绿盟

绿盟科技

  • 基础设施安全

    基础设施安全
  • 数据安全

    数据安全
  • 云计算安全

    云计算安全
  • 工业互联网安全

    工业互联网安全
  • 物联网安全

    物联网安全
  • 信息技术应用创新

    信息技术应用创新
  • 全部产品

    全部产品
  • 全部解决方案

    全部解决方案

基础设施安全


  • 政府

    政府
  • 运营商

    运营商
  • 金融

    金融
  • 能源

    能源
  • 交通

    交通
  • 企业

    企业
  • 科教文卫

    科教文卫

返回列表

【威胁通告】绿盟科技威胁情报月报(2021年1月)

2021-02-01

1月,绿盟科技威胁情报中心(NTI)发布了多个漏洞和威胁事件通告,其中,Windows NTFS 远程代码执行漏洞 CVE-2020-17096以及Linux sudo权限提升漏洞(CVE-2021-3156)影响较大。前者由于Windows NTFS 存在一个远程代码执行漏洞,本地攻击者可通过运行特制的应用程序,从而提升用户的权限,具有 SMBv2 访问权限的远程攻击者可以通过网络发送特制的请求,利用此漏洞在目标系统上执行代码;后者由于当sudo通过-s或-i命令行选项在shell模式下运行命令时,它将在命令参数中使用反斜杠转义特殊字符。但使用-s或 -i标志运行sudoedit时,实际上并未进行转义,从而可能导致缓冲区溢出。只要存在sudoers文件(通常是 /etc/sudoers),攻击者就可以使用本地普通用户利用sudo获得系统root权限。

另外,本次微软共修复了9个Critical级别漏洞,73个Important 级别漏洞,1个Moderate级漏洞。强烈建议所有用户尽快安装更新。

在本月的威胁事件中,云服务器依然是黑客组织进攻的重点,受近期比特币暴涨带动数字虚拟币整体市值飙升影响,挖矿木马十分活跃。攻击手段方面,出现了利用IRC进行通信控制服务器组件僵尸网络,以及通过State Cashback电子支付工具进行恶意软件传播的攻击方式。同时,incaseformat蠕虫病毒的再次活跃需要引起关注。

以上所有漏洞情报和威胁事件情报、攻击组织情报,以及关联的IOC,均可在绿盟威胁情报中心获取,网址:https://nti.nsfocus.com/

一、 漏洞态势

2021年01月绿盟科技安全漏洞库共收录375个漏洞, 其中高危漏洞46个,微软高危漏洞10个。

 

* 数据来源:绿盟科技威胁情报中心,本表数据截止到2021.01.28

注:绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;

二、 威胁事件

1. TOPMiner挖矿木马通过SSH弱口令爆破攻击约1.5万台服务器

【标签】TOPMiner

【时间】2021-01-04

【简介】

挖矿木马TopMiner近期攻击十分活跃,该木马通过SSH弱口令爆破进行攻击入侵,会清除竞品挖矿木马,同时会使用爆破工具在内网横向传播。根据其挖矿钱包收益估算,约有1.5万台服务器被该团伙控制挖矿。由于其使用的挖矿木马名为top,研究人员将其命名为TopMiner挖矿木马。

【参考链接】

https://s.tencent.com//research/report/1213.html

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC,其中包含1个IP,1个域名和8个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。 

2. 黑客通过State Cashback分发电子邮件传播恶意软件的攻击活动

【标签】State Cashback

【时间】2021-01-05

【简介】

通过利用最近的现金退款计划来进行电子垃圾邮件运动,以传播恶意软件,该计划用于使用电子支付工具(更名为State Cashback)进行的购买。

【参考链接】

https://cert-agid.gov.it/news/malware/falsa-comunicazione-cashback-di-stato-veicola-malware/

【防护措施】

绿盟威胁情报中心关于该事件提取5条IOC,其中包含2个域名和3个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。 

3. golang语言编写的脚本木马利用多个不同linux服务器组件的高危漏洞入侵云服务器

【标签】golang

【时间】2021-01-11

【简介】

受近期比特币暴涨带动数字虚拟币整体市值飙升影响,挖矿木马十分活跃。利用Redis未授权访问漏洞直接写入计划任务,下载用golang语言编写的挖矿木马下载器superman,根据挖矿算力推测该团伙已控制约1万台失陷系统进行门罗币挖矿。

【参考链接】

https://s.tencent.com//research/report/1219.html,https://paper.seebug.org/1440/

【防护措施】

绿盟威胁情报中心关于该事件提取3条IOC,其中包含1个IP和2个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。 

4. 新的Android间谍软件针对巴基斯坦的用户窃取敏感数据的攻击活动

【标签】Android

【时间】2021-01-12

【简介】

目前有研究人员已发现一小群木马版本的Android应用程序,主要销售给居住在巴基斯坦的人。有人修改了这些原本合法的应用程序(可从Google Play商店下载合法版本),让此程序添加秘密监视和间谍活动的恶意功能。

