【威胁通告】AG公司科技威胁情报月报（2021年7月）

2021-08-02

7月，AG公司科技威胁情报中心（NTI）宣布了多个误差和威胁事务通告，其中，Exim远程代码执行误差通告（CVE-2020-28020）和Linux内核权限提升误差通告（CVE-2021-33909）影响规模较大。前者源于receive_msg函数，基于Exim整数溢出误差，攻击者可以通过”\\n”绕过Exim对邮件头巨细的限制，从而造成整数溢出，未经身份验证的攻击者可使用此误差造成拒绝服务或远程代码执行。CVSS评分为9.8；后者为Linux内核的seq_file接口保存size_t-to-int类型转换误差，由于fs/seq_file.c没有准确限制seq缓冲区分派，从而导致整数溢出、越界写入以及权限提升。恣意用户权限的攻击者都可以在默认设置中使用此误差，从而获得受影响主机的root权限。该误差影响了自2014年以来宣布的所有Linux内核版本，现在PoC已果真，请相关用户尽快接纳步伐举行防护，CVSS 评分为8.4。

另外，本次微软修复了13个Critical级别误差，103个Important级别误差，强烈建议所有用户尽快装置更新。

在本月的威胁事务中，对相关企业，政府组织的攻击事务较量频仍，其中包括攻击者使用NetwireRAT恶意软件对政府组织睁开针对性攻击，其中攻击者将目的锁定在巴基斯坦的种种组织，NetwiredRC被用作这次攻击运动的最终有用载荷。TA402组织使用新恶意软件LastConn攻击中东各国政府，TA402使用政治和军事主题，包括加沙地带一连的冲突，诱使用户翻开附并点击恶意链接。PuzzleMaker组织对全球企业睁开攻击运动，这些攻击都使用了一系列GoogleChrome和MicrosoftWindows0day误差。DarkCaracal使用恶意软件攻击西班牙语国家企业网络运动，REvil使用供应链误差攻击数百家企业，针对托管服务提供商的客户和KaseyaVSA远程监控和治理平台现场版的企业用户提倡了一个恶意更新包。

以上所有误差情报和威胁事务情报、攻击组织情报，以及关联的IOC，均可在AG公司威胁情报中心获取，网址：https://nti.nsfocus.com/

一、误差态势

2021年07月AG公司科技清静误差库共收录603个误差,其中高危误差83个，微软高危误差35个。

*数据泉源：AG公司科技威胁情报中心，本表数据阻止到2021.08.02

注：AG公司科技误差库包括应用程序误差、清静产品误差、操作系统误差、数据库误差、网络装备误差等；

二、威胁事务

1. Mirai_ptea僵尸网络使用KGUARDDVR误差举行攻击网站

【标签】Mirai_ptea

【时间】2021-07-01

【简介】

2021年6月22日，我们检测到一个Mirai变体样本，将其命名为mirai_ptea僵尸网络,该僵尸网络被用于一连的DDoS攻击，并将此样本通过KGUARDDVR的新误差举行撒播。Mirai_ptea僵尸网络使用KGUARDDVR误差举行攻击网站。

【参考链接】

https://blog.netlab.360.com/mirai_ptea-botnet-is-exploiting-undisclosed-kguard-dvr-vulnerability-en/

【防护步伐】

AG公司威胁情报中心关于该事务提取14条IOC，其中包括5个IP，7个域名和2个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

2. REvil使用供应链误差攻击数百家企业

【标签】REvil

【时间】2021-07-04

【简介】

7月2日，虽然许多企业的员工要么已经下班，要么准备度过一个长假周末，REvil勒索软件组织的一个隶属机构提倡了一场普遍的加密勒索战略。REvil攻击者使用KaseyaVSA远程治理服务的误差，针对托管服务提供商的客户和KaseyaVSA远程监控和治理平台现场版的企业用户提倡了一个恶意更新包。

【参考链接】

https://news.sophos.com/en-us/2021/07/04/independence-day-revil-uses-supply-chain-exploit-to-attack-hundreds-of-businesses/

【防护步伐】

AG公司威胁情报中心关于该事务提取5条IOC，其中包括3个域名和2个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

3. DarkCaracal使用恶意软件攻击西班牙语国家企业网络运动

【标签】DarkCaracal

【时间】2021-07-07

【简介】

2021年，DarkCaracal针对西班牙语国家企业网络的一连攻击运动，其中90%的检测爆发在委内瑞拉。将此运动中使用的恶意软件与之前纪录的内容举行较量时，我们发明了此恶意软件的新功效，称为Bandook。我们还发明，这项针对委内瑞拉的运动自2015年以来一直很活跃，但不知何以仍然没有纪录。鉴于所使用的恶意软件和目口号言情形，我们选择将此运动命名为Bandidos。

【参考链接】

https://www.welivesecurity.com/2021/07/07/bandidos-at-large-spying-campaign-latin-america/

【防护步伐】

AG公司威胁情报中心关于该事务提取3条IOC，其中包括3个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

4. 攻击者使用跨平台蠕虫病毒HolesWarm攻击windows和linux系统

【标签】HolesWarm

【时间】2021-07-12

【简介】

清静研究院近期一款名为HolesWarm的跨平台蠕虫病毒，该蠕虫病毒近期扩散十分迅速，所使用的误差武器在短短一个月的时间里就凌驾20种，堪称“误差使用王者”。自6月上旬以来，HolesWarm已造成多次入侵岑岭，累计攻陷云主机过千台，经剖析，HolesWarm病毒会使用海内使用率较高的网络组件高危误差攻击撒播，包括海内常用的用友、致远等办公组件，以及Tomcat、Weblogic、Shiro、Structs2、XXL-JOB、Springboot、Jenkins等20余个网络组件均受影响，攻击者接受云控服务器指令一直更新攻击�？楹凸セ髂康�。

