【威胁通告】AG公司科技威胁情报月报（2021年9月）

2021-09-30

9月，AG公司科技威胁情报中心（NTI）宣布了多个误差和威胁事务通告，其中，MicrosoftMSHTML远程代码执行误差通告（CVE-2021-40444）和VMwarevCenterServer和ApacheShiro身份验证绕过误差通告（（CVE-2021-41303）影响规模较大，前者攻击者可通过制作恶意的ActiveX控件供托管浏览器泛起引擎的MicrosoftOffice文档使用，乐成诱导用户翻开恶意文档后，可在目的系统上以该用户权限执行恣意代码。CVSS评分为9.5；后者当在SpringBoot中使用ApacheShiro时，攻击者可以结构特定的HTTP请求绕过身份验证会见后台功效；请相关用户接纳步伐举行防护。ApacheShiro是一个功效强盛且易于使用的Java清静框架，功效包括身份验证、授权、加密和会话治理。使用Shiro的API，可以轻松地、快速地�；と魏斡τ贸绦�，规模从小型的移动应用程序到大型的Web和企业应用程序。CVSS评分为9.0。

另外，本次微软修复了86个误差，包括3个Critical级别误差，62个Important级别误差，1个Moderate级别误差，其中还包括9月初修复的20个MicrosoftEdge(Chromium)误差。强烈建议所有用户尽快装置更新。

在本月的威胁事务中，针对相关企业系统攻击事务较量频仍，其中包括Lazarus组织针对加密钱币行业的社工攻击，研究职员捕获到了Lazarus组织针对加密钱币相关行业的社工攻击运动，该组织在寻找到攻击目的信息后，疑似通过即时通讯软件自动和目的取得联系，并发送修悔改的开源PDF软件(SecurePDFViewer.exe)和携带加密payload的恶意PDF文件(AndroidHardwareWallet.pdf)。单独翻开”SecurePDFViewer.exe”无恶意行为，”AndroidHardwareWallet.pdf”无法用通例软件翻开，以是该组织会使用社工的方法，诱使攻击目的使用exe文件审查pdf文件，最终解密出后台恶意程序执行，抵达远控和窃守信息的目的。以及Grayfly组织使用SideWalk恶意软件攻击电信行业，Grayfly是一个有针对性的攻击组织，目的是亚洲、欧洲和北美的多个国家/地区，涉及食物、金融、医疗保健、旅馆、制造和电信等各个行业。在最近的攻击运动中，Grayfly继续专注于电信，通常，Grayfly的目的是面向公众的Web服务器装置Webshell以举行初始入侵，然后在网络内进一步撒播。一旦网络遭到入侵，Grayfly会将恶意软件装置到其他系统上。这些工具允许攻击者周全远程会见网络和署理毗连，从而允许他们会见目的网络中难以抵达的部分。新网络特工FamousSparrow组织攻击全球旅馆、政府和私营公司，该组织至少自2019年8月以来一直活跃，主要的攻击目的是针对全球旅馆，政府和私营公司，该组织使用了MicrosoftExchange、MicrosoftSharePoint和OracleOpera中已知的远程代码执行误差，用于投放种种恶意样本。一旦服务器遭到入侵，攻击者就会安排多种自界说工具。

以上所有误差情报和威胁事务情报、攻击组织情报，以及关联的IOC，均可在AG公司威胁情报中心获取，网址：https://nti.nsfocus.com/

一、误差态势

2021年09月AG公司科技清静误差库共收录382个误差,其中高危误差23个，微软高危误差15个。

*数据泉源：AG公司科技威胁情报中心，本表数据阻止到2021.09.30

注：AG公司科技误差库包括应用程序误差、清静产品误差、操作系统误差、数据库误差、网络装备误差等；

二、威胁事务

1. 攻击者使用恶意样本为VBA宏代码的EXCEL文档攻击印度国防部

【标签】VBA

【时间】2021-08-25

【简介】

克日，威胁研究职员发明了一起以“CSDhire八月购置清单”为诱饵主题针对南亚地区的攻击运动。凭证研究职员跟踪剖析，此次运动的攻击目的是印度国防部，攻击者使用恶意样本为VBA宏代码的EXCEL文档，当受害者点击启用宏，恶意宏代码将自动执行，首先获取印度国防部盘算机系统的时区信息，当判断系统时区属于Chennai,Kolkata,Mumbai,NewDelhi，均属于印度后，会下载后续恶意.NET可执行文件和诱饵文件，最终释放加载RAT熏染目的主机。

