AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

AG公司科技威胁情报月报（2020年8月）

2020-09-03

8月，AG公司科技威胁情报中心（NTI）宣布了多个误差和威胁事务通告，其中，WebSphere远程代码执行误差（CVE-2020-4534）（CVE-2020-4534）影响较大。该误差由于未准确处置惩罚UNC路径而导致，经由外地身份认证后，攻击者可以使用该误差完成代码执行，误差评分为7.8分。

另外，本月微软修复120个清静问题，Critical的误差共有16个，Important的误差103个，请相关用户实时更新补丁举行防护。

攻击组织方面，海莲花“OceaLotus"组织使用MsMpEng举行侧载攻击，TA551攻击组织针对以英语为母语的人分发IcedID银行木马，Transparent Tribe组织使用恶意软件NET RAT以及Muhstik僵尸网络针对海内云服务器需要引起关注。

以上所有误差情报和威胁事务情报、攻击组织情报，以及关联的IOC，均可在AG公司威胁情报中心获取，网址：https://nti.nsfocus.com/

一、误差态势

2020年08月AG公司科技清静误差库共收录109误差, 其中高危误差27个，微软高危误差9个。

AG公司(中国集团)·有限公司官网

* 数据泉源：AG公司科技威胁情报中心，本表数据阻止到2020.08.28

注：AG公司科技误差库包括应用程序误差、清静产品误差、操作系统误差、数据库误差、网络装备误差等；

二、威胁事务

1. NSO特工软件攻击多哥

【标签】NSO

【时间】2020-08-02

【简介】

NSO特工软件被攻击者使用攻击多哥公民社会，其中包括天主教主教、牧师和阻挡派政治家。NSO特工软件产品通常被称为Pegasus，是一种手机黑客工具，可获取对目的移动装备的完全会见权限，Pegasus允许攻击者提取密码、文件、照片、网络历史纪录、联系人以及身份数据等信息，Pegasus的目的包括亚洲，欧洲，中东和北美的数十个国家。

【参考链接】

https://citizenlab.ca/2020/08/nothing-sacred-nso-sypware-in-togo/

【防护步伐】

AG公司威胁情报中心关于该事务提取4条IOC，其中包括4个域名；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

2. TAIDOOR木马伪装为DLL文件熏染目的系统

【标签】TAIDOOR

【时间】2020-08-02

【简介】

Taidoor作为服务动态链接库DLL装置在目的系统上，并且由两个文件组成，第一个文件是加载程序，作为服务启动，加载程序解密第二个文件，然后在内存中执行该文件，此文件是远程会见木马（RAT）。

【参考链接】

https://us-cert.cisa.gov/ncas/analysis-reports/ar20-216a

【防护步伐】

AG公司威胁情报中心关于该事务提取22条IOC，其中包括1个IP，1个域名和20个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

3. NetWalker勒索软件针对西欧国家和美国

【标签】NetWalker

【时间】2020-08-02

【简介】

NetWalker勒索软件最初称为Mailto，最早在2019年8月被发明，自觉现以来针对许多差别的目的，主要位于西欧国家和美国。攻击运动中NetWalker勒索软件将随机扩展名附加到受熏染的文件中，并使用Salsa20加密，它使用一种新的防御规避手艺被称为反射DLL加载，用于从内存中注入DLL。

【参考链接】

https://www.mcafee.com//blogs/other-blogs/mcafee-labs/take-a-netwalk-on-the-wild-side/

【防护步伐】

AG公司威胁情报中心关于该事务提取117条IOC，其中包括117个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

4. 网络垂纶邮件挟制Microsoft365帐户

【标签】NetWalker

【时间】2020-08-02

【简介】

网络罪犯越来越多地冒充受信托的SaaS平台和供应商。最近，在一起垂纶攻击运动中，电子邮件中有许多试图诱使收件人单击恶意链接，该链接指向包括凭证网络恶意软件的页面，攻击者使用受熏染的Microsoft 365帐户在几个小时内会见多个其他帐户。

【参考链接】

https://www.darktrace.com/en/blog/phishing-from-the-inside-microsoft-365-account-hijack/

【防护步伐】

AG公司威胁情报中心关于该事务提取1条IOC，其中包括1个域名；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

