海王捕鱼威胁情报周报(2020.08.03-2020.08.09)
2020-08-11
一、 威胁通告
WebSphere远程代码执行漏洞(CVE-2020-4534)
【发布时间】2020-08-10 12:00:00 GMT
【概述】
北京时间2020年7月31日,IBM官方发布通告修复了WebSphere Application Server(WAS)中的一个远程代码执行漏洞(CVE-2020-4534)。该漏洞由于未正确处理UNC路径而导致,经过本地身份认证后,攻击者可以利用该漏洞完成代码执行,漏洞评分为7.8分。该漏洞(CVE-2020-4534)由海王捕鱼伏影实验室发现并提交至IBM。经专家判断,该漏洞可以与此前海王捕鱼提交至IBM的CVE-2020-4450组合利用,无需身份认证即可在目标服务端执行任意代码,获取系统权限,进而接管服务器。
【链接】
http://blog.nsfocus.net/websphere-cve-2020-4534-0810/
二、 热点资讯
1. 海莲花组织利用MsMpEng进行侧载攻击
【概述】
近日,绿盟威胁情报(NTI)发现了一起借用WindowsDefender主要组件MsMpEng.exe进行侧载攻击的事件。通过对本事件以及多个关联事件的分析,确认该系列攻击事件的发起者为海莲花(OceanLotus,APT32)组织。除常规手法之外,海莲花组织在这几次攻击中使用了一种新的混淆技术,以及一款新的中间载荷。
【参考链接】
2. NetWalker勒索软件针对西欧国家和美国
【概述】
NetWalker勒索软件最初称为Mailto,最早在2019年8月被发现,自发现以来针对很多不同的目标,主要位于西欧国家和美国。攻击活动中NetWalker勒索软件将随机扩展名附加到受感染的文件中,并使用Salsa20加密,它使用一种新的防御规避技术被称为反射DLL加载,用于从内存中注入DLL。
【参考链接】
https://www.mcafee.com//blogs/other-blogs/mcafee-labs/take-a-netwalk-on-the-wild-side/
3. TA551攻击组织分发IcedID银行木马
【概述】
TA551组织在近期的攻击活动中针对以英语为母语的目标,利用垃圾邮件分发IcedID银行木马,这些邮件附件是带有恶意宏的Word文档,一旦用户启用宏,HTTP通信的TCP流可检索安装恶意程序DLL,由安装程序DLL创建IcedID的EXE文件。
【参考链接】
https://isc.sans.edu/diary/26438
4. 跨文工具包用于象形文字攻击以进行信用卡信息窃取
【概述】
攻击者近期使用象形文字攻击方式来窃取信用卡信息,此攻击技术在具有IDN同形异义词攻击的网络钓鱼诈骗中已经被利用了一段时间,使用看起来相同的字符来欺骗用户,有时字符来自不同的语言集。查看恶意基础机构(51.83.209[.]11),攻击者最近使用相同的象形文字技术注册了多个域,此次攻击活动疑似有Magecart 组织有关。
【参考链接】
https://blog.malwarebytes.com/threat-analysis/2020/08/inter-skimming-kit-used-in-homoglyph-attacks/
5. TAIDOOR木马伪装为DLL文件感染目标系统
【概述】
Taidoor木马作为服务动态链接库DLL安装在目标系统上,并且由两个文件组成,第一个文件是加载程序,作为服务启动,加载程序解密第二个文件,然后在内存中执行该文件,此文件是远程访问木马(RAT)。据称Taidoor木马至少从2008年活跃至今,主要目标针对IT服务提供商。
【参考链接】
https://us-cert.cisa.gov/ncas/analysis-reports/ar20-216a
6. Black Hat 2020:利用僵尸网络操纵能源市场获取高额利润
【概述】
Black Hat 2020会议中研究人员提到一类新型的僵尸网络可能会被编组起来,通过耗电的连接设备(如空调、洗碗机、加热器、烘干机和数字恒温器等)操纵能源市场,进行分布式拒绝服务攻击和地雷加密货币,可能会导致能源股指数上升或下降,从而为有恶意企图的运营商提供获利的机会。
【参考链接】
7. NSO间谍软件攻击多哥
【概述】
NSO间谍软件被攻击者利用攻击多哥公民社会,其中包括天主教主教、牧师和反对派政治家。NSO间谍软件产品通常被称为Pegasus,是一种手机黑客工具,可获取对目标移动设备的完全访问权限,Pegasus允许攻击者提取密码、文件、照片、网络历史记录、联系人以及身份数据等信息,Pegasus的目标包括亚洲,欧洲,中东和北美的数十个国家。
【参考链接】
https://citizenlab.ca/2020/08/nothing-sacred-nso-sypware-in-togo/
8. Canon遭勒索软件Maze攻击
【概述】
近期Canon集团遭受到勒索软件的Maze攻击,导致其在美国网站、电子邮件、协作平台和各种内部系统瘫痪。Maze勒索病毒(又名ChaCha)于2019年5月首次被发现,每次声称以窃取数据为目的,但受害者未支付赎金,通常会被泄露或出售敏感数据。
【参考链接】
https://threatpost.com/canon-ransomware-attack-employee-note/158157/
9. 网络钓鱼邮件劫持Microsoft 365帐户
【概述】
网络罪犯越来越多地冒充受信任的SaaS平台和供应商。最近,在一起钓鱼攻击活动中,电子邮件中有许多试图诱使收件人单击恶意链接,该链接指向包含凭据收集恶意软件的页面,攻击者利用受感染的Microsoft 365帐户在几个小时内访问多个其他帐户。
【参考链接】
https://www.darktrace.com/en/blog/phishing-from-the-inside-microsoft-365-account-hijack/
10. PyPI官方仓库遭request恶意包投毒
【概述】
攻击者将request恶意钓鱼包上传至PyPI官方仓库,并通过该钓鱼包实施窃取用户敏感信息及数字货币密钥、种植持久化后门、远程控制等一系列攻击活动。
【参考链接】
