威脅事件情報

1. Emotet攻擊魁北克司法部

發(fā)布時間：2020年9月16日

情報來源：

https://www.welivesecurity.com/2020/09/16/emotet-quebec-department-justice-eset/

情報摘要：魁北克司法部遭受網絡攻擊，攻擊者通過電子郵件投遞Emotet 惡意軟件。黑客涉嫌竊取大約300名員工的個人信息。

[[344225]]

2. 英國警告對教育部門的勒索軟件威脅激增

發(fā)布時間：2020年9月18日

https://www.bleepingcomputer.com/news/security/uk-warns-of-surge-in-ransomware-threats-against-education-sector/

情報摘要：

英國國家網絡安全中心(NCSC)已發(fā)布有關針對教育機構的勒索軟件事件激增的警報，敦促他們遵循最近更新的緩解惡意軟件攻擊的建議。NCSC在8月份調查了針對該國學校，學院和大學的勒索軟件攻擊事件增多之后，發(fā)出了此警告。

除了對勒索軟件威脅進行預警之外，政府組織還提供了常見的針對此類網絡攻擊的初始感染媒介：不安全的遠程桌面協議(RDP)配置;未修補的軟件和硬件設備中的漏洞，尤其是網絡邊緣的設備，例如防火墻和虛擬專用網;網絡釣魚電子郵件。

3. Maze勒索軟件現在通過虛擬機加密，以逃避檢測

發(fā)布時間：2020年9月17日

情報來源：

https://www.bleepingcomputer.com/news/security/maze-ransomware-now-encrypts-via-virtual-machines-to-evade-detection/

情報摘要：

迷宮勒索軟件操作者采用了Ragnar Locker團伙先前使用的策略;從虛擬機中加密計算機。虛擬機會將主機驅動器安裝為遠程共享，然后在虛擬機中運行勒索軟件以加密共享文件。在攻擊中，Maze部署了一個MSI文件，該文件將VirtualBox VM軟件以及自定義的Windows 7虛擬機安裝在服務器上。之后，再啟動虛擬機加密共享的主機文件。

4. Cerberus銀行木馬的源代碼在地下論壇上泄露

發(fā)布時間：2020年9月16日

情報來源：

https://securityaffairs.co/wordpress/108373/cyber-crime/cerberus-source-code-leaked.html

情報摘要：

在拍賣失敗后，臭名昭著的Cerberus銀行木馬的源代碼已在地下黑客論壇上免費發(fā)布。整個項目包括組件的源代碼(惡意APK，管理面板和C2代碼)，安裝指南，用于設置的腳本集和具有有效許可證的客戶列表，以及與客戶和潛在的買家。該惡意軟件實現了銀行木馬功能，例如使用覆蓋攻擊，攔截SMS消息和訪問聯系人列表的功能。

5. 濫用Google App Engine功能來創(chuàng)建無限網絡釣魚頁面

發(fā)布時間：2020年9月20日

情報來源：

https://www.bleepingcomputer.com/news/security/google-app-engine-feature-abused-to-create-unlimited-phishing-pages/

情報摘要：

研究人員最近發(fā)現的一項技術表明，如何利用Google的App Engine域來傳遞網絡釣魚和惡意軟件，同時又不被領先的企業(yè)安全產品所檢測到。Google App Engine是一個基于云的服務平臺，用于在Google的服務器上開發(fā)和托管Web應用。

詐騙者通常使用云服務來創(chuàng)建被分配了子域的惡意應用。然后，他們在此處托管網絡釣魚頁面?；蛘咚麄兛赡軐⒃搼贸绦蛴米髅詈涂刂?C2)服務器來傳遞惡意軟件有效負載。

6. 在物聯網設備中尋找復雜的惡意軟件

發(fā)布時間：2020年9月23日

情報來源：

https://securelist.com/looking-for-sophisticated-malware-in-iot-devices/98530/

情報摘要：

這篇文章的動機之一是鼓勵對這個主題感興趣的其他研究人員加入，分享想法和知識，并幫助建立更多功能，以便更好地保護我們的智能設備。物聯網設備(例如Zigbee)中使用的通信協議中還存在一些漏洞，攻擊者可以利用這些漏洞來將設備定為目標并將惡意軟件傳播到網絡中的其他設備，類似于計算機蠕蟲。

漏洞情報

1. Google Chrome PDFium內存損壞導致代碼執(zhí)行

發(fā)布時間：2020年9月14日

情報來源：

https://blog.talosintelligence.com/2020/09/vuln-spotlight-google-pdfium-sept-2020.html

情報摘要：

攻擊者可能會利用Google Chrome的PDFium功能破壞內存并可能執(zhí)行遠程代碼。Chrome是一種流行的免費網絡瀏覽器，可在所有操作系統上使用。PDFium允許用戶在Chrome中打開PDF。我們最近發(fā)現了一個漏洞，該漏洞使攻擊者可以將惡意網頁發(fā)送給用戶，然后導致越界訪問內存。

