本周值得关注的威胁情报：

APT情报

1.Wolf RAT利用间谍软件对泰国发起攻击

2.德国情报机构警告俄罗斯对关键基础设施的黑客攻击

 

攻击事件情报

1.永恒之蓝木马下载器发起 “黑球”行动，新增SMBGhost漏洞检测能力

2.谨防Linux挖矿木马通过Kubernetes途径入侵

3.REvil勒索软件搭建类似Ebay的交易平台用于拍卖盗窃到的数据

4.勒索软件开发者组正在建勒索联盟

5.明道云官网下载链接惨遭劫持

6.银行木马Metamorfo劫持受信任的应用程序以运行恶意软件

 

漏洞情报：

1.腾讯安全发布“Fastjson反序列化远程代码执行漏洞”解决方案

2.SMBGhost漏洞（CVE-2020-0796）利用源码公开

3.研究员公布CVE-2020-1066 EXP代码

4.CVE-2020-5410: Spring Cloud Config Server 目录遍历漏洞通告

5.华硕Aura Sync：基于堆栈的缓冲区溢出

6.Cisco NX-OS交换机漏洞预警

7.VMware Cloud Director平台中存在代码注入漏洞

8.用友NC反序列化远程命令执行“0-Day”漏洞风险通告

---

以下为相关情报摘要。

APT情报：

1.Wolf RAT利用间谍软件对泰国发起攻击

发布时间：2020年5月30日

情报来源：

https://mp.weixin.qq.com/s/UlYDoHhd8cJokTvlxlYkig

 

情报摘要：

泰国用户及设备正在遭受Wolf间谍软件的攻击。经研究表明该恶意软件与Wolf RAT有关。该恶意软件是基于DenDroid恶意软件的升级版本，其代码主要是通过对DenDroid恶意软件及网络上大量公共开源代码进行复制粘贴而成。该恶意软件通常伪装成一些合法服务应用，如GoogleService，GooglePlay、AdobeFlash插件进行传播。

 

2.德国情报机构警告俄罗斯对关键基础设施的黑客攻击

发布时间：2020年5月26日

情报来源：

https://www.cyberscoop.com/german-intelligence-memo-berserk-bear-critical-infrastructure/

 

情报摘要：

根据德国情报和安全机构上周发送给关键基础设施运营商的备忘录，调查人员于今年初发现了黑客在未具名的德国公司“长期入侵”的证据。

 

BSI，BND和BfV联邦发出的警报称，这个被称为Berserk Bear的黑客组织一直存在访问德国公司的IT系统，该组织被一些分析师怀疑为代表俄罗斯FSB情报机构有关联。

 

该通报说：“攻击者的目标是使用公开可用的但也有专门编写的恶意软件，将自己永久锚定在IT网络中窃取信息，甚至获得对生产系统的访问权。”德国当局说，没有证据表明对任何公司的工业网络都有破坏性攻击。

 

攻击事件情报

 

1.永恒之蓝木马下载器发起 “黑球”行动，新增SMBGhost漏洞检测能力

发布时间：2020年6月3日

情报来源：

https://mp.weixin.qq.com/s/QEE95HTKzuT4-NykfvHfGQ

 

情报摘要：

腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现最新变种，此次变种的病毒延续上个版本的邮件蠕虫攻击方法，利用附带Office漏洞CVE-2017-8570漏洞的doc文档以及JS诱饵文件发送与新冠肺炎主题相关的钓鱼邮件。同时新增SMBGhost（CVE-2020-0796）漏洞检测和上报、新增SSH爆破攻击相关代码，推测其可能在后续攻击活动中利用SMBGhost漏洞、也可能发起针对Linux系统的攻击。

 

2.谨防Linux挖矿木马通过Kubernetes途径入侵

发布时间：2020年6月3日

情报来源：

https://mp.weixin.qq.com/s/sBiSo9fxONI60HxGnlB-Bg

 

情报摘要：

腾讯安全团队接受到部分用户反馈，部分Linux主机检测到名为docker的木马文件。经现场提取排查线索后，发现该挖矿木马疑似通过低版本Kubernetes组件入侵。入侵成功后在机器内执行恶意sh脚本，恶意脚本则进行同类木马清理，同时从82.146.53.166地址拉取矿机，配置后进行非法挖矿，目前看到的恶意sh脚本主要有2个版本。

 

3.REvil勒索软件搭建类似Ebay的交易平台用于拍卖盗窃到的数据

发布时间：2020年6月2日

情报来源：

https://www.bleepingcomputer.com/news/security/revil-ransomware-creates-ebay-like-auction-site-for-stolen-data/

 

情报摘要：

REvil勒索软件的运营商推出了一个新的拍卖网站，用于将受害者的失窃数据出售给出价最高的人。

 

REvil，也称为Sodinokibi，是一种勒索软件操作，利用远程桌面服务爆破，垃圾邮件， 漏洞利用等方式入侵。入侵成功后，会在公司内网横向传播，同时从工作站和服务器窃取未加密的数据，之后加密受害者数据实施勒索攻击。

 

4.勒索软件开发者组正在建勒索联盟

发布时间：

情报来源：

https://www.bleepingcomputer.com/news/security/ransomware-gangs-team-up-to-form-extortion-cartel/

 

情报摘要：

勒索软件团伙正在通过共享的数据泄漏平台以及战术和情报交流来勒索受害者。

 

2019年11月，迷宫勒索软件运营商在发布拒绝付款的受害者未加密数据后，将勒索软件攻击转变为数据泄露。不久之后，他们启动了一个专门的“迷宫新闻”网站，该网站通过公开发布被盗数据来羞辱不付钱的受害者，这种勒索策略很快被其他组织采用。

