AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

AG公司科技威胁情报月报（2020.06.1-2020.06.30）

2020-07-06

一、误差态势

2020年06月AG公司科技清静误差库共收录177误差, 其中高危误差58个，微软高危误差19个。

AG公司(中国集团)·有限公司官网

* 数据泉源：AG公司科技威胁情报中心，本表数据阻止到2020.06.30

注：AG公司科技误差库包括应用程序误差、清静产品误差、操作系统误差、数据库误差、网络装备误差等；

二、威胁事务

1. Mustang Panda组织使用Dll-Sideload手艺加载PlugX木马

【标签】Mustang Panda

【时间】2020-06-02

【简介】

Mustang Panda组织使用Dll-Sideload手艺与正当的二进制文件举行撒播，通过一个很是小的DLL，加载一个加密的文件，在被解密后包括一个插件木马PlugX，该恶意软件可以远程执行多种下令，以检索盘算机信息、捕获屏幕、治理服务和治理历程。

【关联的攻击组织】

Mustang Panda是一个恒久针对非政府组织（NGO）的威胁组织，常使用Poison Ivy、PlugX和Cobalt Strike有用载荷等共享恶意软件来网络情报。

【关联的攻击工具】

PlugX是使用�？榛寮脑冻袒峒ぞ撸≧AT），具有文件上传、下载和修改，日志纪录、网络摄像头控制和远程运行Shell会见等功效。

Cobalt Strike是一个商业化渗透测试工具，可用shell会见受熏染的系统。

【参考链接】

https://lab52.io/blog/mustang-panda-recent-activity-dll-sideloading-trojans-with-temporal-c2-servers/

【防护步伐】

AG公司威胁情报中心关于该事务提取7条IOC，其中包括3个域名、2个样本和2个IP；Mustang Panda组织相关事务2件，该攻击组织有9个关联域名、8个关联样本和5关联域名；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

2. TA410组织使用恶意软件FlowCloud针对美国公用事业提供商

【标签】TA410

【时间】2020-06-08

【简介】

TA410组织近期针对美国公用事业提供商提倡网络垂纶攻击，此次攻击以培训和认证为主题邮件作为诱饵，通过便携式可执行附件和载有大宗宏的Microsoft Word文档转达�？榛亩褚馊砑﨔lowCloud。FlowCloud恶意软件能够凭证会见剪贴板、已装置的应用程序、键盘、鼠标、屏幕、文件、服务和历程等下令提供远程会见功效，并C&C传输信息。

【关联的攻击组织】

TA410是一个与中国有关的威胁组织。

【参考链接】

https://www.proofpoint.com/us/blog/threat-insight/ta410-group-behind-lookback-attacks-against-us-utilities-sector-returns-new

【防护步伐】

AG公司威胁情报中心关于该事务提取29条IOC，其中包括5个IP、9个域名、15个样本；TA410组织相关事务1件，该攻击组织有5个关联IP、9个关联域名和15个关联样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

3. Dark Basin组织在全球发动大规模网络垂纶攻击

【标签】Dark Basin

【时间】2020-06-04

【简介】

Dark Basin组织通过Gmail帐户和自托会计户等向目的发送带有恶意链接的网络垂纶电子邮件，并且使用URL缩短器来掩饰垂纶网站，其目的是举行情报网络。

【关联的攻击组织】

Dark Basin是一个以入侵为目的的黑客组织，目的群体是六大洲的数千小我私家和数百家机构，包括宣传整体和记者、民选和高级政府官员，对冲基金以及多个行业。

【参考链接】

https://citizenlab.ca/2020/06/dark-basin-uncovering-a-massive-hack-for-hire-operation/

【防护步伐】

AG公司威胁情报中心关于该事务提取479条IOC，其中包括462个域名、17个邮箱；Dark Basin组织相关事务1件，该攻击组织有462个关联域名和17个关联邮箱；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

4. BITTER组织使用Google Play分发恶意程序针对宗教整体

【标签】BITTER

【针对行业】宗教

【时间】2020-06-18

【简介】

近期BITTER组织以宗教群体为目的，通过伪装成真正的伊斯兰教或与斋马节相关的应用程序，以及常见应用程序的通用变体分发恶意软件。

【关联的攻击组织】

BITTER是一个恒久针对中国、巴基斯坦等国家举行攻击运动的APT组织。

【参考链接】

https://www.bitdefender.com/files/News/CaseStudies/study/352/Bitdefender-PR-Whitepaper-BitterAPT-creat4571-en-EN-GenericUse.pdf

【防护步伐】

AG公司威胁情报中心关于该事务提取31条IOC，其中包括4个域名和27个样本；BITTER组织相关事务8件，该攻击组织有2个关联域名、85个关联样本和2个关联误差；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

5. Tor2Mine组织安排AZORult等恶意软件

【标签】Tor2Mine

【时间】2020-06-11

【简介】

克日Tor2Mine组织通过安排恶意软件来网络凭证和窃取更多资金，安排过得恶意软件包括信息窃取器AZORult、远程会见工具Remcos、DarkVNC后门木马和剪贴板上的加密钱币偷窃者。

