7月，綠盟科技威脅情報中心（NTI）釋出了多個漏洞和威脅事件通告，其中，Windows DNS伺服器遠端程式碼執行漏洞（CVE-2020-1350）影響較大，代號為Sig Red，已存在17年之久，微軟官方給的CVSS評分為10，攻擊者利用該漏洞能夠在沒有任何使用者互動的情況下，在易受攻擊的機器間傳播，從而有可能感染整個組織的網路。

另外，本月微軟修復124個安全問題，Critical的漏洞共有 18 個，Important的漏洞106個，請相關使用者及時更新補丁進行防護。

攻擊組織方面，Lazarus組織針對多平臺的惡意軟體框架MATA、APT29針對COVID-19疫苗開發組織的攻擊活動、Ngrok挖礦殭屍網路針對Docker伺服器以及GMERA惡意軟體針對Mac系統的攻擊需要引起關注。

以上所有漏洞情報和威脅事件情報、攻擊組織情報，以及關聯的IOC，均可在綠盟威脅情報中心獲取，網址：https://nti.nsfocus.com/

一、漏洞態勢

2020年07月綠盟科技安全漏洞庫共收錄128個漏洞, 其中高危漏洞53個，微軟高危漏洞3個。

* 資料來源：綠盟科技威脅情報中心，本表資料截止到2020.07.30

注：綠盟科技漏洞庫包含應用程式漏洞、安全產品漏洞、作業系統漏洞、資料庫漏洞、網路裝置漏洞等；

二、威脅事件

1.  攻擊者使用新漏洞感染TVT DVR裝置

【標籤】TVT DVR裝置

【時間】2020-07-27

【簡介】

近期，研究人員在排查綠盟威脅捕獲系統相關日誌的過程中發現，攻擊者開始使用新的漏洞（已在github上公開，並無CVE編號）感染TVT DVR裝置，該漏洞具有較複雜的攻擊流程，對捕獲系統互動要求極高；惡意載荷經過base64編碼，很容易被安全團隊遺漏；使用nc命令建立一個反向shell的攻擊行為也非常少見。

【參考連結】

https://mp.weixin.qq.com/s/Ya1wuCs-_HUW5eDustwZZQ

【防護措施】

綠盟威脅情報中心關於該事件提取22條IOC，其中包含20個IP、2個樣本；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

2.  Evilnum組織針對金融科技公司

【標籤】Evilnum

【針對行業】金融

【時間】2020-07-08

【簡介】

Evilnum組織透過指向包含在Google雲端硬碟中的ZIP檔案的連結的魚叉式電子郵件來傳播惡意軟體。該組織的主要目標是監視某些金融科技公司並從目標公司及其客戶那裡獲取財務資訊，如帶有客戶清單、投資和交易操作的電子表格和文件，來自瀏覽器的Cookies、會話資訊、客戶信用卡資訊和地址、身份證明檔案等。

【關聯的攻擊組織】

Evilnum是一個長期針對金融行業的威脅組織，旨在監視其目標並從目標公司及其客戶那裡獲取財務資訊。

【參考連結】

https://www.welivesecurity.com/2020/07/09/more-evil-deep-look-evilnum-toolset/

【防護措施】

綠盟威脅情報中心關於該事件提取167條IOC，其中包含7個IP、4個域名、156個樣本；Evilnum組織相關事件3件，該攻擊組織有3個關聯IP和26個關聯樣本；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

3.  Lazarus組織針對多平臺的惡意軟體框架MATA

【標籤】Lazarus

【針對行業】企業

【時間】2020-07-21

【簡介】

MATA惡意軟體框架具有多個元件，例如載入程式，協調器和外掛，這個全面的框架能夠針對Windows，Linux 和 macOS 作業系統，歸屬於Lazarus攻擊組織，在波蘭、德國、土耳其、韓國、日本和印度已有受影響的使用者。近期Lazarus組織使用VHD勒索軟體進行惡意活動，該勒索軟體透過MATA框架進行部署。攻擊者利用存在漏洞的VPN網路進行入侵，獲取管理員許可權，並部署VHD勒索軟體，該勒索軟體可獲取所有連線的磁碟以加密檔案。

【關聯的攻擊組織】

Lazarus Group（又名HIDDEN COBRA、Guardians of Peace、ZINC和NICKEL ACADEMY）是一個威脅組織，歸屬於朝鮮政府，該組織至少從2009年以來一直活躍。

【關聯的攻擊工具】

MATA是一個活躍多平臺惡意軟體框架，功能非常周全，支撐Windows、Linux和MacOS等多個主流平臺，擁有多個元件，例如載入法式、編排器和外掛，全球企業都在其攻擊射程範圍內。