【参考链接】

https://ti.qianxin.com/blog/articles/Another-Targeted-Attack-on-India's-Defense-Ministry/

【防护步伐】

AG公司威胁情报中心关于该事务提取6条IOC，其中包括1个IP和1个域名和4个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

2. 攻击者通过使用虚伪COVID-19疫苗诱饵文件对沙专程域提倡攻击

【标签】COVID-19

【时间】2021-08-31

【简介】

克日，研究职员检测到多起以新冠疫苗COVID-19为主题的攻击运动。攻击者大多以虚伪邮件为诱饵的恶意文件向用户发送恶意结构的样本诱骗用户点击，此次诱饵文件名字为“沙专程域”，受害者通过点击诱饵文件启动PowerShell程序并执行恶意剧本后，程序会从指定的网络地点请求并获取后续的PowerShell恶意剧本。

【参考链接】

https://ti.qianxin.com/blog/articles/Suspected-Russian-speaking-attackers-use-COVID19-vaccine-decoys-against-Middle-East/

【防护步伐】

AG公司威胁情报中心关于该事务提取10条IOC，其中包括1个域名和9个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

3. Lazarus组织针对加密钱币行业的社工攻击

【标签】Lazarus组织

【时间】2021-09-02

【简介】

近期研究职员捕获到了Lazarus组织针对加密钱币相关行业的社工攻击运动，该组织在寻找到攻击目的信息后，疑似通过即时通讯软件自动和目的取得联系，并发送修悔改的开源PDF软件(SecurePDFViewer.exe)和携带加密payload的恶意PDF文件(AndroidHardwareWallet.pdf)。单独翻开”SecurePDFViewer.exe”无恶意行为，”AndroidHardwareWallet.pdf”无法用通例软件翻开，以是该组织会使用社工的方法，诱使攻击目的使用exe文件审查pdf文件，最终解密出后台恶意程序执行，抵达远控和窃守信息的目的。

【参考链接】

https://www.secpulse.com/archives/165499.html

【防护步伐】

AG公司威胁情报中心关于该事务提取3条IOC，其中包括1个域名和2个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

4. BladeHawk组织针对库尔德族群有针对性提倡攻击

【标签】BladeHawk组织

【时间】2021-09-07

【简介】

ESET研究职员发明，针对库尔德族群的有针对性的移动特工运动，该运动仅针对Android用户，BladeHawk组织针对库尔德族群Android用户有针对性提倡攻击。攻击者专注于两个商业AndroidRAT工具——888RAT和SpyNote。使用Android888RAT能够执行从其C服务器收到的42个下令，从装备中窃取和删除文件、截取屏幕截图、获取装备位置、垂纶Facebook凭证、获取已装置的应用程序列表、窃取用户照片、照相、纪录周围的音频和电话、拨打电话、窃取短信信息、窃取装备的联系人列表、发送短信等。

【参考链接】

https://www.welivesecurity.com/2021/09/07/bladehawk-android-espionage-kurdish/

【防护步伐】

AG公司威胁情报中心关于该事务提取12条IOC，其中包括12个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

5. 攻击者使用Confluence远程代码执行误差可完全控制服务器

【标签】kwroksminer挖矿木马家族

【时间】2021-09-07

【简介】

8月26日，Atlassian官方宣布通告，披露了一个AtlassianConfluence远程代码执行误差（CVE-2021-26084)，攻击者使用误差可完全控制服务器。现在至少有7个网络黑产团伙在使用该误差提倡的攻击行动。

【参考链接】

https://www.oschina.net/news/159040

【防护步伐】

AG公司威胁情报中心关于该事务提取15条IOC，其中包括15个IP；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

