2021 月 - ti.nsfocus.com
TRANSCRIPT
2021 年 4 月,绿盟科技威胁情报中心(NTI)发布了多个漏洞和威胁事件通告,其中,Weblogic
多 个 严 重 漏 洞 ( CVE-2021-2135/CVE-2021-2136/CVE-2021-2157/CVE-2021-2211 ) 和
Exchange Server 代 码 执 行 漏 洞 ( CVE-2021-28480/CVE-2021-28481/CVE-2021-
28482/CVE-2021-28483)影响范围较大。前者使未经身份验证的攻击者可发送恶意请求,并
在目标服务器执行任意代码/访问关键数据;后者攻击者可利用上述漏洞绕过 Exchange 身份
验证,无需用户交互即可实现命令执行。 CVE-2021-28480 和 CVE-2021-28481 的 CVSS 评
分为 9.8 分,是未授权远程代码执行漏洞,未经身份验证的攻击者利用漏洞,可在内网的
Exchange 服务器进行横向扩散,可能造成蠕虫级漏洞的危害。
另外,本次微软共修复了 114 个安全漏洞,其中包括 19 个 Critical 级别漏洞,88 个 Important
级别漏洞。强烈建议所有用户尽快安装更新。
在本月的威胁事件中,包括 Gamaredon 组织针对乌克兰政府官员的攻击活动和 Sofacy 组织
针对哈萨克斯坦的攻击,以及 FluBot 恶意软件、SkidMap 病毒、恶意文档生成器 EtterSilent
的最新攻击活动。
以上所有漏洞情报和威胁事件情报、攻击组织情报,以及关联的 IOC,均可在绿盟威胁情报中
心获取,网址:https://nti.nsfocus.com/
一、 漏洞态势
2021 年 04 月绿盟科技安全漏洞库共收录 473 个漏洞, 其中高危漏洞 79 个,微软高危漏洞 47 个。
* 数据来源:绿盟科技威胁情报中心,本表数据截止到 2021.04.30
注:绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等;
二、 威胁事件
1. 恶意文档生成器 EtterSilent 正在被多个网络犯罪组织使用
【标签】EtterSilent
【时间】2021-04-07
【简介】
恶意文档生成器 EtterSilent 正在被多个网络犯罪组织使用,以创建用于分发各种恶意软件的恶意文档,其中包
括 Trickbot 银行木马,该文档生成器使攻击者能够自定义用于发送恶意文档的软件包。EtterSilent 创建两种基本
类型的恶意 Microsoft Office 文档。一个利用了被跟踪为 CVE-2017-8570 的远程执行代码漏洞,而另一个则利用
了恶意宏。在这两种情况下,伪造的 Office 产品都伪装成 DocuSign 文档-一种用于对文档进行电子签名的商业工
具。
【参考链接】
https://intel471.com/blog/ettersilent-maldoc-builder-macro-trickbot-qbot/
【防护措施】
绿盟威胁情报中心关于该事件提取 16 条 IOC,其中包含 16 个样本;绿盟安全平台与设备已集成相应情报数
据,为客户提供相关防御检测能力。
2. Gamaredon 组织针对乌克兰政府官员的攻击活动
【标签】Gamaredon
【时间】2021-04-15
【简介】
近期发现针对乌克兰在政府官员的攻击事件,并归属于俄罗斯组织 Gamaredon,在此次攻击活动中,
Gamaredon 投递的诱饵文档主要是乌克兰语为主,以俄罗斯语为辅,投递的诱饵主题主要是围绕乌克兰与保加利
亚的现代关系进行展开。
【参考链接】
https://www.anomali.com/blog/primitive-bear-gamaredon-targets-ukraine-with-timely-themes
【防护措施】
绿盟威胁情报中心关于该事件提取 20 条 IOC,其中包含 5 个 IP 和 15 个样本;绿盟安全平台与设备已集成相
