AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

【威胁通告】AG公司科技威胁情报月报（2021年5月）

2021-06-03

5月，AG公司科技威胁情报中心（NTI）宣布了多个误差和威胁事务通告，其中，HTTP协议栈远程代码执行误差（CVE-2021-31166）和VMware vCenter Server远程代码执行误差(CVE-2021-21985)影响规模较大。前者保存于HTTP 协议栈 (http.sys) 的处置惩罚程序中，未经身份验证的远程攻击者可通过向目的主机发送特制数据包来举行使用，从而在目的系统上以内核身份执行恣意代码，CVSS评分为9.8，微软体现此误差可用于蠕虫式撒播；后者是由于vCenter Server中的插件Virtual SAN Health Check缺少输入验证，通过443端口会见vSphere Client(HTML5)的攻击者，可以结构特殊的数据包在目的主机上执行恣意代码，无论是否使用vSAN，vCenter Server都会默认启用该受影响的插件，CVSS评分为9.8。

另外，本次微软共修复55个清静误差，其中4个Critical级别误差、50个Important 级别误差。强烈建议所有用户尽快装置更新。

在本月的威胁事务中，勒索软件成为关注的重点，美国油气管道运营商Colonial Pipeline遭DarkSide勒索软件攻击，美国宣布进入紧迫状态；攻击手段方面，泛起恶意软件家族（例如磁盘擦除器等）伪装成勒索软件对目的受害者举行攻击运动；同时勒索软件即服务（RaaS）组织REvil/Sodinokibi需要引起关注。

以上所有误差情报和威胁事务情报、攻击组织情报，以及关联的IOC，均可在AG公司威胁情报中心获取，网址：https://nti.nsfocus.com/

一、误差态势

2021年05月AG公司科技清静误差库共收录454个误差, 其中高危误差48个，微软高危误差25个。

* 数据泉源：AG公司科技威胁情报中心，本表数据阻止到2021.05.31

注：AG公司科技误差库包括应用程序误差、清静产品误差、操作系统误差、数据库误差、网络装备误差等；

二、威胁事务

1. DarkSide勒索软件攻击事务剖析

【标签】DarkSide

【时间】2021-05-11

【简介】

5月7日，美国油气管道运营商Colonial Pipeline宣布了一份声明，称其由于收到网络攻击，不得不关闭一部分IT系统，进而导致公司旗下的所有管道阻止运行。据称，该起网络攻击事务的源头来自一个自称为DarkSide的勒索软件运营团伙，该团伙使用自主开发的同名勒索软件入侵了Colonial Pipeline的系统。从受害者的应对步伐可以推断，本次对Colonial Pipeline的攻击已成为今年度最严重的勒索软件攻击事务，并且直接展示了勒索软件强盛的破损能力。

【参考链接】

http://blog.nsfocus.net/darkside-colonial/

【防护步伐】

AG公司威胁情报中心关于该事务提取86条IOC，其中包括5个域名和81个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

2. ICEDID针对金融机构的最新运动

【标签】ICEDID

【时间】2021-05-12

【简介】

前段时间，AG公司科技伏影实验室捕获到一批相似度十分靠近的样本。我们对这批样本举行了一连跟踪，并举行了周全的剖析，发明其为ICEDID最新运动，本次运动中攻击者新构了一种恶意软件加载器Gziploader。该类样本在2021年3月中旬最先大宗活跃，样本数目众多，主要通过垃圾邮件或垂纶邮件的方法举行撒播。

【参考链接】

http://blog.nsfocus.net/icedid-gziploader/

【防护步伐】

AG公司威胁情报中心关于该事务提取263条IOC，其中包括7个域名和256个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

3. Freakout僵尸网络控制智能装备攻击云主机

【标签】Freakout

【时间】2021-05-13

【简介】

近期发明Freakout僵尸网络的攻击目的除了IoT智能装备，还会攻击Windows和linux主机，在误差攻击到手之后，会向失陷主机植入IRC后门木马和门罗币挖矿木马，最终通过门罗币挖矿牟利。

【参考链接】

https://s.tencent.com/research/report/1311.html

【防护步伐】

AG公司威胁情报中心关于该事务提取4条IOC，其中包括1个域名和3个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

4. Bizarro银行木马将攻击规模扩大到欧洲

【标签】Bizarro

【时间】2021-05-17

【简介】

Bizarro 是一个源自巴西的银行木马家族，现在在天下其他地区也有发明，包括西班牙、葡萄牙、法国和意大利的用户成为攻击目的。现在Bizarro 已经实验历来自差别欧洲和南美国家的 70 家银行的客户那里窃取凭证。Bizarro 具有 x64 �？�，能够诱使用户在虚伪弹出窗口中输入两因素身份验证代码。它还可能使用社会工程来说服受害者下载智能手机应用程序。Bizzaro 背后的团队使用托管在 Azure 和亚马逊 (AWS) 上的服务器以及受熏染的 WordPress 服务器来存储恶意软件并网络遥测数据。

