bbin宝盈集团威胁情报周报(20200511~20200517)
2020-05-18
一、威胁通告
- 微软2020年5月安全更新多个产品高危漏洞
【发布时间】2020-05-13 10:00:00 GMT
【概述】北京时间5月13日,微软发布5月安全更新补丁,修复了111个安全问题,涉及Microsoft Windows、InternetExplorer、MicrosoftEdge、.NET Framework、MicrosoftOffice、Visual Studio等广泛使用的产品,其中包括特权提升和远程代码执行等高危漏洞类型。 本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞共有16个,重要(I mportant)漏洞有95个。
【链接】http://blog.nsfocus.net/ms-patchday-0513/
二、热点资讯
- Adobe5月安全更新
【概述】当地时间5月12日,Adobe官方发布了5月安全更新,修复了Adobe多款产品的多个漏洞,包括Adobe DNG Software Development Kit (SDK)和Adobe Acrobat and Reader。
【参考链接】http://blog.nsfocus.net/
- SecureCRT内存损坏漏洞
【概述】SecureCRT最新版本8.7.2中修复了一个内存损坏漏洞(CVE-2020-12651),当CSI 函数接收到一个大负数作为参数时,可能允许远程系统破坏终端进程中的内存,最终导致任意代码的执行或程序崩溃。攻击者可能通过类似SSH banner的方式利用该漏洞。
【参考链接】http://blog.nsfocus.net/securecrt-0515/
- Mozi 僵尸网络现状
【概述】作为物联网僵尸网络在P2P方向延伸的代表,Mozi木马使用DHT协议组成网络结构,在DHT网络内部构建Mozi-DHT僵尸网络。自2019年被发现以来,Mozi至今依然在扩大其规模。bbin宝盈集团伏影实验室发现,今年4月以来Mozi的日均可探索节点已经超过了10000个,占据了整个DHT网络规模的1%以上,这表明Mozi已发展成为中等规模的僵尸网络,可以对世界范围内的目标尤其是国内的网络节点发动有威胁的攻击。
【参考链接】http://blog.nsfocus.net/mozi-botnet-0513/
- 亚控科技组态王KingView多个漏洞
【概述】亚控科技组态王KingView部分版本中存在多个漏洞,包括实时数据库访问授权绕过漏洞和web数据传输服务存在拒绝服务漏洞。
【参考链接】http://blog.nsfocus.net/kingview-0515/
- 微软开源COVID-19 威胁情报
【概述】在以冠状病毒为主题的攻击数量持续增加的同时,微软宣布开放其COVID-19威胁情报的来源,以帮助用户消除这些威胁。
【参考链接】http://www.microsoft.com/security/blog/2020/05/14/open-sourcing-covid-threat-intelligence/
- Tropic Trooper组织使用USBferry针对物理隔离环境
【概述】Tropic Trooper组织擅长利用已知的漏洞向目标发送带有恶意附件的鱼叉式钓鱼邮件进行传播,伺机进行信息盗窃和间谍活动,其主要目标包括台湾、菲律宾和香港的政府、军事、医疗、交通和高科技产业。近期该组织通过USB恶意软件USBferry攻击台湾和菲律宾军方的物理隔离网络,该恶意软件可以对特定目标执行不同的命令,保持隐身并通过USB存储窃取机密信息或情报。
- Hangover组织利用BackConfig木马针对南亚政府和军事
【概述】Hangover组织针对南亚的政府和军事组织发起了鱼叉式钓鱼攻击。此次攻击使用带有信件或政府表格文件引诱用户浏览受攻击的官网,这些官网里有携带BackConfig木马的Microsoft Excel文件,该恶意木马具有灵活的插件体系结构,可用于提供各种功能的组件,包括收集系统和键盘记录信息以及上载和执行其他有效负载的能力。Hangover,也被称为Patchwork、Dropping Elephant、VICEROY TIGER等,是一个与印度有关的威胁组织。
- Lampion木马利用新冠疫情针对葡萄牙用户
【概述】Lampion木马通过仿冒葡萄牙政府提供的抗击新冠疫情的相关电子邮件进行分发,收件人单击电子邮件中的链接时,恶意软件将从在线服务器下载。该恶意软件收集系统页面、已安装软件、Web浏览器历史记录等用户信息,还允许攻击者通过专门设计的Web界面访问和操纵受感染的计算机。
【参考链接】http://seguranca-informatica.pt/trojan-lampion-is-back-after-3-months/#.Xrudm2gzaUl
- Ramsay网络间谍工具针对物理隔离网络窃取敏感数据
【概述】Ramsay是一个新网络间谍框架工具,能够在物理隔离网络环境中运行,用于窃取收集敏感文档数据,攻击活动中Ramsay利用CVE-2017-0199、CVE-2017-11882的恶意文档或虚假7zip安装程序分发。Ramsay恶意软件与Darkhotel组织有关,该组织至少自2004年以来从事网络间谍活动。
【参考链接】http://www.welivesecurity.com/2020/05/13/ramsay-cyberespionage-toolkit-airgapped-networks/
- 8220挖矿木马组建Tsunami僵尸网络进行DDoS攻击
【概述】“8220”挖矿木马擅长利用漏洞入侵服务器,针对Windows系统和Linux系统,利用挖矿木马进行门罗币挖矿。近期该木马在攻击活动中通过Apache Struts远程代码执行漏洞(CVE-2017-5638)和Tomcat弱口令爆破植入多款门罗币挖矿木马并传播Tsunami僵尸网络木马进行DDoS攻击。
【参考链接】http://s.tencent.com/research/report/978.html
- 攻击者利用JsOutProx木马针对印度政府和金融机构
【概述】攻击者针对印度政府机构和银行业,通过带有恶意附件的邮件传播特殊恶意软件JsOutProx。JsOutProx是一个具有特殊远程访问功能的工具箱。JsOutProx通过对.NET插件的加载程序实现的共享接口与JavaScript内核分离来实现自己的功能。