本周值得关注的威胁情报：

APT情报

01

NSA报告针对美国关键基础设施的网络攻击

发布时间：2020年7月27日

情报来源：

https://securityaffairs.co/wordpress/106362/ics-scada/nsa-attacks-industrial-systems.html

 

情报摘要：

美国国家安全局（NSA）和网络安全与基础设施安全局（CISA）发出警报。报告中称，近几个月来，攻击者有通过利用可访问互联网的运营技术（OT）资产对关键基础设施（CI）进行恶意网络活动的意图。攻击者针对的是特定设备，即Triconex
TriStation和Triconex Tricon通信模块，这些模块广泛用于工业环境中，例如发电厂、工厂、石油和天然气精炼厂。

02

安全厂商披露与俄罗斯有关的Ghostwriter运动

发布时间：2020年7月29日

情报来源：

https://www.fireeye.com/blog/threat-research/2020/07/ghostwriter-influence-campaign.html

 

情报摘要：

FireEye披露与俄罗斯相关的Ghostwriter攻击活动。Ghostwriter至少自2017年3月以来持续进行，主要针对立陶宛、拉脱维亚和波兰，发表批评北约在东欧存在的言论，偶尔利用其他主题，如反美和COVID-19相关主题。

03

研究人员发现VHD勒索软件归属于Lazarus组织

发布时间：2020年7月28日

情报来源：

https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/

 

情报摘要：

研究人员调查发现VHD勒索软件由朝鲜Lazarus组织创建和运营。VHD勒索软件使用c++编写，抓取所有连接的磁盘以加密文件，删除任何名为“系统卷信息”的文件夹。它还会停止可能锁定重要文件的进程，如Microsoft
Exchange和SQL Server。

攻击初始通过易受攻击的VPN网关以获得管理特权。然后，在被入侵系统上部署了后门，并接管Active
Directory服务器。最终，通过一个用Python编写的下载器将VHD勒索软件部署到网络中的所有计算机。其中，部署的后门为与Lazarus有关联的MATA（也称为Dacls）多平台框架实例。

04

Lazarus恶意软件的四个不同家族针对苹果的macOS平台

发布时间：2020年7月27日

情报链接：

https://www.sentinelone.com/blog/four-distinct-families-of-lazarus-malware-target-apples-macos-platform/

 

情报摘要：

在过去的八到十个星期内出现数个针对macOS的攻击样本，证明拉撒路（Lazarus）小组背后的攻击者正在使用各种技术开展数个不同的战役，自身一直在与Apple平台保持同步。

---

威胁事件情报

01

数十家公司公共存储库源代码在线泄漏

发布时间：2020年7月27日

情报来源：

https://www.bleepingcomputer.com/news/security/source-code-from-dozens-of-companies-leaked-online/

 

情报摘要：

由于基础设施配置不正确，来自各个领域（技术、金融、零售、食品、电子商务、制造业）的数十家公司的公开存储库的源代码泄露。泄露代码的公共存储库包括微软、Adobe、联想、AMD、高通、摩托罗拉、海思康、联发科技、通用电器、任天堂、Roblox、迪斯尼、江森自控等知名公司，名单还在不断增加。

 

大量这些泄漏，名称为”机密”或”机密和专有”标签，可在GitLab上的公共存储库中得到。

02

Ensiko：具有勒索软件功能的Webshell

发布时间：2020年7月27日

情报来源：

https://blog.trendmicro.com/trendlabs-security-intelligence/ensiko-a-webshell-with-ransomware-capabilities/

 

情报摘要：

Ensiko是具有勒索软件功能的PHP
Web
Shell，其目标是各种平台，例如Linux，Windows，macOS或安装了PHP的任何其他平台。该恶意软件具有远程控制系统并接受命令以在受感染机器上执行恶意活动的能力。

 

它还可以在受感染的系统上执行shell命令，并通过PHP反向shell将结果发送回攻击者。它能够扫描服务器上是否存在其他Webshell，破坏网站，发送大量电子邮件，下载远程文件，披露有关受影响服务器的信息，针对文件传输协议（FTP），cPanel和Telnet的暴力攻击，覆盖文件具有指定的扩展名等。

03

针对坦桑尼亚超级联赛的Android间谍软件

发布时间：2020年7月29日

情报来源：

https://www.zscaler.com/blogs/research/android-spyware-targeting-tanzania-premier-league

 

情报摘要：

攻击者利用COVID-19大流行传播恶意软件锁定移动用户，攻击者将目标对准了正在进行的坦桑尼亚大陆超级联赛足球赛季。坦桑尼亚大陆超级联赛是非洲坦桑尼亚的顶级职业足球（或足球，在美国这里是最常见的足球）联赛。在Google Play商店中有与这些俱乐部有关的合法应用，间谍软件将自己描绘成上述团队的官方应用程序。

04

数万台MSSQL服务器遭爆破入侵，已沦为门罗币矿机

发布时间：2020年7月29日

情报来源：

https://mp.weixin.qq.com/s/znFP8IjcC3KIuPfsm_93oA

 

情报摘要：

腾讯安全威胁情报中心检测到针对MSSQL服务器攻击的挖矿木马，该挖矿木马主要针对MS
SQL服务进行爆破弱口令攻击，爆破成功后会植入门罗币挖矿木马进行挖矿。同时攻击者下载frpc内网穿透工具安装后门，并会添加用户以方便入侵者远程登录该服务器。

 

从挖矿木马的HFS服务器计数看，已有上万台MSSQL服务器被植入挖矿木马，另有数十台服务器被安装后门。攻击者在失陷服务器上安装内网穿透工具会进一步增加黑客入侵风险，企业数据库服务器沦陷可能导致严重信息泄露事件发生。

