​​APT情报

1.双尾蝎组织（APT-C-23）针对中东地区的最新攻击活动

2.近期响尾蛇APT组织针对周边国家和地区的攻击活动分析

3.研究人员在2月发现了一个Winnti组织的新后门PipeMon

4.伊朗APT集团瞄准科威特和沙特阿拉伯的政府

攻击事件情报

1.欧洲多国超级计算机集群感染挖矿恶意软件

2.勒索软件攻击者因袭击医院而被捕

3.伪装成Zoom安装包的WebMonitor RAT后门母体

4.有针对性的勒索软件攻击袭击了台湾组织

5.假冒美国财政部的电子邮件传播新的Node.js恶意软件

6.魔域私服客户端捆绑传播远控木马和挖矿木马

7.REvil 勒索软件找到了特朗普数据的买家，现以麦当娜为目标

8.伪装成COVID-19相关的Android应用窃取SMS消息，通话记录，联系人等信息

9.新披露金指狗木马架构：利用软件漏洞规避杀软

10.NoiseMe：瞄准加密货币交易机器人的新型恶意软件攻击分析报告

漏洞情报

1.Apache Tomcat Session 反序列化代码执行漏洞（CVE-2020-9484）

APT情报

1.双尾蝎组织（APT-C-23）针对中东地区的最新攻击活动

发布时间：2020年5月18日

情报来源：https://blogs.360.cn/post/APT-C-23_target_at_Middle_East.html

情报摘要：

国内安全团队发现了与以色列国防军曝光的双尾蝎组织攻击行动相关的另一起网络攻击活动，该活动中使用的间谍软件伪装成MygramIM 应用，并利用钓鱼网站进行传播，根据网站信息，此次攻击活动仍然针对中东地区。

2.近期响尾蛇APT组织针对周边国家和地区的攻击活动分析

发布时间：2020年5月20日

情报来源：

https://mp.weixin.qq.com/s/9LfElDbKCrQX1QzGFISFPw

情报摘要：

国内安全团队捕获到几例疫情相关的恶意LNK样本，此类样本伪装为受害国家的军方抗击疫情战略、空军大学疫情期间网络在线课程政策等热点信息开展攻击。一旦受害者执行此类恶意样本，LNK文件将从远程服务器下载恶意脚本执行，恶意脚本将释放展示正常的诱饵文档以迷惑受害者，并继续从远程获取第二阶段恶意脚本执行。第二阶段恶意脚本将在受害者计算机上部署相关恶意软件，并通过白加黑的方式加载最终的远程木马，控制受害者机器，从而窃取敏感信息。

3.研究人员在2月发现了一个Winnti组织的新后门PipeMon

发布时间：2020年5月21日

情报来源：https://www.welivesecurity.com/2020/05/21/no-game-over-winnti-group/

情报摘要：

在来自韩国和台湾的大型多人在线（MMO）游戏的多个开发人员的服务器上发现了该恶意软件的两种变种。恶意软件操作员破坏了受害者的构建系统，这可能导致供应链攻击，从而使攻击者能够木马化游戏可执行文件。在另一种情况下，游戏服务器受到损害，这可能使攻击者能够操纵游戏中的货币以获取经济利益。

温特集团（Winnti Group）至少自2012年以来一直活跃于该组织，它对软件行业进行了备受关注的供应链攻击，导致大量木马软件（例如CCleaner，ASUS LiveUpdate和多个视频游戏）发行，然后这些木马被用于破坏更多的受害者。最近，ESET研究人员还发现了Winnti Group针对香港几所大学的攻击活动。

4.伊朗APT集团瞄准科威特和沙特阿拉伯的政府

情报来源：

https://thehackernews.com/2020/05/iran-hackers-kuwait.html

情报摘要：

网络安全研究人员阐明了针对科威特和沙特阿拉伯关键基础设施的伊朗网络间谍活动，研究人员表示，情报收集行动是由Chafer APT（也称为APT39或Remix Kitten）进行的，Chafer是以威胁中东电信和旅游业而闻名的APT组织，旨在收集有助于该国地缘政治利益的个人信息。