2. Apple Safari遠程執(zhí)行代碼漏洞

發(fā)布時間：2020年9月17日

情報來源：

https://blog.talosintelligence.com/2020/09/vuln-spotlight-apple-safari-sept-2020.html

情報摘要：

Apple Safari Web瀏覽器的Webkit功能中包含一個遠程執(zhí)行代碼漏洞。具體來說，攻擊者可能會在Safari中使用的Webkit DOM呈現系統WebCore中觸發(fā)“先釋放后使用”條件。這可能使攻擊者能夠在受害機器上執(zhí)行遠程代碼。用戶需要在Safari中打開特制的惡意網頁才能觸發(fā)此漏洞。

3. 數十億設備或將受到新的“ BLESA”藍牙安全漏洞的攻擊

發(fā)布時間：2020年9月18日

情報來源：https://mp.weixin.qq.com/s/VUUoRD-lM8ZZyJEs0rh1eA

情報摘要：

數以億計的智能手機、平板電腦、筆記本電腦和物聯網設備正在使用藍牙軟件，需要警覺的是，這些軟件很容易受到今年夏天披露的一個新的安全漏洞的攻擊。該漏洞被稱為BLESA (Bluetooth Low Energy Spoofing Attack)，會影響運行Bluetooth Low Energy (BLE)協議的設備。普渡大學( Purdue University )組成的一個研究團隊在著手調查BLE協議后，發(fā)現了安全問題：附近的攻擊者可以繞過重連接驗證，并向帶有錯誤信息的BLE設備發(fā)送欺騙數據，并誘導使用者和自動化流程做出錯誤決定。

4. Spring Framework反射型文件下載漏洞風險通告

發(fā)布時間：2020年9月22日

情報來源：https://mp.weixin.qq.com/s/SYXhJrVz87jpMB-V0Zx_LA

情報摘要：

VMware Tanzu發(fā)布安全公告，在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和較舊的不受支持的版本中，公布了一個存在于Spring Framework中的反射型文件下載(Reflected File Download,RFD)漏洞(CVE-2020-5421)。

CVE-2020-5421漏洞可通過jsessionid路徑參數，繞過防御RFD攻擊的保護。攻擊者通過向用戶發(fā)送帶有批處理腳本擴展名的URL，使用戶下載并執(zhí)行文件，從而危害系統。VMware Tanzu官方已發(fā)布修復漏洞的新版本。

5. The Return of Raining SYSTEM Shells with Citrix Workspace app

發(fā)布時間：2020年9月21日

情報來源：

https://www.pentestpartners.com/security-blog/the-return-of-raining-system-shells-with-citrix-workspace-app/

情報摘要：

7月份國外安全研究人員記錄了一個新的Citrix Workspace漏洞，該漏洞使攻擊者可以在SYSTEM帳戶下遠程執(zhí)行任意命令。在對初始修復程序進行了進一步研究之后，又發(fā)現了一個新的攻擊點：問題的核心在于遠程命令行注入漏洞，攻擊者可以使用惡意MSI轉換繞過Citrix簽名的MSI安裝程序。

更新的Citrix安全公告：https://support.citrix.com/article/CTX277662，漏洞描述：

在Windows的Citrix Workspace應用程序的自動更新服務中發(fā)現了一個漏洞，該漏洞可能導致：1.本地用戶將其特權級別提升為運行Windows的Citrix Workspace應用程序的計算機上的管理員級別; 2.啟用Windows文件共享(SMB)后，運行Citrix Workspace應用程序的計算機受到遠程威脅。

6. Jenkins公告多個插件的安全漏洞(2020.9.23)

發(fā)布時間：2020年9月24日

情報來源：https://s.tencent.com/research/bsafe/1137.html

情報摘要:

Jenkins官方9月23日公告多個插件存在的安全漏洞，這些漏洞可能導致遠程代碼執(zhí)行、沙箱繞過、CSRF攻擊、XSS漏洞攻擊等后果。漏洞涉及五個插件：Implied Labels Plugin、Liquibase Runner Plugin、Lockable Resources Plugin、Script Security Plugin、Warnings Plugin。

7. ZeroLogon(CVE-2020-1472)-攻擊與防御

發(fā)布時間：2020年9月24日

情報來源：https://blog.zsec.uk/zerologon-attacking-defending/

情報摘要：

從紅藍對抗的角度了解CVE-2020-1472漏洞，以及如何檢測、修補和破解ZeroLogon。結論是：就攻擊而言，該漏洞有點改變游戲規(guī)則，漏洞利用是如此簡單，利用漏洞進行攻擊會帶來非常有害的后果。無論您坐在籬笆的哪一側，都應該修補此問題，并鼓勵您的客戶也這樣做。在實時環(huán)境中進行開發(fā)時應格外小心，因為它會破壞域，并且沒有備份機器密碼，修復它并不是一個有趣的過程!