AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

AG公司科技威胁情报月报（2020年4月）

2020-05-04

一、误差态势

2020年04月AG公司科技清静误差库共收录209误差, 其中高危误差155个，微软高危误差18个。

AG公司(中国集团)·有限公司官网

* 数据泉源：AG公司科技威胁情报中心，本表数据阻止到2020.04.29

注：AG公司科技误差库包括应用程序误差、清静产品误差、操作系统误差、数据库误差、网络装备误差等。

二、威胁事务

polaris僵尸网络攻击全球Netlink路由器

【标签】polaris

【时间】2020-04-10

【简介】

近期AG公司科技格物实验室发明针对Netlink GPON路由器RCE误差的使用行为。在2020年3月18日Netlink GPON路由器的远程执行误差被宣布不久后，polaris僵尸网络便通过该误差撒播其样本，导致攻击源数目、攻击次数以及捕获到攻击的节点数目均呈上升趋势。

【防护步伐】

AG公司威胁情报中心关于该事务提取12条IOC，其中包括2个IP、6个样本和4个误差；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

境外黑客组织使用深信服SSL VPN装备举行APT攻击

【标签】DarkHotel、SSL VPN

【时间】2020-04-06

【简介】

境外黑客组织DarkHotel通过不法手段控制部分深信服SSL VPN装备，并使用客户端升级误差（本次误差为SSL VPN装备Windows客户端升级�？槭鹈橹せ频娜毕荩┫路⒍褚馕募娇突Ф�，从而举行高级可一连攻击运动。

【关联的攻击组织】

DarkHotel是非�；钤镜耐沧橹�，该组织经�？孤霉莺蜕涛裰行腤i-Fi毗连和点对点文件共享网络运动，也会使用鱼叉式网络垂纶举行攻击。

【防护步伐】

AG公司威胁情报中心关于该事务提取4条IOC，其中包括1个IP、3个样本；DarkHotel组织相关事务13件，该攻击组织有10个关联IP、2个关联误差、43个关联样本和24关联域名；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

APT32组织使用COVID-19针对中国的攻击

【标签】APT32、COVID-19

【时间】2020-04-21

【简介】

在2020年1月至2020年4月时代，APT32组织使用COVID-19疫情向中国提倡鱼叉式网络垂纶攻击。

【关联的攻击组织】

APT32，也被称为Ocean Lotus、Ocean Buffalo和SeaLotus，是一个与越南有关的威胁组织，主要关注越南、菲律宾、老挝和柬埔寨等东南亚国家。该组织的目的是多个私营部分以及外国政府、持差别政见者和记者，主要关注越南、菲律宾、老挝和柬埔寨等东南亚国家。据称该集团以越南为基地。

【防护步伐】

AG公司威胁情报中心关于该事务提取8条IOC，其中包括4个域名、3个样本和1个邮箱；APT32组织相关事务18件，该攻击组织有8个关联IP、1个误差、11个关联样本和107关联域名；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

APT41组织使用Speculoos新后门攻击全球多个组织

【标签】APT41、Speculoos

【针对行业】医疗保健、高等教育、制造业、政府和手艺服务等

【时间】2020-04-12

【简介】

APT41组织使用最近披露的误差专程设计了功效齐全的后门Speculoos，并提倡一场全球攻击行动，该行动针对Citrix、思科和Zoho网络装备，受害者来自多个行业，如医疗保健、高等教育、制造业、政府和手艺服务等，遍布全球多个地区，如北美、南美和欧洲。

【关联的攻击组织】

APT41是一个与中国有关的威胁组织，至少从2012年活跃至今，主要营业包括国家赞助的网络特工运动以及出于经济念头的入侵运动，该组织攻击影响多个行业，包括医疗保健、电信、金融科技、影戏和媒体、虚拟钱币行业等。

【关联的攻击工具】

Speculoos是一个用GCC 4.2.1编译的ELF可执行文件，可以在FreeBSD系统上运行，针对Citrix应用程序交付控制器、Citrix网关和Citrix SD-WAN WANOP装备，攻击者远程执行恣意下令。

【防护步伐】

AG公司威胁情报中心关于该事务提取10条IOC，其中包括3个IP、2个域名、5个样本和1个误差；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

