AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

【威胁通告】AG公司科技威胁情报月报（2021年3月）

2021-04-07

3月，AG公司科技威胁情报中心（NTI）宣布了多个误差和威胁事务通告，其中，微软Exchange Server多个高危误差和GitLab远程代码执行误差影响较大。前者包括Exchange 服务端请求伪造误差（CVE-2021-26855）：未经身份验证的攻击者能够结构HTTP请求扫描内网并通过Exchange Server举行身份验证；Exchange 反序列化误差（CVE-2021-26857）：具有治理员权限的攻击者可以在Exchange服务器上以SYSTEM身份运行恣意代码；Exchange 恣意文件写入误差（CVE-2021-26858/CVE-2021-27065）：经由身份验证的攻击者可以使用误差将文件写入服务器上的恣意目录，可团结CVE-2021-26855举行组合攻击；及3个Exchange远程代码执行误差（CVE-2021-26412/CVE-2021-26854/CVE-2021-27078）；后者GitLab 代码执行误差保存社区版(CE)和企业版(EE)中，未授权但经由身份验证的攻击者通过使用可控的markdown渲染选项，结构恶意请求从而在服务器上执行恣意代码。

另外，本次微软共修复了14个Critical级别误差，75个Important 级别误差。强烈建议所有用户尽快装置更新。

在本月的威胁事务中，与中国有关的威胁组织相对活跃，其中包括HAFNIUM组织和RedDelta组织；由于本月微软披露Exchange Server的多个高危误差，针对云服务的攻击依然是攻击者的重点。同时，高频率更新的Sysrv-hello僵尸网络需要引起关注。

以上所有误差情报和威胁事务情报、攻击组织情报，以及关联的IOC，均可在AG公司威胁情报中心获取，网址：https://nti.nsfocus.com/

一、误差态势

2021年03月AG公司科技清静误差库共收录452个误差, 其中高危误差38个，微软高危误差20个。

AG公司(中国集团)·有限公司官网

* 数据泉源：AG公司科技威胁情报中心，本表数据阻止到2021.04.02

注：AG公司科技误差库包括应用程序误差、清静产品误差、操作系统误差、数据库误差、网络装备误差等；

二、威胁事务

1. HAFNIUM组织针对有零日误差使用的Exchange Server举行攻击

【标签】HAFNIUM

【时间】2021-03-02

【简介】

Microsoft已检测到多个零日误差，可用于在有限且有针对性的攻击中对Microsoft Exchange Server的外地版本举行攻击。在视察到的攻击中，攻击者使用这些误差会见了外地Exchange服务器，从而可以会见电子邮件帐户，并允许装置其他恶意软件以增进对受害者情形的恒久会见。此次运动归功于HAFNIUM，该组织主要针对美国多个行业的实体，包括熏染病研究职员、状师事务所、高等教育机构、国防承包商、政策智囊团和非政府组织。

【参考链接】

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

【防护步伐】

AG公司威胁情报中心关于该事务提取8条IOC，其中包括8个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

2. Mirai新变种针对网络清静装备的攻击运动

【标签】Mirai

【时间】2021-03-15

【简介】

Mirai新变种针对网络清静装备的攻击运动中，使用了五个已知误差和三个未知误差，划分是CVE-2020-25506（D-Link DNS-320防火墙使用）、CVE-2020-26919（Netgear ProSAFE Plus误差）、CVE-2019-19356（Netis WF2419无线路由器误差）、CVE-2021-22502(Micro Focus Operation Bridge Reporter（OBR）中的远程执行代码误差)、CVE-2021-27561（Yealink装备治理预认证远程执行代码误差）和三个IoT误差，乐成使用后，将挪用wget适用程序以从恶意软件基础结构中下载Shell剧本，然后shell剧本将下载为差别架构编译的多个Mirai二进制文件，并逐一执行这些下载的二进制文件。

【参考链接】

https://unit42.paloaltonetworks.com/mirai-variant-iot-vulnerabilities/

【防护步伐】

AG公司威胁情报中心关于该事务提取86条IOC，其中包括86个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

3. Sysrv-hello僵尸网络在短时间集成14种误差攻击方法

【标签】Sysrv-hello

【时间】2021-03-15

【简介】

Sysrv-hello僵尸网络首次发明于2020年12月，之后更新频率极高。从目今捕获到的病毒版原来看，该僵尸网络蠕虫�？楣セ鞣椒ㄓ芍耙员乒セ魑鳌⑽蟛钍褂梦ㄗ湮涸椒⒁览滴蟛罟セ�，新变种在极短时间内向蠕虫撒播�？榧闪�14种新误差攻击方法。

【参考链接】

https://s.tencent.com/research/report/1272.html

【防护步伐】

AG公司威胁情报中心关于该事务提取9条IOC，其中包括6个IP和3个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

4. Operation Dianxun针对电信公司的网络特工运动

【标签】Operation Dianxun

【时间】2021-03-16

【简介】

OperationsDiànxùn是一起针对电信公司的网络特工运动，以窃取与5G手艺相关的敏感数据和商业神秘为目的，提倡此次攻击运动的威胁组织RedDelta疑似与中国有关。

【参考链接】

https://www.mcafee.com//blogs/other-blogs/mcafee-labs/operation-dianxun-cyberespionage-campaign-targeting-telecommunication-companies/

【防护步伐】

AG公司威胁情报中心关于该事务提取20条IOC，其中包括20个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

5. z0miner挖矿团伙使用多种误差对云主机举行攻击

【标签】z0miner

【时间】2021-03-26

【简介】

z0miner挖矿团伙使用多种误差对云主机举行攻击运动，误差攻击到手后会下载差别的恶意剧本执行，会竣事竞品挖矿木马历程，删除竞品挖矿木马文件，并实验添加妄想使命（目今捕获的版本载荷为空）。最后下载门罗币挖矿�？榫傩型诳笈趟�。z0miner挖矿团伙使用的误差包括Nexus3下令执行误差（CVE-2019-7238）、Confluence未授权模版注入/代码执行误差（CVE-2019-3396）、Weblogic未授权下令执行误差(CVE-2020-14882)、Jenkins未授权下令执行误差、Struts2下令执行误差（s2-016，s2-046）。

【参考链接】

https://s.tencent.com//research/report/1283.html

【防护步伐】

AG公司威胁情报中心关于该事务提取5条IOC，其中包括5个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

6. 通过PEC举行的新sLoad运动仍使用双ZIP附件手艺

【标签】sLoad

【时间】2021-03-29

【简介】

近期攻击者举行的垃圾邮件运动中，通过PEC恢复以使用合并的ZIP附件手艺传输sLoad恶意软件，并在其中嵌套一个特另外ZIP文件，该文件包括一个具有Dropper功效的WSF剧本，用于从远程存储库下载sLoad。

【参考链接】

https://cert-agid.gov.it/news/nuova-campagna-sload-via-pec-sfrutta-ancora-la-tecnica-del-doppio-allegato-zip/

【防护步伐】

AG公司威胁情报中心关于该事务提取3条IOC，其中包括3个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

<<上一篇

【威胁通告】AG公司科技威胁情报周报（2021.3.29-4.4）

>>下一篇

【威胁通告】AG公司科技威胁情报周报（2021.04.05-2021.04.11）

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号