AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

【威胁通告】AG公司科技威胁情报月报（2021年8月）

2021-09-01

8月，AG公司科技威胁情报中心（NTI）宣布了多个误差和威胁事务通告，其中，NicheStack TCP/IP 客栈高危误差通告（CVE-2020-25928）和Linux Kernel恣意代码执行误差通告（CVE-2021-3490）影响规模较大，前者可导致远程代码执行、拒绝服务、信息走漏、TCP诱骗或DNS缓存中毒。研究职员体现，乐成使用INFRA:HALT误差的攻击者可能会破损修建物的HVAC系统或接受用于制造和其它要害基础设施的控制器，导致 OT 和 ICS 装备离线并被挟制，并且攻击者可以通过挟制的装备撒播恶意软件，CVSS评分为9.8；后者在Ubuntu 20.10 和 21.04上实现外地权限提升，该误差是由于Linux内核中按位操作（AND、OR 和 XOR）的 eBPF ALU32 界线跟踪没有准确更新 32 位界线，造成Linux内核中的越界读取和写入，从而导致恣意代码执行。官方已于5月11号宣布修复版本，请相关用户实时接纳步伐防护。 ExtendedBerkeley Packet Filte是一种内核手艺，允许程序运行而无需改变内核源代码或添加特另外�？�。它是Linux内核中的一种轻量级的沙盒虚拟机（VM），可以在其中运行使用特定内核资源的BPF字节码，CVSS 评分为8.4。

另外，本次微软修复了46个误差，包括7个Critical级别误差，39个Important级别误差，强烈建议所有用户尽快装置更新。

在本月的威胁事务中，针对相关企业系统和窃取网站用户信息的攻击事务较量频仍，其中包括攻击者使用wiper恶意软件攻击伊朗火车系统，有报道称火车时刻表显示“由于网络攻击而导致旅客官时间延误”。因此导致被攻击的显示器瘫痪。以及攻击者使用IIStealer恶意软件窃取电子商务网站客户的支付信息， IIStealer 能够会见服务器上的所有网络通讯数据，并窃取攻击者感兴趣的数据，即来自电子商务生意的支付信息。攻击者使用Neurevt 木马攻击墨西哥用户，将Neurevt木马和信息窃取程序团结在一起，首先，通过PowerShell 下令下载一个属于 Neurevt 系列的可执行文件。该木马将可执行文件、剧本放入它在运行时建设的文件夹中。从而窃取墨西哥银行系统的服务令牌来提升会见权限。攻击者使用挖矿木马WorkMiner攻击Lliux系统，该挖矿木马接纳GO语言编译，攻击者使用挖矿病毒木马入侵Linux终端后会占用受害者主机资源举行挖矿，当木马启动后会先终结Linux系统的历程，随后释放config.json等恶意文件，启动ssh线程，对同网段其他终端提倡ssh举行撒播，该木马撒播历程中病毒文件会修改防火墙的规则，开放相关端口，容易造成系统大面积熏染。

以上所有误差情报和威胁事务情报、攻击组织情报，以及关联的IOC，均可在AG公司威胁情报中心获取，网址：https://nti.nsfocus.com/

一、误差态势

2021年08月AG公司科技清静误差库共收录671个误差, 其中高危误差61个，微软高危误差20个。

* 数据泉源：AG公司科技威胁情报中心，本表数据阻止到2021.08.31

注：AG公司科技误差库包括应用程序误差、清静产品误差、操作系统误差、数据库误差、网络装备误差等；

二、威胁事务

1. 攻击者通过向Pypl存储库植入恶意软件包攻击供应链

【标签】Pypl

【时间】2021-08-04

【简介】

近年来，Pypl等软件存储库多次爆出软件供应链攻击事务，研究职员发明，在Pypl存储库中发明几个恶意代码，攻击者将恶意代码植入公共存储库，试图使用恶意代码窃取用户的信用卡信息、窃取浏览器敏感数据，截屏并上传到指定地点，相关恶意代码从Pypl网站删除之前，被下载3万次，研究职员发明，海内部分镜像库保存恶意代码，若是软件开发职员从Pypl存储库下载资源时，不注重举行代码清静审核，就可能将有害代码装置到自己的开发情形中，在分发自己开发的软件时，将恶意程序撒播给最终用户。

【参考链接】

https://s.tencent.com/research/report/94

【防护步伐】

AG公司威胁情报中心关于该事务提取4条IOC，其中包括4个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

2. FIN8使用BADHATCH 新恶意软件攻击 POS 网络

【标签】FIN8

【时间】2021-08-05

【简介】

研究职员发明， FIN8使用BADHATCH 恶意软件的新版本攻击 POS 网络，报道称，FIN8 通常以金融部分为目的，目的是攻击POS 网络，FIN8 主要通过“living off the land”方法来攻击金融服务和 POS系统，使用内置工具和接口，如 PowerShell 或 WMI，并滥用正当服务，如 sslip.io来掩饰其运动。

【参考链接】

https://businessinsights.bitdefender.com/dev21/deep-dive-into-a-fin8-attack-a-forensic-investigation-clone

【防护步伐】

AG公司威胁情报中心关于该事务提取9条IOC，其中包括4个域名和5个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

