AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

AG公司威胁情报月报（2020年3月）

2020-04-08

一、误差态势

2020年03月AG公司科技清静误差库共收录215误差, 其中高危误差96个，微软高危误差27个。

AG公司(中国集团)·有限公司官网

* 数据泉源：AG公司科技威胁情报中心，本表数据阻止到2020.03.30

注：AG公司科技误差库包括应用程序误差、清静产品误差、操作系统误差、数据库误差、网络装备误差等；

二、威胁事务

APT41使用多个误差提倡全球入侵运动

【标签】APT41

【针对行业】金融、政府、医疗、运输、国防、制造业、非营利组织、石油和自然气、运营商、高校和科研机构、修建、媒体

【时间】2020-03-25

【简介】近期APT41组织试图使用Citrix NetScaler/ADC、Cisco路由器和Zoho ManageEngine Desktop Central装备中的漏针对全球多个行业提倡入侵运动。针对的国家包括加拿大、澳大利亚、法国、芬兰、瑞士、意大利、日本、新加坡、英国和美国等，受影响的行业包括金融、政府、运营商、制造业、医疗、高科技、运输业、高校和科研机构等。

【关联的攻击组织】APT41是一个与中国有关的威胁组织，至少从2012年活跃至今，主要营业包括国家赞助的网络特工运动以及出于经济念头的入侵运动，该组织攻击影响多个行业，包括医疗保健、电信、金融科技、影戏和媒体、虚拟钱币行业等。

【关联的攻击工具】Cobalt Strike是一个商业化渗透测试工具，可用shell会见受熏染的系统。

【参考链接】https://www.fireeye.com/blog/threat-research/2020/03/apt41-initiates-global-intrusion-campaign-using-multiple-exploits.html

【防护步伐】AG公司威胁情报中心关于该事务提取10条IOC，其中包括1个IP、4个样本和5个误差；APT41组织相关事务2件，该攻击组织有27个关联样本和26关联域名；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

Kwampirs恶意软件针对供应链提供商

【标签】Kwampirs、Orangeworm

【针对行业】软件供应链

【时间】2020-03-25

【简介】近期软件供应链提供商成为Kwampirs恶意软件的攻击目的，攻击运动中每个Kwampirs样本都带有200个URL的硬编码列表，并将实验按顺序会见将第一个运动URL作为C2服务器。Kwampirs恶意软件是Orangeworm黑客组织的定制后门程序，曾被该组织用于针对欧洲、亚洲和美国的医疗保健类企业。【关联的攻击组织】Orangeworm是一个威胁组织，主要针对美国和欧洲、亚洲的国家，影响的行业包括医疗保健、制造业、农业、信息手艺和运输业。

【参考链接】https://blog.reversinglabs.com/blog/unpacking-kwampirs-rat

【防护步伐】AG公司威胁情报中心关于该事务有719条相关IOC。Orangeworm组织相关事务2件，该攻击组织有751个关联样本和10个关联IP；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

APT27使用冠状病毒主题邮件撒播PlugX

【标签】Nanocore RAT、Parallax RAT、Emotet

【时间】2020-03-19

【简介】近期使用垂纶邮件撒播PlugX的攻击运动被发明，运动以新型冠状病毒为主题，邮件附件是伪造的PDF文件，具有隐藏的扩展名和PDF图标，但现实是.Ink文件，用来分发和执行恶意负载，该文件是PlugX后门装置程序，可网络受害者PC名称、用户名、IP位置等信息，并发给到指定C2服务器。此次恶意攻击运动疑似由攻击组织APT27提倡。

【关联的攻击组织】APT27，也被称为Threat Group-3390、BRONZE UNION和Emissary Panda等，是一个至少自2010年以来一直活跃的威胁组织，针对航空航天、政府、国防、手艺、能源和制造业。AG公司威胁中心关于APT27组织有4件关联事务，相关联IP27个、相关联域名16个、相关联文件60个。

【关联的攻击工具】PlugX是使用�？榛寮脑冻袒峒ぞ撸≧AT），具有文件上传、下载和修改，日志纪录、网络摄像头控制和远程运行Shell会见等功效。

【参考链接】https://marcoramilli.com/2020/03/19/is-apt27-abusing-covid-19-to-attack-people/

【防护步伐】AG公司威胁情报中心关于该事务提取到6条相关IOC。AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

Operation Poisoned News针对香港iOS用户

【标签】lightSpy

【时间】2020-03-24

【简介】最近发明的水坑攻击针对香港的iOS用户，该运动使用在多个论坛上宣布链接，这些链接是种种新闻报道，将用户指导到新闻站点时，还使用隐藏的iframe、加载和执行恶意代码，该恶意代码包括针对iOS 12.1和12.2中保存的误差的攻击，使用这些版本iOS装备的用户单击恶意链接将下载一个新的iOS恶意软件变体lightSpy。lightSpy是一个�？榛竺�，攻击者可远程执行shell下令、操作受影响设惫亓文件并监控用户数据，其中包括毗连WiFi历史纪录、联络人、GPS定位、硬件信息、iOS钥匙串、历史通话纪录、Safari和Chrome浏览器历史纪录、短信等。

