【威胁通告】九游老哥科技威胁情报月报（2021年5月）

2021-06-03

5月，九游老哥科技威胁情报中心（NTI）宣布了多个误差和威胁事务通告，其中，HTTP协议栈远程代码执行误差（CVE-2021-31166）和VMware vCenter Server远程代码执行误差(CVE-2021-21985)影响规模较大。前者保存于HTTP 协议栈 (http.sys) 的处置惩罚程序中，未经身份验证的远程攻击者可通过向目的主机发送特制数据包来举行使用，从而在目的系统上以内核身份执行恣意代码，CVSS评分为9.8，微软体现此误差可用于蠕虫式撒播；后者是由于vCenter Server中的插件Virtual SAN Health Check缺少输入验证，通过443端口会见vSphere Client(HTML5)的攻击者，可以结构特殊的数据包在目的主机上执行恣意代码，无论是否使用vSAN，vCenter Server都会默认启用该受影响的插件，CVSS评分为9.8。

另外，本次微软共修复55个清静误差，其中4个Critical级别误差、50个Important 级别误差。强烈建议所有用户尽快装置更新。

在本月的威胁事务中，勒索软件成为关注的重点，美国油气管道运营商Colonial Pipeline遭DarkSide勒索软件攻击，美国宣布进入紧迫状态；攻击手段方面，泛起恶意软件家族（例如磁盘擦除器等）伪装成勒索软件对目的受害者举行攻击运动；同时勒索软件即服务（RaaS）组织REvil/Sodinokibi需要引起关注。

以上所有误差情报和威胁事务情报、攻击组织情报，以及关联的IOC，均可在九游老哥威胁情报中心获取，网址：https://nti.nsfocus.com/

一、误差态势

2021年05月九游老哥科技清静误差库共收录454个误差, 其中高危误差48个，微软高危误差25个。

* 数据泉源：九游老哥科技威胁情报中心，本表数据阻止到2021.05.31

注：九游老哥科技误差库包括应用程序误差、清静产品误差、操作系统误差、数据库误差、网络装备误差等；

二、威胁事务

1. DarkSide勒索软件攻击事务剖析

【标签】DarkSide

【时间】2021-05-11

【简介】

5月7日，美国油气管道运营商Colonial Pipeline宣布了一份声明，称其由于收到网络攻击，不得不关闭一部分IT系统，进而导致公司旗下的所有管道阻止运行。据称，该起网络攻击事务的源头来自一个自称为DarkSide的勒索软件运营团伙，该团伙使用自主开发的同名勒索软件入侵了Colonial Pipeline的系统。从受害者的应对步伐可以推断，本次对Colonial Pipeline的攻击已成为今年度最严重的勒索软件攻击事务，并且直接展示了勒索软件强盛的破损能力。

【参考链接】

http://blog.nsfocus.net/darkside-colonial/

【防护步伐】

九游老哥威胁情报中心关于该事务提取86条IOC，其中包括5个域名和81个样本；九游老哥清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

2. ICEDID针对金融机构的最新运动

【标签】ICEDID

【时间】2021-05-12

【简介】

前段时间，九游老哥科技伏影实验室捕获到一批相似度十分靠近的样本。我们对这批样本举行了一连跟踪，并举行了周全的剖析，发明其为ICEDID最新运动，本次运动中攻击者新构了一种恶意软件加载器Gziploader。该类样本在2021年3月中旬最先大宗活跃，样本数目众多，主要通过垃圾邮件或垂纶邮件的方法举行撒播。

【参考链接】

http://blog.nsfocus.net/icedid-gziploader/

【防护步伐】

九游老哥威胁情报中心关于该事务提取263条IOC，其中包括7个域名和256个样本；九游老哥清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

3. Freakout僵尸网络控制智能装备攻击云主机

【标签】Freakout

【时间】2021-05-13

【简介】

近期发明Freakout僵尸网络的攻击目的除了IoT智能装备，还会攻击Windows和linux主机，在误差攻击到手之后，会向失陷主机植入IRC后门木马和门罗币挖矿木马，最终通过门罗币挖矿牟利。

【参考链接】

https://s.tencent.com/research/report/1311.html

【防护步伐】

九游老哥威胁情报中心关于该事务提取4条IOC，其中包括1个域名和3个样本；九游老哥清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

4. Bizarro银行木马将攻击规模扩大到欧洲

【标签】Bizarro

【时间】2021-05-17

【简介】

Bizarro 是一个源自巴西的银行木马家族，现在在天下其他地区也有发明，包括西班牙、葡萄牙、法国和意大利的用户成为攻击目的。现在Bizarro 已经实验历来自差别欧洲和南美国家的 70 家银行的客户那里窃取凭证。Bizarro 具有 x64 �？�，能够诱使用户在虚伪弹出窗口中输入两因素身份验证代码。它还可能使用社会工程来说服受害者下载智能手机应用程序。Bizzaro 背后的团队使用托管在 Azure 和亚马逊 (AWS) 上的服务器以及受熏染的 WordPress 服务器来存储恶意软件并网络遥测数据。