应情报数据,为客户提供相关防御检测能力。
3. SkidMap 病毒利用 Redis 未授权访问漏洞攻击云主机
【标签】SkidMap
【时间】2021-04-23
【简介】
近期有攻击者利用 Redis 未授权访问漏洞攻击云服务器,研究人员判定为 SkidMap 病毒变种的攻击活动,约
数千台云主机受到影响,受害主机已被攻击者控制沦为矿机,下载门罗币、莱特币、比特币挖矿木马,通过挖矿牟
利,并可能造成机密信息泄露。
【参考链接】
https://s.tencent.com/research/report/1304.html
【防护措施】
绿盟威胁情报中心关于该事件提取 20 条 IOC,其中包含 4 个域名和 16 个样本;绿盟安全平台与设备已集成相
应情报数据,为客户提供相关防御检测能力。
4. Water Pamola 活动利用恶意订单攻击在线商店
【标签】Water Pamola
【时间】2021-04-28
【简介】
Water Pamola 活动最初通过带有恶意附件的垃圾邮件攻击日本、澳大利亚和欧洲国家的电子商务在线商店。
2020 年初以来,该活动的受害者主要出现在日本境内,并且不再通过垃圾邮件发起,而是管理员在其在线商店的
管理面板中查看客户订单时,就会执行恶意脚本。
【参考链接】
https://www.trendmicro.com/en_us/research/21/d/water-pamola-attacked-online-shops-via-
malicious-orders.html
【防护措施】
绿盟威胁情报中心关于该事件提取 41 条 IOC,,其中包含 7 个域名和 34 个样本;绿盟安全平台与设备已集成
相应情报数据,为客户提供相关防御检测能力。
5. FluBot 恶意软件通过 SMS 链接传播迅速在欧洲传播
【标签】FluBot
【时间】2021-04-27
【简介】
Flubot 间谍软近期非常活跃,通过 SMS 在欧洲地区传播,英国已有 7000 个受感染的设备参与传播,恶意短
信的数量可以达到每小时数万条,一些移动用户已经收到多达 6 条带有 FluBot 链接的短信。FluBot 可以同时充当
间谍软件、短信垃圾邮件发送者、信用卡和银行凭证窃取者。FluBot 恶意软件发送受害者的联系人列表,并检索
SMS 钓鱼信息和号码以继续使用受害者的设备传播。其最新受害者包括英国、德国、匈牙利、意大利、波兰和西班
牙的安卓用户。
【参考链接】
https://www.proofpoint.com/us/blog/threat-insight/flubot-android-malware-spreading-rapidly-
through-europe-may-hit-us-soon
【防护措施】
绿盟威胁情报中心关于该事件提取 92 条 IOC,均为样本;绿盟安全平台与设备已集成相应情报数据,为客户
提供相关防御检测能力。
6. Sofacy 组织针对哈萨克斯坦攻击活动
【标签】Sofacy
【时间】2021-04-19
【简介】
Sofacy(也称为 APT28,Pawn Storm,Fancy Bear 和 Sednit)是一个自 2008 年以来开始活跃网络间谍组
织,主要针对政府、军事等,目标主要集中在前苏联共和国和亚洲。在 2021 年 3 月发现使用 Delphi 编写的 Delphocy
恶意软件针对哈萨克斯坦的攻击活动,该恶意软件与 Sofacy 组织相关,恶意样本来自一家名为 Kazchrome 的哈
萨克斯坦公司,该公司是一家采矿和金属公司,并且是世界上最大的铬矿石和铁合金生产商之一。
【参考链接】
https://labs.sentinelone.com/a-deep-dive-into-zebrocys-dropper-docs/
【防护措施】
绿盟威胁情报中心关于该事件提取 10 条 IOC,其中包含 2 个 URLs 和 8 个样本;绿盟安全平台与设备已集成
相应情报数据,为客户提供相关防御检测能力。
2000-2021 绿盟科技