05

Doki感染云中的Docker服务器

发布时间：2020年7月28日

情报链接：

https://www.intezer.com/container-security/watch-your-containers-doki-infecting-docker-servers-in-the-cloud/

 

情报摘要：

Ngrok挖矿僵尸网络活动正在Internet上扫描配置不当的Docker API端点，并且已经用新的恶意软件感染了无数服务器。

06

TrickBot的新Linux恶意软件秘密感染Windows设备

发布时间：2020年7月30日

情报链接：

https://www.bleepingcomputer.com/news/security/trickbots-new-linux-malware-covertly-infects-windows-devices/

 

情报摘要：

TrickBot的Anchor恶意软件平台已被移植，可以感染Linux设备并使用隐蔽渠道危害其他具有高影响力和高价值的目标。TrickBot是一个多功能的Windows恶意软件平台，它使用不同的模块执行各种恶意活动，包括信息窃取，密码窃取，Windows域渗透和恶意软件传递。

 

TrickBot由威胁参与者租用，他们利用威胁渗透网络并收获任何有价值的东西，然后将其用于部署Ryuk和Conti勒索软件。

07

Linux服务器遭遇挖矿蠕虫攻击，已有数千台服务器中招

发布时间：2020年7月31日

情报链接：

https://mp.weixin.qq.com/s/iNq8SdTZ9IrttAoQYLJw5A

 

情报摘要：

腾讯安全威胁情报中心捕获H2Miner挖矿蠕虫新变种近期活跃。H2Miner是一个linux下的大型挖矿僵尸网络，已被发现通过多个高危漏洞入侵Linux系统，并利用漏洞在企业内网或云服务器中横向扩散。腾讯安全威胁情报中心预估已有数千台服务器中招，腾讯安全专家建议相关企业尽快排查服务器被入侵的情况，及时清除H2Miner挖矿蠕虫病毒。

 

腾讯安全威胁情报中心本次捕获的H2Miner挖矿蠕虫样本会下载恶意脚本及恶意程序进行挖矿牟利，横向扫描扩大攻击面并维持与远程服务器（C2）通信，令服务器变成黑客可以随时控制的肉鸡。同时，具有卸载云服务器安全软件、删除云服务器镜像的能力，会给企业云服务器安全带来严重影响。

---

 

漏洞情报

01

FBI警告三个网络协议可被用于DDoS攻击

发布时间：2020年7月27日

情报来源：

https://www.zdnet.com/article/fbi-warns-of-new-ddos-attack-vectors-coap-ws-dd-arms-and-jenkins/

 

情报摘要：

FBI警告，新发现三个网络协议和一个Web应用程序可作为DDoS攻击媒介，它们为CoAP(约束应用协议)、WS-DD
(Web服务动态发现)、ARMS
(Apple远程管理服务)和基于web的自动化软件Jenkins。CoAP、WS-DD、ARMS三个协议已被滥用以发起大规模DDoS攻击。FBI认为设备供应商不会禁用这些协议，并警告公司采取预防和保护措施。

 

FBI表示，由于这些新发现的DDoS攻击是网络协议，对于它们所使用的设备（IoT设备、智能手机、Mac）至关重要，设备制造商不太可能删除或禁用其产品中的协议，因此新一波DDoS攻击的威胁正在逼近。

 

02

Adobe修复Magento软件中两个代码执行漏洞

发布时间：2020年7月28日

情报来源：

https://www.bleepingcomputer.com/news/security/magento-gets-security-updates-for-severe-code-execution-bugs/

 

Adobe发布安全更新，以修复影响Magento
Commerce和Magento Open
Source的两个代码执行漏洞。第一个被评为严重漏洞，漏洞编号为CVE-2020-9689，由路径遍历错误引起，可能允许具有管理员特权的攻击者执行任意代码。第二个被评为重要漏洞，编号为CVE-2020-9691，是认证前基于DOM的跨站点脚本（XSS）漏洞，可能允许未经认证的攻击者在未打补丁的系统上运行任意代码。

3

利用GRUB2引导加载程序中的“BootHole”漏洞攻击Windows和Linux设备

发布时间：2020年7月29日

情报链接：

https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/

 

情报摘要：

研究人员在大多数Linux系统使用的GRUB2引导加载程序中发现了一个称为“
BootHole”的漏洞，即使启用了安全引导，该漏洞也可用于在引导过程中获得任意代码执行。利用此漏洞的攻击者可以安装永久性的和隐秘的引导程序或恶意引导程序，从而使他们完全控制受害设备。

 

该漏洞会影响使用安全启动的系统，即使它们未使用GRUB2。几乎所有签名版本的GRUB2都容易受到攻击，这意味着几乎每个Linux发行版都受到影响。另外，GRUB2支持其他操作系统、内核和管理程序。该问题还扩展到将安全启动与标准的Microsoft第三方UEFI证书颁发机构一起使用的所有Windows设备。因此，大多数笔记本电脑，台式机，服务器和工作站，以及工业，医疗保健，金融和其他行业中使用的网络设备和其他专用设备均受到影响。

04

WordPress wpDiscuz插件中的任意文件上传漏洞

发布时间：2020年7月30日

情报来源：

http://www.mannulinux.org/2020/07/file-upload-vulnerability-wpDiscuz.html

 

情报摘要：

Wordfence
Team已发现此漏洞。漏洞很简单，如果用户有权上传图像作为附件，则可以利用该漏洞。

插件仅检查文件“Magic
Number”，而不检查文件扩展名。