海王捕鱼威胁情报周报(2020.07.13-2020.07.19)
2020-07-20
一、 威胁通告
Windows DNS服务器远程代码执行漏洞
【发布时间】2020-07-15 12:00:00 GMT
【概述】
2020年7月15日,微软发布7月安全更新补丁,其中修复了一个WindowsDNS服务器远程代码执行漏洞(CVE-2020-1350),代号为SigRed,此漏洞已存在17年之久,CVSS评分为10。默认配置下,未经验证的攻击者可以向WindowsDNS服务器发送恶意请求来利用此漏洞。
【链接】
https://nti.nsfocus.com/threatWarning
Weblogic多个远程代码执行漏洞
【发布时间】2020-07-15 12:00:00 GMT
【概述】
2020年7月15日,Oracle官方发布2020年7月关键补丁更新(CriticalPatchUpdate),修复了443个危害程度不同的安全漏洞。其中包括4个WebLogic的严重漏洞(CVE-2020-14625、CVE2020-14644、CVE-2020-14645、CVE-2020-14687),此4个漏洞均和T3、IIOP协议相关,未经身份验证的攻击者可通过此次的漏洞实现远程代码执行。CVSS评分均为9.8,利用复杂度低。
【链接】
https://nti.nsfocus.com/threatWarning
微软2020年7月安全更新
【发布时间】2020-07-15 18:00:00 GMT
【概述】
北京时间2020年7月15日,微软发布7月安全更新补丁,修复了124个安全问题,涉及Microsoft Windows、InternetExplorer、MicrosoftOffice、MicrosoftEdge、WindowsDefender、Visual Studio等广泛使用的产品,其中包括远程代码执行和权限提升等高危漏洞类型。本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞共有18个,重要(Important)漏洞有106个。
【链接】
https://nti.nsfocus.com/threatWarning
二、 热点资讯
1. SAP NetWeaver AS Java严重漏洞
【概述】
当地时间2020年7月13日,SAP发布安全更新表示,修复了一个存在于SAP NetWeaver AS Java(LM配置向导)7.30至7.50版本中的严重漏洞CVE-2020-6287。漏洞缘于SAP NetWeaver AS for Java Web组件中缺少身份验证,因此允许攻击者在受影响的SAP系统上进行高特权活动。
【参考链接】
http://blog.nsfocus.net/sap-netweaver-as-java-0714/
2. Oracle全系产品2020年7月关键补丁更新
【概述】
当地时间2020年7月14日,Oracle官方发布了2020年7月关键补丁更新公告CPU(Critical Patch Update),安全通告以及第三方安全公告等公告内容,修复了443个不同程度的漏洞。
【参考链接】
http://blog.nsfocus.net/oracle-july-0715/
3. Adobe 2020年7月安全更新
【概述】
当地时间7月14日,Adobe官方发布了7月安全更新,修复了Adobe 多款产品中的多个漏洞,包括Adobe Creative Cloud Desktop Application、Adobe Media Encoder、Adobe Genuine Service、Adobe ColdFusion 和 Adobe Download Manager。
【参考链接】
http://blog.nsfocus.net/adobe-july-0715/
4. Cisco多款产品发布安全更新
【概述】
当地时间2020年7月15日 ,Cisco为多款产品发布了安全更新通告,共解决了5个评分9.8的Critical级别漏洞(CVE-2020-3330、CVE-2020-3323、CVE-2020-3144、CVE-2020-3331、CVE-2020-3140)。
【参考链接】
http://blog.nsfocus.net/cisco-0716/
5. APT29针对COVID-19疫苗开发组织的攻击活动
【概述】
