本周值得关注的威胁情报：

APT情报
1.Turla组织新版本的ComRAT后门
2.Kimsuky APT组织利用假冒的ESET安全软件更新程序进行恶意活动
3.高级威胁：Ramsay恶意软件针对隔离网络的攻击技术分析

攻击事件情报
1.黑客试图在针对Sophos防火墙的攻击中部署勒索软件
2.ZLoader银行恶意软件又回来了,在100多个攻击活动中被发现
3.Outlaw黑客组织武器更新分析
4.双枪团伙新动向，借云服务管理数十万僵尸网络
5.Souleman矿工利用永恒之蓝漏洞攻击企业
6.泰国最大移动运营商泄露83亿条用户数据记录
7.2600万份LiveJournal凭证在线泄漏，在暗网上出售
8.新型间谍木马来袭，针对韩国银行用户

漏洞情报
1.Fastjson <=1.2.68全版本远程代码执行漏洞通告
2.NXNSAttack: DNS协议安全漏洞通告

APT情报

1.Turla组织新版本的ComRAT后门

发布时间：2020年5月26日

情报来源：https://www.welivesecurity.com/2020/05/26/agentbtz-comratv4-ten-year-journey/

 

情报摘要：

ComRAT，也被称为代理.BTZ及其开发者称为Chinch，是一个远程访问特洛伊木马（RAT）。2007年到2012年，该恶意软件发布了两个新版本。直到2017年中，攻击者对ComRAT进行了一些更改。最新版本ComRAT v4于2017年出现，直到2020年1月仍在使用。

 

研究人员至少确定了其针对两个外交部和一个国民议会。ComRAT v4是用C ++开发的复杂后门程序，使用一个在FAT16中格式化的虚拟FAT16文件系统。ComRAT v4使用现有的访问方法部署，例如PowerStallion PowerShell后门，使用HTTP和Gmail Web界面进行命令和控制。ComRAT v4可以在受到感染的计算机上执行许多操作，例如执行其它程序或窃取数据。攻击者使用OneDrive和4shared等公共云服务来接受数据。

 

2.Kimsuky APT组织利用假冒的ESET安全软件更新程序进行恶意活动

发布时间：2020年5月28日

情报来源：

https://www.freebuf.com/articles/terminal/235603.html

 

情报摘要：

3月初，疑似Kimsuky APT组织就利用新冠疫情对韩国进行网络攻击，通过投放大量的疫情相关的诱饵文档进行攻击。Kimsuky APT组织一直针对韩国的智囊团、政府组织、新闻组织和大学教授等发动攻击活动，其使用的C2也常常与这些组织有一定的关联。

 

国内安全团队发现疑似Kimsuky APT组织利用假冒的ESET安全软件更新程序进行信息收集的恶意活动，该文件伪装成ESET更新程序，运行后，会有ESET软件更新成功的窗口提示，诱导用户相信其为正常程序。

3.高级威胁：Ramsay恶意软件针对隔离网络的攻击技术分析

发布时间：2020年5月28日

情报来源：

https://mp.weixin.qq.com/s/Wl0I0CIrLmMHSr9RjpFNHg

 

情报摘要：

国外安全公司发布了恶意软件Ramsay针对物理隔离网络的攻击报告。物理隔离网络主要用来解决网络安全问题，尤其是在那些需要绝对保证安全的保密网、专网和特种网络，机会全部采用物理隔离网络。

 

基于腾讯安全威胁情报中心的长期研究跟踪，该Ramsay恶意文件，跟我们之前跟踪的retro系列的感染文档插件重叠。该波攻击至少从18年就已经开始，并且一直持续到现在。其攻击手段也在不断的进行演化，比如感染的对象从感染doc文件到感染可执行文件，窃取资料的方式从写入可移动磁盘的扇区到写入文档文件末尾等等

攻击事件情报

1.黑客试图在针对Sophos防火墙的攻击中部署勒索软件

发布时间：2020年5月22日

情报来源：

https://www.securityweek.com/hackers-attempted-deploy-ransomware-attacks-targeting-sophos-firewalls

 

情报摘要：

攻击者针对一个以前未知的SQL注入漏洞，以插入单行命令并下载Linux shell脚本，该脚本将执行更多命令并删除其他脚本，以实现持久性并创建备份通道。攻击者部署的文件之一将充当“僵尸交换机”，在重新启动或重启后在未修补的防火墙上删除特定文件时发起勒索软件攻击。

 

 

2.ZLoader银行木马在100多个攻击活动中被发现

发布时间：2020年5月22日

情报来源：

https://www.bleepingcomputer.com/news/security/zloader-banking-malware-is-back-deployed-in-over-100-campaigns/

 

情报摘要：

一种名为ZLoader的银行木马在100多个电子邮件活动中被发现，自2019年12月卷土重来以来，该木马正在积极开发中，共有25种版本出现。恶意电子邮件活动针对美国，加拿大，德国，波兰和澳大利亚的用户，提供与COVID-19主题（避免诈骗，测试的提示）和发票有关的诱饵。

 

3.Outlaw黑客组织武器更新分析

发布时间：2020年5月24日

情报来源：

https://www.freebuf.com/articles/network/234627.html

 

情报摘要：

自去年6月以来该组织一直保持沉默，在12月活动有所增加。研究人员发现该组织对武器功能进行了更新，扩展了扫描程序的参数和目标，改进了规避技术，提高了攻击带来的经济利益。这些工具旨在窃取汽车和金融行业信息，对目标系统发动后续攻击和出售被盗信息。

