尊龙凯时

English

安全产品与方案
行业解决方案
安全服务与运营
安全研究
合作伙伴
技术支持

基础设施安全
数据安全
云计算安全
工业互联网安全
物联网安全
信息技术应用创新
全部产品
全部解决方案

基础设施安全

网络安全

安全管理

应用安全

终端安全

身份与访问管理

解决方案

CH

安全产品与方案

基础设施安全网络安全安全管理应用安全终端安全身份与访问管理解决方案数据安全数据安全产品解决方案云计算安全云计算安全产品解决方案工业互联网安全工业互联网安全产品解决方案物联网安全物联网安全产品解决方案信息技术应用创新信创类安全产品
行业解决方案

政府运营商金融能源交通企业科教文卫
安全服务与运营

专业安全服务应急响应红蓝对抗重保支持咨询服务安全开发安全测试培训与教育可管理安全服务 More 可管理检测与响应服务尊龙凯时主机卫士系统 HGS 尊龙凯时数据安全交换系统 DES 尊龙凯时视频安全交换系统 VES 尊龙凯时安全隔离与信息单向导入系统 SUCS 尊龙凯时工控安全审计系统 SAS-ICS 尊龙凯时工业安全隔离装置 ISID 尊龙凯时工控安全入侵检测系统 IDS-ICS 尊龙凯时工控漏洞扫描系统 ICSScan 尊龙凯时工业网络安全监测管理平台 NSFOCUS INSP 尊龙凯时工业防火墙 ISG 尊龙凯时工业网络安全合规评估工具 ISCAT 工业互联网安全解决方案智慧城市安全运营智慧城市安全运营尊龙凯时云尊龙凯时云
安全研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2023年度报告安全公告威胁通告
合作伙伴

合作伙伴合作伙伴动态成为合作伙伴申请成为合作伙伴
技术支持

服务支持服务热线维保服务产品支持产品安全常见问题产品生命周期公告软件升级行业资讯产品安全软件升级

返回列表

【威胁通告】尊龙凯时科技威胁情报月报（2021年1月）

2021-02-01

1月，尊龙凯时科技威胁情报中心（NTI）发布了多个漏洞和威胁事件通告，其中，Windows NTFS 远程代码执行漏洞 CVE-2020-17096以及Linux sudo权限提升漏洞（CVE-2021-3156）影响较大。前者由于Windows NTFS 存在一个远程代码执行漏洞，本地攻击者可通过运行特制的应用程序，从而提升用户的权限，具有 SMBv2 访问权限的远程攻击者可以通过网络发送特制的请求，利用此漏洞在目标系统上执行代码；后者由于当sudo通过-s或-i命令行选项在shell模式下运行命令时，它将在命令参数中使用反斜杠转义特殊字符。但使用-s或 -i标志运行sudoedit时，实际上并未进行转义，从而可能导致缓冲区溢出。只要存在sudoers文件（通常是 /etc/sudoers），攻击者就可以使用本地普通用户利用sudo获得系统root权限。

另外，本次微软共修复了9个Critical级别漏洞，73个Important 级别漏洞，1个Moderate级漏洞。强烈建议所有用户尽快安装更新。

在本月的威胁事件中，云服务器依然是黑客组织进攻的重点，受近期比特币暴涨带动数字虚拟币整体市值飙升影响，挖矿木马十分活跃。攻击手段方面，出现了利用IRC进行通信控制服务器组件僵尸网络，以及通过State Cashback电子支付工具进行恶意软件传播的攻击方式。同时，incaseformat蠕虫病毒的再次活跃需要引起关注。