6. Grayfly组织使用SideWalk恶意软件攻击电信行业

【标签】Grayfly组织

【时间】2021-09-09

【简介】

Grayfly是一个有针对性的攻击组织，目的是亚洲、欧洲和北美的多个国家/地区，涉及食物、金融、医疗保健、旅馆、制造和电信等各个行业。在最近的攻击运动中，Grayfly继续专注于电信，通常，Grayfly的目的是面向公众的Web服务器装置Webshell以举行初始入侵，然后在网络内进一步撒播。一旦网络遭到入侵，Grayfly会将恶意软件装置到其他系统上。这些工具允许攻击者周全远程会见网络和署理毗连，从而允许他们会见目的网络中难以抵达的部分。

【参考链接】

https://ti.nsfocus.com/security-news/IlMRR

【防护步伐】

AG公司威胁情报中心关于该事务提取5条IOC，其中包括5个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

7. 攻击者使用Dridex木马恶意软件从机械中窃取敏感信息并转达和执行恶意�？�

【标签】Dridex木马恶意软件

【时间】2021-09-10

【简介】

最近威胁研究院在野外捕获了新的网络垂纶电子邮件运动，攻击者使用Dridex木马恶意软件从机械中窃取敏感信息并转达和执行恶意�？�，攻击者将一封恶意的网络垂纶电子邮件伪装成向客户发送入口关税数据，然后要求客户通过翻开附加的Excel文件，客户一旦翻开恶意Excel文档，它就会下载Dridex的新变种。然后攻击者从受害者的受熏染装备网络敏感数据，然后将其放入名堂化的数据包中，加密并发送到C2服务器。

【参考链接】

https://ti.nsfocus.com/security-news/IlMRQ

【防护步伐】

AG公司威胁情报中心关于该事务提取6条IOC，其中包括3个IP和3个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

8. 新网络特工组织FamousSparrow组织攻击全球旅馆、政府和私营公司

【标签】FamousSparrow组织

【时间】2021-09-23

【简介】

研究职员发明了一个针对全球旅馆、政府和私营公司的新网络特工组织。该组织为FamousSparrow，该组织至少自2019年8月以来一直活跃，主要针对全球旅馆，政府和私营公司，FamousSparrow组织使用了MicrosoftExchange、MicrosoftSharePoint和OracleOpera中已知的远程代码执行误差，用于投放种种恶意样本。一旦服务器遭到入侵，攻击者就会安排多种自界说工具：

【参考链接】

https://ti.nsfocus.com/security-news/IlMUB

【防护步伐】

AG公司威胁情报中心关于该事务提取11条IOC，其中包括1个域名和10个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

9. TurlaAPT组织通过安排新的恶意软件向用户分发恶意载荷

【标签】TurlaAPT组织

【时间】2021-09-21

【简介】

CiscoTalos最近发明了俄罗斯TurlaAPT组织使用的一个新恶意软件，以坚持对系统的会见，纵然主要恶意软件已被删除。它也可以用作第二阶段的释放器，用其他恶意软件熏染系统。攻击者将恶意软件作为服务装置在受熏染的机械上。他们试图通过将服务命名为“Windows时间服务”运行，就像现有的Windows服务一样，攻击者可以上传和执行文件或从受熏染系统中窃取文件。在我们对该恶意软件的审查中，每五秒通过HTTPS加密通道联系下令和控制(C2)服务器，以检查是否有来自操作员的新下令。

【参考链接】

https://ti.nsfocus.com/security-news/IlMUA

【防护步伐】

AG公司威胁情报中心关于该事务提取1条IOC，其中包括1个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

10. Sora-Miral变种木马使用F5BIG-IP高危误差攻击云主机

【标签】Sora-Miral变种木马

【时间】2021-09-22

【简介】

清静研究员检测到，有攻击者使用F5BIG-IP远程代码高危误差（CVE-2021-22986)对云主机睁开攻击，若攻击乐成会分发Sora-Miral变种木马，Sora-Miral变种木马主要控制组建僵尸网络提倡DDOS攻击，或通过挖矿牟利，攻击者会通过Telent弱口令爆破举行蠕虫式扩散。

【参考链接】

https://ti.nsfocus.com/security-news/IlMUz

【防护步伐】