【威胁通告】AG公司科技威胁情报月报（2021年6月）

2021-07-02

6月，AG公司科技威胁情报中心（NTI）宣布了多个误差和威胁事务通告，其中，Windows NTFS 权限提升误差（CVE-2021-31956）和Windows Print Spooler权限提升误差（CVE-2021-1675）影响规模较大。前者为ntfs.sys 中基于堆的缓冲区溢出误差，经由身份认证的攻击者可通过运行特制的程序举行系统提权。攻击者通常通过诱导用户翻开特制的文件来使用此误差，CVSS 评分为 9.3；后者被微软在通告中标记为Important级别的外地权限提升误差，但现实上在域情形中合适的条件下，无需任何用户交互，未经身份验证的远程攻击者就可以使用该误差以SYSTEM权限在域控制器上执行恣意代码，从而获得整个域的控制权，我们以为该误差现实威胁品级较高，建议相关用户尽快接纳步伐举行防护，尤其是域控制器等服务器，CVSS 评分为 7.8。

另外，本次微软修复了5个Critical级别误差，45个Important 级别误差，强烈建议所有用户尽快装置更新。

在本月的威胁事务中，对云主机的攻击事情较量频仍，其中包括Cleanfda挖矿木马对云主机提倡的攻击：攻击者使用Docker Remote Api未授权下令执行误差攻击云主机，攻击乐成后会投递Cleanfda挖矿木马；Satan DDoS僵尸网络木马对云主机的攻击：攻击者通过Shiro1.2.4反序列化误差对云主机提倡攻击运动，意图植入名为Satan DDoS的僵尸网络木马程序；TeamTNT挖矿木马变种对云主机提倡的攻击：由某个linux挖矿木马引起，最终判断为TeamTNT挖矿木马最新变种的攻击。

以上所有误差情报和威胁事务情报、攻击组织情报，以及关联的IOC，均可在AG公司威胁情报中心获取，网址：https://nti.nsfocus.com/

，

一、误差态势

2021年06月AG公司科技清静误差库共收录541个误差, 其中高危误差24个，微软高危误差16个。

* 数据泉源：AG公司科技威胁情报中心，本表数据阻止到2021.06.30

注：AG公司科技误差库包括应用程序误差、清静产品误差、操作系统误差、数据库误差、网络装备误差等；

二、威胁事务

1. 攻击者使用盛行应用程序模子在 Android 上撒播 Teabot 和 Flubot 恶意软件

【标签】TeaBot,Flubot

【时间】2021-06-01

【简介】

在 Android 装备上撒播恶意软件并禁止易，由于官方市肆通常（并非总是）可以阻止这些类型的应用程序抵达用户手中。可是，Android 最大的优势之一，即能够从非官方泉源旁加载应用程序，这也是一个弱点。犯法分子使用多种技巧说服用户在官方市肆之外装置应用程序，通过旁加载撒播大部分恶意软件。若是移动装备没有装置清静解决计划，恶意应用程序就会自由周游。TeaBot 和 Flubot 是最新的银行木马家族，多位清静研究职员在2021 年头几个月发明了它们。Bitdefender 研究职员发明了一批新的恶意 Android 应用程序，它们模拟盛行品牌的真实应用程序，但带有恶意软件。

【参考链接】

https://labs.bitdefender.com/2021/06/threat-actors-use-mockups-of-popular-apps-to-spread-teabot-and-flubot-malware-on-android/

【防护步伐】

AG公司威胁情报中心关于该事务提取6条IOC，其中包括3个域名和3个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

2. Cleanfda挖矿木马对云主机提倡攻击，攻击者可完全控制失陷主机

【标签】Cleanfda

【时间】2021-06-03

【简介】

攻击者使用Docker Remote Api未授权下令执行误差攻击云主机，攻击乐成后会投递挖矿木马，该团伙的攻击运动已影响上千台云主机。本次攻击运动会使用多个误差举行蠕虫化扩散，失陷服务器因攻击者添加登录后门已被完全控制，我们凭证木马下载资源的路径名将其命名为Cleanfda挖矿木马。

【参考链接】

https://s.tencent.com//research/report/1318.html

【防护步伐】

AG公司威胁情报中心关于该事务提取8条IOC，其中包括3个IP和5个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

3. 网络垂纶恶意软件挟制比特币地点并提供新的署理 Tesla Variant

【标签】Tesla Variant

【时间】2021-06-04

【简介】

清静职员最近捕获了一个新的网络垂纶运动，其中附加到垃圾邮件的 Microsoft Excel 文档下载并执行了几段 VBscript 代码。该恶意软件用于挟制比特币地点信息，并将 Agent Tesla 的新变体传送到受害者的装备上。 Agent Tesla 于 2014 年底首次被发明，是一种已知的特工软件，专注于从受害者的装备中窃取敏感信息，例如生涯的应用程序凭证、键盘输入（键盘纪录器）等。我们已经宣布了许多针对 Agent Tesla 运动的详细剖析博客在已往的几年里被 FortiGuard Labs 捕获。

