金沙js1996

js1996官网登录

  • 基础设施安全

    基础设施安全
  • 数据安全

    数据安全
  • 云计算安全

    云计算安全
  • 工业互联网安全

    工业互联网安全
  • 物联网安全

    物联网安全
  • 信息技术应用创新

    信息技术应用创新
  • 全部产品

    全部产品
  • 全部解决方案

    全部解决方案

基础设施安全


  • 政府

    政府
  • 运营商

    运营商
  • 金融

    金融
  • 能源

    能源
  • 交通

    交通
  • 企业

    企业
  • 科教文卫

    科教文卫

返回列表

金沙js1996威胁情报周报(20200427~20200510)

2020-05-11

 

一、威胁通告

  • Jenkins插件多个漏洞

【发布时间】2020-05-08 18:00:00 GMT

【概述】5月6日,Jenkins官方发布安全公告修复插件中的9个漏洞,有5个插件受到影响。其中SCM Filter Jervis插件存在远程代码执行漏洞(CVE-2020-2189),官方定级为高危。由于SCM Filter Jervis插件默认不配置YAML解析器,导致用户可以使用过滤器配置项目,也可以操作SCM已存储配置过的项目内容。Credentials Binding 插件存在两个凭据泄露漏洞(CVE-2020-2181、CVE-2020-2182),Copy Artifact 插件存在权限校验不当漏洞(CVE-2020-2183),CVS 插件的跨站请求伪造漏洞(CVE-2020-2184)及Amazon EC2 插件中的4 个漏洞(CVE-2020-2185、CVE-2020-2186、CVE-2020-2187、CVE-2020-2188)。

【链接】http://blog.nsfocus.net/jenkins-0508/

二、热点资讯

  1. SaltStack多个漏洞

【概述】近日,服务器基础架构集中化管理平台SaltStack Salt被披露存在两个安全漏洞(CVE-2020-11651、CVE-2020-11652)。开源项目Salt是SaltStack公司产品的核心,作为管理数据中心和云环境中服务器的配置工具,广受欢迎。SaltStack Salt存在的两个漏洞分别是身份验证绕过漏洞(CVE-2020-11651)和目录遍历漏洞( CVE-2020-11652)。

【参考链接】http://blog.nsfocus.net/saltstack-0504/

  1. Weblogic远程代码执行漏洞

【概述】在Oracle官方发布的2020年4月关键补丁更新公告CPU(Critical Patch Update)中,两个针对 WebLogic Server,CVSS 3.0评分为 9.8的严重漏洞(CVE-2020-2883、CVE-2020-2884),允许未经身份验证的攻击者通过T3协议网络访问并破坏易受攻击的WebLogic Server,成功的漏洞利用可导致WebLogic Server被攻击者接管,从而造成远程代码执行。漏洞存在于WebLogic Server核心组件中,利用时无需身份认证及额外交互,并且在Weblogic控制台开启的情况下默认开启T3协议,故影响面较大。

【参考链接】http://blog.nsfocus.net/weblogic-solution-0508/

  1. H2Miner僵尸网络利用SaltStack漏洞入侵服务器挖矿

【概述】H2Miner是一个linux下的挖矿僵尸网络,通过hadoop yarn未授权、thinkphp 5 RCE、confluence RCE、docker和Redis未授权等多种手段进行入侵,分发恶意程序进行挖矿获取利益。近日H2Miner僵尸网络利用SaltStack身份验证绕过漏洞(CVE-2020-11651)和目录遍历漏洞( CVE-2020-11652)入侵企业主机进行挖矿。

【参考链接】https://s.tencent.com/research/report/976.html

  1. PerSwaysion运动滥用Microsoft文档共享服务

【概述】近期,多个网络犯罪集团发起一系列小型但有针对性的网络钓鱼攻击,因为其滥用了Sway服务,这次行动被称为PerSwaysion,此次行动主要是通过滥用Microsoft的文件共享服务来实现的,攻击还采用各种洗白技术和反情报方法逃避检测,其目标是位于美国、加拿大、德国、英国、荷兰、香港和新加坡等全球和地区金融中心的中小型金融服务公司、律师事务所和房地产集团。

