威脅事件情報(bào)

1. Emotet攻擊魁北克司法部

發(fā)布時(shí)間：2020年9月16日

情報(bào)來源：

https://www.welivesecurity.com/2020/09/16/emotet-quebec-department-justice-eset/

情報(bào)摘要：魁北克司法部遭受網(wǎng)絡(luò)攻擊，攻擊者通過電子郵件投遞Emotet 惡意軟件。黑客涉嫌竊取大約300名員工的個(gè)人信息。

[[344225]]

2. 英國(guó)警告對(duì)教育部門的勒索軟件威脅激增

發(fā)布時(shí)間：2020年9月18日

https://www.bleepingcomputer.com/news/security/uk-warns-of-surge-in-ransomware-threats-against-education-sector/

情報(bào)摘要：

英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)已發(fā)布有關(guān)針對(duì)教育機(jī)構(gòu)的勒索軟件事件激增的警報(bào)，敦促他們遵循最近更新的緩解惡意軟件攻擊的建議。NCSC在8月份調(diào)查了針對(duì)該國(guó)學(xué)校，學(xué)院和大學(xué)的勒索軟件攻擊事件增多之后，發(fā)出了此警告。

除了對(duì)勒索軟件威脅進(jìn)行預(yù)警之外，政府組織還提供了常見的針對(duì)此類網(wǎng)絡(luò)攻擊的初始感染媒介：不安全的遠(yuǎn)程桌面協(xié)議(RDP)配置;未修補(bǔ)的軟件和硬件設(shè)備中的漏洞，尤其是網(wǎng)絡(luò)邊緣的設(shè)備，例如防火墻和虛擬專用網(wǎng);網(wǎng)絡(luò)釣魚電子郵件。

3. Maze勒索軟件現(xiàn)在通過虛擬機(jī)加密，以逃避檢測(cè)

發(fā)布時(shí)間：2020年9月17日

情報(bào)來源：

https://www.bleepingcomputer.com/news/security/maze-ransomware-now-encrypts-via-virtual-machines-to-evade-detection/

情報(bào)摘要：

迷宮勒索軟件操作者采用了Ragnar Locker團(tuán)伙先前使用的策略;從虛擬機(jī)中加密計(jì)算機(jī)。虛擬機(jī)會(huì)將主機(jī)驅(qū)動(dòng)器安裝為遠(yuǎn)程共享，然后在虛擬機(jī)中運(yùn)行勒索軟件以加密共享文件。在攻擊中，Maze部署了一個(gè)MSI文件，該文件將VirtualBox VM軟件以及自定義的Windows 7虛擬機(jī)安裝在服務(wù)器上。之后，再啟動(dòng)虛擬機(jī)加密共享的主機(jī)文件。

4. Cerberus銀行木馬的源代碼在地下論壇上泄露

發(fā)布時(shí)間：2020年9月16日

情報(bào)來源：

https://securityaffairs.co/wordpress/108373/cyber-crime/cerberus-source-code-leaked.html

情報(bào)摘要：

在拍賣失敗后，臭名昭著的Cerberus銀行木馬的源代碼已在地下黑客論壇上免費(fèi)發(fā)布。整個(gè)項(xiàng)目包括組件的源代碼(惡意APK，管理面板和C2代碼)，安裝指南，用于設(shè)置的腳本集和具有有效許可證的客戶列表，以及與客戶和潛在的買家。該惡意軟件實(shí)現(xiàn)了銀行木馬功能，例如使用覆蓋攻擊，攔截SMS消息和訪問聯(lián)系人列表的功能。

5. 濫用Google App Engine功能來創(chuàng)建無限網(wǎng)絡(luò)釣魚頁(yè)面

發(fā)布時(shí)間：2020年9月20日

情報(bào)來源：

https://www.bleepingcomputer.com/news/security/google-app-engine-feature-abused-to-create-unlimited-phishing-pages/

情報(bào)摘要：

研究人員最近發(fā)現(xiàn)的一項(xiàng)技術(shù)表明，如何利用Google的App Engine域來傳遞網(wǎng)絡(luò)釣魚和惡意軟件，同時(shí)又不被領(lǐng)先的企業(yè)安全產(chǎn)品所檢測(cè)到。Google App Engine是一個(gè)基于云的服務(wù)平臺(tái)，用于在Google的服務(wù)器上開發(fā)和托管Web應(yīng)用。

