发布时间:2020年11月12日
情报来源:
fe1K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6@1K9g2)9J5k6h3c8T1j5i4m8H3M7$3g2U0N6i4u0A6N6s2W2Q4x3X3g2U0L8$3#2Q4x3X3g2U0L8W2)9J5c8X3u0D9L8$3N6Q4x3V1k6A6L8X3c8W2P5q4)9J5k6i4m8Z5M7q4)9J5c8U0t1H3x3U0m8Q4x3V1j5I4x3g2)9J5c8U0p5J5i4K6u0r3L8%4m8W2M7X3q4@1K9h3!0F1i4K6u0V1k6$3!0D9k6q4)9J5k6r3S2#2L8Y4c8A6L8X3N6Q4x3V1j5`.
情报摘要:
国内安全研究人员捕获到一些以创投为主题的钓鱼文档。诱饵文档标题伪装成创投资本的保密协议,利用模板注入下载后续内容,同时伪造创投相关文档内容诱导迷惑受害者。通过分析发现行动的主要目标集中在风投前沿科技相关行业。
发布时间:2020年11月17日
17aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8U0m8E0d9q4N6w2j5U0c8S2x3r3E0s2N6$3S2C8h3W2Z5H3L8U0m8A6z5g2p5`.
国内安全团队披露了长期针对南亚次大陆的攻击组织“魔罗桫”,该组织长期针对中国,巴基斯坦,尼泊尔等国和地区进行了长达数年的网络间谍攻击活动,主要针对领域为政府机构,军工企业,核能行业等。
近日,再次监测到该组织多起攻击样本,要通过伪装成巴基斯坦空间科学委员会招聘信息、敏感时事新闻等带有模板注入漏洞的文档进行投放,样本运行后,将展示正常的诱饵信息迷惑受害者,同时连接远程服务器获取后续荷载执行,实现对受害者计算机的完全控制。
发布时间:2020年11月19日
fa2K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8W2A6m8K9r3k6c8N6W2m8p5x3g2S2#2j5%4m8r3c8i4m8i4K9s2N6*7j5@1p5`.
响尾蛇(SideWinder)组织是一支具有南亚背景的APT组织,该组织的攻击活动最早可追溯到2012年。该组织第一次在卡巴斯基在2018年一季度APT报告中被披露,卡巴斯基根据地域象征意义的动物将该组织命名为"响尾蛇"(SideWinder)。
今年11月份开始,国内安全团队监测到响尾蛇(SideWinder)组织针对中国的攻击又开始活跃,经分析研判,发现该组织通过微信、邮件等途径针对国内特定机构投递诱饵文档发起攻击,目标涉及外交等特定政府机构。
2e4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8V1u0W2h3X3&6X3k6K6g2F1f1p5I4J5k6e0k6@1g2r3c8z5P5U0m8@1b7@1p5`.
国内安全团队在日常威胁追踪过程中捕获到一个以“第二届一带一路能源合作伙伴关系论坛参会回执”为内容的恶意Doc文档。通过对样本进行详细分析,发现该样本与响尾蛇(Sidewinder)APT组织有极大关联,疑似该组织针对第二届“一带一路”参会单位与相关人员的定点攻击活动。
d8dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4i4K6u0W2L8X3g2@1L8r3q4T1i4K6u0W2x3K6j5H3i4K6u0W2j5$3!0E0i4K6u0r3L8r3W2F1N6i4S2Q4x3X3c8F1k6$3W2G2N6$3g2T1i4K6u0V1N6U0u0Q4x3X3c8Y4L8$3W2F1k6#2)9J5k6r3q4X3N6r3g2J5i4K6u0V1K9h3!0@1i4K6u0V1k6r3g2$3K9h3y4W2M7#2)9J5c8R3`.`.
