AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

AG公司科技威胁情报周报（2020.06.22-2020.06.28）

2020-06-29

一、威胁通告

Apache Dubbo Provider默认反序列化远程代码执行误差

【宣布时间】2020-06-23 17:00:00 GMT

【概述】

2020年6月23日，Apache Dubbo宣布清静通告披露Provider默认反序列化导致的远程代码执行误差（CVE-2020-1948），攻击者可以发送带有无法识别的服务名或要领名及某些恶意参数负载的RPC请求，当恶意参数被反序列化时将导致代码执行。

【链接】

http://blog.nsfocus.net/apache-dubbo-0623/

二、热门资讯

1. 攻击者使用IndigoDrop针对南亚军事和政府组织

【概述】

近期以军事主题为诱饵的攻击运动，通过恶意Microsoft Office文档撒播包括完整RAT功效的Cobalt Strike，这些恶意文档使用恶意宏来举行多阶段和高度�？榛难�，并且使用公共服务器和私有服务器的组合来托管其恶意有用负载，IndigoDrop认真从下载URL获取最终的有用负载以举行安排，此次攻击针对南亚的军事和政府组织。

【参考链接】

https://blog.talosintelligence.com/2020/06/indigodrop-maldocs-cobalt-strike.html

2. XORDDoS和Kaiji僵尸网络变种针对Docker服务器

【概述】

XORDDoS和Kaiji是Linux僵尸网络恶意软件类型的变体，此次攻击是XORDDoS首次将Docker服务器作为目的。攻击者扫描袒露的Docker服务器通讯端口2375后使用僵尸网络执行暴力攻击；Kaiji僵尸网络同样扫描端口2375袒露的主机，对Docker服务器执行ping操作，然后安排执行Kaiji二进制文件的恶意ARM容器。

【参考链接】

https://blog.trendmicro.com/trendlabs-security-intelligence/xorddos-kaiji-botnet-malware-variants-target-exposed-docker-servers/

3. BRONZE VINEWOOD组织瞄准供应链机构

【概述】

BRONZE VINEWOOD，也被称为APT31、ZIRCONIUM，是一个至少从2016年活跃至今的威胁组织，该组织与中国有关。近期BRONZE VINEWOOD组织实验窃取凭证并使用正当的远程会看法决计划和协议等多种工具和手艺来会见情形，对软件提供商和其他供应链组织的攻击旨在会见客户的数据或网络。

【参考链接】

https://www.secureworks.com/research/bronze-vinewood-targets-supply-chains

4. 针对缅甸的网络特工攻击运动

【概述】

攻击者针对缅甸提倡鱼叉式垂纶攻击，向目的用户分发带有恶意LNK文件的电子邮件，恶意文件托管在Google云端硬盘中以逃避防病毒和清静扫描程序识别，该文件一旦执行，将在后台拖放并运行可执行文件，并使用工具Octopus举行下令和控制（C2）通讯。

【参考链接】

https://www.anomali.com/blog/unknown-china-based-apt-targeting-myanmarese-entities

5. Lucifer恶意软件使用误差熏染Windows装备

【概述】

Lucifer是加密挟制和DDoS恶意软件变体的团结，它使用旧误差在Windows平台上撒播和执行恶意运动，该恶意软件可以举行Monero的密码挟制，能够使用多个误差和凭证举行下令和控制（C2）操作以及自我撒播，并且针对内部易受攻击的目的熏染并运行EternalBlue，EternalRomance和DoublePulsar后门。

【参考链接】

https://unit42.paloaltonetworks.com/lucifer-new-cryptojacking-and-ddos-hybrid-malware/

6. FIN7组织使用Pillowmint恶意软件针对零售终端系统

【概述】

FIN7，是一个有财务念头的威胁组织，自2015年以来一直活跃，主要针对旅馆和餐饮业。近期FIN7组织使用Pillowmint恶意软件针对零售终端系统，通过恶意的shim数据库分发，能够捕获Track1和Track2信用卡数据。

【参考链接】

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/pillowmint-fin7s-monkey-thief/

7. 勒索软件CryCryptor伪装成COVID-19追踪应用撒播

【概述】

近期攻击者在攻击运动中将勒索软件CryCryptor伪装成官方COVID-19联系人追踪应用程序，通过两个恶意分发网站分发给位于加拿大的Android装备用户，并对设惫亓文件举行加密。

【参考链接】

https://www.welivesecurity.com/2020/06/24/new-ransomware-uses-covid19-tracing-guise-target-canada-eset-decryptor/

8. Hidden Cobra组织的新恶意工具

【概述】

Hidden Cobra组织在已往的十年中一直很活跃，今年5月美国政府机构宣布的报告中形貌Hidden Cobra组织的三个新恶意工具COPPERHEDGE、TAINTEDSCRIBE和PEBBLEDASH。

【参考链接】

https://blog.reversinglabs.com/blog/hidden-cobra

9. 使用Google Analytics服务窃取用户数据

【概述】

攻击者使用Google Analytics中的信托来使用Google Analytics API绕过内容清静战略（CSP），在线市肆网站使用Google Analytics服务跟踪会见者，因此，Google Analytics域在其CSP设置中列入了白名单，攻击者可以会见Google Analytics帐户中的被盗数据。

【参考链接】

https://securityaffairs.co/wordpress/105086/cyber-crime/google-analytics-e-skimming.html

10. DarkVision RAT�？榛褚馊砑诒黄鹁⑾�

【概述】

DarkVision RAT是一个远程会见工具(RAT)，接纳�？榛寮峁�，是一种简朴、易用和用户友好的工具包，具有系统控制，历程治理器，注册表编辑和文件治理器等功效。克日DarkVision RAT在网络犯法和黑客论坛中被起劲销售，尚有专门的销售网站。

【参考链接】

https://www.deepinstinct.com/2020/06/23/new-on-the-scene-darkvision-rat/

11. IcedID银行木马变种使用COVID-19诱饵撒播

【概述】

IcedID银行木马于2017年首次泛起在威胁领域，类似于其他金融木马，IcedID可提倡浏览器中的攻击，以及阻挡和窃取受害者的金融信息。近期IcedID银行木马新变种以COVID-19主题垃圾邮件撒播，新变种可窃听受害者的网络运动，此次攻击主要针对美国用户。

【参考链接】

https://securityaffairs.co/wordpress/105049/malware/icedid-banking-trojan-steganography.html

12. Trickbot使用Cobalt Strike攻击服务器

【概述】

Trickbot运营商使用服务器内部的PowerTrick和Cobalt Strike安排Anchor后门程序和RYUK勒索软件，使用许多开源剧本和工具来网络信息，并熏染转移到其他系统，TrickBot�？樵谑苎镜南低成贤绱笞谑�，并实验转到域控制器。

【参考链接】

https://labs.sentinelone.com/inside-a-trickbot-cobaltstrike-attack-server/

13. 使用EXIF元数据隐藏信用卡疏散器

【概述】

攻击者使用图像的“版权元数据”字段来加载其Web疏散器，由受到破损的在线市肆神秘加载，并且使用图像文件作为伪装举行撒播。此疏散器将捕获输入字段的内容，如在线购物者的姓名，账单地点和信用卡详细信息等数据。

【参考链接】

https://blog.malwarebytes.com/threat-analysis/2020/06/web-skimmer-hides-within-exif-metadata-exfiltrates-credit-cards-via-image-files/

<<上一篇

【误差通告】Apache Dubbo远程代码执行误差(CVE-2020-1948)

>>下一篇

【误差通告】Apache Dubbo远程代码执行误差(CVE-2020-1948) 补丁绕过

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号