【威胁通告】海王捕鱼威胁情报月报(2021年9月)
2021-09-30
9月,海王捕鱼威胁情报中心(NTI)发布了多个漏洞和威胁事件通告,其中,MicrosoftMSHTML远程代码执行漏洞通告(CVE-2021-40444)和VMwarevCenterServer和ApacheShiro身份验证绕过漏洞通告((CVE-2021-41303)影响范围较大,前者攻击者可通过制作恶意的ActiveX控件供托管浏览器呈现引擎的MicrosoftOffice文档使用,成功诱导用户打开恶意文档后,可在目标系统上以该用户权限执行任意代码。CVSS评分为9.5;后者当在SpringBoot中使用ApacheShiro时,攻击者可以构造特定的HTTP请求绕过身份验证访问后台功能;请相关用户采取措施进行防护。ApacheShiro是一个功能强大且易于使用的Java安全框架,功能包括身份验证、授权、加密和会话管理。使用Shiro的API,可以轻松地、快速地保护任何应用程序,范围从小型的移动应用程序到大型的Web和企业应用程序。CVSS评分为9.0。
另外,本次微软修复了86个漏洞,包括3个Critical级别漏洞,62个Important级别漏洞,1个Moderate级别漏洞,其中还包括9月初修复的20个MicrosoftEdge(Chromium)漏洞。强烈建议所有用户尽快安装更新。
在本月的威胁事件中,针对相关企业系统攻击事件比较频繁,其中包括Lazarus组织针对加密货币行业的社工攻击,研究人员捕获到了Lazarus组织针对加密货币相关行业的社工攻击活动,该组织在寻找到攻击目标信息后,疑似通过即时通讯软件主动和目标取得联系,并发送修改过的开源PDF软件(SecurePDFViewer.exe)和携带加密payload的恶意PDF文件(AndroidHardwareWallet.pdf)。单独打开”SecurePDFViewer.exe”无恶意行为,”AndroidHardwareWallet.pdf”无法用常规软件打开,所以该组织会利用社工的方式,诱使攻击目标使用exe文件查看pdf文件,最终解密出后台恶意程序执行,达到远控和窃取信息的目的。以及Grayfly组织利用SideWalk恶意软件攻击电信行业,Grayfly是一个有针对性的攻击组织,目标是亚洲、欧洲和北美的多个国家/地区,涉及食品、金融、医疗保健、酒店、制造和电信等各个行业。在最近的攻击活动中,Grayfly继续专注于电信,通常,Grayfly的目标是面向公众的Web服务器安装Webshell以进行初始入侵,然后在网络内进一步传播。一旦网络遭到入侵,Grayfly会将恶意软件安装到其他系统上。这些工具允许攻击者全面远程访问网络和代理连接,从而允许他们访问目标网络中难以到达的部分。新网络间谍FamousSparrow组织攻击全球酒店、政府和私营公司,该组织至少自2019年8月以来一直活跃,主要的攻击目标是针对全球酒店,政府和私营公司,该组织利用了MicrosoftExchange、MicrosoftSharePoint和OracleOpera中已知的远程代码执行漏洞,用于投放各种恶意样本。一旦服务器遭到入侵,攻击者就会部署多种自定义工具。
以上所有漏洞情报和威胁事件情报、攻击组织情报,以及关联的IOC,均可在绿盟威胁情报中心获取,网址:https://nti.nsfocus.com/
一、 漏洞态势
2021年09月海王捕鱼安全漏洞库共收录382个漏洞,其中高危漏洞23个,微软高危漏洞15个。
*数据来源:海王捕鱼威胁情报中心,本表数据截止到2021.09.30
注:海王捕鱼漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;
二、 威胁事件
1. 攻击者利用恶意样本为VBA宏代码的EXCEL文档攻击印度国防部
【标签】VBA
【时间】2021-08-25
【简介】
近日,威胁研究人员发现了一起以“CSDhire八月购买清单”为诱饵主题针对南亚地区的攻击活动。根据研究人员跟踪分析,此次活动的攻击目标是印度国防部,攻击者利用恶意样本为VBA宏代码的EXCEL文档,当受害者点击启用宏,恶意宏代码将自动执行,首先获取印度国防部计算机系统的时区信息,当判断系统时区属于Chennai,Kolkata,Mumbai,NewDelhi,均属于印度后,会下载后续恶意.NET可执行文件和诱饵文件,最终释放加载RAT感染目标主机。
【参考链接】
https://ti.qianxin.com/blog/articles/Another-Targeted-Attack-on-India's-Defense-Ministry/
