绿盟科技威胁情报周报(2020.07.06-2020.07.12)
2020-07-15
一、 威胁通告
F5 BIG-IP TMUI远程代码执行漏洞
【发布时间】2020-07-12 13:00:00 GMT
【概述】
近日,绿盟科技监测到F5官方对流量管理用户界面(TMUI)远程代码执行漏洞(CVE-20 20-5902)的安全公告进行了更新。受影响的15.x版本变更为15.0.0-15.1.0,更新了可被绕过的临时缓解措施及验证方法;未经身份验证的攻击者通过BIG-IP管理端口或自身IP访问TMUI,可构造恶意请求获取目标服务器权限,CVSS评分为10分。
【链接】
http://blog.nsfocus.net/f5-big-ip-tmui-0705/
Citrix多个高危漏洞
【发布时间】2020-07-12 14:00:00 GMT
【概述】
近日,Citrix发布安全更新通告,表示已修复其Citrix ADC(以前称为NetScaler ADC)、Citrix Gateway (以前称为NetScaler Gateway)和Citrix SD-WAN WANOP设备中的共11个漏洞。
【链接】
http://blog.nsfocus.net/citrix-0712/
二、 热点资讯
1. Evilnum组织针对金融科技公司
【概述】
Evilnum组织通过指向包含在Google云端硬盘中的ZIP文件的链接的鱼叉式电子邮件来传播恶意软件,该组织的主要目标是监视某些金融科技公司并从目标公司及其客户那里获取财务信息,如带有客户清单、投资和交易操作的电子表格和文档,来自浏览器的Cookies、会话信息、客户信用卡信息和地址/身份证明文件等。
【参考链接】
https://www.welivesecurity.com/2020/07/09/more-evil-deep-look-evilnum-toolset/
2. Mirai新变种增加CVE-2020-10173漏洞利用
【概述】
Mirai新变种使用的漏洞由新旧结合组成,可帮助构建覆盖不同类型连接设备的广泛网络。近期攻击活动中使用的九个漏洞会影响IP摄像机、智能电视和路由器等的特定版本。值得一提的是其中CVE-2020-10173是在Comtrend VR-3033路由器中发现的多重身份验证命令注入漏洞,远程恶意攻击者可以利用此漏洞来破坏路由器管理的网络。
【参考链接】
3. Operation Honey Trap:APT36针对印度国防组织
【概述】
APT36针对印度国防组织和其他政府组织的人员发动Honey Trap行动,使用引诱性的虚假资料诱使目标对象打开电子邮件,或是在消息传递平台上聊天,最终导致目标用户下载恶意软件。APT36,又名ProjectM、Transparent Tribe和TEMP.Lapis,是一个至少从2016年活跃至今的巴基斯坦威胁组织,主要针对印度政府、国防部和使馆。
【参考链接】
https://www.seqrite.com/blog/operation-honey-trap-apt36-targets-defense-organizations-in-india/
4. Lazarus组织利用Magecart攻击美国和欧洲电商
【概述】
Lazarus组织使用未经授权的访问将恶意脚本注入商店结帐页面,客户完成交易后,通过Magecart拦截的数据将发送到攻击者控制的收款服务器。攻击者使用鱼叉式攻击来获取零售人员的密码,修改运行在线商店的计算机代码完成对交易的拦截,此次攻击活动主要针对美国和欧洲电商。Lazarus Group(又名HIDDEN COBRA、Guardians of Peace、ZINC和NICKEL ACADEMY)是一个威胁组织,归属于朝鲜政府,该组织至少从2009年以来一直活跃。
【参考链接】
https://sansec.io/research/north-korea-magecart#fn:hiddencobra
5. Lampion木马新变种针对葡萄牙
【概述】
Lampion木马新变体通过简单的电子邮件模板分发,用户通过邮件在其中下载了内部包含VBS下载器的ZIP文件。攻击者使用伪造的网页分发了一个MSI文件,该文件使用了模拟葡萄牙政府的主题COVID-19,并在被执行后启动VBS文件下载恶意软件。
【参考链接】
6. Joker新变体伪装成合法应用利用Google Play传播
【概述】
近期研究人员在Google Play上发现Joker Dropper和Premium Dialer间谍软件的新变体,其中Joker新变体能够将其他恶意软件下载到设备上,从而在用户不知情或未同意的情况下向用户订阅了高级服务。Joker是Android上最著名的恶意软件之一,新变体将恶意dex文件隐藏为Base64编码的字符串,以避免被Google检测到,同时利用Notification Listener服务和动态dex文件执行注册实现在未征得其用户知情或同意的情况下向应用程序用户订阅高级服务的功能。
【参考链接】
https://research.checkpoint.com/2020/new-joker-variant-hits-google-play-with-an-old-trick/
7. 攻击者针对葡萄牙发动网络钓鱼活动
【概述】
近期针对葡萄牙的网络钓鱼活动中,攻击者分发钓鱼邮件以账户被屏蔽或者账户分类不合理为诱饵引导受害者点击超链接,从而将其引导到相应的活动登陆页面,此次攻击活动旨在收集葡萄牙受害者的个人数据和信用卡信息。
【参考链接】
8. 利用SaltStack漏洞发起的恶意挖矿活动
【概述】
攻击者利用SaltStack上运行的ZeroMQ协议中的CVE-2020-11651和CVE-2020-11652漏洞进行攻击活动,这些漏洞将允许以root用户身份直接在目标系统上执行远程代码,从而以最高的系统特权成功下载并执行脚本,脚本会清除许多先前存在的挖矿软件和已知的安全工具和软件,然后下载自身恶意挖矿软件。
【参考链接】
9. CracxStealer窃密木马滥用软件破解补丁传播
【概述】
CracxStealer窃密木马近期通过境外软件破解补丁下载网站(cracx[.]com)传播,该木马被植入网站提供下载的系统工具、媒体软件、办公软件、大型游戏、以及设计类等商业软件的破解补丁包中,一旦被感染,用户的登录凭证、浏览器配置文件、加密货币钱包账号等敏感信息会被打包发送至攻击者的命令和控制服务器。
【参考链接】
https://s.tencent.com//research/report/1034.html
10. Cerberus银行木马针对西班牙Android用户
【概述】
近期Cerberus木马在Google Play上伪装成合法应用程序Calculadora de Moneda(西班牙货币转换器),以西班牙Android用户为目标,并被下载了10,000次以上。Cerberus木马可访问用户的银行业务详细信息、阅读短信、双因素身份验证详细信息等,并窃取所有访问数据。
【参考链接】
https://blog.avast.com/avast-finds-banking-trojan-cerberus-on-google-play-avast
