6月，綠盟科技威脅情報中心（NTI）釋出了多個漏洞和威脅事件通告，其中，月末披露的Treck TCP/IP協議庫“ Ripple20” 漏洞極為引人關注，影響多個廠商的物聯網裝置，可能導致其受到拒絕服務和遠端命令執行等攻擊。另外，本月微軟修復的漏洞中，Critical的漏洞共有 12 個，Important的漏洞118 個，是有史以來最多的一次，其中 Windows SMB 遠端程式碼執行漏洞（CVE-2020-1301）與 Windows SMBv3 客戶端/伺服器資訊洩漏漏洞（CVE-2020-1206）的 PoC 已公開，請相關使用者及時更新補丁進行防護。

攻擊組織方面，Dark Basin組織大規模網路釣魚活動、XORDDoS和Kaiji殭屍網路變種針對Docker伺服器以及Lucifer惡意軟體活動需要引起關注。
以上所有漏洞情報和威脅事件情報、攻擊組織情報，以及關聯的IOC，均可在綠盟威脅情報中心獲取，網址：https://nti.nsfocus.com/

漏洞態勢

2020年06月綠盟科技安全漏洞庫共收錄177漏洞, 其中高危漏洞58個，微軟高危漏洞19個。

* 資料來源：綠盟科技威脅情報中心，本表資料截止到2020.06.30

注：綠盟科技漏洞庫包含應用程式漏洞、安全產品漏洞、作業系統漏洞、資料庫漏洞、網路裝置漏洞等；

 威脅事件

1. Mustang Panda組織使用Dll-Sideload技術載入PlugX木馬

【標籤】Mustang Panda

【時間】2020-06-02

【簡介】

Mustang Panda組織使用Dll-Sideload技術與合法的二進位制檔案進行傳播，透過一個非常小的DLL，載入一個加密的檔案，在被解密後包含一個外掛木馬PlugX，該惡意軟體可以遠端執行多種命令，以檢索計算機資訊、捕獲螢幕、管理服務和管理程式。

【關聯的攻擊組織】

Mustang Panda是一個長期針對非政府組織（NGO）的威脅組織，常利用Poison Ivy、PlugX和Cobalt Strike有效載荷等共享惡意軟體來收集情報。

【關聯的攻擊工具】

PlugX是使用模組化外掛的遠端訪問工具（RAT），具有檔案上傳、下載和修改，日誌記錄、網路攝像頭控制和遠端執行Shell訪問等功能。

Cobalt Strike是一個商業化滲透測試工具，可用shell訪問受感染的系統。

【參考連結】

https://lab52.io/blog/mustang-panda-recent-activity-dll-sideloading-trojans-with-temporal-c2-servers/

【防護措施】

綠盟威脅情報中心關於該事件提取7條IOC，其中包含3個域名、2個樣本和2個IP；Mustang Panda組織相關事件2件，該攻擊組織有9個關聯域名、8個關聯樣本和5關聯域名；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

2. TA410組織利用惡意軟體FlowCloud針對美國公用事業提供商

【標籤】TA410

【時間】2020-06-08

【簡介】

TA410組織近期針對美國公用事業提供商發起網路釣魚攻擊，此次攻擊以培訓和認證為主題郵件作為誘餌，透過行動式可執行附件和載有大量宏的Microsoft Word文件傳遞模組化的惡意軟體FlowCloud。FlowCloud惡意軟體能夠根據訪問剪貼簿、已安裝的應用程式、鍵盤、滑鼠、螢幕、檔案、服務和程式等命令提供遠端訪問功能，並C&C傳輸資訊。

【關聯的攻擊組織】

TA410是一個與中國有關的威脅組織。

【參考連結】

https://www.proofpoint.com/us/blog/threat-insight/ta410-group-behind-lookback-attacks-against-us-utilities-sector-returns-new

【防護措施】

綠盟威脅情報中心關於該事件提取29條IOC，其中包含5個IP、9個域名、15個樣本；TA410組織相關事件1件，該攻擊組織有5個關聯IP、9個關聯域名和15個關聯樣本；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

3. Dark Basin組織在全球發動大規模網路釣魚攻擊

【標籤】Dark Basin

【時間】2020-06-04

【簡介】

Dark Basin組織透過Gmail帳戶和自託管帳戶等向目標傳送帶有惡意連結的網路釣魚電子郵件，並且使用URL縮短器來掩蓋釣魚網站，其目的是進行情報收集。

【關聯的攻擊組織】

Dark Basin是一個以入侵為目的的駭客組織，目標群體是六大洲的數千個人和數百家機構，包括宣傳團體和記者、民選和高階政府官員，對沖基金以及多個行業。

【參考連結】

https://citizenlab.ca/2020/06/dark-basin-uncovering-a-massive-hack-for-hire-operation/

【防護措施】

綠盟威脅情報中心關於該事件提取479條IOC，其中包含462個域名、17個郵箱；Dark Basin組織相關事件1件，該攻擊組織有462個關聯域名和17個關聯郵箱；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

4. BITTER組織利用Google Play分發惡意程式針對宗教團體

【標籤】BITTER

【針對行業】宗教

【時間】2020-06-18

【簡介】

近期BITTER組織以宗教群體為目標，透過偽裝成真正的教徒或與齋馬節相關的應用程式，以及常見應用程式的通用變體分發惡意軟體。

【關聯的攻擊組織】

BITTER是一個長期針對中國、巴基斯坦等國家進行攻擊活動的APT組織。

【參考連結】

https://www.bitdefender.com/files/News/CaseStudies/study/352/Bitdefender-PR-Whitepaper-BitterAPT-creat4571-en-EN-GenericUse.pdf

