2020年9月第4周情报概览

威胁事件情报

1.Emotet攻击魁北克司法部

发布时间：2020年9月16日

情报来源：

https://www.welivesecurity.com/2020/09/16/emotet-quebec-department-justice-eset/

情报摘要：

魁北克司法部遭受网络攻击，攻击者通过电子邮件投递Emotet 恶意软件。黑客涉嫌窃取大约300名员工的个人信息。

2.英国警告对教育部门的勒索软件威胁激增

发布时间：2020年9月18日

https://www.bleepingcomputer.com/news/security/uk-warns-of-surge-in-ransomware-threats-against-education-sector/

情报摘要：

英国国家网络安全中心（NCSC）已发布有关针对教育机构的勒索软件事件激增的警报，敦促他们遵循最近更新的缓解恶意软件攻击的建议。NCSC在8月份调查了针对该国学校，学院和大学的勒索软件攻击事件增多之后，发出了此警告。

除了对勒索软件威胁进行预警之外，政府组织还提供了常见的针对此类网络攻击的初始感染媒介：不安全的远程桌面协议（RDP）配置；未修补的软件和硬件设备中的漏洞，尤其是网络边缘的设备，例如防火墙和VPN；网络钓鱼电子邮件。

3.Maze勒索软件现在通过虚拟机加密，以逃避检测

发布时间：2020年9月17日

情报来源：

https://www.bleepingcomputer.com/news/security/maze-ransomware-now-encrypts-via-virtual-machines-to-evade-detection/

情报摘要：

迷宫勒索软件操作者采用了Ragnar Locker团伙先前使用的策略；从虚拟机中加密计算机。虚拟机会将主机驱动器安装为远程共享，然后在虚拟机中运行勒索软件以加密共享文件。在攻击中，Maze部署了一个MSI文件，该文件将VirtualBox VM软件以及自定义的Windows 7虚拟机安装在服务器上。之后，再启动虚拟机加密共享的主机文件。

4.Cerberus银行木马的源代码在地下论坛上泄露

发布时间：2020年9月16日

情报来源：

https://securityaffairs.co/wordpress/108373/cyber-crime/cerberus-source-code-leaked.html

情报摘要：

在拍卖失败后，臭名昭著的Cerberus银行木马的源代码已在地下黑客论坛上免费发布。整个项目包括组件的源代码（恶意APK，管理面板和C2代码），安装指南，用于设置的脚本集和具有有效许可证的客户列表，以及与客户和潜在的买家。该恶意软件实现了银行木马功能，例如使用覆盖攻击，拦截SMS消息和访问联系人列表的功能。

5. 滥用Google App Engine功能来创建无限网络钓鱼页面

发布时间：2020年9月20日

情报来源：

https://www.bleepingcomputer.com/news/security/google-app-engine-feature-abused-to-create-unlimited-phishing-pages/

情报摘要：

研究人员最近发现的一项技术表明，如何利用Google的App Engine域来传递网络钓鱼和恶意软件，同时又不被领先的企业安全产品所检测到。Google App Engine是一个基于云的服务平台，用于在Google的服务器上开发和托管Web应用。

诈骗者通常使用云服务来创建被分配了子域的恶意应用。然后，他们在此处托管网络钓鱼页面。或者他们可能将该应用程序用作命令和控制（C2）服务器来传递恶意软件有效负载。

6. 在物联网设备中寻找复杂的恶意软件

发布时间：2020年9月23日

情报来源：

https://securelist.com/looking-for-sophisticated-malware-in-iot-devices/98530/

情报摘要:

这篇文章的动机之一是鼓励对这个主题感兴趣的其他研究人员加入，分享想法和知识，并帮助建立更多功能，以便更好地保护我们的智能设备。物联网设备（例如Zigbee）中使用的通信协议中还存在一些漏洞，攻击者可以利用这些漏洞来将设备定为目标并将恶意软件传播到网络中的其他设备，类似于计算机蠕虫。

漏洞情报

1.Google Chrome PDFium内存损坏导致代码执行

发布时间：2020年9月14日

情报来源：

https://blog.talosintelligence.com/2020/09/vuln-spotlight-google-pdfium-sept-2020.html

情报摘要：

攻击者可能会利用Google Chrome的PDFium功能破坏内存并可能执行远程代码。Chrome是一种流行的免费网络浏览器，可在所有操作系统上使用。PDFium允许用户在Chrome中打开PDF。我们最近发现了一个漏洞，该漏洞使攻击者可以将恶意网页发送给用户，然后导致越界访问内存。