【參考連結】

https://securelist.com/mata-multi-platform-targeted-malware-framework/97746/

https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/

【防護措施】

綠盟威脅情報中心關於該事件提取111條IOC，其中包含6個IP、14個域名、59個樣本和2個漏洞；Lazarus組織相關事件39件，該攻擊組織有31個關聯IP，69個關聯域名，211個關聯樣本和5個關聯漏洞；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

4.  RATicate組織使用CloudEyE載入程式使惡意軟體合法化

【標籤】RATicate

【時間】2020-07-13

【簡介】

RATicate組織至少從去年開始就傳播遠端管理工具RAT和其他竊取資訊的惡意軟體。近期RATicate組織使用CloudEyE載入程式以更隱蔽的方式解壓縮安裝RAT和資訊竊取程式的有效負載。CloudEyE是一個多階段的載入器，也是一個惡意軟體的加密器，帶有以Visual Basic編寫的包裝器，它包含一個shellcode，該shellcode負責下載加密的有效負載並將其注入到遠端程式中。

【關聯的攻擊組織】

RATicate是一個以竊取資訊為目的的威脅組織，主要針對歐洲、中東和亞洲地區。

【參考連結】

https://news.sophos.com/en-us/2020/07/14/raticate-rats-as-service-with-commercial-crypter/

【防護措施】

綠盟威脅情報中心關於該事件提取55條IOC，其中包含1個IP、4個域名和50個樣本；RATicate組織相關事件107件，該攻擊組織有2個關聯IP、79個關聯樣本和16關聯域名；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

5.  Turla組織利用NewPass惡意軟體針對外交領域

【標籤】Turla

【針對行業】政府、外交

【時間】2020-07-13

【簡介】

NewPass是一個相當複雜的惡意軟體，它由滴管、載入器庫和二進位制檔案組成，依賴一個編碼的檔案在彼此之間傳遞資訊和配置。滴管用於部署二進位制檔案，載入器庫能夠解碼提取最後一個元件的二進位制檔案，負責執行特定的操作。Turla 組織近期利用NewPass惡意軟體針對至少一個歐盟國家的外交和外交事務部門。

【關聯的攻擊組織】

Turla是一個總部位於俄羅斯的威脅組織，自2004年以來已在全球多個國家/地區感染受害者，受影響行業包括政府、大使館、軍隊、教育、研究和製藥公司等。Turla以進行水坑和魚叉式釣魚運動以及利用惡意軟體而聞名。Turla的間諜平臺主要針對Windows系統，但也有被用於對抗MacOS和Linux系統。

【參考連結】

https://www.telsy.com/turla-venomous-bear-updates-its-arsenal-newpass-appears-on-the-apt-threat-scene/

【防護措施】

綠盟威脅情報中心關於該事件提取5條IOC，其中包含1個域名和4個樣本；Turla組織相關事件25件，該攻擊組織有33個關聯IP、47個關聯域名，86個關聯樣本和7個關聯漏洞；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

6.  Tallium組織針對韓國的攻擊

【標籤】Tallium

【時間】2020-07-25

【簡介】

Tallium組織在近期針對韓國的一系列攻擊活動中，透過偽裝成韓國研究機構和學者，在韓國經常使用的文件檔案（例如hwp和doc）中插入惡意程式碼後，利用電子郵件直接傳送給使用者，進而發起攻擊，其中每個hwp檔案和doc檔案的命令控制伺服器地址都略有不同，從受感染計算機收集的系統資訊傳遞到C2遠端伺服器時，將使用大資料包傳輸的多部分協議，如果傳輸資料很多，則對其進行分割。

【關聯的攻擊組織】

Tallium是一個威脅組織，主要目標群體是政府官員、智囊團研究人員、大學職員、人權團體等。

【參考連結】

https://blog.alyac.co.kr/3120

【防護措施】

綠盟威脅情報中心關於該事件提取12條IOC，其中包含11個樣本和1個IP；Tallium組織相關事件1件，該攻擊組織有1個關聯IP、11個關聯樣本；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

7.  Honey Trap行動-APT36針對印度國防組織

【標籤】APT36

【針對行業】國防、政府

【時間】2020-07-08

【簡介】

APT36針對印度國防組織和其他政府組織的人員發動Honey Trap行動，使用引誘性的虛假資料誘使目標物件開啟電子郵件，或是在訊息傳遞平臺上聊天，最終導致目標使用者下載惡意軟體。