【参考链接】

https://www.fortinet.com/blog/threat-research/phishing-malware-hijacks-bitcoin-addresses-delivers-new-agent-tesla-variant

【防护步伐】

AG公司威胁情报中心关于该事务提取2条IOC，其中包括2个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

4. Satan DDoS僵尸网络木马对云主机的攻击

【标签】Satan

【时间】2021-06-08

【简介】

有攻击者通过Shiro1.2.4反序列化误差对云主机提倡攻击运动，意图植入名为Satan DDoS的僵尸网络木马程序。该僵尸网络木马此前主要攻击Windows系统，作者在恶意代码中自称“可攻击多平台，木马支持多架构，可使用多个误差攻击撒播”。

【参考链接】

https://unit42.paloaltonetworks.com/lucifer-new-cryptojacking-and-ddos-hybrid-malware/,https://digital.nhs.uk/cyber-alerts/2020/cc-3526

【防护步伐】

AG公司威胁情报中心关于该事务提取3条IOC，其中包括1个IP和2个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

5. APT41针对印度航空公司提倡攻击

【标签】APT41

【时间】2021-06-10

【简介】

新的研究显示，上个月影响印度航空的大规模数据泄露事务曝光后，印度的载旗航空公司似乎也遭受了单独的网络攻击，此次攻击一连了至少两个月零 26 天。

【参考链接】

https://blog.group-ib.com/colunmtk_apt41

【防护步伐】

AG公司威胁情报中心关于该事务提取25条IOC，其中包括5个IP，1个域名和19个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

6. 紫狐病毒恶意攻击SQL服务器，并呈蠕虫式扩散

【标签】紫狐病毒

【时间】2021-06-11

【简介】

紫狐病毒最新变种正猖獗攻击企业SQL Server服务器的1433端口，使用弱口令爆破攻击扩散。通过威胁情报数据回溯剖析，发明该变种自5月中旬以来熏染量已呈大幅上升态势。紫狐病毒家族最先泛起在2018年，最初通过木马下载器、刷量软件、游戏外挂等工具分发，也曾使用Weblogic和ThinkPHP等服务器组件误差攻击扩散。紫狐病毒团伙主要通过流氓软件分发、刷量、锁浏览器主页等方法牟利，其最新变种针对企业SQL服务器的蠕虫式攻击，会对企业信息清静带来严重影响。

【参考链接】

https://s.tencent.com//research/report/1322.html

【防护步伐】

AG公司威胁情报中心关于该事务提取4条IOC，其中包括4个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

7. TeamTNT挖矿木马变种再袭，影响上千云主机

【标签】TeamTNT

【时间】2021-06-17

【简介】

事务由某个linux挖矿木马引起，最终判断为TeamTNT挖矿木马最新变种的攻击，经清静威胁情报数据盘问，发明本次攻击事务影响数千台云主机。

【参考链接】

https://s.tencent.com//research/report/1323.html

【防护步伐】

AG公司威胁情报中心关于该事务提取9条IOC，其中包括1个IP，4个域名和4个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

8. 攻击者使用COVID-19疫苗接种挂号妄想提倡垂纶攻击

【标签】Agent Tesla

【时间】2021-06-18

【简介】

最近针对 Windows 盘算机的网络垂纶运动试图用最新版本的 Agent Tesla 远程会见木马 (RAT) 之一熏染用户。反垃圾邮件实验室发明攻击者试图以 COVID-19 疫苗接种妄想附件为幌子提倡恶意运动，恶意垃圾邮件运动在全球规模内疏散，但 50% 的恶意电子邮件被定向到韩国。

【参考链接】

https://hotforsecurity.bitdefender.com/blog/threat-actors-spread-agent-tesla-disguised-as-covid-19-vaccination-registration-25998.html

【防护步伐】

AG公司威胁情报中心关于该事务提取2条IOC，其中包括2个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

9. 微软签署了恶意Netfilter驱动程序

【标签】Netfilter

【时间】2021-06-25

【简介】

上周，我们的警报系统通知我们可能泛起误报，由于我们检测到一个名为“Netfilter”的驱动程序，该驱动程序有 Microsoft 署名。从 Windows Vista 最先，任何在内核模式下运行的代码都需要在果真宣布之前举行测试和署名，以确保操作系统的稳固性。默认情形下无法装置没有 Microsoft 证书的驱动程序。在这种情形下，检测效果为真阳性，因此我们将我们的发明转发给了 Microsoft，Microsoft 连忙将恶意软件署名添加到 Windows Defender 中，现在正在举行内部视察。现在为止，驱动程序怎样通过署名历程仍然未知。

【参考链接】

https://www.gdatasoftware.com/blog/microsoft-signed-a-malicious-netfilter-rootkit

【防护步伐】

AG公司威胁情报中心关于该事务提取3条IOC，其中包括3个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

<<上一篇

【威胁通告】AG公司科技威胁情报周报（2021.06.21-2021.06.27）

>>下一篇

【清静通告】Windows Print Spooler远程代码执行误差（CVE-2021-1675/CVE-2021-34527）处置惩罚手册