AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

【威胁通告】AG公司科技威胁情报月报（2021年10月）

2021-11-01

10月，AG公司科技威胁情报中心（NTI）宣布了多个误差和威胁事务通告，其中，Windows Update Assistant 权限提升0day误差和GitLab 下令执行误差（CVE-2021-22205）影响规模相对较大。前者由于Windows Update Assistant 中保存特定缺陷，具有低权限身份的外地攻击者可通过建设目录毗连，使用Windows Update Assistant来删除文件，乐成使用此误差的攻击者可在目的系统上提升为治理员权限并执行恣意代码；后者攻击者使用受害者在GitLab中的ExifTool没有对传入的图像文件的扩展名举行准确处置惩罚，攻击者通过上传特制的恶意图片，可以在目的服务器上执行恣意下令。CVSS评分为9.9。

另外，本次微软共修复了81个误差，包括3个Critical级别误差，70个Important 级别误差，其中包括4个0day误差。强烈建议所有用户尽快装置更新。

在本月的威胁事务中，针对相关国家相关组织的攻击事务较量频仍。其中包括BlackTech组织使用Gh0stTimes恶意软件对日本组织举行攻击，研究职员发明，一个攻击组织BlackTech一直在对日本组织举行攻击：攻击者使用Gh0stTimes 使用其自界说协议与C2服务器通讯，在最先与C2服务器通讯时，Gh0stTimes 发送身份验证ID和数据以天生用于后续通讯的加密密钥，C2服务器检查认证ID，只接受特定ID的通讯；以及攻击者使用攻击工具集对东南亚一系列组织提倡攻击：攻击者使用以前未纪录的工具集举行的特工运动针对东南亚的一系列组织，确定的目的包括国防、医疗保健以及信息和通讯手艺 (ICT) 部分的组织，攻击者使用的工具集包括加载器、�？榛竺拧⒓碳吐计骱椭荚诶挠迷拼娲⒎� Dropbox 的渗漏工具。

以上所有误差情报和威胁事务情报、攻击组织情报，以及关联的IOC，均可在AG公司威胁情报中心获取，网址：https://nti.nsfocus.com/

一、误差态势

2021年10月AG公司科技清静误差库共收录521个误差, 其中高危误差24个，微软高危误差11个。

* 数据泉源：AG公司科技威胁情报中心，本表数据阻止到2021.11.01

注：AG公司科技误差库包括应用程序误差、清静产品误差、操作系统误差、数据库误差、网络装备误差等；

二、威胁事务

1. Mirai_ptea_Rimasuta变种使用新锐捷路由器0day撒播

【标签】Mirai_ptea_Rimasuta变种

【时间】2021-09-29

【简介】

Mirai_ptea_Rimasuta变种，这是一种通过 KGUARD DVR 中未果真的误差撒播的僵尸网络。早先以为这是一个短期保存的僵尸网络，很快就会消逝，最近视察到它正在使用锐捷 NBR700系列路由器中的 0day 误差举行撒播。Mirai_ptea_Rimasuta 内置机制来检查运行情形是否是沙箱，它还加密网络流量以应对网络级别检测。

【参考链接】

https://ti.nsfocus.com/security-news/IlMUT

【防护步伐】

AG公司威胁情报中心关于该事务提取12条IOC，其中包括6个域名和6个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

2. 攻击者DarkHalo使用Tomiris攻击服务器

【标签】Tomiris

【时间】2021-09-29

【简介】

Tomiris 是一个用 Go 编写的后门，其作用是一直盘问其 C2 服务器以获取可执行文件，以便在受害系统上下载和执行。在执行任何操作之前，它会休眠至少 9 分钟，以试图击败基于沙箱的剖析系统。它通过建设和运行包括以下下令的批处置惩罚文件来建设妄想使命的长期性。C2 服务器地点没有直接嵌入 Tomiris 内部：相反，它毗连到信号服务器，该服务器提供后门应毗连到的 URL 和端口。然后 Tomiris 向该 URL 发送 GET 请求，直到 C2 服务器使用JSON 工具响应，这个工具形貌了一个可执行文件，它被安排在受害机械上并使用提供的参数运行。此功效以及 Tomiris 除了下载更多工具之外没有其他功效的事实批注此工具集尚有其他部分，研究职员还发明了一个 Tomiris 变体（内部命名为“SBZ”），它充当文件窃取者，并将任何与硬编码扩展名集（.doc、.docx、.pdf、.rar 等）匹配的最新文件上传到C2。