【关联的攻击工具】launchctl是用于加载或卸载守护程序/署理的工具。

【参考链接】https://blog.trendmicro.com/trendlabs-security-intelligence/operation-poisoned-news-hong-kong-users-targeted-with-mobile-malware-via-local-news-links/

【防护步伐】
AG公司威胁情报中心关于该事务提取36条相关IOC，其中包括17个样本、2个IP、12个域名和5个误差。AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

Molerats向政府和电信组织提供后门

【标签】Molerats、SPARK

【针对行业】政府、运营商

【时间】2020-03-03

【简介】近期Molerats威胁组织使用鱼叉式网络垂纶攻击向政府、电信组织提供Spark后门，该后门可让攻击者在受熏染系统上翻开应用程序并执行下令。该后门最早于2019年1月泛起，以后一直活跃。AG公司威胁情报中心关于Molerats组织关注最早可以追溯到2013年，关于相关Molerats组织相关事务保存13件，其中2013年和2015年各1件、2016年2件、2017年3件、2019年和今年各3件，可以看出该组织处于恒久一连活跃的状态。

【关联的攻击组织】Molerats，也被称为Gaza cybergang、Moonlight、Extreme Jackal、Gaza Hackers Team、Moonlight、Extreme Jackal、Operation Molerats，是一个出于政治念头的威胁组织，自2012年以来一直活跃，该组织的受害者主要在中东、欧洲和美国。

【参考链接】https://unit42.paloaltonetworks.com/molerats-delivers-spark-backdoor/

【防护步伐】AG公司威胁情报中心关于该事务提取101条IOC，其中包括14个域名、1个IP和86个样本。AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

APT36使用冠状病毒潮流撒播Crimson

【标签】APT36、Crimson

【时间】2020-03-15

【简介】自重新冠病毒在全球性规模内爆发以来，政府和卫生相关部分的指导信息成为人们关注的焦点。近期APT36威胁组织正在使用冠状病毒相关康健咨询文档作为诱饵来撒播远程治理木马Crimson，攻击运动中APT36使用鱼叉式网络垂纶电子邮件，附件是伪装成印度政府官方宣布的新冠病毒康健指导文档，诱导用户点击恶意链接下载Crimson。Crimson木马可从受害者浏览器中窃取数据、审查正在运行的历程驱动器和目录、使用自界说TCP协议举行C＆C通讯、网络有关防病毒软件信息和捕获截图。

【关联的攻击组织】APT36，也被称为Transparent Tribe、ProjectM、Mythic Leopard和TEMP.Lapis，是一个至少从2016年活跃至今的巴基斯坦威胁组织，主要针对印度政府、国防部和使馆。

【参考链接】https://blog.malwarebytes.com/threat-analysis/2020/03/apt36-jumps-on-the-coronavirus-bandwagon-delivers-crimson-rat/

【防护步伐】AG公司威胁情报中心关于该事务提取到7条相关IOC，其中包括4个样本和2个IP和1个误差；关于APT36组织相关事务保存3件，相关联样本6个、相关联IP2个。AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

针对乌兹别克斯坦的定向攻击运动

【标签】Quasar、Droid-Watcher、 Sandcat

【时间】2020-03-12

【简介】近期攻击者使用网络垂纶攻击针对乌兹别克斯坦事情的记者和激进分子的攻击运动被发明，攻击运动使用更普遍的基础架构以及新的Windows和Android特工软件对差别的用户实验攻击。攻击者将特工软件变种伪装成正当的Adobe Flash Player装置程序和Telegram Desktop装置程序，一旦被熏染，攻击者使用的特工软件工具包可以纪录所有按键、每隔几秒钟一次桌面截图以及窃取密码和cookie；针对Android使用Droid-Watcher开源Android特工软件，能够提取受害者装备信息、监控谈天应用程序、监控电话和短信、录制来自手机麦克风和摄像机的音频和视频、获取浏览器历史纪录和装备地点位置等。此次攻击运动疑似与Sandcat威胁组织有关。

【关联的攻击组织】SandCat是一个威胁组织，归属于乌兹别克斯坦国家清静局。

【参考链接】https://www.amnesty.org/en/latest/research/2020/03/targeted-surveillance-attacks-in-uzbekistan-an-old-threat-with-new-techniques/

【防护步伐】AG公司威胁情报中心关于该事务提取12条IOC，其中包括9个域名和3个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

<<上一篇

AG公司科技威胁情报周报（20200330~20200406）

>>下一篇

AG公司威胁情报周报（20200406~20200412）

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号