【参考链接】

https://s.tencent.com/research/report/78

【防护步伐】

AG公司威胁情报中心关于该事务提取9条IOC，其中包括1个域名和8个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

5. 攻击者使用NetwireRAT恶意软件对政府组织睁开针对性攻击

【标签】NetwireRAT

【时间】2021-07-14

【简介】

清静研究员视察到从2021年7月最先的一个有趣的鱼叉式网络垂纶运动，其中攻击者将目的锁定在巴基斯坦的种种组织。NetwiredRC被用作这次攻击运动的最终有用载荷。鱼叉式网络垂纶和使用信息窃取RAT的团结批注这不是简朴的网络犯法，而是针对巴基斯坦多个政府组织以及其他笔直行业的更大网络攻击运动。

【参考链接】

https://www.zscaler.com/blogs/security-research/targeted-attack-government-organizations-delivers-netwire-rat

【防护步伐】

AG公司威胁情报中心关于该事务提取8条IOC，其中包括1个IP和7个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

6. APT组织FIN7使用WINDOWS11话题诱饵的鱼叉攻击运动

【标签】FIN7

【时间】2021-07-16

【简介】

近期，伏影实验室捕获了多个使用windows11相关话题作为诱饵的垂纶文档。这些垂纶文档显示了一些差别于常见垂纶攻击的思绪和技巧。通过深入剖析，伏影实验室发明这些垂纶文档是FIN7组织正在举行的大规模鱼叉攻击运动的一部分，其释放的木马现实上是该组织常用的Griffon木马的较新变种。垂纶文档与后续攻击组件的手艺细节显示，FIN7组织在本次鱼叉攻击运动中最先更频仍地检测主机情形，并在掩饰攻击痕迹方面破费了更多精神。这些垂纶文档再次证实，FIN7组织并未因2018年的集中抓捕行动而驱逐，而是在改变了谋划模式后，更审慎地举行以偷取金融资产为主的网络犯法运动。清静厂商应亲近注重使用FIN7组织已知攻击工具的种种攻击运动。

【参考链接】

http://blog.nsfocus.net/apt-windows11/

【防护步伐】

AG公司威胁情报中心关于该事务提取12条IOC，其中包括2个IP，1个域名和9个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

7. 攻击者使用URL缩短器服务向Android用户分发恶意软件FakeAdBlocker

【标签】FakeAdBlocker

【时间】2021-07-20

【简介】

威胁研究员近期发明，用户收到一些URL点击后会弹出广告，这些广告使用的是一些链接缩短服务使用激进的广告手艺，通知用户他们的装备熏染了危险的恶意软件，指导用户从GooglePlay市肆下载可疑的应用程序或加入可疑的视察，提供成人内容，提供最先高级SMS服务订阅，启用浏览器通知等�；狗⒚髁艘恍┝唇铀醵谭窠�“日历”文件推送到iOS装备并分发Android恶意软件——我们将其命名为Android/FakeAdBlocker的恶意软件，它下载并执行特另外有用载荷（例如银行木马、短信木马、和攻击性广告软件）从其C服务器收到。

【参考链接】

7https://www.welivesecurity.com/2021/07/20/url-shortener-services-android-malware-banking-sms-trojans/

【防护步伐】

AG公司威胁情报中心关于该事务提取18条IOC，其中包括15个域名和3个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

8. 攻击者使用恶意软件XLoader窃取Windows和macOS的服务信息

【标签】XLoader

【时间】2021-07-26

【简介】

攻击者针对现在主要操作系统供应商对恶意软件举行相关调解，可以在一个平台上编译天生针对多个平台的可执行文件。研究职员最新发明的恶意软件是XLoader，称此恶意软件XLoader是通过FormBook中开发出来的。即服务信息窃取器和键盘纪录器，攻击者可以使用恶意软件XLoader同时在Windows和macOS版本上窃取服务信息。

【参考链接】

https://www.sentinelone.com/blog/detecting-xloader-a-macos-malware-as-a-service-info-stealer-and-keylogger/

【防护步伐】

AG公司威胁情报中心关于该事务提取13条IOC，其中包括10个IP和3个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

9. 攻击者使用PlugX变体攻击MicrosoftExchangeServer

【标签】PlugX

【时间】2021-07-27

【简介】

2021年3月，研究职员在监测MicrosoftExchangeServer攻击时，发明了一种PlugX新变体，攻击者使用PlugX新变体攻击MicrosoftExchangeServer。该PlugX变体是作为一个被攻击服务器使用后远程会见工具(RAT)传送到其中一台服务器。PlugX变体奇异之处在于对焦点源代码的更改。

【参考链接】

https://unit42.paloaltonetworks.com/thor-plugx-variant/

【防护步伐】

AG公司威胁情报中心关于该事务提取120条IOC，其中包括18个IP，23个域名和79个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

10. Outlaw通过入侵SSH公钥大规模攻击云主机

【标签】Outlaw

【时间】2021-07-28

【简介】

清静研究员剖析主机清静监测数据时发明，Outlaw僵尸网络团伙在今天破晓左右通过入侵SSH公钥对云主机提倡大规模攻击，攻击者主要通过入侵SSH公钥获取登录密码后写入SSH公钥，然后执行恶意程序，一旦攻击云主机乐成，攻击者会写入新的SSH公钥，设置远程登录完全控制服务器。

【参考链接】

https://s.tencent.com/research/report/91

【防护步伐】