AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

AG公司威胁情报周报（20200427~20200510）

2020-05-11

一、威胁通告

Jenkins插件多个误差

【宣布时间】2020-05-08 18:00:00 GMT

【概述】5月6日，Jenkins官方宣布清静通告修复插件中的9个误差，有5个插件受到影响。其中SCM Filter Jervis插件保存远程代码执行误差（CVE-2020-2189），官方定级为高危。由于SCM Filter Jervis插件默认不设置YAML剖析器，导致用户可以使用过滤器设置项目，也可以操作SCM已存储设置过的项目内容。Credentials Binding 插件保存两个凭证泄露误差（CVE-2020-2181、CVE-2020-2182），Copy Artifact 插件保存权限校验不当误差（CVE-2020-2183），CVS 插件的跨站请求伪造误差（CVE-2020-2184）及Amazon EC2 插件中的4 个误差（CVE-2020-2185、CVE-2020-2186、CVE-2020-2187、CVE-2020-2188）。

【链接】http://blog.nsfocus.net/jenkins-0508/

二、热门资讯

SaltStack多个误差

【概述】克日，服务器基础架构集中化治理平台SaltStack Salt被披露保存两个清静误差（CVE-2020-11651、CVE-2020-11652）�？聪钅縎alt是SaltStack公司产品的焦点，作为治理数据中心和云情形中服务器的设置工具，广受接待。SaltStack Salt保存的两个误差划分是身份验证绕过误差（CVE-2020-11651）和目录遍历误差（ CVE-2020-11652）。

【参考链接】http://blog.nsfocus.net/saltstack-0504/

Weblogic远程代码执行误差

【概述】在Oracle官方宣布的2020年4月要害补丁更新通告CPU（Critical Patch Update）中，两个针对 WebLogic Server，CVSS 3.0评分为 9.8的严重误差（CVE-2020-2883、CVE-2020-2884），允许未经身份验证的攻击者通过T3协议网络会见并破损易受攻击的WebLogic Server，乐成的误差使用可导致WebLogic Server被攻击者接受，从而造成远程代码执行。误差保存于WebLogic Server焦点组件中，使用时无需身份认证及特殊交互，并且在Weblogic控制台开启的情形下默认开启T3协议，故影响面较大。

【参考链接】http://blog.nsfocus.net/weblogic-solution-0508/

H2Miner僵尸网络使用SaltStack误差入侵服务器挖矿

【概述】H2Miner是一个linux下的挖矿僵尸网络，通过hadoop yarn未授权、thinkphp 5 RCE、confluence RCE、docker和Redis未授权等多种手段举行入侵，分发恶意程序举行挖矿获取利益。克日H2Miner僵尸网络使用SaltStack身份验证绕过误差（CVE-2020-11651）和目录遍历误差（ CVE-2020-11652）入侵企业主机举行挖矿。

【参考链接】https://s.tencent.com/research/report/976.html

PerSwaysion运动滥用Microsoft文档共享服务

【概述】近期，多个网络犯法集团提倡一系列小型但有针对性的网络垂纶攻击，由于其滥用了Sway服务，这次行动被称为PerSwaysion，此次行动主要是通过滥用Microsoft的文件共享服务来实现的，攻击还接纳种种洗白手艺和反情报要领逃避检测，其目的是位于美国、加拿大、德国、英国、荷兰、香港和新加坡等全球和地区金融中心的中小型金融服务公司、状师事务所和房地产集团。

【参考链接】https://www.group-ib.com/blog/perswaysion

Naikon组织使用新后门Aria-body针对亚太地区

【概述】Naikon组织针对亚太地区包括澳大利亚、印度尼西亚、菲律宾、越南、泰国、缅甸和文莱几个国家的政府实体举行监视和网络情报。该组织从受熏染的盘算机和政府部分的网络、可移动驱动器中定位和网络特定的文件、截屏和键盘纪录，还使用受熏染部分的服务器作为C2服务器来网络、转发和路由窃取的数据。此次攻击该组织使用了一个名为Aria-body的新后门，以控制受害者的网络，Aria-body使用特定加载器加载到盘算机中，并允许攻击者完全控制受害者的盘算机，执行文件和历程操作，执行shell下令，以及上传和下载数据和其他插件。

【参考链接】https://research.checkpoint.com/2020/naikon-apt-cyber-espionage-reloaded/

OceanLotus组织滥用正当证书通过Android应用市场撒播恶意软件

【概述】OceanLotus组织通过官方和第三方市场撒播Android应用程序的恶意软件的行为可以追溯到2014年，近期OceanLotus组织使用了正当的数字证书对一些样本举行了署名，首先上传一个清洁的版本，然后添加恶意软件，通过Google Play和第三方市场举行撒播，此次攻击运动的目的受害者主要针对非洲和亚洲地区。OceanLotus，也被称为APT32、SeaLotus和Ocean Buffalo，是一个与越南有关的威胁组织。

【参考链接】https://labs.bitdefender.com/2020/05/android-campaign-from-known-oceanlotus-apt-group-potentially-older-than-estimated-abused-legitimate-certificate/

Lazarus组织通过2FA应用程序分发Dacls木马

【概述】Lazarus组织自2009年以来从事网络特工和网络犯法运动，具有朝鲜配景，也被称为Hidden Cobra。Dacls是一种远程会见木马，是一种针对Windows和Linux平台的全功效隐藏远程会见木马。近期Lazarus组织使用Dacls远程会见木马的新变种，通过2FA应用程序分发，针对使用Mac操作系统的中国用户举行攻击，举行下令执行、文件治理、流量署理和蠕虫扫描等操作。

【参考链接】https://blog.malwarebytes.com/threat-analysis/2020/05/new-mac-variant-of-lazarus-dacls-rat-distributed-via-trojanized-2fa-app/

新恶意软件Kaiji通过SSH暴力破解撒播

【概述】近期一个新的僵尸网络运动使用自界说植入工具Kaiji，该恶意软件与中国有关，这个僵尸网络使用Golang编程语言从零最先构建，并通过SSH暴力破解目的服务器和物联网装备。

【参考链接】https://intezer.com/blog/research/kaiji-new-chinese-linux-malware-turning-to-golang/

EVILNUM恶意软件针对全球金融业的攻击运动

【概述】EVILNUM恶意软件针对全球金融业，通过使用伪装成pdf和jpeg的木马文件举行撒播。当文件被翻开时，包括信用卡、驾照、护照和水电费的诱骗图像被显示给用户，同时漆黑挪用一个用headless Javascript编写的署理，这个署理针对Windows操作系统，允许攻击者上传下载文件、运行下令、窃取cookie和会见其他受�；さ氖�。

【参考链接】https://blog.prevailion.com/2020/05/phantom-in-command-shell5.html

新Aggah垃圾邮件运动分发多个远程会见木马

【概述】近期Aggah运动较量活跃，攻击者使用免费基础设施通过恶意垃圾邮件(malspam)附带恶意Microsoft Office文档，向目的用户的终端分发多阶段熏染，熏染的最终有用负载包括多个远程会见工具，Agent Tesla、njRAT和Nanocore RAT。

【参考链接】https://blog.talosintelligence.com/2020/04/upgraded-aggah-malspam-campaign.html

<<上一篇

AG公司科技威胁情报月报（2020年4月）

>>下一篇

AG公司威胁情报周报（20200511~20200517）

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号