【关联的攻击组织】

Tor2Mine是一个以提供加密钱币挖掘恶意软件而著名的威胁组织。

【参考链接】

https://blog.talosintelligence.com/2020/06/tor2mine-is-up-to-their-old-tricks-and_11.html

【防护步伐】

AG公司威胁情报中心关于该事务提取13条IOC，其中包括3个IP、6个域名和4个样本；Tor2Mine组织相关事务1件，该攻击组织有3个关联IP、4个关联样本和6关联域名；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

6. Higaisa组织使用恶意LNK文件针对中国用户

【标签】Higaisa

【时间】2020-06-11

【简介】

Higaisa组织近期针对中国用户使用包括诱骗文件的LNK文件撒播恶意后门，诱饵内容作为Internet快捷方法文件或PDF文件显示，并在后台执行恶意运动时显示给用户。该后门使用重大的诱骗性手艺，旨在规避清静检测。

【关联的攻击组织】

Higaisa是一个与朝鲜半岛有关的威胁组织，至少从2016年最先活跃，其目的包括政府官员和人权组织，以及与朝鲜有关的其他组织机构。

【参考链接】

https://www.zscaler.com/blogs/research/return-higaisa-apt

【防护步伐】

AG公司威胁情报中心关于该事务提取6条IOC，其中包括6个样本；Higaisa组织相关事务3件，该攻击组织有3个关联IP、7个关联样本和5个联域名；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

7. InvisiMole组织针对东欧军事部分和外交使团

【标签】InvisiMole

【针对行业】军事、外交

【时间】2020-06-18

【简介】

InvisiMole组织通过鱼叉式电子邮件举行分发恶意软件，使用RDP协议中BlueKeep误差，SMB协议中EternalBlue误差和使用木马文件和软件装置程序三种方法举行撒播，并使用DNS隧道手艺逃避检测，此次攻击针对东欧的军事部分和外交使团。

【关联的攻击组织】

InvisiMole是一个至少从2013年活跃至今的威胁组织，该组织的RC2CL和RC2FM后门具有普遍的特工功效。

【参考链接】

https://www.welivesecurity.com/2020/06/18/digging-up-invisimole-hidden-arsenal/

【防护步伐】

AG公司威胁情报中心关于该事务提取111条IOC，其中包括6个IP、14个域名、59个样本和2个误差；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

8. Vendetta组织针对台湾公民的攻击运动

【标签】Vendetta

【针对行业】政府、企业

【时间】2020-06-15

【简介】

Vendetta是一个主要基于Covid-19开展电子邮件运动的恶意组织，主要以窃守信息为目的，针对企业和政府部分。近期Vendetta组织冒充台湾疾病控制中心和预防的总司理，针对台湾公民发送包括恶意软件附件的电子邮件，恶意软件Nanocore允许完全控制和偷窃受害者系统中的信息。

【关联的攻击组织】

Vendetta是一个来自欧洲的黑客组织，善于使用社交工程提倡网络攻击，以窃取商业数据为目的。

【参考链接】

https://business.blogthinkbig.com/vendetta-group-covid-19-phishing-emails/

【防护步伐】

AG公司威胁情报中心关于该事务提取133条IOC，其中包括133个样本；Vendetta组织相关事务2件，该攻击组织有1个关联IP、11个关联样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

9. FIN7组织使用Pillowmint恶意软件针对零售终端系统

【标签】Pillowmint、FIN7

【针对行业】零售业

【时间】2020-06-22

【简介】

近期FIN7组织使用Pillowmint恶意软件针对零售终端系统，通过恶意的shim数据库分发，能够捕获Track1和Track2信用卡数据。

【关联的攻击组织】

FIN7是一个财务念头的威胁组织，自2015年中期以来主要针对美国零售，餐饮和旅馆业。他们经常使用销售点恶意软件。

【参考链接】

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/pillowmint-fin7s-monkey-thief/

【防护步伐】

AG公司威胁情报中心关于该事务提取2条IOC，其中包括2个样本；FIN7组织相关事务9件，该攻击组织有87个关联IP、169个关联样本和337关联域名；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

10. BRONZE VINEWOOD组织瞄准供应链机构

【标签】BRONZE VINEWOOD

【时间】2020-06-23

【简介】

BRONZE VINEWOOD，也被称为APT31、ZIRCONIUM，是一个至少从2016年活跃至今的威胁组织，该组织与中国有关。近期BRONZE VINEWOOD组织实验窃取凭证并使用正当的远程会看法决计划和协议等多种工具和手艺来会见情形，对软件提供商和其他供应链组织的攻击旨在会见客户的数据或网络。

【参考链接】

https://www.secureworks.com/research/bronze-vinewood-targets-supply-chains

【防护步伐】

AG公司威胁情报中心关于该事务提取9条IOC，其中包括9个样本；BRONZE VINEWOOD组织相关事务1件AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

