本周值得关注的威胁情报:

APT情报
1.Malwarebytes发现APT组织Higaisa的新活动
2.来自北极熊的威胁——Turla
 
攻击事件情报
1.新的Tycoon勒索软件针对Windows和Linux系统
2.伪造解密工具的勒索软件Zorab，对受害者进行二次加密
3.深度分析阿瓦顿（Avaddon）勒索软件
4.汉化远控木马下发挖矿程序，利用肉鸡资源捞金
5.本田遭受勒索病毒攻击，正在调查
6.永恒之蓝下载器木马再度更新，新增SMBGhost漏洞利用及Redis数据库爆破模块
7.合法软件沦为勒索工具，深信服EDR提供防御方案
 
漏洞情报
1.Zoom中的两个漏洞可能导致代码执行
2.CVE-2020-4450: WebSphere远程代码执行漏洞通告
3.Cisco IOS 多个高危漏洞通告
4.SMB v1远程代码执行漏洞（CVE-2020-1301）风险通告
5.英特尔CPU容易受到新的“ SGAxe”和“ CrossTalk”侧通道攻击
6.VMware 多个产品中危漏洞安全风险通告

---

以下为威胁情报摘要：

 

APT情报

1.Malwarebytes发现APT组织Higaisa的新活动

发布时间：2020年6月4日

情报来源：

https://blog.malwarebytes.com/threat-analysis/2020/06/higaisa/

 

情报摘要：

MalwarebytesLABS发现APT组织 Higaisa 发起了新的攻击活动。Higaisa 在2019年初被首次披露，被认为与朝鲜半岛有关。在最近的这次攻击活动中，Higaisa 使用了一个恶意快捷方式文件，实行了一种多段式攻击，其中用到了多个恶意脚本、攻击载荷以及诱饵 PDF 文件。

 

2.来自北极熊的威胁——Turla

发布时间：2020年6月9日

情报来源：

https://mp.weixin.qq.com/s/-v8p-jRKNSssG6jg1LrqPw

 

情报摘要：

Turla组织攻击目标包括政府机构、使馆、军事机构、教育机构、研究机构和制药公司。最初在攻击美国情报部门后被披露。近几年，该组织攻击了德国外交部，法国军队相关公司的服务器，窃取了大量的情报信息。

 

对Turla组织使用的恶意软件进行分析后，总结出以下信息：

1、攻击者在编写恶意软件时输出的debug信息是英文，但不是母语；

2、攻击者的基础设施来源于俄罗斯；

3、攻击者使用的默认语言为俄语；

4、Agent.BTZ中也出现了类似的痕迹。 

 

攻击事件情报

1. 新的Tycoon勒索软件针对Windows和Linux系统

发布时间：2020年6月4日

情报来源：

https://www.bleepingcomputer.com/news/security/new-tycoon-ransomware-targets-both-windows-and-linux-systems/

 

情报摘要：

Tycoon，是一种基于Java的多平台恶意软件，可用于对Windows和Linux设备进行加密。

 

在操作员使用易受攻击且暴露于Internet的RDP服务器渗入受害者的网络后，操作员以“包含特洛伊木马运行时环境（JRE）版本的ZIP存档”的形式手动部署了Tycoon勒索软件。由于此恶意JRE构建同时包含Windows批处理文件和Linux Shell，因此研究人员认为Tycoon操作员可以使用勒索软件对Linux服务器进行加密。

 

2.伪造解密工具的勒索软件Zorab，对受害者进行二次加密

发布时间：2020年6月6日

情报来源：

https://www.bleepingcomputer.com/news/security/fake-ransomware-decryptor-double-encrypts-desperate-victims-files/

 

情报摘要：

Zorab勒索软件的创建者发布了一个伪造的STOP Djvu解密器，该解密器不会免费恢复任何文件，而是使用另一勒索软件对受害者所有已经加密的数据进行加密。

 

3深度分析阿瓦顿（Avaddon）勒索软件

发布时间：

情报来源：

https://mp.weixin.qq.com/s/ziQZvvqhaO8hW9KhAq-KvQ

 

情报摘要：

2020年6月在地下黑客论坛开始出售新的勒索软件“ Avaddon Ransomware”，勒索软件采用AES-256与RSA-2048对用户的数据进行加密，然后需要150到350美元或更多的BTC赎金才能解密文件。

 

4.汉化远控木马下发挖矿程序，利用肉鸡资源捞金

发布时间：2020年6月9日

情报来源：

https://www.freebuf.com/articles/system/236732.html

 

情报摘要：

一款伪装为Windows系统帮助文件的远控木马，攻击者通过远控木马下发挖矿程序到被害主机，占用主机资源进行挖矿。

 

5.本田遭受勒索病毒攻击，正在调查

发布时间：2020年6月8日

情报来源：

https://www.bleepingcomputer.com/news/security/honda-investigates-possible-ransomware-attack-networks-impacted/

 

情报摘要：

汽车制造商本田公司在欧洲和日本的计算机网络受到了与SNAKE Ransomware网络攻击有关的问题的影响。

 

6.永恒之蓝下载器木马再度更新，新增SMBGhost漏洞利用及Redis数据库爆破模块

发布时间：2020年6月11日

情报来源：

https://mp.weixin.qq.com/s/TYq2ipexQTVoAWoJc33aaQ

 

情报摘要：

2020年6月10日，永恒之蓝下载器木马再度更新，木马在原有SMBGhost漏洞监测模块的基础上，新增漏洞利用模块。此外还新增Redis数据库爆破模块。SMBGhost (CVE-2020-0796)是SMB服务远程代码执行漏洞，攻击者可能利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据导致在目标系统上执行恶意代码，从而获取机器的完全控制。