【参考链接】https://www.group-ib.com/blog/perswaysion

  1. Naikon组织利用新后门Aria-body针对亚太地区

【概述】Naikon组织针对亚太地区包括澳大利亚、印度尼西亚、菲律宾、越南、泰国、缅甸和文莱几个国家的政府实体进行监视和收集情报。该组织从受感染的计算机和政府部门的网络、可移动驱动器中定位和收集特定的文件、截屏和键盘记录,还利用受感染部门的服务器作为C2服务器来收集、转发和路由窃取的数据。此次攻击该组织使用了一个名为Aria-body的新后门,以控制受害者的网络,Aria-body使用特定加载器加载到计算机中,并允许攻击者完全控制受害者的计算机,执行文件和进程操作,执行shell命令,以及上传和下载数据和其他插件。

【参考链接】https://research.checkpoint.com/2020/naikon-apt-cyber-espionage-reloaded/

  1. OceanLotus组织滥用合法证书通过Android应用市场传播恶意软件

【概述】OceanLotus组织通过官方和第三方市场传播Android应用程序的恶意软件的行为可以追溯到2014年,近期OceanLotus组织使用了合法的数字证书对一些样本进行了签名,首先上传一个干净的版本,然后添加恶意软件,通过Google Play和第三方市场进行传播,此次攻击活动的目标受害者主要针对非洲和亚洲地区。OceanLotus,也被称为APT32、SeaLotus和Ocean Buffalo,是一个与越南有关的威胁组织。

【参考链接】https://labs.bitdefender.com/2020/05/android-campaign-from-known-oceanlotus-apt-group-potentially-older-than-estimated-abused-legitimate-certificate/

  1. Lazarus组织通过2FA应用程序分发Dacls木马

【概述】Lazarus组织自2009年以来从事网络间谍和网络犯罪活动,具有朝鲜背景,也被称为Hidden Cobra。Dacls是一种远程访问木马,是一种针对Windows和Linux平台的全功能隐蔽远程访问木马。近期Lazarus组织利用Dacls远程访问木马的新变种,通过2FA应用程序分发,针对使用Mac操作系统的中国用户进行攻击,进行命令执行、文件管理、流量代理和蠕虫扫描等操作。

【参考链接】https://blog.malwarebytes.com/threat-analysis/2020/05/new-mac-variant-of-lazarus-dacls-rat-distributed-via-trojanized-2fa-app/

  1. 新恶意软件Kaiji通过SSH暴力破解传播

【概述】近期一个新的僵尸网络活动利用自定义植入工具Kaiji,该恶意软件与中国有关,这个僵尸网络使用Golang编程语言从零开始构建,并通过SSH暴力破解目标服务器和物联网设备。

【参考链接】https://intezer.com/blog/research/kaiji-new-chinese-linux-malware-turning-to-golang/

  1. EVILNUM恶意软件针对全球金融业的攻击活动

【概述】EVILNUM恶意软件针对全球金融业,通过使用伪装成pdf和jpeg的木马文件进行传播。当文件被打开时,包含信用卡、驾照、护照和水电费的诱骗图像被显示给用户,同时暗中调用一个用headless Javascript编写的代理,这个代理针对Windows操作系统,允许攻击者上传下载文件、运行命令、窃取cookie和访问其他受保护的数据。

【参考链接】https://blog.prevailion.com/2020/05/phantom-in-command-shell5.html

  1. 新Aggah垃圾邮件活动分发多个远程访问木马

【概述】近期Aggah运动比较活跃,攻击者利用免费基础设施通过恶意垃圾邮件(malspam)附带恶意Microsoft Office文档,向目标用户的终端分发多阶段感染,感染的最终有效负载包括多个远程访问工具,Agent Tesla、njRAT和Nanocore RAT。

【参考链接】https://blog.talosintelligence.com/2020/04/upgraded-aggah-malspam-campaign.html

<<上一篇

js1996官网登录威胁情报月报(2020年4月)

>>下一篇

金沙js1996威胁情报周报(20200511~20200517)

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

提交项目需求

欢迎加入js1996官网登录,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

服务支持

智能客服
智能客服
购买/售后技术问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
js1996官网登录社区
js1996官网登录社区
资料下载|在线问答|技术交流

© 2024 NSFOCUS js1996官网登录 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号

XML 地图