2.Apple Safari远程执行代码漏洞

发布时间：2020年9月17日

情报来源：

https://blog.talosintelligence.com/2020/09/vuln-spotlight-apple-safari-sept-2020.html

情报摘要：

Apple Safari Web浏览器的Webkit功能中包含一个远程执行代码漏洞。具体来说，攻击者可能会在Safari中使用的Webkit DOM呈现系统WebCore中触发“先释放后使用”条件。这可能使攻击者能够在受害机器上执行远程代码。用户需要在Safari中打开特制的恶意网页才能触发此漏洞。

3.数十亿设备或将受到新的“ BLESA”蓝牙安全漏洞的攻击

发布时间：2020年9月18日

情报来源：

https://mp.weixin.qq.com/s/VUUoRD-lM8ZZyJEs0rh1eA

情报摘要：

数以亿计的智能手机、平板电脑、笔记本电脑和物联网设备正在使用蓝牙软件，需要警觉的是，这些软件很容易受到今年夏天披露的一个新的安全漏洞的攻击。该漏洞被称为BLESA (Bluetooth Low Energy Spoofing Attack)，会影响运行Bluetooth Low Energy (BLE)协议的设备。普渡大学( Purdue University )组成的一个研究团队在着手调查BLE协议后，发现了安全问题：附近的攻击者可以绕过重连接验证，并向带有错误信息的BLE设备发送欺骗数据，并诱导使用者和自动化流程做出错误决定。

4.Spring Framework反射型文件下载漏洞风险通告

发布时间：2020年9月22日

情报来源：

https://mp.weixin.qq.com/s/SYXhJrVz87jpMB-V0Zx_LA

情报摘要：

VMware Tanzu发布安全公告，在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中，公布了一个存在于Spring Framework中的反射型文件下载（Reflected File Download,RFD）漏洞（CVE-2020-5421）。

CVE-2020-5421漏洞可通过jsessionid路径参数，绕过防御RFD攻击的保护。攻击者通过向用户发送带有批处理脚本扩展名的URL，使用户下载并执行文件，从而危害系统。VMware Tanzu官方已发布修复漏洞的新版本。

5.The Return of Raining SYSTEM Shells with Citrix Workspace app

发布时间：2020年9月21日

情报来源：

https://www.pentestpartners.com/security-blog/the-return-of-raining-system-shells-with-citrix-workspace-app/

情报摘要：

7月份国外安全研究人员记录了一个新的Citrix Workspace漏洞，该漏洞使攻击者可以在SYSTEM帐户下远程执行任意命令。在对初始修复程序进行了进一步研究之后，又发现了一个新的攻击点：问题的核心在于远程命令行注入漏洞，攻击者可以使用恶意MSI转换绕过Citrix签名的MSI安装程序。

更新的Citrix安全公告：https://support.citrix.com/article/CTX277662，漏洞描述：

在Windows的Citrix Workspace应用程序的自动更新服务中发现了一个漏洞，该漏洞可能导致：1.本地用户将其特权级别提升为运行Windows的Citrix Workspace应用程序的计算机上的管理员级别; 2.启用Windows文件共享（SMB）后，运行Citrix Workspace应用程序的计算机受到远程威胁。

6.Jenkins公告多个插件的安全漏洞（2020.9.23)

发布时间：2020年9月24日

情报来源：

https://s.tencent.com/research/bsafe/1137.html

情报摘要:

Jenkins官方9月23日公告多个插件存在的安全漏洞，这些漏洞可能导致远程代码执行、沙箱绕过、CSRF攻击、XSS漏洞攻击等后果。漏洞涉及五个插件：Implied Labels Plugin、Liquibase Runner Plugin、Lockable Resources Plugin、Script Security Plugin、Warnings Plugin。

7.ZeroLogon（CVE-2020-1472）-攻击与防御

发布时间：2020年9月24日

情报来源：

https://blog.zsec.uk/zerologon-attacking-defending/

情报摘要：

从红蓝对抗的角度了解CVE-2020-1472漏洞，以及如何检测、修补和破解ZeroLogon。结论是：就攻击而言，该漏洞有点改变游戏规则，漏洞利用是如此简单，利用漏洞进行攻击会带来非常有害的后果。无论您坐在篱笆的哪一侧，都应该修补此问题，并鼓励您的客户也这样做。在实时环境中进行开发时应格外小心，因为它会破坏域，并且没有备份机器密码，修复它并不是一个有趣的过程！