5. LaoXinWon携带两个勒索病毒样本

【标签】LaoXinWon

【时间】2020-08-04

【简介】

LaoXinWon的勒索病毒通过弱口令爆破方法举行撒播，它同时携带两款勒索病毒样本，一款为C#编写的勒索�？�，加密添加.aes扩展后缀；另一款为Delphi编写的Scarab勒索�？�，加密添加.lampar扩展后缀。

【参考链接】

https://s.tencent.com//research/report/1072.html

【防护步伐】

AG公司威胁情报中心关于该事务提取2条IOC，其中包括2个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

6. PyPI 官方客栈遭request恶意包投毒

【标签】request恶意包

【时间】2020-08-05

【简介】

攻击者将request恶意垂纶包上传至PyPI官方客栈，并通过该垂纶包实验窃取用户敏感信息及数字钱币密钥、莳植长期化后门、远程控制等一系列攻击运动。

【参考链接】

https://s.tencent.com//research/report/1073.html

【防护步伐】

AG公司威胁情报中心关于该事务提取3条IOC，其中包括1个IP和2个域名；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

7. 海莲花“OceaLotus"组织使用MsMpEng举行侧载攻击

【标签】海莲花

【时间】2020-08-06

【简介】

克日，AG公司威胁情报（NTI）发明了一起借用WindowsDefender主要组件MsMpEng.exe举行侧载攻击的事务。通过对本事务以及多个关联事务的剖析，确认该系列攻击事务的提倡者为海莲花（OceanLotus，APT32）组织。除通例手法之外，海莲花组织在这一再攻击中使用了一种新的混淆手艺，以及一款新的中心载荷。

【参考链接】

https://nti.nsfocus.com/

【防护步伐】

AG公司威胁情报中心关于该事务提取11条IOC，其中包括11个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

8. Muhstik僵尸网络针对海内云服务器

【标签】Muhstik

【时间】2020-08-06

【简介】

攻击者通过SSH爆破上岸服务器执行恶意下令下载Muhstik僵尸网络木马，组建僵尸网络并控制失陷服务器执行SSH横向移动、下载门罗币挖矿木马和接受远程下令提倡DDoS攻击。

【参考链接】

https://s.tencent.com//research/report/1078.html

【防护步伐】

AG公司威胁情报中心关于该事务提取26条IOC，其中包括3个IP，2个域名和21个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

9. TA551攻击组织分发IcedID银行木马

【标签】TA551

【时间】2020-08-06

【简介】

TA551组织在近期的攻击运动中针对以英语为母语的人，使用垃圾邮件分发IcedID银行木马，这些邮件附件是带有恶意宏的Word文档，一旦用户启用宏，HTTP通讯的TCP流可检索装置恶意程序DLL。

【参考链接】

https://isc.sans.edu/diary/26438

【防护步伐】

AG公司威胁情报中心关于该事务提取56条IOC，其中包括2个IP，20个域名和34个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

10. 跨文工具包用于象形文字攻击以举行信用卡信息窃取

【标签】Magecart

【时间】2020-08-05

【简介】

攻击者使用象形文字攻击方法来窃守信用卡信息，此攻击手艺在具有IDN同形异义词攻击的网络垂纶诈骗中已经被使用了一段时间。

【参考链接】

https://blog.malwarebytes.com/threat-analysis/2020/08/inter-skimming-kit-used-in-homoglyph-attacks/

【防护步伐】

AG公司威胁情报中心关于该事务提取5条IOC，其中包括1个IP和4个域名；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

11. 攻击者使用COVID-19为诱饵收取敏感信息

【标签】COVID-19

【时间】2020-08-09

【简介】

近期使用新型冠状病毒COVID-19主题作为诱饵的垂纶攻击运动依然活跃，其中有攻击者通过使用主题为\"Covid-19基金救援奖\"，或者滥用团结国的标记来诱导受害者；有的攻击运动以比特币窃取为目的，通过将受害者指导至垂纶页面以窃取比特币钱包以及账户凭证；尚有发明以\"由于新型冠状病毒导致延迟付款\"为主题，诱使受害者翻开附件，然后恶意文件将解压缩并从Google云盘下载有用负载NetWire。

【参考链接】

https://www.fortinet.com/blog/threat-research/latest-covid-19-variants-from-the-ridiculous-to-the-malicious

【防护步伐】

AG公司威胁情报中心关于该事务提取3条IOC，其中包括1个域名和2个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