基于Ngioweb长时间的活跃,VT上极低的检测率,以及开始攻击IOT设备等原因,国内安全研究者编写本文,披露Ngioweb V2的一些技术细节&IOC,以便社区更好地识别,打击Ngioweb Botnet。
cb2K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1L8r3g2W2M7r3W2F1k6$3y4G2L8i4m8#2N6r3g2J5i4K6u0W2j5$3!0E0i4K6u0r3L8X3g2%4M7#2)9J5c8Y4y4W2j5%4g2J5K9i4c8&6i4K6u0r3M7%4c8W2k6h3I4U0j5i4y4W2i4K6u0V1k6Y4g2J5L8X3W2@1N6i4u0W2i4K6u0V1k6$3W2S2L8Y4c8Q4x3X3c8V1L8%4N6F1i4K6u0V1k6X3!0J5i4K6u0V1x3W2)9J5k6s2N6W2k6h3E0K6i4K6u0V1j5h3k6@1k6i4u0Q4x3X3c8J5j5h3&6K6L8$3#2%4j5i4u0W2i4K6u0V1j5i4c8@1j5h3y4C8i4K6u0r3
情报摘要:
办公家具巨头Steelcase说,在Ryuk勒索软件攻击期间,没有任何信息被盗,该攻击迫使他们的全球运营关闭了两周。
Steelcase是全球最大的办公家具制造商,拥有近13,000名员工,拥有800个经销商网络,2020年的收入为37亿美元。
发布时间:2020年11月16日
5c1K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8U0c8g2j5f1!0*7e0X3D9H3x3#2k6K9e0q4S2%4P5Y4u0b7g2#2y4K6d9s2M7`.
金指狗木马架构又转入活跃状态,更新了漏洞组件,在执行链中首次出现了该团伙使用的新型Loader程序,该架构主要出现在全球华语地区。
新版本的木马架构依旧延续了良好的免杀效果,使用Total VideoPlayer栈溢出漏洞执行后续shellcode,抛弃以往使用的Photodex ProShow Producer软件栈溢出漏洞,从被修改过的带有数字签名的文件中解密数据,经过几轮内存加载后最终运行大灰狼远控,远程控制受害者电脑。
e05K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8W2u0e0d9#2S2I4M7V1W2B7k6i4y4n7M7U0k6I4j5@1W2a6h3q4b7#2e0@1p5`.
腾讯主机安全(云镜)捕获一个新的挖矿木马LoggerMiner,该木马在云上主机中攻击传播,会利用当前主机上的ssh账号信息对其他主机发起攻击,以控制更多系统。并且,LoggerMiner还会尝试对当前主机上的docker容器进行感染。
该木马代码中大量使用了logger字符串作为系统账号名、文件路径、通信域名等,腾讯安全团队据此将其命名为“LoggerMiner”挖矿木马。
发布时间:2020年11月18日
ae1K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8Y4x3&6N6p5&6k6y4K6c8$3b7K6W2A6f1U0u0D9c8W2f1#2f1V1R3K6P5X3M7`.
国内 300+ 家高校网站存在非法网站外链的现象,疑似被黑产团伙用于 SEO 推广。分析发现,该情况主要是由于相关网站的外链站点被黑客入侵后进行了恶意篡改,而多数网站自身其实并不存在问题。
情报链接:
8e3K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8W2u0G2g2q4c8b7k6@1H3K6j5e0m8e0g2r3N6E0g2q4)9#2k6U0u0t1c8V1E0f1b7b7`.`.
11月16号 17:02 攻击者在PyPI官方仓库上传了covd 恶意包,该恶意包通过伪造 covid 包名进行钓鱼,攻击者可对受感染的主机进行入侵,并实施种植木马、命令控制等一系列活动,其中恶意代码存在于1.0.2/4版本中。
正常 covid 包的功能是获取约翰斯·霍普金斯大学和worldometers.info提供的有关新型冠状病毒的信息,每天的安装量上千次。在新冠疫情在世界流行的大背景下,covid包因输错包名而被误装为covd钓鱼包的数量将会不断增加。
857K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8V1R3H3b7V1N6T1K9h3g2o6f1V1I4F1j5h3N6K9d9U0S2W2k6#2y4Q4y4h3j5J5b7b7`.`.