詐騙者通常使用云服務(wù)來創(chuàng)建被分配了子域的惡意應(yīng)用。然后，他們?cè)诖颂幫泄芫W(wǎng)絡(luò)釣魚頁(yè)面。或者他們可能將該應(yīng)用程序用作命令和控制(C2)服務(wù)器來傳遞惡意軟件有效負(fù)載。

6. 在物聯(lián)網(wǎng)設(shè)備中尋找復(fù)雜的惡意軟件

發(fā)布時(shí)間：2020年9月23日

情報(bào)來源：

https://securelist.com/looking-for-sophisticated-malware-in-iot-devices/98530/

情報(bào)摘要：

這篇文章的動(dòng)機(jī)之一是鼓勵(lì)對(duì)這個(gè)主題感興趣的其他研究人員加入，分享想法和知識(shí)，并幫助建立更多功能，以便更好地保護(hù)我們的智能設(shè)備。物聯(lián)網(wǎng)設(shè)備(例如Zigbee)中使用的通信協(xié)議中還存在一些漏洞，攻擊者可以利用這些漏洞來將設(shè)備定為目標(biāo)并將惡意軟件傳播到網(wǎng)絡(luò)中的其他設(shè)備，類似于計(jì)算機(jī)蠕蟲。

漏洞情報(bào)

1. Google Chrome PDFium內(nèi)存損壞導(dǎo)致代碼執(zhí)行

發(fā)布時(shí)間：2020年9月14日

情報(bào)來源：

https://blog.talosintelligence.com/2020/09/vuln-spotlight-google-pdfium-sept-2020.html

情報(bào)摘要：

攻擊者可能會(huì)利用Google Chrome的PDFium功能破壞內(nèi)存并可能執(zhí)行遠(yuǎn)程代碼。Chrome是一種流行的免費(fèi)網(wǎng)絡(luò)瀏覽器，可在所有操作系統(tǒng)上使用。PDFium允許用戶在Chrome中打開PDF。我們最近發(fā)現(xiàn)了一個(gè)漏洞，該漏洞使攻擊者可以將惡意網(wǎng)頁(yè)發(fā)送給用戶，然后導(dǎo)致越界訪問內(nèi)存。

2. Apple Safari遠(yuǎn)程執(zhí)行代碼漏洞

發(fā)布時(shí)間：2020年9月17日

情報(bào)來源：

https://blog.talosintelligence.com/2020/09/vuln-spotlight-apple-safari-sept-2020.html

情報(bào)摘要：

Apple Safari Web瀏覽器的Webkit功能中包含一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。具體來說，攻擊者可能會(huì)在Safari中使用的Webkit DOM呈現(xiàn)系統(tǒng)WebCore中觸發(fā)“先釋放后使用”條件。這可能使攻擊者能夠在受害機(jī)器上執(zhí)行遠(yuǎn)程代碼。用戶需要在Safari中打開特制的惡意網(wǎng)頁(yè)才能觸發(fā)此漏洞。

3. 數(shù)十億設(shè)備或?qū)⑹艿叫碌?ldquo; BLESA”藍(lán)牙安全漏洞的攻擊

發(fā)布時(shí)間：2020年9月18日

情報(bào)來源：https://mp.weixin.qq.com/s/VUUoRD-lM8ZZyJEs0rh1eA

情報(bào)摘要：

數(shù)以億計(jì)的智能手機(jī)、平板電腦、筆記本電腦和物聯(lián)網(wǎng)設(shè)備正在使用藍(lán)牙軟件，需要警覺的是，這些軟件很容易受到今年夏天披露的一個(gè)新的安全漏洞的攻擊。該漏洞被稱為BLESA (Bluetooth Low Energy Spoofing Attack)，會(huì)影響運(yùn)行Bluetooth Low Energy (BLE)協(xié)議的設(shè)備。普渡大學(xué)( Purdue University )組成的一個(gè)研究團(tuán)隊(duì)在著手調(diào)查BLE協(xié)議后，發(fā)現(xiàn)了安全問題：附近的攻擊者可以繞過重連接驗(yàn)證，并向帶有錯(cuò)誤信息的BLE設(shè)備發(fā)送欺騙數(shù)據(jù)，并誘導(dǎo)使用者和自動(dòng)化流程做出錯(cuò)誤決定。