3. 攻击者使用IIStealer窃取电子商务网站客户的支付信息

【标签】IIStealer

【时间】2021-08-06

【简介】

研究职员发明了一个木马程序IIStealer，攻击者使用木马程序IIStealer窃取电子商务网站客户的支付信息。IIStealer 能够会见服务器上的所有网络通讯数据并窃取攻击者感兴趣的数据，即来自电子商务生意的支付信息。IIStealer 能够窃取发送到不使用第三方支付网关的电子商务网站的信用卡信息。

【参考链接】

https://www.welivesecurity.com/2021/08/06/iistealer-server-side-threat-ecommerce-transactions/

【防护步伐】

AG公司威胁情报中心关于该事务提取2条IOC，其中包括2个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

4. UNC215使用 Microsoft SharePoint 误差攻击天下各地的组织

【标签】UNC215

【时间】2021-08-10

【简介】

2019 年头，Mandiant 发明了特工组织 UNC215 在中东的入侵事务。自 2014 年以来UNC215一直针对天下各地的组织，现在，UNC 215 已经攻击了了政府、手艺、电信、国防、金融、娱乐和医疗保健部分的组织。报道称，UNC215使用 Microsoft SharePoint 误差 CVE-2019-0604 在中东和亚洲的金融和高科技组织上装置 web shell 和 FOCUSFJORD 负载提倡攻击。除了来自中东和亚洲的金融和高科技组织外，研究职员还发明，从 2019 年 1 月最先，UNC215针对以色列政府机构、IT 提供商和电信实体提倡攻击。UNC215 使用新的 TTP 来阻碍归因和检测、维护操作清静、使用虚伪标记并使用可信关系举行横向移动。

【参考链接】

https://www.fireeye.com/blog/threat-research/2021/08/unc215-chinese-espionage-campaign-in-israel.html

【防护步伐】

AG公司威胁情报中心关于该事务提取23条IOC，其中包括9个IP和14个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

5. Aggah使用WarzoneRAT恶意软件举行鱼叉式网络垂纶运动

【标签】Aggah

【时间】2021-08-12

【简介】

Anomali Threat Research 发明了一项鱼叉式网络垂纶运动，此次运动攻击的目的是全球的制造商。攻击者使用受熏染的WordPress网站，使用WarzoneRAT恶意软件举行鱼叉式网络垂纶运动攻击全球制造商，鱼叉式网络垂纶运动始于一家位于英国的在线食物配送服务制造商，攻击者向该制造商传入一封伪装成“FoodHub.co.uk”的自界说电子邮件，看似来自制造商正当客户的虚伪电子邮件地点，电子邮件正文包括订单和运输信息，以及一个采购订单PowerPoint文件。威胁行为者通常将全球制造商和其他供应商作为攻击目的，窃取企业客户的信息。

【参考链接】

https://www.anomali.com/blog/aggah-using-compromised-websites-to-target-businesses-across-asia-including-taiwan-manufacturing-industry

【防护步伐】

AG公司威胁情报中心关于该事务提取11条IOC，其中包括11个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

6. 攻击者使用Neurevt 木马攻击墨西哥用户

【标签】Neurevt

【时间】2021-08-17

【简介】

2021 年 6 月，Cisco Talos发明了特工软件新版 Neurevt 木马，攻击者使用Neurevt 木马攻击墨西哥金融机构的用户，将Neurevt木马和信息窃取程序团结在一起，首先，通过PowerShell 下令下载一个属于 Neurevt 系列的可执行文件。该木马将可执行文件、剧本放入它在运行时建设的文件夹中。从而窃取墨西哥银行系统的服务令牌来提升会见权限，通过会见操作系统并毗连到C2服务器，以窃取用户账号、知识产权、银行网站凭证等私密信息，然后，通过修改系统中的 Internet 署理设置以逃避检测和阻止剖析。因此，一旦被攻击，该木马可能会影响小我私家用户和组织导致数据泄露或声誉受损，最终导致财务价值损失。

【参考链接】

https://blog.talosintelligence.com/2021/08/neurevt-trojan-takes-aim-at-mexican.html

【防护步伐】

AG公司威胁情报中心关于该事务提取11条IOC，其中包括7个域名和4个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

7. 攻击者使用挖矿木马WorkMiner攻击Lliux系统

【标签】WorkMiner

【时间】2021-08-18

【简介】

2021年8月18日，研究职员称，监控到一款Linux系统下的挖矿木马WorkMiner，该挖矿木马接纳GO语言编译，攻击者使用挖矿病毒木马入侵Linux终端后会占用受害者主机资源举行挖矿，当木马启动后会先终结Linux系统的历程，随后释放config.json等恶意文件，启动ssh线程，对同网段其他终端提倡ssh举行撒播，该木马撒播历程中病毒文件会修改防火墙的规则，开放相关端口，容易造成系统大面积熏染。

【参考链接】

https://www.secpulse.com/archives/164847.html

【防护步伐】

AG公司威胁情报中心关于该事务提取3条IOC，其中包括3个域名；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

8. 境外组织针对海内提倡垂纶攻击运动

【标签】垂纶

【时间】2021-08-27

【简介】

克日,AG公司科技研究职员发明境外攻击组织针对海内提倡垂纶网络攻击运动。

【参考链接】

https://ti.nsfocus.com

【防护步伐】

AG公司威胁情报中心关于该事务提取9条IOC，其中包括1个IP，7个域名和1个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

<<上一篇

【威胁通告】AG公司科技威胁情报周报（2021.08.23-2021.08.29）

>>下一篇

【威胁通告】AG公司科技威胁情报周报（2021.08.30-2021.09.05）

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号