以上所有漏洞情报和威胁事件情报、攻击组织情报，以及关联的IOC，均可在尊龙凯时威胁情报中心获取，网址：https://nti.nsfocus.com/

一、 漏洞态势

2021年01月尊龙凯时科技安全漏洞库共收录375个漏洞, 其中高危漏洞46个，微软高危漏洞10个。

* 数据来源：尊龙凯时科技威胁情报中心，本表数据截止到2021.01.28

注：尊龙凯时科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等；

二、威胁事件

1. TOPMiner挖矿木马通过SSH弱口令爆破攻击约1.5万台服务器

【标签】TOPMiner

【时间】2021-01-04

【简介】

挖矿木马TopMiner近期攻击十分活跃，该木马通过SSH弱口令爆破进行攻击入侵，会清除竞品挖矿木马，同时会使用爆破工具在内网横向传播。根据其挖矿钱包收益估算，约有1.5万台服务器被该团伙控制挖矿。由于其使用的挖矿木马名为top，研究人员将其命名为TopMiner挖矿木马。

【参考链接】

https://s.tencent.com//research/report/1213.html

【防护措施】

尊龙凯时威胁情报中心关于该事件提取10条IOC，其中包含1个IP，1个域名和8个样本；尊龙凯时安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

2. 黑客通过State Cashback分发电子邮件传播恶意软件的攻击活动

【标签】State Cashback

【时间】2021-01-05

【简介】

通过利用最近的现金退款计划来进行电子垃圾邮件运动，以传播恶意软件，该计划用于使用电子支付工具（更名为State Cashback）进行的购买。

【参考链接】

https://cert-agid.gov.it/news/malware/falsa-comunicazione-cashback-di-stato-veicola-malware/

【防护措施】

尊龙凯时威胁情报中心关于该事件提取5条IOC，其中包含2个域名和3个样本；尊龙凯时安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

3. golang语言编写的脚本木马利用多个不同linux服务器组件的高危漏洞入侵云服务器

【标签】golang

【时间】2021-01-11

【简介】

受近期比特币暴涨带动数字虚拟币整体市值飙升影响，挖矿木马十分活跃。利用Redis未授权访问漏洞直接写入计划任务，下载用golang语言编写的挖矿木马下载器superman，根据挖矿算力推测该团伙已控制约1万台失陷系统进行门罗币挖矿。

【参考链接】

https://s.tencent.com//research/report/1219.html,https://paper.seebug.org/1440/

【防护措施】

尊龙凯时威胁情报中心关于该事件提取3条IOC，其中包含1个IP和2个样本；尊龙凯时安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

4. 新的androids间谍软件针对巴基斯坦的用户窃取敏感数据的攻击活动

【标签】androids

【时间】2021-01-12

【简介】

目前有研究人员已发现一小群木马版本的androids应用程序，主要销售给居住在巴基斯坦的人。有人修改了这些原本合法的应用程序（可从Google Play商店下载合法版本），让此程序添加秘密监视和间谍活动的恶意功能。

【参考链接】

https://news.sophos.com/en-us/2021/01/12/new-androids-spyware-targets-users-in-pakistan/

【防护措施】

尊龙凯时威胁情报中心关于该事件提取27条IOC，其中包含4个IP，4个域名和19个样本；尊龙凯时安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

5. 沉睡多年的incaseformat蠕虫病毒被唤醒

【标签】incaseformat

【时间】2021-01-13

【简介】

2021年1月13日，尊龙凯时科技应急响应团队接到全国多个客户反馈感染所谓的incaseformat病毒，涉及政府、医疗、教育、运营商等多个行业，且感染主机多为财务管理相关应用系统。感染主机表现为所有非系统分区文件均被删除，由于被删除文件分区根目录下均存在名为incaseformat.log的空文件，因此网络上将此病毒命名为incaseformat。从搜索引擎结果来看，该病毒最早出现时间为2009年，主流杀毒软件厂商均将此病毒命名为Worm.Win32.Autorun，从名称可以判断该病毒为Windows平台通过移动介质传播的蠕虫病毒。病毒文件运行后，首先复制自身到Windows目录下，文件图标伪装为文件夹。病毒文件将在主机重启后运行，并开始遍历所有非系统分区下目录并设置为隐藏，同时创建同名的病毒文件。此外还会通过修改注册表，实现不显示隐藏文件及隐藏已知文件类型扩展名。最后对非系统分区下所有文件执行删除操作，并创建incaseformat.log文件。