Gamaredon组织使用Covid-19作为诱饵的攻击运动

【标签】Gamaredon、Covid-19

【时间】2020-04-17

【简介】

Gamaredon是一个针对乌克兰政府机构的具有高度威胁的APT组织，最近该组织使用冠状病毒大盛行作为诱饵提倡攻击运动。Gamaredon组织使用包括恶意文档文件(docx名堂)的鱼叉式垂纶攻击，引诱受害者翻开电子邮件和附件，下载并执行VBScript (VBS)的恶意宏代码，进而提倡攻击。

【关联的攻击组织】

Gamaredon是一个网络威胁组织，自2013年以来一直活跃，主要针对乌克兰政府举行恶意运动。其主要目的是窃取政府，军事职员资料信息。

【防护步伐】

AG公司威胁情报中心关于该事务提取46条IOC，其中包括21个域名、25个样本；Gamaredon组织相关事务7件，该攻击组织有12个关联IP、224个关联样本和63关联域名；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

Evil Eye组织通过iOS误差攻击针对维吾尔语网站

【标签】Evil Eye、iOS误差

【时间】2020-04-21

【简介】

Evil Eye组织曾提倡在安卓手机上装置恶意软件植入的攻击，到2020年1月初，该组织被发明针对维吾尔网站使用IRONSQUIRREL开源框架来启动攻击链，使用WebKit中的误差针对目的苹果iOS操作系统，通过恶意的iframe加载到受攻击的网站上来举行攻击。

【关联的攻击组织】

Evil Eye是一个威胁组织，曾多次针对中国维吾尔族举行攻击运动。

【防护步伐】

AG公司威胁情报中心关于该事务提取18条IOC，其中包括7个IP、5个样本和6个域名；Evil Eye组织相关事务1件，该攻击组织有7个关联IP、5个关联样本和6个关联域名；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

SideWinder组织使用新冠疫情为诱饵的攻击运动

【标签】SideWinder

【针对行业】军队

【时间】2020-04-14

【简介】

近期该组织以新冠疫情为主题针对巴基斯坦军方举行攻击，此次攻击以一个名为Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus.pdf.lnk的快捷方法作为诱饵，执行此快捷方法后装置木马，窃取并网络用户的数据信息。

【关联的攻击组织】

SideWinder是一个至少从2012年最先活跃的威胁组织，疑似来自印度，主要针对巴基斯坦及周边国家举行定向攻击。

【防护步伐】

AG公司威胁情报中心关于该事务提取12条IOC，其中包括12个样本；SideWinder组织相关事务7件，该攻击组织有3个关联IP、1个误差、45个关联样本和18关联域名；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

APT41使用Zoho ManageEngine中误差针执法相关实体

【标签】APT41

【针对行业】执法

【时间】2020-04-01

【简介】

APT41组织使用Zoho ManageEngine的零日误差CVE-2020-10189攻击美国、欧洲地区的执法相关部分。

【关联的攻击组织】

APT41是一个与中国有关的威胁组织，至少从2012年活跃至今，主要营业包括国家赞助的网络特工运动以及出于经济念头的入侵运动，该组织攻击影响多个行业，包括医疗保健、电信、金融科技、影戏和媒体、虚拟钱币行业等。

【防护步伐】

AG公司威胁情报中心关于该事务提取9条IOC，其中包括3个IP、1个域名、4个样本和1个误差；APT41组织相关事务4件，该攻击组织有27个关联样本和26关联域名；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

VOLLGAR运动-针对运行MS-SQL服务的Windows系统

【标签】VOLLGAR

【针对行业】医疗、航空、IT、电信、教育等多个领域

【时间】2020-04-01

【简介】

VOLLGAR运动旨在熏染运行MS-SQL服务器的Windows盘算机，使用暴力破解受害者盘算机，安排多个后门并执行多个恶意�？�，受害者漫衍在中国、印度、韩国、土耳其和美国等国家，受影响的行业涵盖医疗、航空、IT、电信、教育等多个领域。

【防护步伐】

AG公司威胁情报中心关于该事务提取38条IOC，其中包括12个IP和26个域名；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

FIN6组织在攻击运动中分发Anchor和PowerTrick后门

【标签】FIN6、Anchor、PowerTrick

【时间】2020-04-07

【简介】

FIN6是一个有组织的网络犯法团伙，自2015年以来一直很活跃，主要针对美国和欧洲的实体零售商和旅馆行业的POS机，该组织与TrickBot相助使用Anchor和PowerTrick对企业网络举行针对性的攻击。另外，FIN6的目的包括但不限于电子商务情形和勒索软件。

