AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

【威胁通告】AG公司科技威胁情报月报（2021.12）

2022-01-04

12月，AG公司科技威胁情报中心（NTI）宣布了多个误差和威胁事务通告，其中，Apache Log4j2 远程代码执行误差（CVE-2021-44228）和Windows Active Directory 域服务权限提升误差（CVE-2021-42287,CVE-2021-42278）影响规模相对较大。前者由于Apache Log4j2某些功效保存递归剖析功效，未经身份验证的攻击者通过发送特殊结构的数据请求包，可在目的服务器上执行恣意代码，CVSS评分10.0。后者由于Active Directory没有对域中盘算器与服务器账号名举行验证，经由身份验证的远程攻击者使用该误差绕过清静限制，可将域中通俗用户权限提升为域治理员权限并执行恣意代码，CVSS评分8.8。

另外，本次微软共修复了67个误差，包括7个Critical级别误差，60个Important 级别误差，其中包括6个0day误差。强烈建议所有用户尽快装置更新。

在本月的威胁事务中，针对云主机的攻击事务相对频仍，其中包括攻击者使用GitLab远程下令执行误差攻击云主机，清静研究职员发明，有攻击者正在起劲使用GitLab远程下令执行误差（CVE-2021-22205）攻击云主机，同时植入新型后门木马Gitlab-daemon，该后门木马的攻击运动已被腾讯清静通过Cyber-Holmes引擎全程剖析掌握。剖析发明，攻击者已控制目的系统频仍更新后门程序，攻击者首先将后门伪装为看似随机名的.gz文件，再实验挪用gunzip举行解压后执行，借此伪装其恶意下令执行操作；以及攻击者使用CERBER勒索软件通过Confluence RCE等多个高危误差攻击云主机，研究职员视察到大宗有用载荷试图使用�？低拥脑冻檀胫葱形蟛罾刺讲庾氨缸刺虼邮芎φ吣抢锾崛∶舾惺�。特殊是一种有用载荷引起了研究职员的注重。一个基于 Mirai 的 DDoS 僵尸网络试图删除一个体现出熏染行为并执行 Moobot 的下载程序。攻击者可以通过�？低游蟛畲痛擞杏迷睾商岢铝钭⑷牍セ� 。

以上所有误差情报和威胁事务情报、攻击组织情报，以及关联的IOC，均可在AG公司威胁情报中心获取，网址：https://nti.nsfocus.com/

一、误差态势

2021年12月AG公司科技清静误差库共收录426个误差, 其中高危误差23个，微软高危误差12个。

* 数据泉源：AG公司科技威胁情报中心，本表数据阻止到2022.01.04

注：AG公司科技误差库包括应用程序误差、清静产品误差、操作系统误差、数据库误差、网络装备误差等；

二、威胁事务

1. Donot 组织使用Google云盘分发新款恶意插件针对Windows与Android双平台提倡攻击

【标签】Donot APT

【时间】2021-12-02

【简介】

克日，清静研究院发明一起Donot APT组织近期攻击运动。Donot“肚脑虫”（APT-Q-38）是疑似具有南亚配景的APT组织，其主要以周边国家的政府机构为目的举行网络攻击运动，通常以窃取敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力。凭证研究职员跟踪剖析，Donot此次的攻击运动有如下特点：RTF文档中嵌入Package工具，翻开后自动释放文件到%temp%目录、C2不再硬编码到文件中，而是由第三方网站托管；此次捕获多个组件，相比以前功效较为完善。

【参考链接】

https://ti.nsfocus.com/security-news/IlN6A

【防护步伐】

AG公司威胁情报中心关于该事务提取11条IOC，其中包括11个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

2. 攻击者使用GitLab远程下令执行误差攻击云主机

【标签】Gitlab-daemon

【时间】2021-12-02

【简介】

清静研究职员发明，有攻击者正在起劲使用GitLab远程下令执行误差（CVE-2021-22205）攻击云主机，同时植入新型后门木马Gitlab-daemon，该后门木马的攻击运动已被腾讯清静通过Cyber-Holmes引擎全程剖析掌握。剖析发明，攻击者已控制目的系统频仍更新后门程序，攻击者首先将后门伪装为看似随机名的.gz文件，再实验挪用gunzip举行解压后执行，借此伪装其恶意下令执行操作。后门执行后将自身植入*/gitlab/git-data目录下，用Gitlab-daemon文件名伪装，以诱骗运维职员。然后写入妄想使命启动项，此时后门并不直接毗连C2，而是先行退出，期待妄想使命下一次将其拉起时，再执行更进一步的恶意功效代码。多处细节批注攻击者希望将自身伪装为gitlab系统文件，以实现对目的系统的恒久控制。