 

5.明道云官网下载链接惨遭劫持

发布时间：2020年6月4日

情报来源：

http://www.360.cn/n/11700.html

 

情报摘要：

云办公软件明道云官网下载链接惨遭劫持，当用户点击官方网站的下载链接后，下载的却是经过伪装的木马安装包。初步判定这一狸猫换太子的把戏，源于明道云部分下载服务器失陷。

 

6. 银行木马Metamorfo劫持受信任的应用程序以运行恶意软件

发布时间：2020年6月4日

情报来源

https://labs.bitdefender.com/2020/06/banking-trojan-metamorfo-hijacks-trusted-apps-to-run-malware/

 

情报摘要：

Metamorfo是一家银行木马家族，自2018年中期以来一直活跃。它主要针对巴西人，主要通过垃圾邮件附件中装有宏的Office文件进行分发。Metamorfo是一种强大的恶意软件，其主要功能是窃取用户的银行信息和其他个人数据并将其扩散到C2服务器。

 

Metamorfo当前使用一种称为DLL劫持的技术来隐藏其在系统中的存在并提升其在目标计算机上的特权。我该恶意软件试图从C2服务器下载其他文件，这表明它也可以使用扩展命令集下载自身的更新版本。

漏洞情报：

 

1.腾讯安全发布“Fastjson反序列化远程代码执行漏洞”解决方案

发布时间：2020年6月1日

情报来源：

https://mp.weixin.qq.com/s/e7ffEABgOlP2scRLSjckHQ

 

情报摘要：

腾讯安全团队监测到Fastjson <=1.2.68版本存在反序列化远程代码执行漏洞，Fastjson官方已发布版本升级修复该漏洞，腾讯安全系列产品已同步升级，提供针对该漏洞的检测能力，可拦截黑客利用漏洞的攻击活动。

 

2.SMBGhost漏洞（CVE-2020-0796）利用源码公开

发布时间：2020年6月2日

情报来源：

https://mp.weixin.qq.com/s/LDWRacyVMAu2JGZUJf3qKQ

 

情报摘要：

2020年6月2日，有国外安全研究员公开了一份CVE-2020-0796（别名：SMBGhost，绰号：永恒之黑）漏洞的RCE代码。经腾讯安全团队分析，漏洞利用思路与先前国外安全团队披露的利用方式类似。由于本次公布的是漏洞利用源代码，使得漏洞利用风险骤然升级，被黑灰产修改即可用于网络攻击。

3.研究员公布CVE-2020-1066 EXP代码

发布时间：2020年6月1日

情报来源：

https://github.com/cbwang505/CVE-2020-1066-EXP

 

情报摘要：

这个漏洞属于Windows CardSpace服务未正确处理符号链接对象导致的任意文件替换的本地权限提升扩展，从Windows 7和Windows Server 2008 R2的Windows CardSpace服务（简称idsvc），该服务可以任意用户启动，同时以系统权限运行，并提供公开的RPC调用。服务在由用户触发移动位于当前用户环境变量％APPDATA％目录下指定配置文件时未正确处理符号链接对象，导致任意文件替换的本地权限提升。

4.CVE-2020-5410: SpringCloud Config Server 目录遍历漏洞通告

发布时间：2020年6月2日

情报来源：

https://cert.360.cn/warning/detail?id=005b0371f251e8e397836bcc6baff8dc

 

情报摘要：

Spring CloudConfig官方发布 Spring Cloud Config Server 目录遍历漏洞的风险通告，该漏洞编号为 CVE-2020-5410，漏洞等级：中危。

当通过Spring Cloud Config Server模块处理目录遍历序列时，由于输入验证错误而造成此漏洞。远程攻击者可以通过发送一个特别设计的HTTP请求，可以造成任意文件读取。

 

5. 华硕Aura Sync：基于堆栈的缓冲区溢出

发布时间：2020年6月1日

情报来源：

https://zer0-day.pw/2020-06/asus-aura-sync-stack-based-buffer-overflow/

 

情报摘要：

ASUS AuraSync版本1.07.71随附的内核驱动程序在处理IOCTL请求的代码中包含一个漏洞，可能导致：本地拒绝服务攻击（由于内核崩溃而导致系统崩溃），或在内核级别本地执行任意代码。

 

6.Cisco NX-OS交换机漏洞预警

发布时间：2020年6月1日

情报来源：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-ipip-dos-kCT9X4

 

情报摘要：

Cisco NX-OS软件网络堆栈中的漏洞可能允许未经身份验证的远程攻击者绕过某些安全边界，或在受影响的设备上导致拒绝服务（DoS）

7. VMware Cloud Director平台中存在代码注入漏洞

发布时间：2020年6月1日

情报来源：

https://thehackernews.com/2020/06/vmware-cloud-director-exploit.html

 

情报摘要：

网络安全研究人员今天披露了VMware Cloud Director平台中一个新漏洞的详细信息，该漏洞可能使攻击者能够访问敏感信息并控制整个基础架构中的私有云。

 

漏洞编号：CVE-2020-3956，源于不正确的输入处理，该输入处理可能被经过身份验证的攻击者滥用以将恶意流量发送到Cloud Director，从而导致执行任意代码。

 

8.用友NC反序列化远程命令执行“0-Day”漏洞风险通告

发布时间：2020年6月4日

情报来源：

https://mp.weixin.qq.com/s/YRh8R-JlQNCz7pTjefV09g

 

情报摘要：

用友NC最新的6.5版本中存在JAVA反序列化远程命令执行“0-Day”漏洞，利用该漏洞可完全获取主机控制权限，造成OA平台内的敏感数据泄露，并为进一步向关键基础设施运营企业的生产网络渗透提供重要跳板。