APT事件

1.Pay2Kitten –狐狸小猫2攻击行动

发布时间：2020年12月17日

事件来源：

https://www.clearskysec.com/pay2kitten/

事件摘要：

在过去的四个月中，一波网络攻击一直针对以色列公司。攻击是通过不同的方式进行的，并针对一系列部门。安全研究人员以中等到高度的信心估计，Pay2Key是由伊朗APT组织Fox Kitten进行的一项新行动，该行动于2020年11月至12月开始了新一波攻击，涉及数十家以色列公司。

攻击者“ Modus Operndi”将执行勒索软件攻击，可能误导受害者，渗透到公司的内部网络，加密服务器和工作站，窃取和泄漏信息，通过使用获得的可访问性或信息来破坏公司。 研究者估计，该攻击活动是以色列和伊朗之间持续不断的网络对抗的一部分，最近的攻击浪潮对一些受影响的公司造成了严重破坏。

2.使用iMessage零点击漏洞攻击的36名记者的iPhone

发布时间：2020年12月20日

事件来源：

https://thehackernews.com/2020/12/iphones-of-36-journalists-hacked-using.html

事件摘要：

在中东网络间谍活动中，为半岛电视台工作的36名记者iPhone被通过0Day漏洞安装间谍软件。研究人员说，半岛电视台（Al Jazeera）的36名记者，制片人，主持人和高管的私人电话，以及总部位于伦敦的Al Araby TV的一名记者，现在通过这种方式感染恶意软件。

Pegasus由以色列私人情报公司NSO Group开发，允许攻击者访问目标设备上存储的敏感数据，而这一切都是在受害者不知情的情况下进行的。

3.初探 SOLARWINDS 供应链攻击事件来龙去脉

发布时间：2020年12月22日

事件来源：

http://blog.nsfocus.net/solarwinds-unc2452-1222/

事件摘要：

2020年12月13日，FireEye发布了关于SolarWinds供应链攻击的通告，基础网络管理软件供应商SolarWinds Orion 软件更新包中被黑客植入后门，并将其命名为SUNBURST，与其相关的攻击事件被称为 UNC2452。

SolarWinds的客户主要分布在美国本土，不乏世界500强企业。随着时间的推移，事件逐渐发酵，越来越多的事实正在被逐步发掘。本次供应链攻击事件，波及范围极大，包括政府部门，关键基础设施以及多家全球500强企业，造成的影响目前无法估计。

4.SUNBURST，TEARDROP和NetSec新常态

发布时间：2020年12月22日

事件来源：

https://research.checkpoint.com/2020/sunburst-teardrop-and-the-netsec-new-normal/

事件摘要：

2020年12月，发现针对许多组织（主要是科技公司，主要在美国，但不仅限于美国）的大规模网络攻击已经持续了几个月。这次袭击具有一定程度的复杂性，导致外国政府迅速介入，并且在制作它的谨慎程度和外来入侵媒介方面都非常出色。攻击者没有进行通常的网络钓鱼，而是进行了精心设计的供应链攻击。在本文中，我们重点分析了使用的后门（SUNBURST）及其有效载荷之一（TEARDROP）的一些选择功能，包括对SUNBURST的哈希编码字符串进行彻底的模糊处理以及对TEARDROP的控制流和解密方法的分析。

