九游老哥科技威胁情报月报（2020.12）

2021-01-05

12月，九游老哥科技威胁情报中心（NTI）宣布了多个误差和威胁事务通告，其中，Windows NTFS远程代码执行误差（CVE-2020-17096）以及Apache Struts远程代码执行误差S2-061（CVE-2020-17530）影响较大。前者由于Windows NTFS保存一个远程代码执行误差，外地攻击者可通过运行特制的应用程序，从而提升用户的权限，具有SMBv2会见权限的远程攻击者可以通过网络发送特制的请求，使用此误差在目的系统上执行代码；后者由于当开发职员使用了%{…}语法举行强制OGNL剖析时，某些特殊的TAG属性可能会被二次剖析，攻击者可结构恶意的OGNL表达式触发误差，造成远程代码执行。

另外，本次微软共修复了9个Critical级别误差，4个Important 级别误差，2个Moderate级误差。强烈建议所有用户尽快装置更新。

在本月的威胁事务中，挖矿和信息窃取依旧是黑客进攻的重点，说明利益是黑客最大的动力；其次是对FireEye红队工具的窃取。攻击手段方面，勒索和垂纶是本月攻击事务的常用手段，也泛起了通过破损SolarWinds的Orion网络治理产品侵入联邦机构和FireEye网络的新手段。攻击组织方面，恒久针对中东地区的APT组织双尾蝎以CIA资助哈马斯相关信息作为诱饵的攻击运动需要引起关注。

以上所有误差情报和威胁事务情报、攻击组织情报，以及关联的IOC，均可在九游老哥威胁情报中心获取，网址：https://nti.nsfocus.com/

一、误差态势

2020年12月九游老哥科技清静误差库共收录294个误差, 其中高危误差81个，微软高危误差31个。

九游老哥·(中国)俱乐部官方网站

* 数据泉源：九游老哥科技威胁情报中心，本表数据阻止到2020.12.27

注：九游老哥科技误差库包括应用程序误差、清静产品误差、操作系统误差、数据库误差、网络装备误差等；

二、威胁事务

1. 双尾蝎APT组织以CIA资助哈马斯相关信息为诱饵的攻击运动

【标签】APT

【时间】2020-12-06

【简介】

双尾蝎APT团伙是一个恒久针对中东地区的高级威胁组织，其最早于2017年被披露。其至少自2016年5月起，便一连针对巴勒斯坦教育机构、军事机构等主要领域开展了有组织，有妄想，有针对性的攻击，该组织拥有针对Windows和Android双平台攻击能力。克日，某研究团队捕获多个伪装成视频、文档和图片的可执行文件，此类样本将图标设置为对应的诱饵类型，诱导受害者点击执行。当样本执行后，将释放展示相关诱饵疑惑受害者。释放展示的诱饵包括CIA对哈马斯支持的相关政治类诱饵、巴勒斯坦地区玉人视频图片、简历相关文档等。此次捕获样本疑似均来自APT组织：双尾蝎。

【参考链接】

https://ti.qianxin.com/blog/articles/analysis-of-APT-C-23-CIA-funding-for-Hamas-information-as-bait/

【防护步伐】

九游老哥威胁情报中心关于该事务提取26条IOC，其中包括9个域名和17个样本；九游老哥清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

2. “匿影”挖矿团伙使用勒索组件CryptoJoker举行不法牟利的攻击运动

【标签】CryptoJoker

【时间】2020-12-06

【简介】

“匿影”挖矿团伙的攻击运动升级，该团伙使用加密勒索组件CryptoJoker，从之前的挖矿盘算转向勒索攻击，举行不法牟利。匿影组织撒播的勒索病毒组件在执行历程中接纳无文件攻击手艺，攻击历程中全程无样本文件落地，且在加密数据完成之后会整理准时使命，令事务溯源十分难题。

【参考链接】

https://s.tencent.com//research/report/1191.html

【防护步伐】

九游老哥威胁情报中心关于该事务提取5条IOC，其中包括3个域名和2个样本；九游老哥清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

3. FireEye遭APT组织入侵，红队工具被窃

【标签】FireEye

【时间】2020-12-08

【简介】

2020年12月8日，清静公司 FireEye 宣布博客体现，某个由国家赞助的 APT 组织偷取了 FireEye 的红队工具箱。由于暂时无法确定攻击者会自己使用，照旧果真披露工具箱，为包管各清静社区能提前接纳应对步伐，FireEye 果真了被盗工具的检测规则，以降低恶意用户滥用红队工具箱的威胁。本次Fireeye红队工具箱中包括60 个以上的攻击工具，其中凭证窃取类工具包有 ADP，ASHUNT，SAFETYKATZ 等，后门远控类工具包有 BEACON，DSHEL，REDFLARE (Gorat)等，别的尚有用于自动侦探的浅易剧本，以及 CobaltSrike、Metasploit 之类的误差使用框架。

【参考链接】

https://www.secrss.com/articles/27716

【防护步伐】

九游老哥威胁情报中心关于该事务提取637条IOC，其中包括621个样本和16个误差；九游老哥清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

4. 黑客通过破损SolarWinds的Orion网络治理产品侵入联邦机构和FireEye网络

【标签】SolarWinds

【时间】2020-12-13

【简介】

IT公司SolarWinds公司通常向政府机构、军事和情报部分提供其网络治理产品。近期该公司宣布的更新被 APT29 或APT Cozy Bear组织改动。涉嫌与俄罗斯有联系的黑客攻击的民族国家行为者已经损害了包括美国财务部，商务部国家电信和信息治理局（NTIA）在内的多个美国政府机构的网络。黑客攻击使威胁加入者可以监视内部电子邮件流量。

【参考链接】

https://securityaffairs.co/wordpress/112275/apt/solarwinds-supply-chain-attack.html

【防护步伐】

九游老哥威胁情报中心关于该事务提取55条IOC，其中包括10个IP，17个域名和28个样本；九游老哥清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

5. Ks3_Miner木马通过爆破SSH入侵云服务器挖矿

【标签】Ks3_Miner

【时间】2020-12-15

【简介】

Ks3挖矿木马攻击云服务器，攻击团伙通过扫描网络中大宗开放的SSH服务，对其举行爆破攻击，乐成后植入挖矿恶意剧本举行门罗币挖矿。因挖矿木马主剧本名为ks3，研究职员将其命名为Ks3_Miner。该挖矿木马作业时，会大宗占用服务器资源，使云服务器无法提供正常的网络服务。同时，该木马也会竣事其他挖矿木马历程，删除其他挖矿木马文件，以独吞服务器资源。

【参考链接】

https://s.tencent.com//research/report/1203.html

【防护步伐】

九游老哥威胁情报中心关于该事务提取7条IOC，其中包括2个IP和5个样本；九游老哥清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

6. Goontact的特工软件针对iOS和Android用户

【标签】Goontact

【时间】2020-12-15

【简介】

近期发明了一种针对中文国家、韩国和日本的iOS和Android用户的新的移动应用威胁，将其命名为Goontact。Goontact特工软件针对通常提供护送服务的不法站点的用户，并从其移动装备中窃取小我私家信息。用于分发这些恶意应用程序的网站类型和泄露的信息批注，最终目的是勒索。

【参考链接】

https://blog.lookout.com/lookout-discovers-new-spyware-goontact-used-by-sextortionists-for-blackmail

【防护步伐】