AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

【威胁通告】AG公司科技威胁情报月报（2021年2月）

2021-03-05

2月，AG公司科技威胁情报中心（NTI）宣布了多个误差和威胁事务通告，其中，Windows TCP&IP 远程代码执行误差（CVE-2021-24074）以及VMware多个高危误差影响较大。前者该误差位于IPv4源路由中，Windows默认设置下不启用此功效，攻击者可通过结构特殊的IP数据包，在目的主机上远程执行恣意代码。CVSS评分为9.8；后者是VMware官方披露vSphere Client、ESXi的两个高危误差：CVE-2021-21972：vSphere Client（HTML5）在vCenter Server插件vRealize Operations中包括一个远程执行代码误差，CVSSv3评分9.8，受影响的vRealize Operations插件为默认装置；CVE-2021-21974：ESXi中使用的OpenSLP保存堆溢出误差，CVSSv3评分8.8。与ESXi处于统一网段中且可以会见427端口的攻击者可触发OpenSLP服务中的堆溢出问题，从而导致远程执行代码。

另外，本次微软共修复了11个Critical级别误差，43个Important级别误差，2个Moderate级误差。强烈建议所有用户尽快装置更新。

在本月的威胁事务中，具有政府配景的威胁组织较活跃，其中包括朝鲜的Lazarus组织、俄罗斯的Turla组织、以及BlackTech威胁组织；随着比特币一连增添，发动数字虚拟钱币市值整体飙升，挖矿团伙也非�；钤�，包括TeamTNT、H2Miner团伙等；同时本月夏历春节时代，云服务是攻击者进攻的重点目的工具。

以上所有误差情报和威胁事务情报、攻击组织情报，以及关联的IOC，均可在AG公司威胁情报中心获取，网址：https://nti.nsfocus.com/

一、误差态势

2021年02月AG公司科技清静误差库共收录262个误差, 其中高危误差53个，微软高危误差13个。

AG公司(中国集团)·有限公司官网

* 数据泉源：AG公司科技威胁情报中心，本表数据阻止到2021.02.28

注：AG公司科技误差库包括应用程序误差、清静产品误差、操作系统误差、数据库误差、网络装备误差等；

二、威胁事务

1. Turla组织安排IronPython恶意软件加载程序

【标签】IronNetInjector

【时间】2021-02-19

【简介】

俄罗斯黑客组织Turla正在安排一个基于IronPython的恶意软件加载器，称为IronNetInjector，新的加载器通过使用IronPython直接使用.NET Framework API以及Python库的能力来提供ComRAT（一种远程会见木马），具有混淆恶意软件代码以及加密息争密NET注入器和有用载荷的功效。

【关联的攻击组织】

Turla Group是一个俄罗斯威胁组织，自2014年以来已熏染凌驾45个国家数台盘算机，其中包括政府、军事、外交、教育和医药行业。

【参考链接】

https://unit42.paloaltonetworks.com/ironnetinjector/

【防护步伐】

AG公司威胁情报中心关于该事务提取15条IOC，其中包括15个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

2. Lazarus使用Internet Explorer 0day误差攻击清静研究者的运动

【标签】Lazarus

【时间】2021-02-04

【简介】

近期，韩国清静公司ENKI披露了一起使用Internet Explorer 0day误差攻击清静研究者的运动。该运动是由谷歌发明的朝鲜组织针对清静职员攻击事务的一部分，攻击者已被确以为朝鲜APT组织Lazarus。在攻击运动中，Lazarus结构了一个带有诱饵内容和恶意链接的mht文件，称为“Chrome_85_RCE_Full_Exploit_Code.mht”，经由SNS等渠道发送给清静研究者，该mht文件携带恶意的JS内容，会通过指定url下载JS木马，最终投递带有Internet Explorer 0day误差的攻击载荷，将shellcode木马植入受害者主机当中。

【关联的攻击组织】

Lazarus Group（又名 HIDDEN COBRA、Guardians of Peace、ZINC 和 NICKEL ACADEMY）是一个威胁组织，归属于朝鲜政府，该组织至少从 2009 年以来一直活跃。

【参考链接】

http://blog.nsfocus.net/stumpzarus-apt-lazarus/

https://enki.co.kr/blog/2021/02/04/ie_0day.html

https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers

【防护步伐】

AG公司威胁情报中心关于该事务提取5条IOC，其中包括5个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

3. KUBERNETES集群遭挖矿木马突袭

【标签】KUBERNETES

【时间】2021-02-23

【简介】

2021年年头，TeamTNT团伙被发明入侵了某Kubernetes集群，通过团结剧本和现有工具，最终在容器内植入门罗币挖矿木马。

【关联的攻击组织】

TeamTNT是一个主要入侵在线容器并通过挖矿和DDoS举行牟利的攻击团伙。

【参考链接】

http://blog.nsfocus.net/kubernetes%e9%9b%86%e7%be%a4%e9%81%ad%e6%8c%96%e7%9f%bf%e6%9c%a8%e9%a9%ac%e7%aa%81%e8%a2%ad/

【防护步伐】

AG公司威胁情报中心关于该事务提取31条IOC，其中包括7个IP，5个域名和19个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

4. Kasablanka组织针对Windows和Android平台的攻击运动

【标签】Kasablanka

【时间】2021-02-09

【简介】

LodaRAT新版本添加Android作为目的平台，并在针对Windows的新版本中添加等录音功效。近期Kasablanka组织使用LodaRAT新版本针对孟加拉国举行网络特工运动，旨从Android和Windows平台中网络敏感信息。