【参考链接】

https://securelist.com/darkhalo-after-solarwinds-the-tomiris-connection/104311/

【防护步伐】

AG公司威胁情报中心关于该事务提取13条IOC，其中包括9个样本、1个域名和3个IP；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

3. BlackTech组织使用 Gh0stTimes恶意软件对日本组织举行攻击

【标签】Gh0stTimes恶意软件

【时间】2021-10-04

【简介】

克日，研究职员发明，一个攻击组织BlackTech一直在对日本组织举行攻击。攻击者使用Gh0stTimes 使用其自界说协议与 C2 服务器通讯，在最先与 C2 服务器通讯时，Gh0stTimes 发送身份验证 ID 和数据以天生用于后续通讯的加密密钥。C2服务器检查认证ID，只接受特定ID的通讯。

【参考链接】

https://ti.nsfocus.com/security-news/IlMVn

【防护步伐】

AG公司威胁情报中心关于该事务提取15条IOC，其中包括4个IP，3个域名和8个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

4. 攻击者冒充SafeMoon官方用户窃取用户信息

【标签】SafeMoon官方用户

【时间】2021-10-06

【简介】

研究职员发明了一项运动，攻击者冒充 SafeMoon官方用户，并使用虚伪网站更新将 Discord 用户引诱到分发着名远程会见工具 (RAT) 的网站。诈骗者向 Discord 上的许多用户发送一条虚伪链接，当用户点击虚伪链接的url后，会被引诱到一个网站举行登录，该网站设计为看起来像是 SafeMoon 的旧版本。攻击者随之会窃取到用户的登录凭证、纪录击键、挟制网络摄像头等信息。

【参考链接】

https://ti.nsfocus.com/security-news/IlMVm

【防护步伐】

AG公司威胁情报中心关于该事务提取1条IOC，其中包括1个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

5. 攻击者使用Rmgr木马攻击Linux终端

【标签】Rmgr木马

【时间】2021-10-13

【简介】

研究职员捕获到一个后门木马样本，将其命名为Rmgr木马。攻击者使用木马病毒毗连恶意域名，隐藏自己的历程，并对终端植入后门，用于后续举行其他入侵行为。木马的母体文件只有 rmgr.ko 这一个文件，通过 insmod 下令装载到内核�？楹罂粼俗�，逐步释放木马的其他组件部分。木马自己作为一个内核�？�，具有ring0的权限，可以从内核层面实现隐藏历程、文件、端口等操作，相较于ring3具有更强的隐藏能力。

【参考链接】

https://ti.nsfocus.com/security-news/IlMWB

【防护步伐】

AG公司威胁情报中心关于该事务提取4条IOC，其中包括4个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

6. 攻击者使用恶意软件攻击 Exchange 服务器

【标签】GhostEmperor集群

【时间】2021-10-15

【简介】

在视察最近针对 Exchange 服务器的攻击上升时，研究职员发明在几个差别的受熏染网络中泛起了GhostEmperor集群。该集群因其使用了我们称为 Demodex 的以前未知的 Windows 内核模式 rootkit 以及旨在提供对受攻击服务器的远程控制的重大多阶段恶意软件框架脱颖而出。同时发明了多个触发熏染链的攻击前言，导致在内存中执行恶意软件。并注重到，大大都 GhostEmperor 熏染都安排在面向公众的服务器上，由于许多恶意构件是由“httpd.exe”Apache 服务器历程、“w3wp.exe”IIS Windows 服务器历程或“oc4j”装置的。 .jar\\\' Oracle 服务器历程。这意味着攻击者可能会滥用在这些系统上运行的 Web 应用程序中的误差，从而允许他们删除和执行他们的文件。

【参考链接】

https://ti.nsfocus.com/security-news/IlMVv

【防护步伐】

AG公司威胁情报中心关于该事务提取20条IOC，其中包括5个IP，7个域名和8个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

