AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

【威胁通告】AG公司科技威胁情报月报（2021年1月）

2021-02-01

1月，AG公司科技威胁情报中心（NTI）宣布了多个误差和威胁事务通告，其中，Windows NTFS 远程代码执行误差 CVE-2020-17096以及Linux sudo权限提升误差（CVE-2021-3156）影响较大。前者由于Windows NTFS 保存一个远程代码执行误差，外地攻击者可通过运行特制的应用程序，从而提升用户的权限，具有 SMBv2 会见权限的远程攻击者可以通过网络发送特制的请求，使用此误差在目的系统上执行代码；后者由于当sudo通过-s或-i下令行选项在shell模式下运行下令时，它将在下令参数中使用反斜杠转义特殊字符。但使用-s或 -i标记运行sudoedit时，现实上并未举行转义，从而可能导致缓冲区溢出。只要保存sudoers文件（通常是 /etc/sudoers），攻击者就可以使用外地通俗用户使用sudo获得系统root权限。

另外，本次微软共修复了9个Critical级别误差，73个Important 级别误差，1个Moderate级误差。强烈建议所有用户尽快装置更新。

在本月的威胁事务中，云服务器依然是黑客组织进攻的重点，受近期比特币暴涨发动数字虚拟币整体市值飙升影响，挖矿木马十分活跃。攻击手段方面，泛起了使用IRC举行通讯控制服务器组件僵尸网络，以及通过State Cashback电子支付工具举行恶意软件撒播的攻击方法。同时，incaseformat蠕虫病毒的再次活跃需要引起关注。

以上所有误差情报和威胁事务情报、攻击组织情报，以及关联的IOC，均可在AG公司威胁情报中心获取，网址：https://nti.nsfocus.com/

一、 误差态势

2021年01月AG公司科技清静误差库共收录375个误差, 其中高危误差46个，微软高危误差10个。

AG公司(中国集团)·有限公司官网

* 数据泉源：AG公司科技威胁情报中心，本表数据阻止到2021.01.28

注：AG公司科技误差库包括应用程序误差、清静产品误差、操作系统误差、数据库误差、网络装备误差等；

二、威胁事务

1. TOPMiner挖矿木马通过SSH弱口令爆破攻击约1.5万台服务器

【标签】TOPMiner

【时间】2021-01-04

【简介】

挖矿木马TopMiner近期攻击十分活跃，该木马通过SSH弱口令爆破举行攻击入侵，会扫除竞品挖矿木马，同时会使用爆破工具在内网横向撒播。凭证其挖矿钱包收益估算，约有1.5万台服务器被该团伙控制挖矿。由于其使用的挖矿木马名为top，研究职员将其命名为TopMiner挖矿木马。

【参考链接】

https://s.tencent.com//research/report/1213.html

【防护步伐】

AG公司威胁情报中心关于该事务提取10条IOC，其中包括1个IP，1个域名和8个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

2. 黑客通过State Cashback分发电子邮件撒播恶意软件的攻击运动

【标签】State Cashback

【时间】2021-01-05

【简介】

通过使用最近的现金退款妄想来举行电子垃圾邮件运动，以撒播恶意软件，该妄想用于使用电子支付工具（更名为State Cashback）举行的购置。

【参考链接】

https://cert-agid.gov.it/news/malware/falsa-comunicazione-cashback-di-stato-veicola-malware/

【防护步伐】

AG公司威胁情报中心关于该事务提取5条IOC，其中包括2个域名和3个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

3. golang语言编写的剧本木马使用多个差别linux服务器组件的高危误差入侵云服务器

【标签】golang

【时间】2021-01-11

【简介】

受近期比特币暴涨发动数字虚拟币整体市值飙升影响，挖矿木马十分活跃。使用Redis未授权会见误差直接写入妄想使命，下载用golang语言编写的挖矿木马下载器superman，凭证挖矿算力推测该团伙已控制约1万台失陷系统举行门罗币挖矿。

【参考链接】

https://s.tencent.com//research/report/1219.html,https://paper.seebug.org/1440/

【防护步伐】

AG公司威胁情报中心关于该事务提取3条IOC，其中包括1个IP和2个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

4. 新的Android特工软件针对巴基斯坦的用户窃取敏感数据的攻击运动

【标签】Android

【时间】2021-01-12

【简介】

现在有研究职员已发明一小群木马版本的Android应用程序，主要销售给栖身在巴基斯坦的人。有人修改了这些原本正当的应用程序（可从Google Play市肆下载正当版本），让此程序添加神秘监视和特工运动的恶意功效。