大多数活动发生在星期五和星期六，正好是中东的周末。另一方面，针对沙特阿拉伯实体的攻击涉及使用社会工程学诱骗受害者运行远程管理工具（RAT），其某些组件与针对科威特和土耳其的组件具有相似之处。

攻击事件情报

1.欧洲多国超级计算机集群感染挖矿恶意软件

发布时间：2020年5月18日

情报来源：https://www.zdnet.com/article/supercomputers-hacked-across-europe-to-mine-cryptocurrency/

情报摘要：

欧洲多个国家的超级计算机遭黑客入侵，感染挖矿恶意软件。英国、德国和瑞士已确认发生了该安全事件，在西班牙的高性能计算中心也发生了类似的入侵事件。研究人员对恶意样本进行了分析，表示攻击者似乎已通过受到破坏的SSH凭据获得了对超级计算机群集的访问权限。一旦攻击者获得对超级计算节点的访问权限，攻击者似乎利用CVE-2019-15666漏洞进行了root访问，然后部署了门罗币挖矿恶意程序。

2.勒索软件攻击者因袭击医院而被捕

发布时间：2020年5月18日

情报来源：https://threatpost.com/ransomware-gang-arrested-locky-hospitals/155842/

情报摘要：

一个网络犯罪团伙因在医院中传播Locky勒索软件而被捕，其中包括其他罪行。在罗马尼亚执法部门牵头的一项行动中，搜查了四人房屋后将其拘留-三人在罗马尼亚，一人在邻国摩尔多瓦。

调查有组织犯罪和恐怖主义局（DIICOT）的检察官指控该小组使用计算机设备和程序进行非法操作，非法访问计算机系统，更改计算机数据完整性和计算机伪造。

3.伪装成Zoom安装包的WebMonitor RAT后门母体

发布时间：2020年5月18日

情报来源：https://mp.weixin.qq.com/s/7PNM7LPt-yc96vnYs8L1lw

情报摘要：

一个伪装成Zoom安装包的恶意文件，实质捆绑了远控后门，用户一旦安装完成后，便会安装远控木马，本地机器就会变成受控端。

虽然该恶意文件达到的效果确实为一个安装包文件，比如本地双击运行后，也会自动弹出一个正常的安装进度条，之后启动正常的带数字签名的Zoom主程序，但确实会释放木马，极具伪装性。

4.有针对性的勒索软件攻击袭击了台湾组织

发布时间：2020年5月6日

情报来源：https://blog.trendmicro.com/trendlabs-security-intelligence/targeted-ransomware-attack-hits-taiwanese-organizations/

情报摘要：

一次新的针对性攻击使台湾的几个组织感染了一个新的勒索软件系列，将其称为ColdLock。由于勒索软件似乎针对数据库和电子邮件服务器进行加密，因此这种攻击可能具有破坏性。

该攻击于5月初开始袭击组织。对恶意软件的分析表明，ColdLock与两个先前已知的勒索软件系列特别是Lockergoga，Freezing和EDA2 “教育”勒索软件套件之间存在相似之处。

5.假冒美国财政部的电子邮件传播新的Node.js恶意软件

发布时间：2020年5月19日

情报来源：https://www.bleepingcomputer.com/news/security/fake-us-dept-of-treasury-emails-spreads-new-nodejs-malware/

情报摘要：

一种新的基于Node.js的远程访问木马和窃取密码的恶意软件正在通过伪装来自美国财政部的恶意电子邮件进行分发。该垃圾邮件称由于银行信息不正确，未支付政府合同的款项。然后，电子邮件会提示用户检查文档中是否有任何错误。电子邮件的附件是名为“ CONTRACT PAYMENT.zip”的档案，其中包含名为“ CONTRACT PAYMENT.jar”的文件，该恶意软件是一种新的名为QNodeService的Node.js恶意软件。

6.魔域私服客户端捆绑传播远控木马和挖矿木马

发布时间：2020年5月19日

情报来源：https://mp.weixin.qq.com/s/eBPMlCSbYM_Ql5Mky9XTAw

情报摘要：

腾讯安全威胁情报中心检测到网络游戏《魔域》私服传播挖矿木马和远程控制木马，木马首先伪装成游戏保护进程TQAT.exe随着游戏启动而执行，随后释放大灰狼远控木马DhlServer.exe，并利用远控木马的下载执行功能继续下载门罗币挖矿木马ws.exe，腾讯安全威胁情报中心将其命名为MoyuMiner。

