AG公司科技威胁情报月报（2020年10月）

2020-10-29

10月，AG公司科技威胁情报中心（NTI）宣布了多个误差和威胁事务通告，其中，Windows TCP/IP远程代码执行误差通告（CVE-2020-16898）以及VMware ESXi 远程代码执行误差（CVE-2020-3992）影响较大。误差CVSS评分均为9.8，前者由于Windows TCP/IP协议栈在处置惩罚IMCPv6 Router Advertisement数据包时保存误差，攻击者可向受影响主机发送特制的ICMPv6 Router Advertisement数据包举行使用，实现在目的服务器或客户端上执行恣意代码；后者由于在治理网络（management network）中可以通过427端口触发一个OpenSLP服务的user-after-free误差，使攻击者可以远程执行恣意代码。

另外，本次微软共修复了11个Critical级别误差，75 个 Important 级别误差，1个Moderate 级别误差。强烈建议所有用户尽快装置更新。

在本月的威胁事务中，涌现出了更多的攻击工具包，同时攻击更具有针对性。攻击手段方面，使用电子邮件和误差举行撒播依旧较为常见。攻击组织方面，与伊朗有联系的Seedw特工组织针对中东政府组织的攻击需要引起关注。

以上所有误差情报和威胁事务情报、攻击组织情报，以及关联的IOC，均可在AG公司威胁情报中心获取，网址：https://nti.nsfocus.com/

一、误差态势

2020年10月AG公司科技清静误差库共收录37个误差, 其中高危误差12个，微软高危误差5个。

AG公司(中国集团)·有限公司官网

* 数据泉源：AG公司科技威胁情报中心，本表数据阻止到2020.10.28

注：AG公司科技误差库包括应用程序误差、清静产品误差、操作系统误差、数据库误差、网络装备误差等；

二、威胁事务

1. HEH僵尸网络针对telnet服务

【标签】HEH

【时间】2020-10-05

【简介】

HEH僵尸网络样本最初是由名为wpqnbw.txt的恶意Shell剧本下载并执行的。该恶意Shell剧本将下载并执行针对所有差别CPU架构的每个恶意程序，无需举行情形检查或类似操作，只需依次运行所有程序即可。恶意剧本和二进制程序位于pomf.cat网站上（请注重，prmf.cat是正当网站，请勿阻止它）。

【参考链接】

https://blog.netlab.360.com/heh-an-iot-p2p-botnet/

【防护步伐】

AG公司威胁情报中心关于该事务提取9条IOC，其中包括9个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

2. MontysThree使用隐写术和加密计划举行设置解密

【标签】MontysThree

【时间】2020-10-07

【简介】

恶意软件包括一组用于长期性的C ++�？�，使用隐写术从位图获取数据，解密设置使命（制作屏幕截图，对目的举行指纹识别，获取文件等）及其执行以及与主要正当公众的网络通讯。云服务，例如Google，Microsoft和Dropbox。MontysThree设置为搜索存储在目今文档目录和可移动媒体中的特定Microsoft Office和Adobe Acrobat文档。该恶意软件使用自界说隐写术和多种加密计划：除了基于XOR的自界说加密外，这些�？榛挂览�3DES和RSA算法举行设置解密和通讯。

【参考链接】

https://securelist.com/montysthree-industrial-espionage/98972/

【防护步伐】

AG公司威胁情报中心关于该事务提取14条IOC，其中包括5个域名和9个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

3. 通过电子邮件撒播SlothfulMedia恶意软件

【标签】SlothfulMedia

【时间】2020-10-13

【简介】

近期，宣布了有关名为SlothfulMedia的恶意软件家族的信息，这些信息归功于重大的威胁加入者，确定了该威胁加入者使用的三种差别的恶意软件家族，其中之一是SlothfulMedia。它是通过包括恶意Word文档的鱼叉式网络垂纶电子邮件分发的，但无法获取其中的样本。熏染历程依赖于PowerShell剧本，该剧本从远程服务器下载隐藏在映像文件中的base64编码的有用负载。

【参考链接】

https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/

【防护步伐】

AG公司威胁情报中心关于该事务提取11条IOC，其中包括11个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

4. 新误差作为攻击前言来转达Mirai变体

【标签】Mirai

【时间】2020-10-14

【简介】

研究职员视察到两种物联网误差以及攻击时代提供的四种Mirai变体。最近发明了总共四个Mirai变体，使用两个新误差作为攻击前言来转达Mirai。乐成使用后，将挪用wget适用程序从恶意软件基础结构中下载Shell剧本，然后shell剧本会下载为差别架构编译的多个Mirai二进制文件，并逐一执行这些下载的二进制文件。

【参考链接】

https://unit42.paloaltonetworks.com/iot-vulnerabilities-mirai-payloads/

【防护步伐】

AG公司威胁情报中心关于该事务提取13条IOC，其中包括13个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

5. Purple Fox攻击工具包针对Internet Explorer

【标签】Purple Fox

【时间】2020-10-18

【简介】

现在，Purple Fox将CVE-2020-0674和CVE-2019-1458添加到其武器库中，有开发职员已再次举行迭代，添加了更多CVE以实现特权升级，并接纳隐写和虚拟化手艺来阻止检测和故障剖析。通过广告或仅通过单击过失的URL将受害者定向到恶意站点。攻击者将他们的恶意软件托管在speedjudgmentacceleration [.com]上，并针对Internet Explorer用户。

【参考链接】

https://labs.sentinelone.com/purple-fox-ek-new-cves-steganography-and-virtualization-added-to-attack-flow/

【防护步伐】

AG公司威胁情报中心关于该事务提取19条IOC，其中包括4个域名和15个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

6. Seedw特工组织针对中东政府组织

【标签】Seedw

【时间】2020-10-20

【简介】

与伊朗有联系的特工组织Seedworm（又名MuddyWater）在最近几个月一直非�；钤�，攻击了普遍的目的，包括中东的许多政府组织。许多受到Seedworm攻击的组织也受到了最近发明的名为PowGoop（Downloader.Covic）的工具的攻击，批注该工具已成为Seedworm纳入其武器库的工具。在伊拉克，土耳其，科威特，阿拉伯团结酋长国和格鲁吉亚发明了针对目的的袭击。除了一些政府实体，电信和盘算机服务部分的组织也成为目的。

【参考链接】

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/seedworm-apt-iran-middle-east

【防护步伐】

AG公司威胁情报中心关于该事务提取30条IOC，其中包括9个IP和21个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

<<上一篇

Weblogic Console HTTP协议远程代码执行误差（CVE-2020-14882）防护计划

>>下一篇

AG公司科技威胁情报周报（2020.10.26-2020.11.01）