5.SUNBURST后门，第三部分：DGA和安全软件

发布时间：2020年12月22日

事件来源：

https://blog.prevasio.com/2020/12/sunburst-backdoor-part-iii-dga-security.html

事件摘要：

在博客的前面部分（第一部分：深入了解SOLARWINDS供应链恶意软件817K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4i4K6u0W2M7s2u0W2N6X3q4K6K9h3!0Q4x3X3g2U0L8$3#2Q4x3V1j5J5x3o6t1H3i4K6u0r3x3e0u0Q4x3V1k6K6N6h3&6T1N6i4u0K6N6q4)9J5k6r3u0S2j5$3E0V1L8$3!0J5i4K6u0V1k6r3g2W2M7r3g2J5i4K6u0V1L8r3!0G2K9#2)9J5k6r3W2F1N6r3!0Q4x3X3g2Z5N6r3#2D9i4@1g2r3i4@1u0o6i4K6R3&6i4@1f1#2i4K6V1J5i4K6S2o6i4@1g2r3i4@1u0o6i4K6R3^5i4@1f1%4i4@1q4o6i4@1q4o6i4@1f1@1i4@1u0m8i4K6S2o6i4@1f1&6i4K6R3K6i4@1p5^5i4@1f1#2i4K6R3^5i4K6R3$3i4@1g2r3i4@1u0o6i4K6W2m8c8p5N6m8i4@1f1#2i4K6V1J5i4K6S2o6i4@1f1#2i4K6S2r3i4K6V1%4i4@1f1#2i4@1q4q4i4@1t1K6i4@1f1^5i4K6R3H3i4K6R3#2i4@1f1#2i4K6V1H3i4K6S2p5i4@1f1#2i4K6S2p5i4K6V1#2K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4i4K6u0W2M7s2u0W2N6X3q4K6K9h3!0Q4x3X3g2U0L8$3#2Q4x3V1j5J5x3o6t1H3i4K6u0r3x3e0u0Q4x3V1k6K6N6h3&6T1N6i4u0K6N6q4)9J5k6r3u0S2j5$3E0V1L8$3!0J5i4K6u0V1M7r3q4J5N6q4)9J5k6r3W2A6i4K6u0V1k6r3N6S2i4K6u0V1L8r3W2K6N6q4)9J5k6r3!0X3i4K6u0W2K9s2c8E0L8q4!0q4c8W2!0n7b7#2)9^5z5g2!0q4y4q4!0n7z5q4!0m8c8q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4W2)9^5c8W2)9^5c8W2!0q4z5q4!0n7c8W2!0n7x3q4!0q4y4q4!0n7b7g2)9^5y4W2y4#2L8X3u0#2M7Y4y4@1i4@1f1#2i4K6V1H3i4K6S2q4i4@1f1&6i4K6V1%4i4@1p5^5i4@1f1#2i4K6S2m8i4K6W2r3i4@1f1^5i4K6R3K6i4@1u0p5i4@1f1#2i4K6S2r3i4K6S2m8i4@1f1#2i4K6R3#2i4@1t1$3i4@1f1#2i4K6W2r3i4K6W2r3i4@1f1%4i4K6V1@1i4K6W2r3i4@1f1$3i4K6R3^5i4K6V1H3i4@1f1%4i4@1q4q4i4K6V1%4i4@1f1$3i4@1t1K6i4K6V1#2i4@1g2r3i4@1u0o6i4K6R3^5c8p5N6m8i4@1g2r3i4@1u0o6i4K6R3&6i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1$3i4K6W2o6i4K6R3H3i4@1f1&6i4K6R3%4i4K6S2p5i4@1f1^5i4@1p5$3i4K6R3I4i4@1f1&6i4K6R3K6i4@1p5^5i4@1f1#2i4K6R3^5i4K6R3$3i4@1f1K6i4K6R3H3i4K6R3J5

本篇，更深入地研究Open-Source Context和Zetalytics报告的被动DNS请求。

威胁事件

1.SystemdMiner、H2Miner挖矿木马利用相同的PostgreSQL漏洞攻击云服务器

发布时间：2020年12月22日

事件来源：

https://s.tencent.com/research/report/1206.html

事件摘要：

腾讯安全威胁情报中心检测到SystemdMiner、H2Miner两个挖矿团伙组合利用PostgreSQL的未授权访问漏洞以及PostgreSQL提权代码执行漏洞（CVE-2019-9193）攻击云服务器。这意味着，存在漏洞的服务器可能同时被多个挖矿木马团伙扫描入侵，如果不同挖矿木马火力全开同时挖矿，服务器就有彻底瘫痪的风险。腾讯安全专家建议政企机构用户尽快修复漏洞，避免沦为黑客控制的肉鸡。

SystemdMiner、H2Miner均是目前流行的挖矿木马，擅长利用各类Web应用漏洞进行批量攻击传播。

2.Sysrv-hello 新型挖矿现身

发布时间：2020年12月23日

事件来源：

https://mp.weixin.qq.com/s/95XHvKCEWLu7V8owkDwSUw

事件摘要：

发现一例具有持久化功能的样本，具有与此前已知程序文件的差异特性，经过分析，属于一款新型挖矿支持组件，且处在爆发初期。鉴于该样本的特征路径以及特征代码，暂时将其命名为Sysrv-hello。

该样本服务于挖矿行动，兼具蠕虫、爆破、木马、后门等多种特性，漏洞利用与爆破方式、功能集成性不同于以往已知样本；该家族跨越Linux与Windows平台，通过陆续集成的多种最新漏洞与应用的攻击方式，具备很强传播性。

