本周值得关注的安全威胁事件:
Konni APT组织以“朝鲜局势”相关主题为诱饵对俄进行持续定向攻击活动
发布时间:2021年5月19日
事件来源:
https://mp.weixin.qq.com/s/DDLLGwumDATr4fRsYtYjQw
事件摘要:
Konni APT组织自2014年以来一直持续活动。该组织经常使用鱼叉式网络钓鱼攻击手法,且经常使用与朝鲜相关的主题或社会热点作为诱饵,吸引用户查看并执行附件。
国内安全团队捕获到 Konni APT组织利用朝鲜局势相关话题针对俄罗斯方向的攻击活动,分析有如下发现:攻击者以“关于制裁对朝鲜局势的影响”和“解决朝鲜危机的建议”等相关热点话题为诱饵进行鱼叉攻击;所投递恶意文档语言均为俄语,但部分文档编辑环境为朝鲜语,结合该组织的地缘因素分析,研判主要攻击目标为俄罗斯方向相关组织机构;文档中携带的恶意模块将会从服务器下载多阶段恶意载荷,最终加载执行后门远控模块,实现对目标主机的远程控制。
“Operation Magichm” 浅谈蔓灵花组织的CHM文件投放与后续操作
发布时间:2021年5月19日
事件来源:
https://mp.weixin.qq.com/s/adVxC5CgfHoI8_2dKmUGKw
事件摘要:
蔓灵花(BITTER)是疑似具有南亚背景的APT组织,该组织长期针对东亚,南亚等地区进行攻击活动,主要针对政府、军工业、电力、核能等单位进行定向攻击,窃取敏感资料。
国内安全团队在日常监控过程中发现蔓灵花APT组织开始通过邮箱投递包含有恶意脚本CHM文件的RAR压缩包。经过遥测此类的攻击行动已经持续两年,我们将其命名为Operation Magichm。
经过溯源,本次攻击活动中蔓灵花采用了与以往截然不同的攻击链,使用.net远控作为节点执行命令或者下发插件,并下发了一个之前从未被披露过的新模块。
发布时间:2021年5月19日
事件来源:
https://securelist.com/bizarro-banking-trojan-expands-its-attacks-to-europe/102258/
事件摘要:
Bizarro是另一个起源于巴西的银行木马家族,现在已经在世界其他地区发现。西班牙、葡萄牙、法国和意大利的用户成为攻击目标,现在攻击者试图从欧洲和南美不同国家的70家银行窃取客户的凭据。研究人员披露了其木马组件的技术特征,详细概述了模糊技术、感染过程和后续功能,以及网络罪犯用来说服受害者提供他们的个人网上银行信息的社会工程策略。Bizarro具有x64模块,能够诱使用户在假弹窗中输入双因素验证码。
发布时间:2021年5月17日
事件来源:
https://mp.weixin.qq.com/s/hpbqiQPA2fV9523NilBkIQ
事件摘要:
国内安全团队发现一个采用.NET框架开发的名为Combo13的勒索软件。该勒索软件变种最早于2021年4月被发现,主要通过垃圾邮件进行传播。
值得关注的是Combo13勒索软件并未采用加密算法进行文件加密而是采用随机字节数据覆盖的方式覆盖文件全部原始数据,从而造成文件数据的彻底损坏。无论受害者是否缴纳赎金,攻击者都无法为受害者解密文件。基于该勒索软件并没有删除卷影副本,受害者可通过卷影副本来恢复数据。
发布时间:2021年5月21日
事件来源:
https://s.tencent.com/research/report/1313.html
事件摘要:
腾讯安全威胁情报中心近期通过腾讯云防火墙拦截数据发现,有攻击者正在扫描攻击存在Jenkins远程命令执行漏洞(CVE-2018-1000861)的云主机,攻击成功后会进一步植入Mirai僵尸网络木马变种,控制这些设备组建僵尸网络,意图发起DDoS攻击。从腾讯云防火墙捕捉的攻击数据包看,该团伙还同时扫描攻击物联网设备,包括存在未授权远程命令执行漏洞(CVE-2020-9054)的ZyXEL NAS设备,存在命令注入漏洞(CVE-2018-10562)的GPON家用光纤路由器设备等。
Mirai僵尸网络是最臭名昭著的僵尸网络团伙,已有多年历史,主要感染对象是智能物联网(IoT)设备,比如网络摄像头、家用路由器、家用网络存储设备(NAS)、安卓设备及Linux服务器。Mirai僵尸网络主要控制肉鸡系统发起DDoS攻击,或通过挖矿牟利。
由于互联网上存在安全漏洞的物联网设备和云主机数量庞大,Mirai僵尸网络的规模正在不断扩大。而智能物联网设备的用户很多并不知道系统已被控制,也较少对设备固件进行升级,除非用户将设备淘汰更换,失陷设备可能一直被黑客团伙控制。
根据腾讯云防火墙的拦截数据,5月份,腾讯云防火墙针对Mirai木马漏洞攻击的拦截次数呈大幅上升趋势,未部署腾讯云防火墙的云主机面临漏洞攻击时有失陷风险。
HTTP协议栈远程代码执行漏洞(CVE-2021-31166)POC公开
发布时间:2021年5月17日
事件来源:
https://mp.weixin.qq.com/s/FArv6VfQGe4r6dYbBSny8g
事件摘要:
微软在5月12日发布了5月安全更新补丁,其中包含HTTP协议栈远程代码执行漏洞(CVE-2021-31166),该漏洞存在于HTTP 协议栈驱动模块 (http.sys),攻击者可以远程通过向目标主机发送特制数据包来进行利用,成功利用可能造成目标系统崩溃或远程代码执行(困难)。
腾讯安全团队注意到该漏洞的POC(概念验证代码)已在网上公开,漏洞利用风险正在增加,腾讯安全专家建议受影响的用户积极修复该漏洞。
XStream远程代码执行漏洞(CVE-2021-29505)
发布时间:2021年5月17日
事件来源:
https://mp.weixin.qq.com/s/ZluUn1IY3Gqg0wnypGo0Og
事件摘要:
5月14日,XStream官方发布安全更新,修复了一个由TSRC(与白帽子沟通后)上报的严重漏洞CVE-2021-29505,并向TSRC白帽子公开致谢。
通过该漏洞,攻击者构造特定的XML,绕过XStream的黑名单,最终触发反序列化造成任意代码执行。