【参考链接】

https://securelist.com/bizarro-banking-trojan-expands-its-attacks-to-europe/102258/

【防护步伐】

九游老哥威胁情报中心关于该事务提取10条IOC，其中包括10个样本；九游老哥清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

5. TeamTNT安排Docker映像撒播Tsunami变体

【标签】TeamTNT,Tsunami

【时间】2021-05-25

【简介】

TeamTNT 使用正当用户的 Docker Hub 帐户在 Docker Hub 上安排恶意映像，恶意映像中包括的恶意程序包括Tsunami变体，以下载XMRig二进制文件，举行恶意挖矿运动。

【参考链接】

https://www.lacework.com/taking-teamtnt-docker-images-offline/

【防护步伐】

九游老哥威胁情报中心关于该事务提取9条IOC，其中包括9个样本；九游老哥清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

6. Agrius 组织使用磁盘擦除器攻击以色列

【标签】Apostle,Agrius

【时间】2021-05-25

【简介】

Apostle 是一种奇异且前所未见的磁盘擦除恶意软件，伪装成勒索软件，对以色列的差别目的发动破损性攻击，主要针对网络基础设施。此次攻击运动由Agrius 黑客组织提倡，该组织是与伊朗政府有关的，通常使用定制的工具集和现成的清静软件来安排定制的擦除器兼勒索软件或破损性的擦除器变体，主要重点是数据破损和网络特工运动。

【参考链接】

https://labs.sentinelone.com/from-wiper-to-ransomware-the-evolution-of-agrius/

【防护步伐】

九游老哥威胁情报中心关于该事务提取26条IOC，其中包括5个域名和21个样本；九游老哥清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

7. REvil风云再起，APT式勒索爆发

【标签】REvil

【时间】2021-05-25

【简介】

2021年5月，九游老哥科技CERT监测到REvil/Sodinokibi勒索家族的多起运动，REvil为Ransomware Evil（又称Sodinokibi）的缩写，是一个私人勒索软件即服务（RaaS）组织。于2019年4月首次被发明，在一年内就已被用于一些着名网络攻击，2019年8月的PerCSoft攻击，2020年1月的Travelex勒索软件攻击，及2020年1月的Gedia Automotive攻击等事务。近期，该组织入侵了苹果公司的供应商，并窃取了苹果公司即将推出的产品神秘原理图。

【参考链接】

http://blog.nsfocus.net/revil-apt/

【防护步伐】

九游老哥威胁情报中心关于该事务提取3条IOC，其中包括3个样本；九游老哥清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

8. 攻击者伪造影戏流媒体服务撒播BazaLoader的恶意运动

【标签】BazaLoader

【时间】2021-05-26

【简介】

攻击者伪造影戏流媒体网站BravoMovies的功效包括伪造的影戏海报和带有FAQ常见问题解答、以及可用来“作废”这项服务的Excel电子表格，但它下载的只是恶意软件BazaLoader。BazaLoader 是一种加载程序，用于安排勒索软件或其他类型的恶意软件，并从受害系统窃取敏感数据。BravoMovies 运动使用全心设计的熏染链，与 BazaLoader 隶属机构坚持一致，这些隶属机构诱使受害者跳过多个圈套以触发恶意软件负载，威胁行为者从一封电子邮件最先，告诉收件人除非作废他们对服务的订阅，不然他们的信用卡将被收取用度，这是他们从未签署过的订阅。

【参考链接】

https://www.proofpoint.com/us/blog/threat-insight/bazaflix-bazaloader-fakes-movie-streaming-service

【防护步伐】

九游老哥威胁情报中心关于该事务提取13条IOC，其中包括9个IP，3个域名和1个样本；九游老哥清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

9. 多个恶意软件家族使用Proxylogon误差举行攻击运动

【标签】BlackKingdom,Prometei,LemonDuck

【时间】2021-05-06

【简介】

从3月最先三个恶意软件家族（BlackKingdom勒索软件，Prometei僵尸网络，LemonDuck硬币挖矿程序）最先使用ProxyLogon误差（Microsoft Exchange Server误差CVE-2021-26855）提倡攻击。通过此误差，攻击者可以执行Chopper Web Shell，从而安排各自熏染中的最终有用载荷。Chopper web shell 于 2012 年首次被发明，被威胁行为者普遍使用，用于远程会见目的系统。

【参考链接】

https://www.trendmicro.com/en_us/research/21/e/proxylogon-a-coinminer--a-ransomware--and-a-botnet-join-the-part.html

【防护步伐】

九游老哥威胁情报中心关于该事务提取19条IOC，其中包括19个样本；九游老哥清静平台与装备已集成响应情报数据，为客户提供相关防御检测能力。

<<上一篇

【威胁通告】九游老哥科技威胁情报周报（2021.05.24-2021.05.30）

>>下一篇

【威胁通告】九游老哥科技威胁情报周报（2021.05.31-2021.06.06）