【防护措施】
绿盟威胁情报中心关于该事件提取6条IOC,其中包含1个IP和1个域名和4个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
2. 攻击者通过利用虚假COVID-19疫苗诱饵文件对沙特地区发起攻击
【标签】COVID-19
【时间】2021-08-31
【简介】
近日,研究人员检测到多起以新冠疫苗COVID-19为主题的攻击活动。攻击者大多以虚假邮件为诱饵的恶意文件向用户发送恶意构造的样本欺骗用户点击,此次诱饵文件名字为“沙特地区
【参考链接】
https://ti.qianxin.com/blog/articles/Suspected-Russian-speaking-attackers-use-COVID19-vaccine-decoys-against-Middle-East/
【防护措施】
绿盟威胁情报中心关于该事件提取10条IOC,其中包含1个域名和9个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
3. Lazarus组织针对加密货币行业的社工攻击
【标签】Lazarus组织
【时间】2021-09-02
【简介】
近期研究人员捕获到了Lazarus组织针对加密货币相关行业的社工攻击活动,该组织在寻找到攻击目标信息后,疑似通过即时通讯软件主动和目标取得联系,并发送修改过的开源PDF软件(SecurePDFViewer.exe)和携带加密payload的恶意PDF文件(AndroidHardwareWallet.pdf)。单独打开”SecurePDFViewer.exe”无恶意行为,”AndroidHardwareWallet.pdf”无法用常规软件打开,所以该组织会利用社工的方式,诱使攻击目标使用exe文件查看pdf文件,最终解密出后台恶意程序执行,达到远控和窃取信息的目的。
【参考链接】
https://www.secpulse.com/archives/165499.html
【防护措施】
绿盟威胁情报中心关于该事件提取3条IOC,其中包含1个域名和2个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
4. BladeHawk组织针对库尔德族群有针对性发起攻击
【标签】BladeHawk组织
【时间】2021-09-07
【简介】
ESET研究人员发现,针对库尔德族群的有针对性的移动间谍活动,该活动仅针对Android用户,BladeHawk组织针对库尔德族群Android用户有针对性发起攻击。攻击者专注于两个商业AndroidRAT工具——888RAT和SpyNote。利用Android888RAT能够执行从其C服务器收到的42个命令,从设备中窃取和删除文件、截取屏幕截图、获取设备位置、钓鱼Facebook凭据、获取已安装的应用程序列表、窃取用户照片、拍照、记录周围的音频和电话、拨打电话、窃取短信信息、窃取设备的联系人列表、发送短信等。
【参考链接】
https://www.welivesecurity.com/2021/09/07/bladehawk-android-espionage-kurdish/
【防护措施】
绿盟威胁情报中心关于该事件提取12条IOC,其中包含12个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
5. 攻击者利用Confluence远程代码执行漏洞可完全控制服务器
【标签】kwroksminer挖矿木马家族
【时间】2021-09-07
【简介】
8月26日,Atlassian官方发布公告,披露了一个AtlassianConfluence远程代码执行漏洞(CVE-2021-26084),攻击者利用漏洞可完全控制服务器。目前至少有7个网络黑产团伙在利用该漏洞发起的攻击行动。
【参考链接】
https://www.oschina.net/news/159040
【防护措施】
绿盟威胁情报中心关于该事件提取15条IOC,其中包含15个IP;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
6. Grayfly组织利用SideWalk恶意软件攻击电信行业
【标签】Grayfly组织
【时间】2021-09-09
【简介】