【關聯的攻擊組織】

APT36，也被稱為ProjectM、Transparent Tribe、TEMP.Lapis，是一個至少從2016年活躍至今的巴基斯坦威脅組織，主要針對印度政府、國防部和使館。

【參考連結】

https://www.seqrite.com/blog/operation-honey-trap-apt36-targets-defense-organizations-in-india/

【防護措施】

綠盟威脅情報中心關於該事件提取44條IOC，其中包含44個樣本；APT36組織相關事件4件，該攻擊組織有2個關聯IP、3個關聯漏洞、6個關聯樣本；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

8.  OilRig瞄準中東電信組織

【標籤】OilRig

【針對行業】電信

【時間】2020-07-21

【簡介】

OilRig組織在近期針對中東的一家電信組織的攻擊活動中使用自定義 Mimikatz工具、Bitvise、PowerShell 下載程式以及 RDAT 工具變體，一種新穎的基於電子郵件的命令和控制(C2)通道，可以將命令和資料隱藏在電子郵件附加的點陣圖影像中，大多數變體依賴於HTTP和DNS隧道進行C2通訊。

【關聯的攻擊組織】

OilRig，也被稱為APT34、HELIX KITTEN，是一個伊朗威脅組織，至少從2014年開始活躍，該組織主要在中東發起攻擊活動，主要針對金融、政府、能源、化工、電信和其他行業。根據基礎設施細節評估該組織為伊朗政府工作。

【關聯的攻擊工具】

Mimikatz是一款強大的系統密碼破解獲取工具，該工具有段時間是作為一個獨立程式執行，現在已被新增到Metasploit框架中，並作為一個可載入的Meterpreter模組。當成功的獲取到一個遠端會話時，使用Mimikatz工具可以很快的恢復密碼。

【參考連結】

https://unit42.paloaltonetworks.com/oilrig-novel-c2-channel-steganography/

【防護措施】

綠盟威脅情報中心關於該事件提取30條IOC，其中包含13個域名和17個樣本；OilRig組織相關事件14件，該攻擊組織有1個關聯IP、5個關聯漏洞、23個關聯樣本和2個關聯漏洞；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

9.  APT29針對COVID-19疫苗開發組織的攻擊活動

【標籤】APT29

【針對行業】政府

【時間】2020-07-16

【簡介】

APT29 組織近期使用名為WellMess和WellMail的自定義惡意軟體針對加拿大、美國和英國的參與COVID-19疫苗開發的各個組織，竊取與COVID-19疫苗的開發和測試有關的資訊和智慧財產權。

【關聯的攻擊組織】

APT29(又名Cozy Bear、CozyDuke、The Dukes和YTTRIUM)是一個歸屬於俄羅斯政府的威脅組織，至少自2008年以來一直活躍。

【參考連結】

https://www.ncsc.gov.uk/files/Advisory-APT29-targets-COVID-19-vaccine-development.pdf

https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development

【防護措施】

綠盟威脅情報中心關於該事件提取94條IOC，其中包含4個漏洞、37個樣本和53個IP；APT29組織相關事件7件，該攻擊組織有37個關聯IP、18個關聯域名、250個關聯樣本和4個關聯漏洞；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

10.  Cerberus銀行木馬針對西班牙Android使用者

【標籤】Cerberus

【時間】2020-07-06

【簡介】

近期Cerberus木馬在Google Play上偽裝成合法應用程式Calculadora de Moneda（西班牙貨幣轉換器），以西班牙Android使用者為目標，並被下載了10,000次以上。Cerberus木馬可訪問使用者的銀行業務詳細資訊、閱讀簡訊、雙因素身份驗證詳細資訊等，並竊取所有訪問資料。

【參考連結】

https://blog.avast.com/avast-finds-banking-trojan-cerberus-on-google-play-avast

【防護措施】

綠盟威脅情報中心關於該事件提取4條IOC，其中包含1個IP，1個域名和2個樣本；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

11.  Lazarus組織利用Magecart攻擊美國和歐洲電商

【標籤】Lazarus

【針對行業】電子商務

【時間】2020-07-05

【簡介】

Lazarus組織使用未經授權的訪問將惡意指令碼注入商店結帳頁面，客戶完成交易後，透過Magecart攔截的資料將傳送到攻擊者控制的收款伺服器。攻擊者使用魚叉式攻擊來獲取零售人員的密碼，修改執行線上商店的計算機程式碼完成對交易的攔截，此次攻擊活動主要針對美國和歐洲電商。