11. XORDDoS和Kaiji僵尸网络变种针对Docker服务器

【标签】XORDDoS、Kaiji

【时间】2020-06-22

【简介】

XORDDoS和Kaiji是Linux僵尸网络恶意软件类型的变体，此次攻击是 XORDDoS首次将Docker服务器作为目的。攻击者扫描袒露的Docker服务器通讯端口2375后使用僵尸网络执行暴力攻击；Kaiji僵尸网络同样扫描端口2375 袒露的主机，对Docker服务器执行ping操作，然后安排执行Kaiji二进制文件的恶意ARM容器。

【参考链接】

https://blog.trendmicro.com/trendlabs-security-intelligence/xorddos-kaiji-botnet-malware-variants-target-exposed-docker-servers/

【防护步伐】

AG公司威胁情报中心关于该事务提取5条IOC，其中包括5个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

12. Lucifer恶意软件使用误差熏染Windows装备

【标签】Lucifer

【时间】2020-06-24

【简介】

Lucifer是加密挟制和DDoS恶意软件变体的团结，它使用旧误差在Windows平台上撒播和执行恶意运动。该恶意软件可以举行Monero的密码挟制，能够使用多个误差和凭证举行下令和控制（C2）操作以及自我撒播，并且针对内部易受攻击的目的熏染并运行EternalBlue，EternalRomance和DoublePulsar后门。

【参考链接】

https://unit42.paloaltonetworks.com/lucifer-new-cryptojacking-and-ddos-hybrid-malware/

【防护步伐】

AG公司威胁情报中心关于该事务提取233条IOC，其中包括107个ip、1个域名、19个误差和115个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

13. Hidden Cobra组织的新恶意工具

【标签】Hidden Cobra

【针对行业】政府,金融,国防

【时间】2020-06-22

【简介】

Hidden Cobra组织在已往的十年中一直很活跃，今年5月美国政府机构宣布的报告中形貌Hidden Cobra组织的三个新恶意工具COPPERHEDGE、TAINTEDSCRIBE和PEBBLEDASH。

【关联的攻击组织】

Hidden Cobra（又名Lazarus Group、Guardians of Peace、ZINC和NICKEL ACADEMY）是一个威胁组织，归属于朝鲜政府，该组织至少从2009年以来一直活跃。

【关联的攻击工具】

COPPERHEDGE是一种远程会见工具，以资助威胁行为者执行系统侦探，在受熏染系统上运行恣意下令以及窃取被盗数据的能力而著名；

TAINTEDSCRIBE是一种木马程序，具有下令�？榈墓π肴男疟曛踩氤绦�，该木马从下令和控制（C2）服务器下载其下令执行�？�，然后具有下载、上载、删除和执行文件，启用Windows CLI会见权限，建设和终止历程，以及执行目的系统枚举的功效；

PEBBLEDASH是又一个功效齐全的信标植入程序的木马，并由朝鲜支持的黑客组织用于下载、上传、删除和执行文件，启用Windows CLI会见，建设和终止历程，并执行目的系统枚举。

【参考链接】

https://blog.reversinglabs.com/blog/hidden-cobra

【防护步伐】

AG公司威胁情报中心关于该事务提取135条IOC，其中包括9个IP、38个域名和88个样本；Hidden Cobra组织相关事务17件，该攻击组织有22个关联IP、5个关联误差、117个关联样本和31关联域名；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

14. Office 365网络垂纶运动滥用Adobe Campaign重定向机制

【标签】Office 365

【时间】2020-06-18

【简介】

攻击者使用牛津的电子邮件服务器发送垃圾邮件，用户单击电子邮件提醒的一个按钮后，通过三星域被重定向到伪装成Office 365登录页面的网络垂纶页面，攻击运动滥用Adobe Campaign重定向机制，使其逃避清静软件的检测，此次攻击针对欧洲、亚洲和中东。

【参考链接】

https://research.checkpoint.com/2020/phishing-campaign-exploits-samsung-adobe-and-oxford-servers/

【防护步伐】

AG公司威胁情报中心关于该事务提取28条IOC，其中包括28个域名；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

15. 使用StackBlitz工具托管网络垂纶网页的攻击运动

【标签】StackBlitz

【针对行业】政府、金融、国防

【时间】2020-06-05

【简介】

攻击者使用StackBlitz工具来托管网络垂纶页面。垃圾邮件链接通过Microsoft的OneDrive共享软件服务或者带有关联文档下载链接的共享文档提供，用户单击下载链接后会重定向到Outlook网络垂纶页面。

【关联的攻击工具】

StackBlitz是一个在线集成开发情形，任何人都可以通过它建设Angular JavaScript和React TypeScript项目并宣布到网上。

【参考链接】

https://www.zscaler.com/blogs/research/new-campaign-abusing-stackblitz-tool-host-phishing-pages

【防护步伐】

AG公司威胁情报中心关于该事务提取102条IOC，其中包括102个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

<<上一篇

【清静通告】F5 BIG-IP TMUI 远程代码执行误差（CVE-2020-5902）

>>下一篇

F5 BIG-IP TMUI 远程代码执行误差（CVE-2020-5902）防护计划

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号