【关联的攻击组织】

FIN6是一个网络犯法组织，以窃取支付卡数据并将其出售给地下市场以牟利，主要针对旅馆和零售业等。

【防护步伐】

AG公司威胁情报中心关于该事务提取4个样本；FIN6组织相关事务4件，该攻击组织有14个关联IP、18个关联样本和1关联域名；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

Donot组织针对移动端的攻击运动

【标签】Donot

【时间】2020-04-08

【简介】

近期发明Donot组织大宗移动端恶意app，这些app功效和内容涵盖各个方面，其中包括应用市场、新闻、游戏等，运行后会敌手机举行远程控制、窃取目的手机的神秘信息等。

【关联的攻击组织】

Donot是至少可以追溯到2016年的攻击组织，主要针对南亚巴基斯坦等国家举行攻击运动。

【防护步伐】

AG公司威胁情报中心关于该事务提取10条IOC，其中包括4个IP、8个域名、28个样本；Donot组织提取相关事务6件；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

Lazarus组织使用新冠疫情的定向攻击运动

【标签】Lazarus

【时间】2020-04-13

【简介】

近期，Lazarus组织在定向攻击运动中伪装成韩国仁川疾控中心，发送以新型冠状病毒为主题的垂纶邮件诱导用户，附件中带有恶意HWP文档。

【关联的攻击组织】

Lazarus Group（又名HIDDEN COBRA、Guardians of Peace、ZINC和NICKEL ACADEMY）是一个威胁组织，归属于朝鲜政府，该组织至少从2009年以来一直活跃。

【防护步伐】

AG公司威胁情报中心关于该事务提取5个样本；Lazarus组织相关事务32件，该攻击组织有22个关联IP、5个关联误差、117个关联样本和31关联域名；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

TA505组织使用SDBbot木马熏染网络

【标签】TA505、SDBbot

【时间】2020-04-13

【简介】

TA505是一个以财务为念头的网络犯法组织，目的包括金融、零售和餐饮在内的多个行业。最近TA505组织主要通过恶意垃圾邮件撒播种种自界说和开源恶意软件，如SDBbot木马，其具有远程会见功效，并且能够窃取用户数据。

【关联的攻击组织】

TA505是至少从2014年以来一直活跃的威胁组织，该组织是污名昭著的Dridex银行木马和Locky勒索软件的幕后黑手，这两大恶意软件借助Necurs僵尸网络通过恶意电子邮件运动撒播。与TA505相关的其他恶意软件包括Philadelphia和GlobeImposter勒索软件家族。

【关联的攻击工具】

SDBbot具有远程会见功效，接受来自C&C服务器的下令，并窃取用户数据。

【防护步伐】

AG公司威胁情报中心关于该事务提取18条IOC，其中包括3个IP、3个域名、12个样本；TA505组织相关事务11件，该攻击组织有1个关联IP和3关联域名；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

$(".info_chag img").each(function () { $(this).css({ "max-width": "100%","height": "auto","display":"inline-block" }).parent().css({"text-align":"center"}); });

<<上一篇
AG公司威胁情报周报（20200420~20200426）

>>下一篇
AG公司威胁情报周报（20200427~20200510）

?
您的联系方法

*姓名

*单位名称

*联系方法

*验证码

提交到邮箱

购置热线

购置咨询:

400-818-6868-1

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称

*项目名称

您感兴趣的产品

项目预算

您的联系方法

*姓名

*联系电话

*邮箱

*职务

*公司

*都会

*行业

*验证码

提交到邮箱

服务支持

智能客服

购置/售后手艺问题

点击咨询

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

400-818-6868

审查所有

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

网站地图| 执法声明| 隐私�；�| 投资者关系

关于AG公司

公司先容

公司声誉

AG公司书橱

AG公司新闻

事情时机

怎样购置

提交项目需求

请求回电

购置热线

联系AG公司

公司总部

分支机构

全球分支机构

清廉建设和举报

举报说明

举报奖励

包管制度

快速链接

AG公司云

AG公司威胁情报中心NTI

TechWorld手艺嘉年华

北京AG公司公益基金会

手艺博客

乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号

网站地图