APT29组织近期使用名为WellMess和WellMail的自定义恶意软件针对加拿大、美国和英国的参与COVID-19疫苗开发的各个组织,窃取与COVID-19疫苗的开发和测试有关的信息和知识产权。APT29(又名Cozy Bear、CozyDuke、The Dukes和YTTRIUM)是一个归属于俄罗斯政府的威胁组织,至少自2008年以来一直活跃。
【参考链接】
6. Welcome Chat恶意软件针对阿拉伯用户
【概述】
Welcome Chat看似一款功能强大的聊天应用程序,实则是间谍软件,可以监视受害者并免费获得其数据,该应用程序具有过滤已发送和已接收的SMS消息、通话记录历史记录、联系人列表、用户照片、已记录的电话、GPS设备的位置以及设备信息的功能,近期Welcome Chat旨在被攻击者利用针对阿拉伯用户。此次攻击活动疑似与Molerats组织有关。
【参考链接】
https://www.welivesecurity.com/2020/07/14/welcome-chat-secure-messaging-app-nothing-further-truth/
7. Turla组织利用NewPass恶意软件针对外交领域
【概述】
NewPass是一个相当复杂的恶意软件,它由滴管、加载器库和二进制文件组成,依赖一个编码的文件在彼此之间传递信息和配置。滴管用于部署二进制文件,加载器库能够解码提取最后一个组件的二进制文件,负责执行特定的操作。Turla组织近期利用NewPass恶意软件针对至少一个欧盟国家的外交和外交事务部门。Turla是一个总部位于俄罗斯的威胁组织,自2004年以来一直活跃。
【参考链接】
8. RATicate组织使用CloudEyE加载程序使恶意软件合法化
【概述】
RATicate组织至少从去年开始就传播远程管理工具(RAT)和其他窃取信息的恶意软件。近期RATicate组织使用CloudEyE加载程序以更隐蔽的方式解压缩和安装RAT和信息窃取程序的有效负载。CloudEyE是一个多阶段的加载器,也是一个恶意软件的加密器,带有以Visual Basic编写的包装器。它包含一个shellcode,该shellcode负责下载加密的有效负载并将其注入到远程进程中。RATicate是一个以窃取信息为目的的威胁组织,主要针对欧洲、中东和亚洲地区。
【参考链接】
https://news.sophos.com/en-us/2020/07/14/raticate-rats-as-service-with-commercial-crypter/
9. 巴西银行木马扩展到全球
【概述】
针对巴西的四大银行木马家族包括Guildma、Javali、Melcoz和Grandoreiro,近期它们的目标用户不仅是巴西,而且扩展到拉丁美洲和欧洲进行攻击活动,这些银行木马家族通过使用DGA、加密有效载荷、进程空化、劫持DLL、大量的LoLBins、无文件感染和其他技巧逃避分析和检测。
【参考链接】
https://securelist.com/the-tetrade-brazilian-banking-malware/97779/
10. Darkshades木马感染Android设备
【概述】
Darkshades是一种以Android设备为目标的远程访问木马。它具有窃取联系方式、精确跟踪位置、窃取实时短信/彩信、获取卡证书、捕获截图、加密文件和发起DDOS攻击的功能。Darkshades木马具有两种变种,区别在于有无卡凭据抓取功能。
【参考链接】
https://insights.oem.avira.com/in-depth-analysis-of-darkshades-a-rat-infecting-android-devices/
11. SLoad恶意软件通过垃圾邮件传播
【概述】
近期攻击者发起新的大规模垃圾邮件运动旨在传播SLoad恶意软件,垃圾邮件通过受感染的PEC传达,以虚拟发票的消息作为诱饵,该发票包含附加的恶意ZIP存档,其中包含VBS文件和XML。
【参考链接】
https://cert-agid.gov.it/news/campagna-sload-v-2-9-3-veicolata-via-pec/
12. 新型银行木马BlackRock的攻击活动
【概述】
近期在攻击活动中发现LokiBot银行木马的新变种BlackRock,其攻击目标包含大量社交、网络、通讯和约会应用程序,同时该木马具有覆盖攻击,发送垃圾邮件和窃取SMS消息、屏幕锁定、窃取和隐藏通知、隐藏应用程序图标和防止被移除等功能。
【参考链接】
https://www.threatfabric.com/blogs/blackrock_the_trojan_that_wanted_to_get_them_all.html