12. 基于剧本的恶意软件针对Windows操作系统用户

【标签】JScript RAT

【时间】2020-08-10

【简介】

近期研究职员通过Internet Explorer浏览器误差检测到重大基于剧本的恶意软件，这些恶意软件针对Windows操作系统用户，恶意剧本使用了CVE-2019-0752误差，其中一个JScript远程会见木马可以确保在目的系统上的长期性，然后毗连到远程服务器，攻击者可以在目的盘算上执行恣意下令，已举行完全控制，第二个AutoIT下载器使用网络毗连和剧本功效来下载和执行恶意软件。

【参考链接】

https://unit42.paloaltonetworks.com/script-based-malware/

【防护步伐】

AG公司威胁情报中心关于该事务提取4条IOC，其中包括1个相关联误差和3个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

13. PowerFall运动使用Internet Explorer误差和Windows误差针对韩国

【标签】PowerFall

【时间】2020-08-11

【简介】

Operation PowerFall战争中攻击者使用两个0day误差针对韩国举行攻击，这两个误差划分：Internet Explorer的远程代码执行误差(CVE-2020-1380)，该误差在JavaScript引擎中攻击者能够远程执行恣意代码；Windows特权提升误差(CVE-2020-0986)，该误差在操作系统服务中被检测到，攻击者可以提升特权并执行未经授权的操作。此次攻击运动以Windows10的最新版本为目的。

【参考链接】

https://securelist.com/ie-and-windows-zero-day-operation-powerfall/97976/

【防护步伐】

AG公司威胁情报中心关于该事务提取14条IOC，其中包括6个相关联误差和8个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

14. Bisonal后门针对东欧的金融和军事组织

【标签】Bisonal

【时间】2020-08-12

【简介】

CactusPete，也被称为Karma Panda和Tonto Team，是一个至少从2013年活跃至今的威胁组织，恒久目的针对亚洲和东欧的军事、外交和基础设施。近期CactusPete组织使用Bisonal后门新变种瞄准东欧的金融和军事部分，该组织通过带有恶意附件的鱼叉式网络垂纶邮件的方法来转达恶意软件Bisonal，该恶意软件以获取受害者的敏感数据的会见权限为目的。

【参考链接】

https://securelist.com/cactuspete-apt-groups-updated-bisonal-backdoor/97962/

【防护步伐】

AG公司威胁情报中心关于该事务提取4条IOC，其中包括1个关联误差和3个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

15. Continente and Worten品牌的网络垂纶运动

【标签】Continente and Worten

【时间】2020-08-16

【简介】

代表Continente and Worten品牌的广告系列正在通过SMS（smishing）举行共享，此运动现在正在葡萄牙撒播，该运动不但针对葡萄牙品牌和组织还将其他品牌和国家作为目的，例如西班牙，美国，加拿大，英国，匈牙利等。攻击者通过将受害者指导到目的上岸页面的服务器来网络受害者的详细信息。这种信息可能会用在这种性子的未来运动中，它是通过社会工程针对受害者的，以使用新的网络垂纶浪潮或可能涉及恶意软件的运动。

【参考链接】

https://seguranca-informatica.pt/campanhas-de-phishing-em-nome-da-marca-continente-e-worten-atualmente-a-serem-disseminadas-em-portugal/

【防护步伐】

AG公司威胁情报中心关于该事务提取8条IOC，其中包括1个IP，6个样本和1个相关联的邮箱；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

16. Transparent Tribe组织使用恶意软件NET RAT

【标签】Transparent Tribe

【时间】2020-08-19

【简介】

Transparent Tribe是一个多产的组织，该组织在已往一年里正在演变，增强了运动，最先了大规模的熏染运动。他们的主要恶意软件是自界说的NET RAT，又称Crimson RAT，尚有其他自界说NET恶意软件和基于Python的RAT Peppy的使用。攻击者通过使用由种种组件组成的Crimson在受熏染的盘算机上执行多种运动。

【参考链接】

https://securelist.com/transparent-tribe-part-1/98127/

【防护步伐】

AG公司威胁情报中心关于该事务提取21条IOC，其中包括4个IP，2个域名和15个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

<<上一篇

AG公司科技威胁情报周报（2020.08.24-2020.08.30）

>>下一篇

AG公司科技威胁情报周报（2020.08.31-2020.09.6）

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号