7. 攻击者使用linux挖矿木马对中国某着名公司云服务商举行攻击

【标签】linux挖矿木马家族

【时间】2021-10-20

【简介】

本周，着名清静厂商趋势科技披露了一个针对中国某着名公有云服务商举行攻击的linux挖矿木马家族，研究职员称，该挖矿木马仅针对云情形，木马会删除其他竞品挖矿木马，并同时删除其他入侵者建设的用户。攻击者会使用多个高危误差和弱口令爆破攻击入侵，其中包括：SSH 弱口令爆破、 Oracle WebLogic Server 误差 (CVE-2020-14882)和Redis 未授权会见误差或弱口令爆破等，攻击乐成后会在失陷主机添加SSH密钥留置后门利便登录，同时会添加具备root权限的治理员帐户以完全控制失陷系统。为阻止被检测到，攻击者通过装置Tor署理服务，加密相关网络流量以实现匿名化。

【参考链接】

https://ti.nsfocus.com/security-news/IlMXK

【防护步伐】

AG公司威胁情报中心关于该事务提取1条IOC，其中包括1个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

8. 攻击者使用yanluowang勒索软件针对目的用户举行漫衍式拒绝服务攻击

【标签】Yanluowang 勒索软件

【时间】2021-10-20

【简介】

研究者首先在受害组织的网络上发明了 AdFind（一种正当的下令行 Active Directory 盘问工具）的可疑使用。该工具经常被勒索软件攻击者用作侦探工具，并为攻击者提供他们通过 Active Directory 举行横向移动所需的资源。作为前体工具它首先会建设一个 .txt 文件，使用 Windows Management Instrumentation (WMI) ，并获取在 .txt 文件中列出的远程盘算机上运行的历程列表，最后将所有历程和远程机械名称纪录到 processes.txt。这些准备事情完成后，攻击者将在目的盘算机上安排 Yanluowang 勒索软件实验侵染。

【参考链接】

https://ti.nsfocus.com/security-news/IlMXJ

【防护步伐】

AG公司威胁情报中心关于该事务提取3条IOC，其中包括3个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

9. 攻击者使用大宗RAT攻击阿富汗和印度

【标签】RAT

【时间】2021-10-29

【简介】

研究职员最近发明攻击者使用政治和政府为主题的恶意域来针对印度和阿富汗的实体。这些攻击使用 dcRAT 和 QuasarRAT for Windows，通过使用CVE-2017-11882（Microsoft Office 中的内存损坏误差）和 AndroidRAT 的恶意文档来攻击移动装备。攻击者还在攻击的初始侦探阶段使用自界说文件枚举器和熏染器。它的熏染链由恶意 RTF 文档和向受害者分发恶意软件的 PowerShell 剧本组成，与此同时研究职员还视察到使用基于 C# 的下载程序二进制文件来安排恶意软件，同时向受害者显示诱饵图像以使其看起来正当，最后实现对受害者端点的完全控制——从起源侦探能力到恣意下令执行和数据泄露。

【参考链接】

https://ti.nsfocus.com/security-news/IlMZf

【防护步伐】

AG公司威胁情报中心关于该事务提取496条IOC，其中其中包括450个样本、10个域名、34个URL和2个IP；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

10. 攻击者使用攻击工具集对东南亚一系列组织提倡攻击

【标签】加载器,�？榛竺�,键盘纪录器

【时间】2021-10-29

【简介】

研究职员发明攻击者使用以前未纪录的工具集举行的特工运动针对东南亚的一系列组织，确定的目的包括国防、医疗保健以及信息和通讯手艺 (ICT) 部分的组织。该运动似乎已于 2020 年 9 月最先，并至少一连到 2021 年 5 月。攻击者使用的工具集包括加载器、�？榛竺拧⒓碳吐计骱椭荚诶挠迷拼娲⒎� Dropbox 的渗漏工具。最早迹象是一个加载器，它从 .dat 文件解密和加载负载。.dat 文件至少有两个差别的文件名：sdc-integrity.dat 和 scs-integrity.dat。加载程序还从解密的有用负载中挪用 DumpAnalyze 导出。有用载荷尚未确定，但险些可以一定是�？榛竺�。

【参考链接】

https://ti.nsfocus.com/security-news/IlMZe

【防护步伐】

AG公司威胁情报中心关于该事务提取8条IOC，其中包括8个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

<<上一篇

【威胁通告】AG公司科技威胁情报周报（2021.10.25-2021.10.31）

>>下一篇

【威胁通告】AG公司科技威胁情报周报（2021.11.01-2021.11.07）

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号