【關聯的攻擊組織】

Lazarus Group（又名HIDDEN COBRA、Guardians of Peace、ZINC和NICKEL ACADEMY）是一個威脅組織，歸屬於朝鮮政府，該組織至少從2009年以來一直活躍。

【參考連結】

https://sansec.io/research/north-korea-magecart#fn:hiddencobra

【防護措施】

綠盟威脅情報中心關於該事件提取4條IOC，其中包含4個域名；Lazarus組織相關事件39件，該攻擊組織有31個關聯IP，69個關聯域名，211個關聯樣本和5個關聯漏洞；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

12.  Welcome Chat惡意軟體針對阿拉伯使用者

【標籤】Welcome Chat

【時間】2020-07-13

【簡介】

Welcome Chat看似一款功能強大的聊天應用程式，實則是間諜軟體，可以監視受害者並免費獲得其資料，該應用程式具有過濾已傳送和已接收的SMS訊息、通話記錄歷史記錄、聯絡人列表、使用者照片、已記錄的電話、GPS裝置的位置以及裝置資訊的功能，近期Welcome Chat旨在被攻擊者利用針對阿拉伯使用者。

【參考連結】

https://www.welivesecurity.com/2020/07/14/welcome-chat-secure-messaging-app-nothing-further-truth/

【防護措施】

綠盟威脅情報中心關於該事件提取5條IOC，其中包含1個域名和4個樣本；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

13.  Darkshades木馬感染Android裝置

【標籤】Darkshades

【時間】2020-07-14

【簡介】

Darkshades是一種以Android裝置為目標的遠端訪問木馬。它具有竊取聯絡方式、精確跟蹤位置、竊取實時簡訊/彩信、獲取卡證書、捕獲截圖、加密檔案和發起 DDOS 攻擊的功能。Darkshades木馬具有兩種變種，區別在於有無卡憑據抓取功能。

【參考連結】

https://insights.oem.avira.com/in-depth-analysis-of-darkshades-a-rat-infecting-android-devices/

【防護措施】

綠盟威脅情報中心關於該事件提取7條IOC，其中包含7個樣本；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

14.  GMERA惡意軟體針對Mac系統的攻擊活動

【標籤】GMERA

【時間】2020-07-16

【簡介】

針對Mac系統的惡意加密貨幣交易應用程式GMERA在近期的攻擊活動中被發現，該惡意軟體用於竊取資訊，例如瀏覽器cookie，加密貨幣錢包和螢幕截圖，並透過HTTP向C＆C伺服器報告，使用硬編碼IP地址將遠端終端會話連線到另一臺C＆C伺服器。

【參考連結】

https://www.welivesecurity.com/2020/07/16/mac-cryptocurrency-trading-application-rebranded-bundled-malware/

【防護措施】

綠盟威脅情報中心關於該事件提取30條IOC，其中包含12個樣本，14個域名和4個IP；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

15.  Ngrok挖礦殭屍網路針對Docker伺服器的攻擊

【標籤】Ngrok

【時間】2020-07-28

【簡介】

Ngrok殭屍網路利用Docker API埠進行攻擊，攻擊者濫用Docker配置功能以逃避標準容器限制並從主機執行各種惡意負載，還部署了網路掃描器以查詢其他潛在的易受攻擊目標。

【關聯的攻擊工具】

Doki是Linux的後門程式，其功能是執行從其操作員接收到的程式碼，該後門利用DynDNS服務和基於Dogecoin加密貨幣區塊鏈的獨特域生成演算法（DGA）來實時查詢其C2的域。

【參考連結】

https://www.intezer.com/container-security/watch-your-containers-doki-infecting-docker-servers-in-the-cloud/

【防護措施】

綠盟威脅情報中心關於該事件提取2條IOC，其中包含1個域名和1個樣本；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

16.  MgBot惡意軟體新變種針對印度和中國香港的攻擊活動

【標籤】MgBot

【時間】2020-07-20

【簡介】

MgBot透過使用Windows上的應用程式管理（AppMgmt）服務來執行並注入其最終有效負載，透過魚叉式網路釣魚電子郵件傳播，具有透過TCP進行C2通訊、截圖、鍵盤記錄、檔案和目錄管理、流程管理、建立MUTEX的功能，近期MgBot惡意軟體新變種針對印度和中國香港發起攻擊活動。

【參考連結】

https://blog.malwarebytes.com/threat-analysis/2020/07/chinese-apt-group-targets-india-and-hong-kong-using-new-variant-of-mgbot-malware/

【防護措施】

綠盟威脅情報中心關於該事件提取21條IOC，其中包含19個樣本和2個IP；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。