Grayfly是一个有针对性的攻击组织,目标是亚洲、欧洲和北美的多个国家/地区,涉及食品、金融、医疗保健、酒店、制造和电信等各个行业。在最近的攻击活动中,Grayfly继续专注于电信,通常,Grayfly的目标是面向公众的Web服务器安装Webshell以进行初始入侵,然后在网络内进一步传播。一旦网络遭到入侵,Grayfly会将恶意软件安装到其他系统上。这些工具允许攻击者全面远程访问网络和代理连接,从而允许他们访问目标网络中难以到达的部分。
【参考链接】
https://ti.nsfocus.com/security-news/IlMRR
【防护措施】
绿盟威胁情报中心关于该事件提取5条IOC,其中包含5个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
7. 攻击者利用Dridex木马恶意软件从机器中窃取敏感信息并传递和执行恶意模块
【标签】Dridex木马恶意软件
【时间】2021-09-10
【简介】
最近威胁研究院在野外捕获了新的网络钓鱼电子邮件活动,攻击者利用Dridex木马恶意软件从机器中窃取敏感信息并传递和执行恶意模块,攻击者将一封恶意的网络钓鱼电子邮件伪装成向客户发送进口关税数据,然后要求客户通过打开附加的Excel文件,客户一旦打开恶意Excel文档,它就会下载Dridex的新变种。然后攻击者从受害者的受感染设备收集敏感数据,然后将其放入格式化的数据包中,加密并发送到C2服务器。
【参考链接】
https://ti.nsfocus.com/security-news/IlMRQ
【防护措施】
绿盟威胁情报中心关于该事件提取6条IOC,其中包含3个IP和3个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
8. 新网络间谍组织FamousSparrow组织攻击全球酒店、政府和私营公司
【标签】FamousSparrow组织
【时间】2021-09-23
【简介】
研究人员发现了一个针对全球酒店、政府和私营公司的新网络间谍组织。该组织为FamousSparrow,该组织至少自2019年8月以来一直活跃,主要针对全球酒店,政府和私营公司,FamousSparrow组织利用了MicrosoftExchange、MicrosoftSharePoint和OracleOpera中已知的远程代码执行漏洞,用于投放各种恶意样本。一旦服务器遭到入侵,攻击者就会部署多种自定义工具:
【参考链接】
https://ti.nsfocus.com/security-news/IlMUB
【防护措施】
绿盟威胁情报中心关于该事件提取11条IOC,其中包含1个域名和10个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
9. TurlaAPT组织通过部署新的恶意软件向用户分发恶意载荷
【标签】TurlaAPT组织
【时间】2021-09-21
【简介】
CiscoTalos最近发现了俄罗斯TurlaAPT组织使用的一个新恶意软件,以保持对系统的访问,即使主要恶意软件已被删除。它也可以用作第二阶段的释放器,用其他恶意软件感染系统。攻击者将恶意软件作为服务安装在受感染的机器上。他们试图通过将服务命名为“Windows时间服务”运行,就像现有的Windows服务一样,攻击者可以上传和执行文件或从受感染系统中窃取文件。在我们对该恶意软件的审查中,每五秒通过HTTPS加密通道联系命令和控制(C2)服务器,以检查是否有来自操作员的新命令。
【参考链接】
https://ti.nsfocus.com/security-news/IlMUA
【防护措施】
绿盟威胁情报中心关于该事件提取1条IOC,其中包含1个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
10. Sora-Miral变种木马利用F5BIG-IP高危漏洞攻击云主机
【标签】Sora-Miral变种木马
【时间】2021-09-22
【简介】
安全研究员检测到,有攻击者使用F5BIG-IP远程代码高危漏洞(CVE-2021-22986)对云主机展开攻击,若攻击成功会分发Sora-Miral变种木马,Sora-Miral变种木马主要控制组建僵尸网络发起DDOS攻击,或通过挖矿牟利,攻击者会通过Telent弱口令爆破进行蠕虫式扩散。
【参考链接】
https://ti.nsfocus.com/security-news/IlMUz
【防护措施】
绿盟威胁情报中心关于该事件提取22条IOC,其中包含1个IP和21个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。