7.REvil 勒索软件找到了特朗普数据的买家，现以麦当娜为目标

发布时间：2020年5月18日

情报来源：

https://www.bleepingcomputer.com/news/security/revil-ransomware-found-buyer-for-trump-data-now-targeting-madonna/

情报摘要：

REvil勒索软件组织声称已经为买家准备了包含有关美国总统唐纳德·特朗普的破坏性信息的文件，并且正准备拍卖国际名人麦当娜的数据。在与律师事务所进行不成功的谈判之后，REvil在唐纳德·特朗普（Donald Trump）上发布了“包含最无害信息”的档案，收集了160多封电子邮件。

8.伪装成COVID-19相关的Android应用窃取SMS消息，通话记录，联系人等信息

发布时间：2020年5月18日

情报来源：

https://labs.bitdefender.com/2020/05/android-malware-in-covid-19-clothes-steals-sms-and-contacts/

情报摘要：

犯罪分子正在使用旧证书签署利用COVID-19大流行情况的恶意软件，目的是窃取个人数据，包括SMS消息，通话记录，联系人等。此恶意软件有四个不同版本，检测为“ Android.Trojan.InfoStealer.UQ”。程序包名称为“ DZ.Eagle.Master”，而应用程序标签仅为“ Covid”。

9.金指狗木马架构：利用软件漏洞规避杀软

发布时间：2020年5月20日

情报来源：

https://mp.weixin.qq.com/s/zrUj0JUSeQWi_qBkoHOZ-Q

情报摘要：

国内安全团队在日常黑产挖掘过程中发现一个新型木马架构，该架构主要出现在全球华语地区，作者疑似具有中文背景。

该木马架构的免杀效果非常好，采用压缩文件中放置LNK文件的形式进行投递，样本执行过程中利用了Photodex ProShow Producer软件的栈溢出漏洞来执行shellcode，经过几轮内存加载后最终运行大灰狼远控，远程控制受害者电脑。该木马架构命名为金指狗，英文名GoldfingerDog。

10.NoiseMe：瞄准加密货币交易机器人的新型恶意软件攻击分析报告

发布时间：2020年5月20日

情报来源：

https://mp.weixin.qq.com/s/PuB0fQ-cHmHUs2_zSef8Ag

情报摘要：

国内安全研究者近期发现多起以加密货币机器人为诱饵进行加密货币钱包窃取的攻击案例。起初注意到一些行为异常的交易机器人（主要以Bitmex Bot 、Trade Bot、UniqueTradingBot为主），这些机器人在安装过程中弹出缺少.NET运行库的错误提示框。而通过调查分析发现，其中多款机器人的官方软件并没有使用.NET进行相关组件的开发。

这些异常的机器人释放并试图执行一些使用C#编写的可执行文件，同时发现一些非官方的网络连接，确认这是一款新型的具有丰富窃密功能的恶意软件。其中核心组件的大部分类均以“NoiseMe”作为命名空间的起始标志，因此将该恶意软件命名为“NoiseMe”。

其除了具备窃取几乎所有主流加密货币钱包的能力外，还被用于敏感信息（如受害主机的各种登录凭证数据）窃取，进一步黑客还可以利用该恶意软件对受害主机进行定制化的攻击，对不同的受害主机下发不同攻击插件来执行不同的任务，以实现黑客利益的最大化。

漏洞情报

1.Apache Tomcat Session 反序列化代码执行漏洞（CVE-2020-9484）

发布时间：2020年5月21日

情报来源：

https://mp.weixin.qq.com/s/l5J9MxGvhFHOpGg9cRpVLQ

情报摘要：

2020年5月20日，Apache Tomcat官方发布安全公告，披露了一个通过持久化Session可能导致远程代码执行的漏洞CVE-2020-9484。攻击者可能可以构造恶意请求，造成反序列化代码执行漏洞。整体利用条件较为苛刻，实际危害相对较低。​​​​