【参考链接】

https://news.sophos.com/en-us/2021/01/12/new-android-spyware-targets-users-in-pakistan/

【防护步伐】

AG公司威胁情报中心关于该事务提取27条IOC，其中包括4个IP，4个域名和19个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

5. 甜睡多年的incaseformat蠕虫病毒被叫醒

【标签】incaseformat

【时间】2021-01-13

【简介】

2021年1月13日，AG公司科技应急响应团队接到天下多个客户反响熏染所谓的incaseformat病毒，涉及政府、医疗、教育、运营商等多个行业，且熏染主机多为财务治理相关应用系统。熏染主机体现为所有非系统分区文件均被删除，由于被删除文件分区根目录下均保存名为incaseformat.log的空文件，因此网络上将此病毒命名为incaseformat。从搜索引擎效果来看，该病毒最早泛起时间为2009年，主流杀毒软件厂商均将此病毒命名为Worm.Win32.Autorun，从名称可以判断该病毒为Windows平台通过移动介质撒播的蠕虫病毒。病毒文件运行后，首先复制自身到Windows目录下，文件图标伪装为文件夹。病毒文件将在主机重启后运行，并最先遍历所有非系统分区下目录并设置为隐藏，同时建设同名的病毒文件。别的还会通过修改注册表，实现不显示隐藏文件及隐藏已知文件类型扩展名。最后对非系统分区下所有文件执行删除操作，并建设incaseformat.log文件。

【参考链接】

https://m.threatbook.cn/detail/3157

【防护步伐】

AG公司威胁情报中心关于该事务提取558条IOC，其中包括558个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

6. TeamTNT 新变种使用IRC举行通讯控制服务器组建僵尸网络的攻击运动

【标签】TeamTNT

【时间】2021-01-14

【简介】

TeamTNT 变种使用IRC举行通讯控制肉鸡服务器组建僵尸网络，此次使用的IRC 接纳的是github开源的oragono，暂未检测到后门有执行拒绝服务（DoS）功效。

【参考链接】

https://s.tencent.com//research/report/1226.html

【防护步伐】

AG公司威胁情报中心关于该事务提取11条IOC，其中包括3个IP，3个域名和5个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

7. RunMiner挖矿木马团伙使用新增误差攻击云主机举行挖矿

【标签】RunMiner

【时间】2021-01-19

【简介】

RunMiner挖矿木马团伙使用新增误差武器攻击云主机挖矿：使用weblogic反序列化误差（CVE-2017-10271）对云主机提倡攻击，攻击乐成后执行恶意剧本对Linux、Windows双平台植入挖矿木马，举行门罗币挖矿操作。

【参考链接】

https://s.tencent.com//research/report/1229.html

【防护步伐】

AG公司威胁情报中心关于该事务提取7条IOC，其中包括1个IP和6个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

8. Lazarus 组织针对误差清静研究员举行垂纶攻击

【标签】Lazarus

【时间】2021-01-26

【简介】

此次事务由Google清静团队披露。攻击者通过在Twitter建设多个清静研究者账号，宣布大宗的误差剖析文章吸引误差清静研究者的关注，同时建设了一个研究博客，宣布0day相关的误差研究及剖析。通过这一要领，筛选并找到潜在的目的，并与之互动。攻击者使用了研究者需要实时关注行业中误差披露状态的心理，乐成吸引了一些研究者的关注，并通过私信等方法，请求与研究者即潜在的攻击目的一起剖析所谓的0day，在研究者允许相助后，发送所谓的“POC”工程文件，该伪造的POC工程文件是一个VS Studio工程文件，其中嵌入了恶意代码。当研究职员翻开该工程文件后，恶意代码会连忙运行起来。凭证Google研究团队披露的信息，有些研究职员会见攻击者运营的研究博客时也熏染了病毒，但研究职员的Chrome浏览器为最新版本，由此推测可能保存浏览器0day。

【参考链接】

https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/

【防护步伐】

AG公司威胁情报中心关于该事务提取12条IOC，其中包括7个域名和5个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

<<上一篇

【威胁通告】AG公司科技威胁情报周报（2021.1.25-1.31）

>>下一篇

【清静通告】Apache?Shiro权限绕过误差（CVE-2020-17523）通告

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号