 

新样本利用已知漏洞来针对Linux和Unix操作系统、服务器以及物联网（IoT）设备，新添加了CVE-2016-8655和Dirty COW漏洞（CVE-2016-5195）利用模块，使用PHP Web Shell攻击具有SSH和Telnet弱凭据系统。活动中未观察到网络钓鱼或社会工程学攻击，发现了大规模定时IP扫描操作。

 

4. 双枪团伙新动向，借云服务管理数十万僵尸网络

发布时间：2020年5月23日

情报来源：

https://blog.netlab.360.com/shuang-qiang-zui-xin-huo-dong-fen-xi-bao-gao-nei-bu-bao-gao-ban/

 

情报摘要：

域名异常监测系统 DNSMon 捕捉到域名 pro.csocools.com 的异常活动。根据数据覆盖度估算，感染规模超过100k。我们通过告警域名关联到一批样本和 C2，分析样本后发现是与双枪恶意程序相关的团伙开始新的大规模活动。

 

5.Souleman矿工利用永恒之蓝漏洞攻击企业

发布时间：2020年5月25日

情报来源：

https://mp.weixin.qq.com/s/6mTvjKUesPS0MrpoIW5_5Q

 

情报摘要：

腾讯安全威胁情报中心发现利用永恒之蓝漏洞攻击传播的挖矿木马SoulemanMiner。该挖矿木马在2020年1月开始出现，攻击时利用永恒之蓝漏洞在内网攻击传播，攻击成功后会继续下载由XMRig编译的门罗币挖矿程序。SoulemanMiner挖矿木马运行时，会结束其他挖矿木马进程以独占资源。

 

对SoulemanMiner使用的下载服务器上的样本进行分析，还发现了在攻击时传播的窃密木马AZORult和盗取数字货币的木马Bitcoin-Grabber。

 

通过公开的钱包地址查询交易历史记录，发现SoulemanMiner挖矿木马团伙已通过挖矿和剪切板劫持数字交易获利超过27万元人民币。

 

6.泰国最大移动运营商泄露83亿条用户数据记录

发布时间：2020年5月25日

情报来源：

https://mp.weixin.qq.com/s/7k4K_OpkcfBJe-pz-iAi5w

 

情报摘要：

研究人员发现了泰国移动运营商 Advanced Info Service (AIS)子公司控制的一个 ElasticSearch 数据库可公开访问，数据库包含大约 83 亿记录，容量约为 4.7 TB，每 24 小时增加 2 亿记录。

 

AIS 是泰国最大的 GSM 移动运营商，用户约有 4000 万。可公开访问的数据库由其子公司 Advanced Wireless Network (AWN)控制，包括了 DNS 查询日志和 NetFlow 日志，这些数据可用于绘制一个用户的网络活动图。

 

7.2600万份LiveJournal凭证在线泄漏，在暗网上出售

发布时间：2020年5月27日

情报来源：

https://www.zdnet.com/article/26-million-livejournal-credentials-leaked-online-sold-on-the-dark-web/

 

情报摘要：

关于LiveJournal安全漏洞的谣言已经在网上流传了近两年。最早的谈话出现在2018年10月，当时有多个用户报告收到了他们的独特/旧LiveJournal密码，这是色情电子邮件垃圾邮件活动的一部分。

 

在过去几周内发布的一系列博客文章和推文中，DreamWidth表示，它已受到多种凭证填充攻击的攻击。该公司表示，黑客使用旧的LiveJournal用户名和密码组合来破坏DreamWidth帐户-因为两个平台共享相同的代码库和用户-并在其网站上发布垃圾邮件。

 

暗网市场上，该网站上的LiveJournal数据库以35美元的低价出售。（广告说有3300万条记录，但是删除重复项后，数据仅为2630万条记录。）

 

8.新型间谍木马来袭，针对韩国银行用户

发布时间：2020年5月27日

情报来源：

https://www.freebuf.com/articles/terminal/235526.html

 

情报摘要：

暗影安全实验室在日常监测中，发现一批针对韩国银行用户的新型间谍软件。这批木马样本仿冒成“智能快递”、“罗森快递”、“CJ韩国快递”、“现代快递”、“交货查询”、“韩进快递”、“SJEMS”等12种知名快递公司名称，采用加固代码隐藏，免杀，任意更换远程控制地址、任意替换新型木马等手段，配置非常灵活，根据C&C端下发的指令进行远程控制，窃取用户手机号码、通信录、通话录音、短信等个人隐私信息，最终盗取用户互联网账户的资金

漏洞情报

1.Fastjson <=1.2.68全版本远程代码执行漏洞通告

发布时间：2020年5月28日

情报来源：

https://mp.weixin.qq.com/s/p6kkCZFKWleOb6DHXO53rg

 

情报摘要：

腾讯安全团队监测到，Fastjson <=1.2.68版本存在远程代码执行漏洞，漏洞被利用可直接获取服务器权限。为避免您的业务受影响，腾讯安全团队建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

 

2.NXNSAttack: DNS协议安全漏洞通告

发布时间：2020年5月28日

情报来源：

https://cert.360.cn/warning/detail?id=d79fb4e15905ddc9a0d15029067f83a2

 

情报摘要：

国外研究团队发布了DNS协议中实现的逻辑错误导致拒绝服务漏洞的风险通告，漏洞等级：高危。

 

DNS协议存在实现上的逻辑错误，攻击者通过发起指向恶意name-server 的DNS查询请求，可以造成递归服务器/特定域名服务器拒绝服务影响。