【关联的攻击组织】

Kasablanka，又名Kasablanca，是一个以信息窃取为目的的威胁组织。

【参考链接】

https://blog.talosintelligence.com/2021/02/kasablanka-lodarat.html

【防护步伐】

AG公司威胁情报中心关于该事务提取25条IOC，其中包括3个IP，8个域名和14个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

5. 攻击者使用BendyBear针对多个东亚政府组织

【标签】BendyBear

【针对行业】政府

【时间】2021-02-09

【简介】

近期攻击者使用BendyBear恶意软件针对多个东亚政府组织提倡攻击运动，此次攻击运动疑似有BlackTech组织有关，该组织最早可追溯到2014年。

【关联的攻击组织】

BlackTech是一个最早活跃于2014年7月的网络特工组织，主要针对东亚（尤其是台湾）举行特工运动。

【参考链接】

https://unit42.paloaltonetworks.com/bendybear-shellcode-blacktech/

【防护步伐】

AG公司威胁情报中心关于该事务提取7条IOC，其中包括7个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

6. 黑客使用Masslogger木马变种窃取用户凭证的攻击运动

【标签】Masslogger

【时间】2021-02-17

【简介】

Masslogger是一个用.NET编写的特工软件程序，主要是从浏览器中窃取用户凭证，还从一些盛行的新闻收发应用程序和电子邮件客户端中窃取用户凭证。

【参考链接】

https://blog.talosintelligence.com/2021/02/masslogger-cred-exfil.html

【防护步伐】

AG公司威胁情报中心关于该事务提取13条IOC，其中包括13个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

7. FreakOut使用最新误差建设僵尸网络

【标签】FreakOut

【时间】2021-02-19

【简介】

2021年1月上旬，CNCERT物联网威胁剖析团队通过实时运转的数据平台捕获到一种未知恶意程序out.py，它的典范撒播域名为gxbrowser.net。AG公司科技伏影实验室对该程序样本、撒播Payload等举行深入研究，并与开源情报举行比对，确认它是一种新型僵尸网络家族。1月中下旬，多家海内外公司也发明了这个恶意程序，由于它的名称为out.py，且关联到的攻击者代号为Freak，因此该家族被命名为FreakOut，该恶意程序在撒播中使用了CVE-2020-28188、CVE-2020-7961和CVE-2021-3007三个误差。

【参考链接】

https://research.checkpoint.com/2021/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/

【防护步伐】

AG公司威胁情报中心关于该事务提取4条IOC，其中包括4个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

8. H2Miner挖矿团伙使用多个误差武器攻击云上主机

【标签】H2Miner

【时间】2021-02-22

【简介】

研究职员检测到春节时代H2Miner挖矿团伙异�；钤�，该团伙使用多个误差武器攻击云上主机挖矿，除使用该团伙习用的XXL-JOB未授权下令执行攻击之外，还使用了PHPUnit远程代码执行误差（CVE-2017-9841)、Supervisord远程下令执行误差（CVE-2017-11610）和ThinkPHP 5.X远程下令执行误差举行攻击扩散，最终投递名为kdevtmpfsi的XMR门罗币矿机组件挖矿牟利。

【参考链接】

https://s.tencent.com//research/report/1254.html

【防护步伐】

AG公司威胁情报中心关于该事务提取6条IOC，其中包括2个IP，1个域名和3个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

9. NightScou针对亚洲在线游戏社区的网络特工运动

【标签】NightScou

【针对行业】在线游戏社区

【时间】2021-02-01

【简介】

ESET的研究职员发明了一个供应链攻击，用于针对亚洲在线游戏社区的网络特工行动。2021年1月，该团队发明了一个新的供应链攻击，并且破损了NoxPlayer的更新机制，NoxPlayer是一个用于pc和mac的Android仿真器，是BigNox产品系列的一部分，在全球拥有凌驾1.5亿用户。

【参考链接】

https://www.welivesecurity.com/2021/02/01/operation-nightscout-supply-chain-attack-online-gaming-asia/

【防护步伐】

AG公司威胁情报中心关于该事务提取11条IOC，其中包括4个IP，3个域名和4个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

10. 攻击者使用Kobalos恶意软件针对高性能盘算集群（HPC）的攻击运动

【标签】Kobalos

【时间】2021-02-02

【简介】

ESET的研究职员剖析了针对高性能盘算（HPC）集群和其他高关注目的的恶意软件。他们对这个小而重大的恶意软件举行了反向工程，恶意软件可以移植到许多操作系统，包括Linux、BSD、Solaris，甚至AIX和Windows。他们将这个恶意软件命名为Kobalos。

【参考链接】

https://www.welivesecurity.com/2021/02/02/kobalos-complex-linux-threat-high-performance-computing-infrastructure/

【防护步伐】

AG公司威胁情报中心关于该事务提取10条IOC，其中包括10个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

11. 网络罪犯使用Accelion FTA举行数据偷窃和勒索的攻击运动

【标签】Accelion FTA

【时间】2021-02-22

【简介】

从2020年12月中旬最先，Mandiant在UNC2546跟踪的恶意行为者使用了Accellion的旧式文件传输装备（FTA）中的多个零日误差，装置了一个新发明的名为DEWMODE的Web Shell，在运行旧版FTA产品（如UNC2546）时使用Accellion FTA误差举行数据偷窃。

【参考链接】

https://www.fireeye.com/blog/threat-research/2021/02/accellion-fta-exploited-for-data-theft-and-extortion.html

【防护步伐】

AG公司威胁情报中心关于该事务提取8条IOC，其中包括6个IP和2个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

<<上一篇

精准短信垂纶频发，已有多个银行用户中招！

>>下一篇

【威胁通告】AG公司科技威胁情报周报（2021.3.1-3.7）

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号