【参考链接】

https://securelist.com/bizarro-banking-trojan-expands-its-attacks-to-europe/102258/

【防护步伐】

AG公司威胁情报中心关于该事务提取10条IOC，其中包括10个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

5. TeamTNT安排Docker映像撒播Tsunami变体

【标签】TeamTNT,Tsunami

【时间】2021-05-25

【简介】

TeamTNT 使用正当用户的 Docker Hub 帐户在 Docker Hub 上安排恶意映像，恶意映像中包括的恶意程序包括Tsunami变体，以下载XMRig二进制文件，举行恶意挖矿运动。

【参考链接】

https://www.lacework.com/taking-teamtnt-docker-images-offline/

【防护步伐】

AG公司威胁情报中心关于该事务提取9条IOC，其中包括9个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

6. Agrius 组织使用磁盘擦除器攻击以色列

【标签】Apostle,Agrius

【时间】2021-05-25

【简介】

Apostle 是一种奇异且前所未见的磁盘擦除恶意软件，伪装成勒索软件，对以色列的差别目的发动破损性攻击，主要针对网络基础设施。此次攻击运动由Agrius 黑客组织提倡，该组织是与伊朗政府有关的，通常使用定制的工具集和现成的清静软件来安排定制的擦除器兼勒索软件或破损性的擦除器变体，主要重点是数据破损和网络特工运动。

【参考链接】

https://labs.sentinelone.com/from-wiper-to-ransomware-the-evolution-of-agrius/

【防护步伐】

AG公司威胁情报中心关于该事务提取26条IOC，其中包括5个域名和21个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

7. REvil风云再起，APT式勒索爆发

【标签】REvil

【时间】2021-05-25

【简介】

2021年5月，AG公司科技CERT监测到REvil/Sodinokibi勒索家族的多起运动，REvil为Ransomware Evil（又称Sodinokibi）的缩写，是一个私人勒索软件即服务（RaaS）组织。于2019年4月首次被发明，在一年内就已被用于一些着名网络攻击，2019年8月的PerCSoft攻击，2020年1月的Travelex勒索软件攻击，及2020年1月的Gedia Automotive攻击等事务。近期，该组织入侵了苹果公司的供应商，并窃取了苹果公司即将推出的产品神秘原理图。

【参考链接】

http://blog.nsfocus.net/revil-apt/

【防护步伐】

AG公司威胁情报中心关于该事务提取3条IOC，其中包括3个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

8. 攻击者伪造影戏流媒体服务撒播BazaLoader的恶意运动

【标签】BazaLoader

【时间】2021-05-26

【简介】

攻击者伪造影戏流媒体网站BravoMovies的功效包括伪造的影戏海报和带有FAQ常见问题解答、以及可用来“作废”这项服务的Excel电子表格，但它下载的只是恶意软件BazaLoader。BazaLoader 是一种加载程序，用于安排勒索软件或其他类型的恶意软件，并从受害系统窃取敏感数据。BravoMovies 运动使用全心设计的熏染链，与 BazaLoader 隶属机构坚持一致，这些隶属机构诱使受害者跳过多个圈套以触发恶意软件负载，威胁行为者从一封电子邮件最先，告诉收件人除非作废他们对服务的订阅，不然他们的信用卡将被收取用度，这是他们从未签署过的订阅。

【参考链接】

https://www.proofpoint.com/us/blog/threat-insight/bazaflix-bazaloader-fakes-movie-streaming-service

【防护步伐】

AG公司威胁情报中心关于该事务提取13条IOC，其中包括9个IP，3个域名和1个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

9. 多个恶意软件家族使用Proxylogon误差举行攻击运动

【标签】BlackKingdom,Prometei,LemonDuck

【时间】2021-05-06

【简介】

从3月最先三个恶意软件家族（BlackKingdom勒索软件，Prometei僵尸网络，LemonDuck硬币挖矿程序）最先使用ProxyLogon误差（Microsoft Exchange Server误差CVE-2021-26855）提倡攻击。通过此误差，攻击者可以执行Chopper Web Shell，从而安排各自熏染中的最终有用载荷。Chopper web shell 于 2012 年首次被发明，被威胁行为者普遍使用，用于远程会见目的系统。

【参考链接】

https://www.trendmicro.com/en_us/research/21/e/proxylogon-a-coinminer--a-ransomware--and-a-botnet-join-the-part.html

【防护步伐】

AG公司威胁情报中心关于该事务提取19条IOC，其中包括19个样本；AG公司清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

<<上一篇

【威胁通告】AG公司科技威胁情报周报（2021.05.24-2021.05.30）

>>下一篇

【威胁通告】AG公司科技威胁情报周报（2021.05.31-2021.06.06）

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号