AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

AG公司科技威胁情报周报（2020.07.20-2020.07.26）

2020-07-28

一、威胁通告

小心！借ETC之名提倡的垂纶攻击事务通告

【宣布时间】2020-07-24 09:00:00 GMT

【概述】

近期AG公司格物实验室检测到新的垂纶攻击运动，攻击者向移动终端用户发送手机短信，提醒用户ETC装备异常，诱导用户点开短信中的链接，并要求填写提交小我私家敏感信息、银行卡号密码等。AG公司威胁情报中心（NTI）对此次垂纶攻击一连监控，已支持对相关IOCs的检测。

【链接】

https://nti.nsfocus.com/threatWarning

二、热门资讯

1. TP-Link Tapo C200 IP摄像头高危误差

【概述】

克日，TP-Link修复了一个保存于C200 IP摄像头中的一个高危误差。使用已知的Heartbleed误差（位于果真的TCP 443端口），可以在内存转储中发明用户的哈希密码。然后使用API上的登录历程将哈希用于“哈希转达”攻击。这导致名为“stok”的登录令牌被发出，该令牌可用于装备的用户身份验证。攻击者随后可以执行多种需认证后才被允许的操作，例如：移动相机的镜头，名堂化SD卡，建设一个RTSP帐户以审查相机的视频源，并禁用隐私模式等。

【参考链接】

http://blog.nsfocus.net/tp-link-tapo-c200-0722/

2. Adobe宣布更新修复多个高危误差

【概述】

外地时间2020年7月21日，Adobe官方宣布了新的清静更新，修复了Adobe 多款产品中的多个高危代码执行误差，包括Adobe Bridge、Adobe Photoshop、Adobe Prelude以及Adobe Reader Mobile等。

【参考链接】

http://blog.nsfocus.net/adobe-0722/

3. MgBot恶意软件新变种针对印度和香港

【概述】

MgBot通过使用Windows上的应用程序治理（AppMgmt）服务来执行并注入其最终有用负载，通过鱼叉式网络垂纶电子邮件撒播，具有通过TCP举行C2通讯、截图、键盘纪录、文件和目录治理、流程治理、建设MUTEX的功效，近期该恶意软件新变种针对印度和香港提倡攻击运动。

【参考链接】

https://blog.malwarebytes.com/threat-analysis/2020/07/chinese-apt-group-targets-india-and-hong-kong-using-new-variant-of-mgbot-malware/

4. Lokibot恶意软件通过电子邮件撒播

【概述】

攻击者向用户发送带有PowerPoint文档的恶意电子邮件，通过重定向从pastebin.com平台下载两个剧本，第一个剧本的有用负载是Lokibot恶意软件，第二个剧本的有用负载是.NET程序集，用来执行Lokibot。

【参考链接】

https://cert-agid.gov.it/news/false-e-mail-della-sapienza-con-documento-powerpoint-diffonde-il-malware-lokibot/

5. OilRig瞄准中东电信组织

【概述】

OilRig组织在近期针对中东的一家电信组织的攻击运动中使用自界说Mimikatz工具、Bitvise、PowerShell下载程序以及RDAT工具变体，一种新颖的基于电子邮件的下令和控制(C2)通道，可以将下令和数据隐藏在电子邮件附加的位图图像中，大大都变体依赖于HTTP和DNS隧道举行C2通讯。

【参考链接】

https://unit42.paloaltonetworks.com/oilrig-novel-c2-channel-steganography/

6. Lazarus组织针对多平台的恶意软件框架MATA

【概述】

MATA恶意软件框架具有多个组件，例如加载程序，协调器和插件，这个周全的框架能够针对Windows，Linux和macOS操作系统，归属于Lazarus攻击组织，在波兰、德国、土耳其、韩国、日本和印度已有受影响的用户。

【参考链接】

https://securelist.com/mata-multi-platform-targeted-malware-framework/97746/

7. Prometei僵尸网络运动起劲挖掘门罗币

【概述】

近期发明一个重大的攻击运动，运动中接纳多种撒播方法的多�？榻┦绾陀杏酶涸�，例如使用Eternal Blue、最新的SMB误差等多种撒播方法分发僵尸网络Prometei。Prometei僵尸网络有15个以上的可执行�？�，致力于通过挖掘Monero在线钱币为攻击者提供经济利益。

【参考链接】

https://blog.talosintelligence.com/2020/07/prometei-botnet-and-its-quest-for-monero.html

8. WatchBogMiner挖矿木马新变种针对Linux服务器的攻击运动

【概述】

WatchBogMiner变种挖矿木马使用Nexus Repository Manager、Supervisord、ThinkPHP等服务器组件的远程代码执行误差举行攻击，在失陷机械装置多种类型的长期化攻击代码，然后植入门罗币挖矿木马举行挖矿，并且通过种种要领举行长期化，按期拉取挖矿木马加载到内存执行，同时会在启动后删除木马文件以抵达隐藏自身的目的。

【参考链接】

https://s.tencent.com/research/report/1056.html

9. Ursnif银行木马通过垂纶邮件撒播

【概述】

Ursnif银行木马通过网络垂纶电子邮件转达，使用邮件中一个包括宏的伪装附件下载伪装成.cab扩展名的可执行文件，还使用了模拟Zoom和Webex的新用户署理。Ursnif木马在攻击运动中旨在窃取主要的财务信息、电子邮件凭证和其他敏感数据。

【参考链接】

https://www.darktrace.com/en/blog/the-resurgence-of-the-ursnif-banking-trojan/

10. Shathak运动-通过垃圾邮件撒播Valak

【概述】

恶意垃圾邮件凭证从以前熏染的Windows主机检索到的邮箱数据来诱骗正当的电子邮件链，向用户发送包括受密码�；ご蠱icrosoft Word文档的ZIP附件，其中有用于装置恶意软件Valak的宏，该恶意软件常被用于信息窃取和恶意软件加载。

【参考链接】

https://unit42.paloaltonetworks.com/valak-evolution/

11. WastedLocker勒索软件滥用ADS和NTFS文件属性

【概述】

WastedLocker勒索软件使用了SocGholish框架，允许攻击者撒播伪装成系统或软件更新的恶意软件有用载荷，并且通过NTFS的备用数据流隐藏以逃避检测。WastedLocker勒索软件以美国多家财产500强企业为目的。

【参考链接】

https://labs.sentinelone.com/wastedlocker-ransomware-abusing-ads-and-ntfs-file-attributes/

12. Tellyouthepass勒索软件变种针对企业

【概述】

近期发明Tellyouthepass勒索软件变种针对企业用户的攻击运动，攻击者使用压缩工具打包exe的方法，将ms16-032内核提权误差使用�？椤⒂篮阒赌谕┥⒛？榧傻嚼账鞴セ靼�，以实现内网蠕虫式病毒撒播。Tellyouthepass勒索病毒使用了RSA+AES的方法对文件举行加密，被病毒加密后文件暂无法解密。

【参考链接】

https://s.tencent.com//research/report/1054.html

<<上一篇

【清静通告】Adobe 宣布更新修复多个高危误差

>>下一篇

【清静通告】WebSphere Application Server高危远程代码执行误差 CVE-2020-4450

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号