【参考链接】

https://ti.nsfocus.com/security-news/IlN6z

【防护步伐】

AG公司威胁情报中心关于该事务提取7条IOC，其中包括1个IP，1个域名和5个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

3. 攻击者使用JavaScript 恶意软件熏染windows PC

【标签】RAT

【时间】2021-12-02

【简介】

研究职员发明一种新的隐藏JavaScript加载程序RATDispenser已被证实可用于通过网络垂纶攻击熏染具有种种远程会见木马(RAT) 的装备。这个新的加载器已经与至少八个旨在窃守信息并允许攻击者控制目的装备的恶意软件家族迅速建设了安排相助同伴关系。熏染最先于网络垂纶电子邮件，其中包括带有双扩展名“.TXT.js”的恶意JavaScript文件。Windows 默认隐藏扩展名，因此若是收件人将文件生涯在他们的盘算机上，它将显示为无害的文本文件。这个文本文件可以被严重混淆以绕过清静软件的检测，当你双击文件运行它时，它会被解码。当加载器运行VBScript文件%TEMP%写入文件夹中时，运行该文件，恶意代码(RAT)下载有用负载。

【参考链接】

https://ti.nsfocus.com/security-news/IlN6B

【防护步伐】

AG公司威胁情报中心关于该事务提取1条IOC，其中包括1条URL；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

4. APT 攻击者使用 ManageEngine ADSelfService Plus 软件中的新误差提倡攻击

【标签】APT

【时间】2021-12-09

【简介】

研究职员体现在三个月的时间里，一个坚定的 APT 攻击者提倡了多次运动，导致至少 13 个组织受到损害。一些受影响的组织涉及美国的要害基础设施部分，包括国防、交通、医疗保健和能源。该攻击者的第一个运动使用了 Zoho ManageEngine ADSelfService Plus 软件中的零日误差。10 月下旬，该攻击者提倡了最近的运动，将重点转移到 Zoho ManageEngine ServiceDesk Plus 软件中先前未果真的误差 ( CVE-2021-44077 )。在使用此误差后，攻击者上传了一个新的 dropper，它在受害网络上安排了 Godzilla webshel??l，能够绕过 ADSelfService 和 ServiceDesk Plus 产品上的清静过滤器。

【参考链接】

https://ti.nsfocus.com/security-news/IlN7L

【防护步伐】

AG公司威胁情报中心关于该事务提取2条IOC，其中包括2个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

5. ScarCruft 组织使用Chinotto恶意软件攻击朝鲜潜逃者和人权运动家

【标签】Chinotto

【时间】2021-12-09

【简介】

研究职员发明ScarCruft新一波针对性强的监视攻击针对朝鲜潜逃者、报道朝鲜相关新闻的记者以及与朝鲜有关的政府组织及朝鲜半岛等。该攻击者使用了三种具有相似功效的Chinotto 恶意软件：在 PowerShell 中实现的版本、Windows 可执行文件和 Android 应用程序。只管针对差别的平台，但它们共享基于 HTTP 通讯的类似下令和控制计划。因此，恶意软件操作者可以通过一组下令和控制脚原来控制整个恶意软件家族。在主机视察中研究职员体现了一个恶意的 Windows 可执行文件，该文件包括构建路径。而Chinotto 恶意软件的 Android 应用程序版本（MD5 56f3d2bcf67cf9f7b7d16ce8a5f8140a）。这个恶意 APK 凭证 AndroidManifest.xml 文件请求过多的权限，为了抵达监视用户的目的，这些应用程序要求用户启用种种权限。授予这些权限允许应用程序网络敏感信息，包括联系人、新闻、通话纪录、装备信息和录音。

【参考链接】

https://ti.nsfocus.com/security-news/IlN7M

【防护步伐】

AG公司威胁情报中心关于该事务提取18条IOC，其中包括18个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

6. 攻击者使用EwDoor僵尸网络针对AT客户提倡DDoS 攻击

【标签】EwDoor

【时间】2021-12-09

【简介】

清静研究实验室的专家发明了一种名为EwDoor的新僵尸网络，它针对使用果真袒露于 Internet 的 EdgeMarc 企业会话界线控制器 (ESBC) 边沿装备的 AT 客户。专家注重到 EwDoor对其C2使用了备份机制，并注册了一个备份下令和控制(C2)域 (iunno.se)来剖析受熏染装备的毗连。并且僵尸网络实验了一系列�；げ椒ヒ员苊馇寰沧ḿ业钠饰�，例如使用TLS协议避免通讯被阻挡，加密敏感资源使其难以逆向工程以及将C2移至云端并由BT跟踪器发送避免被IOC系统直接提取。