 

7.合法软件沦为勒索工具，深信服EDR提供防御方案

发布时间：2020年6月11日

情报来源：

https://mp.weixin.qq.com/s/vBZcqtMXHH7ekN8PeS2vEw

 

情报摘要：

一款合法的磁盘加密软件BestCrypt Volume Encryption被黑客利用作为勒索工具。黑客通过RDP暴破等方式远程登录目标服务器后，人工运行BestCrypt Volume Encryption进行勒索加密。由于用于加密的是合法软件而非病毒，通过文件查杀的方式通常无法防御。

 

漏洞情报

1.Zoom中的两个漏洞可能导致代码执行

发布时间：2020年6月3日

情报来源：

https://blog.talosintelligence.com/2020/06/vuln-spotlight-zoom-code-execution-june-2020.html

 

情报摘要：

思科Talos最近在流行的Zoom视频聊天应用程序中发现了两个漏洞，这些漏洞可能允许恶意用户在受害者的计算机上执行任意代码。

 

Zoom Client应用程序聊天Giphy任意文件写入（TALOS-2020-1055/ CVE-2020-6109）

 

Zoom Client版本4.6.10中存在可利用的路径遍历漏洞，该漏洞处理包含动画GIF的消息。特制的聊天消息可能导致任意文件写入，可能会进一步滥用该文件以实现任意代码执行。为了触发此漏洞，攻击者需要向目标用户或组发送特制消息。

 

Zoom Client应用程序聊天代码段远程执行代码漏洞（TALOS-2020-1056 / CVE-2020-6110）

Zoom Client版本4.6.10处理包括共享代码段在内的消息的方式中存在一个可利用的部分路径遍历漏洞。特制的聊天消息可能会导致任意二进制植入，可能会滥用该二进制植入来实现任意代码执行。攻击者需要向目标用户或组发送特制消息，以触发此漏洞。

 

2.CVE-2020-4450:WebSphere远程代码执行漏洞通告

发布时间：2020年6月8日

情报来源：

https://mp.weixin.qq.com/s/7xD45KDnNhP64XaSaKYf-Q

 

情报摘要：

IBM官方发布了WebSphere远程代码执行的风险通告，该漏洞编号为CVE-2020-4450，漏洞等级：高危。

 

WebSphereApplication Server 是一款由IBM 公司开发的高性能的Java 中间件服务器，可用于构建、运行、集成、保护和管理部署的动态云和Web 应用。它不仅能够确保高性能和灵活性，还提供多种开放标准编程模型选项，旨在最大程度提高开发人员的生产力。

 

此漏洞由IIOP协议上的反序列化造成，未经身份认证的攻击者可以通过IIOP协议远程攻击WebSphere Application Server，在目标服务端执行任意代码，获取系统权限，进而接管服务器。

 

3.Cisco IOS 多个高危漏洞通告

发布时间：2020年6月9日

情报来源：

https://mp.weixin.qq.com/s/snG1LsBfkmpB8YTj8MY1ug

 

情报摘要：

Cisco官方 发布了 IOS(思科网际互联操作系统)组件多个漏洞的风险通告，漏洞编号为CVE-2020-3227/CVE-2020-3205/CVE-2020-3198/CVE-2020-3258，漏洞等级：高危。

 

Cisco IOS 组件 是 Cisco 用于实现动态升级适应更改技术(兼容硬件与软件)的产品，该产品在网络基础设施内实现自动化。Cisco IOS可以作为互联网络智慧管理及控制复杂、分布式网络资源和功能的高智能的管理员。Cisco IOS 组件 存在 权限提升/命令注入/任意代码执行漏洞，攻击者 通过 发送特制的请求包，可以造成 远程命令执行。

 

4.SMB v1远程代码执行漏洞（CVE-2020-1301）风险通告

发布时间：2020年6月10日

情报来源：

https://mp.weixin.qq.com/s/cfxyEuCn4ofUk-Ejv7iJ7Q

 

情报摘要：

2020年6月10日，微软发布补丁修复了一个标注为远程代码执行的SMB v1漏洞：CVE-2020-1301，漏洞影响Win7-Win10的所有版本。经腾讯安全团队分析，该漏洞发生在srv驱动模块解析SMB相关协议MS-FSCC中的FSCTL_SIS_COPYFILE请求时，没有完全验证请求中的SI_COPYFILE结构，后续引用造成了整形溢出。与之前的SMBGhost（SMBv3漏洞）相比，该漏洞出现在老版本的SMB v1中，触发需要先通过身份认证，危害等级低于CVE-2020-0796。

 

5.英特尔CPU容易受到新的“ SGAxe”和“ CrossTalk”侧通道攻击

发布时间：2020年6月10日

情报来源：

https://thehackernews.com/2020/06/intel-sgaxe-crosstalk-attacks.html

 

情报摘要：

网络安全研究人员发现了两种截然不同的攻击，可以利用它们攻击现代英特尔处理器，以从CPU的受信任执行环境（TEE）中泄漏敏感信息。

 

6.VMware 多个产品中危漏洞安全风险通告

发布时间：2020年6月11日

情报来源：

https://mp.weixin.qq.com/s/Wn9n2vbUij75up8Dr-EpeQ

 

情报摘要：

VMware 发布了 桌面虚拟化产品多个漏洞 的风险通告，事件等级：中危。此次安全更新主要针对 VMware 旗下的多款虚拟化产品，本地攻击者在低用户权限下即可触发漏洞。