【参考链接】

https://m.threatbook.cn/detail/3157

【防护措施】

尊龙凯时威胁情报中心关于该事件提取558条IOC，其中包含558个样本；尊龙凯时安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

6. TeamTNT 新变种利用IRC进行通信控制服务器组建僵尸网络的攻击活动

【标签】TeamTNT

【时间】2021-01-14

【简介】

TeamTNT 变种利用IRC进行通信控制肉鸡服务器组建僵尸网络，此次使用的IRC 采用的是github开源的oragono，暂未检测到后门有执行拒绝服务（DoS）功能。

【参考链接】

https://s.tencent.com//research/report/1226.html

【防护措施】

尊龙凯时威胁情报中心关于该事件提取11条IOC，其中包含3个IP，3个域名和5个样本；尊龙凯时安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

7. RunMiner挖矿木马团伙利用新增漏洞攻击云主机进行挖矿

【标签】RunMiner

【时间】2021-01-19

【简介】

RunMiner挖矿木马团伙使用新增漏洞武器攻击云主机挖矿：利用weblogic反序列化漏洞（CVE-2017-10271）对云主机发起攻击，攻击成功后执行恶意脚本对Linux、Windows双平台植入挖矿木马，进行门罗币挖矿操作。

【参考链接】

https://s.tencent.com//research/report/1229.html

【防护措施】

尊龙凯时威胁情报中心关于该事件提取7条IOC，其中包含1个IP和6个样本；尊龙凯时安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

8. Lazarus 组织针对漏洞安全研究员进行钓鱼攻击

【标签】Lazarus

【时间】2021-01-26

【简介】

此次事件由Google安全团队披露。攻击者通过在Twitter建立多个安全研究者账号，发布大量的漏洞分析文章吸引漏洞安全研究者的关注，同时建立了一个研究博客，发布0day相关的漏洞研究及分析。通过这一方法，筛选并找到潜在的目标，并与之互动。攻击者利用了研究者需要实时关注行业中漏洞披露状况的心理，成功吸引了一些研究者的关注，并通过私信等方式，请求与研究者即潜在的攻击目标一起分析所谓的0day，在研究者答应合作后，发送所谓的“POC”工程文件，该伪造的POC工程文件是一个VS Studio工程文件，其中嵌入了恶意代码。当研究人员打开该工程文件后，恶意代码会立即运行起来。根据Google研究团队披露的信息，有些研究人员访问攻击者运营的研究博客时也感染了病毒，但研究人员的Chrome浏览器为最新版本，由此推测可能存在浏览器0day。

【参考链接】

https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/

【防护措施】

尊龙凯时威胁情报中心关于该事件提取12条IOC，其中包含7个域名和5个样本；尊龙凯时安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

<<上一篇

【威胁通告】尊龙凯时科技威胁情报周报（2021.1.25-1.31）

>>下一篇

【安全通告】Apache Shiro权限绕过漏洞（CVE-2020-17523）通告

✕

您的联系方式

购买热线

提交项目需求

欢迎加入尊龙凯时科技，成为我们的合作伙伴！

*请描述您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方式

*姓名
*联系电话
*邮箱
*职务
*公司
*城市
*行业
*验证码
提交到邮箱

服务支持

智能客服

智能客服

购买/售后技术问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

支持热线

支持热线

400-818-6868

尊龙凯时科技社区

尊龙凯时科技社区

资料下载|在线问答|技术交流

信息安全

网站地图| 法律声明| 投资者关系

关于我们: 公司介绍; 公司荣誉; 尊龙凯时书橱; 尊龙凯时新闻; 工作机会

如何购买: 提交项目需求; 请求回电; 购买热线

尊龙凯时: 公司总部; 分支机构; 全球分支机构

廉洁建设和举报: 举报说明; 举报奖励; 保障制度

快速链接: 尊龙凯时云; 尊龙凯时威胁情报中心NTI; 技术博客; 成功案例; TechWorld技术嘉年华

微博

微信

B站

抖音

视频号

视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

© 2024 NSFOCUS 尊龙凯时科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证48052245号