【威胁通告】AG公司科技威胁情报月报（2021年4月）

2021-05-17

2021年4月，AG公司科技威胁情报中心（NTI）宣布了多个误差和威胁事务通告，其中，Weblogic多个严重误差（CVE-2021-2135/CVE-2021-2136/CVE-2021-2157/CVE-2021-2211）和Exchange Server代码执行误差（CVE-2021-28480/CVE-2021-28481/CVE-2021-28482/CVE-2021-28483）影响规模较大。前者使未经身份验证的攻击者可发送恶意请求，并在目的服务器执行恣意代码/会见要害数据；后者攻击者可使用上述误差绕过Exchange身份验证，无需用户交互即可实现下令执行。 CVE-2021-28480和CVE-2021-28481的CVSS评分为9.8分，是未授权远程代码执行误差，未经身份验证的攻击者使用误差，可在内网的Exchange服务器举行横向扩散，可能造成蠕虫级误差的危害。

另外，本次微软共修复了114个清静误差，其中包括19个Critical级别误差，88个Important 级别误差。强烈建议所有用户尽快装置更新。

在本月的威胁事务中，包括Gamaredon组织针对乌克兰政府官员的攻击运动和Sofacy组织针对哈萨克斯坦的攻击，以及FluBot恶意软件、SkidMap病毒、恶意文档天生器EtterSilent的最新攻击运动。

以上所有误差情报和威胁事务情报、攻击组织情报，以及关联的IOC，均可在AG公司威胁情报中心获取，网址：https://nti.nsfocus.com/

一、误差态势

2021年04月AG公司科技清静误差库共收录473个误差, 其中高危误差79个，微软高危误差47个。

* 数据泉源：AG公司科技威胁情报中心，本表数据阻止到2021.04.30

注：AG公司科技误差库包括应用程序误差、清静产品误差、操作系统误差、数据库误差、网络装备误差等；

二、威胁事务

1. 恶意文档天生器EtterSilent正在被多个网络犯法组织使用

【标签】EtterSilent

【时间】2021-04-07

【简介】

恶意文档天生器EtterSilent正在被多个网络犯法组织使用，以建设用于分发种种恶意软件的恶意文档，其中包括Trickbot银行木马，该文档天生器使攻击者能够自界说用于发送恶意文档的软件包。EtterSilent建设两种基本类型的恶意Microsoft Office文档。一个使用了被跟踪为CVE-2017-8570的远程执行代码误差，而另一个则使用了恶意宏。在这两种情形下，伪造的Office产品都伪装成DocuSign文档-一种用于对文档举行电子署名的商业工具。

【参考链接】

https://intel471.com/blog/ettersilent-maldoc-builder-macro-trickbot-qbot/

【防护步伐】

AG公司威胁情报中心关于该事务提取16条IOC，其中包括16个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

2. Gamaredon组织针对乌克兰政府官员的攻击运动

【标签】Gamaredon

【时间】2021-04-15

【简介】

近期发明针对乌克兰在政府官员的攻击事务，并归属于俄罗斯组织Gamaredon，在此次攻击运动中，Gamaredon投递的诱饵文档主要是乌克兰语为主，以俄罗斯语为辅，投递的诱饵主题主要是围绕乌克兰与保加利亚的现代关系举行睁开。

【参考链接】

https://www.anomali.com/blog/primitive-bear-gamaredon-targets-ukraine-with-timely-themes

【防护步伐】

AG公司威胁情报中心关于该事务提取20条IOC，其中包括5个IP和15个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

3. SkidMap病毒使用Redis未授权会见误差攻击云主机

【标签】SkidMap

【时间】2021-04-23

【简介】

近期有攻击者使用Redis未授权会见误差攻击云服务器，研究职员判断为SkidMap病毒变种的攻击运动，约数千台云主机受到影响，受害主机已被攻击者控制沦为矿机，下载门罗币、莱特币、比特币挖矿木马，通过挖矿牟利，并可能造成神秘信息泄露。

【参考链接】

https://s.tencent.com/research/report/1304.html

【防护步伐】

AG公司威胁情报中心关于该事务提取20条IOC，其中包括4个域名和16个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

4. Water Pamola运动使用恶意订单攻击在线市肆

【标签】Water Pamola

【时间】2021-04-28

【简介】

Water Pamola运动最初通过带有恶意附件的垃圾邮件攻击日本、澳大利亚和欧洲国家的电子商务在线市肆。2020年头以来，该运动的受害者主要泛起在日本境内，并且不再通过垃圾邮件提倡，而是治理员在其在线市肆的治理面板中审查客户订单时，就会执行恶意剧本。

【参考链接】

https://www.trendmicro.com/en_us/research/21/d/water-pamola-attacked-online-shops-via-malicious-orders.html

【防护步伐】

AG公司威胁情报中心关于该事务提取41条IOC，，其中包括7个域名和34个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

5. FluBot恶意软件通过SMS链接撒播迅速在欧洲撒播

【标签】FluBot

【时间】2021-04-27

【简介】

Flubot特工软近期非�；钤�，通过SMS在欧洲地区撒播，英国已有7000个受熏染的装备加入撒播，恶意短信的数目可以抵达每小时数万条，一些移动用户已经收到多达6条带有FluBot链接的短信。FluBot可以同时充当特工软件、短信垃圾邮件发送者、信用卡和银行凭证窃取者。FluBot恶意软件发送受害者的联系人列表，并检索SMS垂纶信息和号码以继续使用受害者的装备撒播。其最新受害者包括英国、德国、匈牙利、意大利、波兰和西班牙的安卓用户。

【参考链接】

https://www.proofpoint.com/us/blog/threat-insight/flubot-android-malware-spreading-rapidly-through-europe-may-hit-us-soon

【防护步伐】

AG公司威胁情报中心关于该事务提取92条IOC，均为样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

6. Sofacy组织针对哈萨克斯坦攻击运动

【标签】Sofacy

【时间】2021-04-19

【简介】

Sofacy（也称为APT28，Pawn Storm，Fancy Bear和Sednit）是一个自2008年以来最先活跃网络特工组织，主要针对政府、军事等，目的主要集中在前苏联共和国和亚洲。在2021年3月发明使用Delphi编写的Delphocy恶意软件针对哈萨克斯坦的攻击运动，该恶意软件与Sofacy组织相关，恶意样原来自一家名为Kazchrome的哈萨克斯坦公司，该公司是一家采矿和金属公司，并且是天下上最大的铬矿石和铁合金生产商之一。

【参考链接】

https://labs.sentinelone.com/a-deep-dive-into-zebrocys-dropper-docs/

【防护步伐】

AG公司威胁情报中心关于该事务提取10条IOC，其中包括2个URLs和8个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

<<上一篇

【清静通告】HTTP协议栈远程代码执行误差（CVE-2021-31166）通告

>>下一篇

【威胁通告】AG公司科技威胁情报周报（2021.05.10-2021.05.16）