现通过聊天工具传播的“钓鱼攻击”事件有明显的上升趋势,这可能是因为“双十一”临近,攻击者变得活跃起来。我们在追踪该类样本家族过程中,共发现有多个木马变种传播。经分析,发现病毒通过ClientKey实现免密登录受害者的邮箱,空间,获取联系人好友(包含备注)及群信息,这将导致受害者的账户信息完全泄露,并且可能被攻击者拿来作为诈骗、勒索、二次传播等牟利的工具。
b19K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8X3S2K9K9h3Z5&6K9@1!0f1k6$3I4u0K9s2x3^5e0r3I4Z5x3@1W2K9b7$3M7`.
2020年11月16日,XStream官方发布安全更新,修复了 XStream远程代码执行漏洞( CVE-2020-26217)。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,造成远程代码执行,从而控制服务器。
ae6K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6i4K6u0W2N6r3g2F1j5$3g2F1N6q4)9J5k6h3y4G2L8g2)9J5c8Y4u0W2M7$3g2S2M7X3y4Z5i4K6u0r3j5Y4y4S2k6X3g2Q4x3V1j5I4x3e0M7^5i4K6u0W2K9s2c8E0L8l9`.`.
Node.js项目在2020年11月16日发布15.x,14.x和12.x的新版本,修复一个高危漏洞。Node.js应用程序允许攻击者为自己选择的主机触发DNS请求,通过使该应用程序解析具有大量响应的DNS记录来触发拒绝服务(DoS)。
Node.js 是能够在服务器端运行 JavaScript 的开放源代码、跨平台 JavaScript 运行环境。
cbaK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8V1u0*7i4K6g2X3b7g2y4Y4x3X3u0Q4y4h3j5@1z5q4m8m8z5e0S2n7N6f1H3%4g2q4S2c8
Linux内核在实现X.25套接字相关的函数中,存在多处栈越界漏洞,其中栈越界写漏洞最为严重,可以导致内核数据被修改,造成权限提升,攻击者可以利用这些漏洞完成权限提升,控制整个系统。
该漏洞自1996年Linux内核引入对X.25协议以来,一直存在,持续时间长达24年之久。基于Linux内核的Ubuntu、CentOS、RedHat、SUSE、Debian等操作系统一直都受到该漏洞的影响。 目前这些漏洞尚未修复,漏洞细节已按Linux社区规则予以公开披露,腾讯安全专家建议Linux用户密切关注最新的安全更新。
7fdK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8U0u0V1j5V1k6W2y4h3!0f1k6V1u0i4k6U0y4m8c8h3q4&6d9%4t1J5b7Y4M7`.
国外研究人员在UbuntuAccountsService中发现了两个本地拒绝服务漏洞,并且两个漏洞单独的危害等级都是“低危”。但研究人员在偶然间发现,将两个漏洞组合在一起利用,能够达到本地权限提升的效果。
f59K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8X3#2K9K9@1q4W2f1@1g2K9y4h3g2p5e0f1N6s2g2g2q4U0z5h3y4w2j5X3M7`.
CitixSD-WAN的三个漏洞被披露,漏洞编号为CVE-2020-8271、CVE-2020-8272、CVE-2020-8273,事件等级:严重。Citrix在最新的安全更新中修复了三处漏洞(目录穿越漏洞、验证绕过漏洞、命令注入漏洞)
43aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8V1j5&6c8@1u0@1c8X3c8r3P5V1I4r3y4$3E0u0k6#2c8E0k6@1&6&6L8p5p5`.
Drupal官方通报了一个Drupal任意文件上传漏洞,该漏洞使远程攻击者可以破坏易受攻击的系统。由于文件上载时对文件的验证不足而存在此漏洞,远程攻击者可以上载恶意PHP文件,并在服务器上执行该文件。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
