骗性技术,旨在规避安全检测。
【参考链接】
https://www.zscaler.com/blogs/research/return-higaisa-apt
14. QakBot变种通过网络钓鱼邮件传播
【概述】
QBot木马,也称为QakBot,通过带有MS Office Word文档的网络钓鱼电子邮件进行传播,并且可以隐藏自己不被识别。该恶意软件最初被称为金融恶意软件,旨在通过窃取用户凭据和击键来针对政府和企业进行金融欺诈。
【参考链接】
https://www.fortinet.com/blog/threat-research/deep-analysis-of-a-qbot-campaign-part-1