4. Spring Framework反射型文件下載漏洞風(fēng)險(xiǎn)通告

發(fā)布時(shí)間：2020年9月22日

情報(bào)來源：https://mp.weixin.qq.com/s/SYXhJrVz87jpMB-V0Zx_LA

情報(bào)摘要：

VMware Tanzu發(fā)布安全公告，在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和較舊的不受支持的版本中，公布了一個(gè)存在于Spring Framework中的反射型文件下載(Reflected File Download,RFD)漏洞(CVE-2020-5421)。

CVE-2020-5421漏洞可通過jsessionid路徑參數(shù)，繞過防御RFD攻擊的保護(hù)。攻擊者通過向用戶發(fā)送帶有批處理腳本擴(kuò)展名的URL，使用戶下載并執(zhí)行文件，從而危害系統(tǒng)。VMware Tanzu官方已發(fā)布修復(fù)漏洞的新版本。

5. The Return of Raining SYSTEM Shells with Citrix Workspace app

發(fā)布時(shí)間：2020年9月21日

情報(bào)來源：

https://www.pentestpartners.com/security-blog/the-return-of-raining-system-shells-with-citrix-workspace-app/

情報(bào)摘要：

7月份國(guó)外安全研究人員記錄了一個(gè)新的Citrix Workspace漏洞，該漏洞使攻擊者可以在SYSTEM帳戶下遠(yuǎn)程執(zhí)行任意命令。在對(duì)初始修復(fù)程序進(jìn)行了進(jìn)一步研究之后，又發(fā)現(xiàn)了一個(gè)新的攻擊點(diǎn)：?jiǎn)栴}的核心在于遠(yuǎn)程命令行注入漏洞，攻擊者可以使用惡意MSI轉(zhuǎn)換繞過Citrix簽名的MSI安裝程序。

更新的Citrix安全公告：https://support.citrix.com/article/CTX277662，漏洞描述：

在Windows的Citrix Workspace應(yīng)用程序的自動(dòng)更新服務(wù)中發(fā)現(xiàn)了一個(gè)漏洞，該漏洞可能導(dǎo)致：1.本地用戶將其特權(quán)級(jí)別提升為運(yùn)行Windows的Citrix Workspace應(yīng)用程序的計(jì)算機(jī)上的管理員級(jí)別; 2.啟用Windows文件共享(SMB)后，運(yùn)行Citrix Workspace應(yīng)用程序的計(jì)算機(jī)受到遠(yuǎn)程威脅。

6. Jenkins公告多個(gè)插件的安全漏洞(2020.9.23)

發(fā)布時(shí)間：2020年9月24日

情報(bào)來源：https://s.tencent.com/research/bsafe/1137.html

情報(bào)摘要:

Jenkins官方9月23日公告多個(gè)插件存在的安全漏洞，這些漏洞可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行、沙箱繞過、CSRF攻擊、XSS漏洞攻擊等后果。漏洞涉及五個(gè)插件：Implied Labels Plugin、Liquibase Runner Plugin、Lockable Resources Plugin、Script Security Plugin、Warnings Plugin。

7. ZeroLogon(CVE-2020-1472)-攻擊與防御

發(fā)布時(shí)間：2020年9月24日

情報(bào)來源：https://blog.zsec.uk/zerologon-attacking-defending/

情報(bào)摘要：

從紅藍(lán)對(duì)抗的角度了解CVE-2020-1472漏洞，以及如何檢測(cè)、修補(bǔ)和破解ZeroLogon。結(jié)論是：就攻擊而言，該漏洞有點(diǎn)改變游戲規(guī)則，漏洞利用是如此簡(jiǎn)單，利用漏洞進(jìn)行攻擊會(huì)帶來非常有害的后果。無論您坐在籬笆的哪一側(cè)，都應(yīng)該修補(bǔ)此問題，并鼓勵(lì)您的客戶也這樣做。在實(shí)時(shí)環(huán)境中進(jìn)行開發(fā)時(shí)應(yīng)格外小心，因?yàn)樗鼤?huì)破壞域，并且沒有備份機(jī)器密碼，修復(fù)它并不是一個(gè)有趣的過程!