3.XavgMiner挖矿家族最新动向

发布时间：2020年12月23日

事件来源：

https://mp.weixin.qq.com/s/jEeKYAqyYkzRR8vbJ7W7GA

事件摘要：

国内安全厂商捕获到多起通过攻击Tomcat服务器投递挖矿病毒的威胁事件，通过溯源分析发现该团伙在2019年开始活跃。攻击者使用最新的Weblogic漏洞CVE-2020-14882写入恶意的JSP文件，一旦运行即会从公共云存储平台下载矿机并运行，同时该攻击样本兼顾Windows和Linux双平台。运行过程中通过清除竞品使得获取最大化收益。由于捕获到的攻击样本中存在一个xavg典型字符串，故我们将家族命名为XavgMiner。

4.远控肆虐，Telegram沦为"鱼池"

发布时间：2020年12月22日

事件来源：

https://mp.weixin.qq.com/s/KqbRrRiCCmx5KiYnPQY_jA

事件摘要：

国内安全团队捕获一类新的钓鱼木马，该类木马在telegram群组中传播，通过命名成各种时政热点消息的标题或者更改图标伪装成正规软件，诱使用户点击。该木马执行后会驻留在用户系统目录下，通过注册表启动项进行持久化。在用户电脑上进行键盘监控、命令执行、插件调用等操作。调用插件通过c&c服务端返回数据反射式注入dll加载，无新文件落地。更容易绕过杀软的检测。一旦中招，用户的电脑对攻击者便是门户大开，危害极大。

5.黑客挂马某网站后台系统，借最新Strust2漏洞传播Gh0st远控

发布时间：2020年12月24日

事件来源：

https://mp.weixin.qq.com/s/A_mnsIEYsI2Fd0O-9lCc2A

事件摘要：

国内安全团队捕获到一起利用最新Apache Struts2 RCE 漏洞(CVE-2020-17530)注入远控木马“Gh0st”变种的攻击事件。远控木马被挂在某网站的邮件系统后台，疑似是攻击者的挂马行为。挂马后攻击者再通过Apache Struts2漏洞入侵其他网络主机，被成功入侵后的主机将从某网站的邮件系统后台下载和执行远控木马。攻击者以此方式实现对受害主机的长久控制，并借助正常网站隐藏自身和躲避检测。

根据攻击IP，C2服务器以及样本特征推测，攻击者主要活跃在国内，攻击对象为Windows主机，目的是远控。

漏洞事件

1.Apache Airflow错误会话漏洞（ CVE-2020-17526）风险通告

发布时间：2020年12月22日

事件来源：

https://s.tencent.com/research/bsafe/1207.html

事件摘要：

12月21日，Apache官方邮件通告了Apache Airflow错误会话漏洞（CVE-2020-17526）。在具有默认配置的Apache Airflow Web服务器版中（版本号 < 1.10.14），不正确的会话验证会允许站点A上的airflow用户正常登录，从而通过站点A上的会话访问站点B上未经授权的Airflow Web服务器。漏洞不会影响已更改[webserver] “secret_key”配置默认值的用户。

2.谷歌公开了一个尚未修复的Windows提权漏洞，腾讯安全专家建议用户小心应对

发布时间：2020年12月23

事件来源：

https://mp.weixin.qq.com/s/MBnvaxWNQlzgTXvmr9qrOA

事件摘要：

Google公开了一个尚未发布补丁的splwow64组件漏洞CVE-2020-17008，当32位进程尝试连接x64系统下的打印机时，splwow64.exe进程会在后台处理相关服务连接，该漏洞与6月份修复的漏洞(CVE-2020-0986)在同一个指令处理逻辑中，攻击者可以通过发送特定的LPC消息到splwow64.exe进程触发漏洞，成功利用此漏洞可能造成信息泄露、提权(沙箱逃逸)。

攻击者利用漏洞可以实现特权提升。然后，攻击者可能会安装程序。查看，更改或删除数据；或创建具有完全用户权限的新帐户。要利用此漏洞，攻击者首先必须登录系统。然后，攻击者可以运行特制的应用程序来控制受影响的系统。

因漏洞修复延期，漏洞技术细节被公开，又没有补丁发布的情况下，用户受害的风险较大。腾讯安全专家提醒用户谨慎处理不明文件，以防中招。腾讯安全团队会密切关注有关该漏洞的进一步信息。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课