本周值得关注的威胁情报:
勒索病毒
1.警惕疫情追踪应用暗藏CovidLock勒索软件
名为 CovidLock 的勒索软件向用户勒索100美元,以解锁他们的 Android 智能机。这款勒索软件会锁定受害者的手机屏幕并更改设备密码,如果此前未设定密码,CovidLock 还会自动设置一个密码,以迫使用户就范。
情报来源:
https://www.zscaler.com/blogs/research/covidlock-android-ransomware-walkthrough-and-unlocking-routine
2.Sodinokibi勒索在黑客论坛上出售泄漏信息
在2019年,迷宫勒索软件运营商开始从受害者那里窃取数据,然后再对设备进行加密,并利用被盗的文件来使受害者付款。如果受害者决定不付款,那么迷宫操作员将发布这些文件。之后,这一作法被众多勒索软件效仿。
情报来源:
https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-data-leaks-now-sold-on-hacker-forums/
APT活动
1、越南国家背景APT组织“海莲花”利用疫情话题攻击我国政府机构
自新型肺炎爆发以来,有大量APT组织和黑产团伙利用作为话题发起攻击,如白象、绿斑、蔓灵花、海莲花、Kimsuky和Hades等,微步在线已撰写了多篇相关报告披露来此类攻击活动。
情报来源:
https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=2527
2.APT36利用新冠病毒热点投送Crimson RAT
Malwarebytes针对疑似归属于巴基斯坦APT36组织的近期攻击活动进行了分析,其利用新冠病毒主题的诱饵文档投送Crimson RAT。
情报来源:
https://blog.malwarebytes.com/threat-analysis/2020/03/apt36-jumps-on-the-coronavirus-bandwagon-delivers-crimson-rat/
3.国内某安全研究室建议谨慎打开疫情地图邮件
随着新冠肺炎病毒(nCoV-19)在世界范围内的传播扩散,多个国际黑客组织开始注意到疫情话题在社会工程学方面的易用性,用疫情信息做掩护发起攻击。NetWire远控木马控制者开始使用nCoV-19疫情相关的诱饵文档来投放木马。
情报来源:
https://mp.weixin.qq.com/s/DSqNlGTaWGP7WyGWki2xwQ
4.恶意邮件冒充世卫组织投递HawkEye木马
有钓鱼邮件冒充世界卫生组织(WHO)总干事发布消息,攻击者会将HawkEye恶意软件传播到受害者设备上。HawkEye旨在从受感染的设备中窃取信息,但也可以用作装载程序,利用其僵尸网络将其他恶意软件提取到设备中,以作为第三方网络犯罪参与者的服务。
情报来源:
https://www.bleepingcomputer.com/news/security/who-chief-impersonated-in-phishing-to-deliver-hawkeye-malware/
漏洞信息
通达OA远程代码执行漏洞通告
近日有通达OA用户,在安装了某插件后,收到了伪造的升级链接,点击后导致服务器被勒索的安全事件。
经分析,在受影响的通达OA版本中,攻击者可以在未认证的情况下向服务器上传文件。在安装特定插件的版本中,还可以造成上传文件中的代码执行。
情报来源:
https://mp.weixin.qq.com/s/2mOnpdkdPRYx-g1apOSisg
上述威胁情报信息已与腾讯安全威胁情报平台(TIP)同步
腾讯安全威胁情报平台(TIP)是将腾讯云端强大的威胁情报识别和生产能力应用于企业内网,支撑企业进行威胁情报生命周期管理,协同分析和定位,并提供威胁情报内网云查服务,将威胁情报应用于您的防火墙、路由设备、SoC/SIEM、NGFW等其它安全产品或级联状态的下游。
系统支持腾讯情报,第三方情报(stix2和国标),用户运营情报,提供本地化、全方位的威胁情报能力,包括及时发现关键威胁、对已有报警进行误报筛除或分级、为事件响应提供决策需要的上下文、提供安全预警能力、提供自有情报运营能力等,为企业威胁情报管理提供统一运营和支撑平台。
通过部署腾讯安全威胁情报平台(TIP),企业可及时高效地将腾讯安全强大的威胁情报响应能力应用到企业内网,协助企业快速识别安全威胁和检测风险,典型使用场景如下:
更多有关企业网络安全、政务信息系统安全的解决方案介绍,可参考腾讯安全官方网站(https://s.tencent.com/)的“产品中心”。