【参考链接】

https://ti.nsfocus.com/security-news/IlN7N

【防护步伐】

AG公司威胁情报中心关于该事务提取29条IOC，其中包括2个IP，11个域名和16个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

7. 攻击者使用基于Mirai的僵尸网络Moobot攻击�？低�

【标签】Moobot

【时间】2021-12-16

【简介】

研究职员视察到大宗有用载荷试图使用�？低拥脑冻檀胫葱形蟛罾刺讲庾氨缸刺虼邮芎φ吣抢锾崛∶舾惺�。特殊是一种有用载荷引起了研究职员的注重。一个基于 Mirai 的 DDoS 僵尸网络试图删除一个体现出熏染行为并执行 Moobot 的下载程序。攻击者可以通过�？低游蟛畲痛擞杏迷睾商岢铝钭⑷牍セ� 。

【参考链接】

https://ti.nsfocus.com/security-news/IlN9q

【防护步伐】

AG公司威胁情报中心关于该事务提取2条IOC，其中包括2个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

8. 攻击者使用CERBER勒索软件通过Confluence RCE等多个高危误差攻击云主机

【标签】CERBER勒索软件

【时间】2021-12-16

【简介】

清静专家发明CERBER勒索软件撒播者使用Atlassian Confluence远程代码执行误差（CVE-2021-26084）和GitLab exiftool 远程代码执行误差(CVE-2021-22205)攻击云上主机。前者，是一个工具图导航语言 (ONGL) 注入误差，允许未经身份验证的攻击者在 Confluence Server 或Data Center实例上执行恣意代码，攻击者使用误差可完全控制服务器。后者由于Gitlab某些端点路径无需授权，攻击者可在无需认证的情形下使用图片上传功效执行恣意代码，攻击者使用误差同样可以完全控制服务器。被勒索软件加密破损的文件无密钥暂不可解密，清静专家建议所有受影响的用户尽快修复误差，阻止造成数据完全损失，营业彻底瓦解。

【参考链接】

https://ti.nsfocus.com/security-news/IlN9o

【防护步伐】

AG公司威胁情报中心关于该事务提取4条IOC，其中包括1个IP和3个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

9. 攻击者在基于Dark Mirai的MANGA运动中使用恶意软件攻击TP-Link无线路由器

【标签】恶意软件

【时间】2021-12-16

【简介】

清静实验室团队发明了一个恶意软件样本，是 MANGA 运动（也称为 Dark）的更新变体，它凭证 Mirai 已宣布的源代码正在野外分发样本，目的是 TP-link 无线路由器。它使用最近两周前宣布的经由身份验证的 RCE 误差披露时间与应用补丁来破损物联网装备之间的差别。研究职员体现与 Mirai 的正常熏染程序一样，执行的 shell 剧本下载差别架构清静台的主要有用载荷二进制文件，并在受害者系统中盲目执行。别的，它还通过阻止与常见目的端口的毗连来避免其他僵尸网络接受装备。然后，恶意软件期待来自其下令和控制 (C2) 服务器的下令来执行拒绝服务 (DOS) 攻击的差别变体。

【参考链接】

https://ti.nsfocus.com/security-news/IlN9r

【防护步伐】

AG公司威胁情报中心关于该事务提取23条IOC，其中包括23个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

10. 攻击者使用Log4j 误差针对 Linux 系统提倡攻击

【标签】Log4j 误差

【时间】2021-12-23

【简介】

清静研究院捕获了 2 波使用 Log4j 误差形成僵尸网络的攻击，并且快速样天职析批注它们划分用于形成 Muhstik 和 Mirai 僵尸网络，均针对 Linux 装备。并体现新的 Muhstik 变体添加了一个后门�？� ldm，它能够使用装置的后门公钥添加 SSH 后门公钥。将公钥添加到~/.ssh/authorized_keys 文件后，攻击者无需密码验证即可直接登录远程服务器�Ｋ剂康� log4j2 的特殊误差机制，Muhstik 接纳了一种生硬的方法，在知道会有误差机械的情形下漫无目的地撒播payload，并且为了知道谁已经被熏染，Muhstik 接纳 TOR 网络作为其报告机制。

【参考链接】

https://ti.nsfocus.com/security-news/IlNam

【防护步伐】

AG公司威胁情报中心关于该事务提取2条IOC，其中包括2个域名；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

<<上一篇

【威胁通告】AG公司科技威胁情报周报（2021.12.20-2021.12.26）

>>下一篇

【威胁通告】AG公司科技威胁情报周报（2021.12.27-2022.01.02）

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号