【参考链接】

https://news.sophos.com/en-us/2021/01/12/new-android-spyware-targets-users-in-pakistan/

【防护措施】

绿盟威胁情报中心关于该事件提取27条IOC,其中包含4个IP,4个域名和19个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。 

5. 沉睡多年的incaseformat蠕虫病毒被唤醒

【标签】incaseformat

【时间】2021-01-13

【简介】

2021年1月13日,绿盟科技应急响应团队接到全国多个客户反馈感染所谓的incaseformat病毒,涉及政府、医疗、教育、运营商等多个行业,且感染主机多为财务管理相关应用系统。感染主机表现为所有非系统分区文件均被删除,由于被删除文件分区根目录下均存在名为incaseformat.log的空文件,因此网络上将此病毒命名为incaseformat。从搜索引擎结果来看,该病毒最早出现时间为2009年,主流杀毒软件厂商均将此病毒命名为Worm.Win32.Autorun,从名称可以判断该病毒为Windows平台通过移动介质传播的蠕虫病毒。病毒文件运行后,首先复制自身到Windows目录下,文件图标伪装为文件夹。病毒文件将在主机重启后运行,并开始遍历所有非系统分区下目录并设置为隐藏,同时创建同名的病毒文件。此外还会通过修改注册表,实现不显示隐藏文件及隐藏已知文件类型扩展名。最后对非系统分区下所有文件执行删除操作,并创建incaseformat.log文件。

【参考链接】

https://m.threatbook.cn/detail/3157

【防护措施】

绿盟威胁情报中心关于该事件提取558条IOC,其中包含558个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。 

6. TeamTNT 新变种利用IRC进行通信控制服务器组建僵尸网络的攻击活动

【标签】TeamTNT

【时间】2021-01-14

【简介】

TeamTNT 变种利用IRC进行通信控制肉鸡服务器组建僵尸网络,此次使用的IRC 采用的是github开源的oragono,暂未检测到后门有执行拒绝服务(DoS)功能。

【参考链接】

https://s.tencent.com//research/report/1226.html

【防护措施】

绿盟威胁情报中心关于该事件提取11条IOC,其中包含3个IP,3个域名和5个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。 

7. RunMiner挖矿木马团伙利用新增漏洞攻击云主机进行挖矿

【标签】RunMiner

【时间】2021-01-19

【简介】

RunMiner挖矿木马团伙使用新增漏洞武器攻击云主机挖矿: 利用weblogic反序列化漏洞(CVE-2017-10271)对云主机发起攻击,攻击成功后执行恶意脚本对Linux、Windows双平台植入挖矿木马,进行门罗币挖矿操作。

【参考链接】

https://s.tencent.com//research/report/1229.html

【防护措施】

绿盟威胁情报中心关于该事件提取7条IOC,其中包含1个IP和6个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。 

8. Lazarus 组织针对漏洞安全研究员进行钓鱼攻击

【标签】Lazarus

【时间】2021-01-26

【简介】

此次事件由Google安全团队披露。攻击者通过在Twitter建立多个安全研究者账号,发布大量的漏洞分析文章吸引漏洞安全研究者的关注,同时建立了一个研究博客,发布0day相关的漏洞研究及分析。通过这一方法,筛选并找到潜在的目标,并与之互动。攻击者利用了研究者需要实时关注行业中漏洞披露状况的心理,成功吸引了一些研究者的关注,并通过私信等方式,请求与研究者即潜在的攻击目标一起分析所谓的0day,在研究者答应合作后,发送所谓的“POC”工程文件,该伪造的POC工程文件是一个VS Studio工程文件,其中嵌入了恶意代码。当研究人员打开该工程文件后,恶意代码会立即运行起来。根据Google研究团队披露的信息,有些研究人员访问攻击者运营的研究博客时也感染了病毒,但研究人员的Chrome浏览器为最新版本,由此推测可能存在浏览器0day。

【参考链接】

https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/

【防护措施】

绿盟威胁情报中心关于该事件提取12条IOC,其中包含7个域名和5个样本;绿盟安全平台与设备已集成相应情报数据,为客户提供相关防御检测能力。 

 

<<上一篇

【威胁通告】绿盟科技威胁情报周报(2021.1.25-1.31)

>>下一篇

【安全通告】Apache Shiro权限绕过漏洞(CVE-2020-17523)通告

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

提交项目需求

欢迎加入绿盟科技,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

服务支持

智能客服
智能客服
购买/售后技术问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
绿盟科技社区
绿盟科技社区
资料下载|在线问答|技术交流
微博
微博

微博

微信
微信

微信

B站
B站

B站

抖音
抖音

抖音

视频号
视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

© 2024 NSFOCUS 绿盟科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号