【防護措施】

綠盟威脅情報中心關於該事件提取31條IOC，其中包含4個域名和27個樣本；BITTER組織相關事件8件，該攻擊組織有2個關聯域名、85個關聯樣本和2個關聯漏洞；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

5. Tor2Mine組織部署AZORult等惡意軟體

【標籤】Tor2Mine

【時間】2020-06-11

【簡介】

近日Tor2Mine組織透過部署惡意軟體來收集憑證和竊取更多資金，部署過得惡意軟體包括資訊竊取器AZORult、遠端訪問工具Remcos、DarkVNC後門木馬和剪貼簿上的加密貨幣盜竊者。

【關聯的攻擊組織】

Tor2Mine是一個以提供加密貨幣挖掘惡意軟體而聞名的威脅組織。

【參考連結】

https://blog.talosintelligence.com/2020/06/tor2mine-is-up-to-their-old-tricks-and_11.html

【防護措施】

綠盟威脅情報中心關於該事件提取13條IOC，其中包含3個IP、6個域名和4個樣本；Tor2Mine組織相關事件1件，該攻擊組織有3個關聯IP、4個關聯樣本和6關聯域名；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

6. Higaisa組織使用惡意LNK檔案針對中國使用者

【標籤】Higaisa

【時間】2020-06-11

【簡介】

Higaisa組織近期針對中國使用者使用包含誘騙檔案的LNK檔案傳播惡意後門，誘餌內容作為Internet快捷方式檔案或PDF檔案顯示，並在後臺執行惡意活動時顯示給使用者。該後門使用複雜的欺騙性技術，旨在規避安全檢測。

【關聯的攻擊組織】

Higaisa是一個與朝鮮半島有關的威脅組織，至少從2016年開始活躍，其目標包括政府官員和人權組織，以及與朝鮮有關的其他組織機構。

【參考連結】

https://www.zscaler.com/blogs/research/return-higaisa-apt

【防護措施】

綠盟威脅情報中心關於該事件提取6條IOC，其中包含6個樣本；Higaisa組織相關事件3件，該攻擊組織有3個關聯IP、7個關聯樣本和5個聯域名；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

7. InvisiMole組織針對東歐軍事部門和外交使團

【標籤】InvisiMole

【針對行業】軍事、外交

【時間】2020-06-18

【簡介】

InvisiMole組織透過魚叉式電子郵件進行分發惡意軟體，利用RDP協議中BlueKeep漏洞，SMB協議中EternalBlue漏洞和使用木馬檔案和軟體安裝程式三種方式進行傳播，並使用DNS隧道技術逃避檢測，此次攻擊針對東歐的軍事部門和外交使團。

【關聯的攻擊組織】

InvisiMole是一個至少從2013年活躍至今的威脅組織，該組織的RC2CL和RC2FM後門具有廣泛的間諜功能。

【參考連結】

https://www.welivesecurity.com/2020/06/18/digging-up-invisimole-hidden-arsenal/

【防護措施】

綠盟威脅情報中心關於該事件提取111條IOC，其中包含6個IP、14個域名、59個樣本和2個漏洞；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

8. Vendetta組織針對臺灣公民的攻擊活動

【標籤】Vendetta

【針對行業】政府、企業

【時間】2020-06-15

【簡介】

Vendetta是一個主要基於Covid-19開展電子郵件活動的惡意組織，主要以竊取資訊為目的，針對企業和政府部門。近期Vendetta組織假冒臺灣疾病控制中心和預防的總經理，針對臺灣公民傳送包含惡意軟體附件的電子郵件，惡意軟體Nanocore允許完全控制和盜竊受害者系統中的資訊。

【關聯的攻擊組織】   

Vendetta是一個來自歐洲的駭客組織，擅長利用社交工程發起網路攻擊，以竊取商業資料為目的。

【參考連結】

https://business.blogthinkbig.com/vendetta-group-covid-19-phishing-emails/

【防護措施】

綠盟威脅情報中心關於該事件提取133條IOC，其中包含133個樣本；Vendetta組織相關事件2件，該攻擊組織有1個關聯IP、11個關聯樣本；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

9. FIN7組織利用Pillowmint惡意軟體針對零售終端系統

【標籤】Pillowmint、FIN7

【針對行業】零售業

【時間】2020-06-22

【簡介】

近期FIN7組織利用Pillowmint惡意軟體針對零售終端系統，透過惡意的shim資料庫分發，能夠捕獲Track1和Track2信用卡資料。

【關聯的攻擊組織】

FIN7是一個財務動機的威脅組織，自2015年中期以來主要針對美國零售，餐飲和酒店業。他們經常使用銷售點惡意軟體。

【參考連結】

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/pillowmint-fin7s-monkey-thief/

【防護措施】

綠盟威脅情報中心關於該事件提取2條IOC，其中包含2個樣本；FIN7組織相關事件9件，該攻擊組織有87個關聯IP、169個關聯樣本和337關聯域名；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

10. BRONZE VINEWOOD組織瞄準供應鏈機構

【標籤】BRONZE VINEWOOD

【時間】2020-06-23

【簡介】

BRONZE VINEWOOD，也被稱為APT31、ZIRCONIUM，是一個至少從2016年活躍至今的威脅組織，該組織與中國有關。近期BRONZE VINEWOOD組織嘗試竊取憑據並使用合法的遠端訪問解決方案和協議等多種工具和技術來訪問環境，對軟體提供商和其他供應鏈組織的攻擊旨在訪問客戶的資料或網路。

【參考連結】

https://www.secureworks.com/research/bronze-vinewood-targets-supply-chains

【防護措施】

綠盟威脅情報中心關於該事件提取9條IOC，其中包含9個樣本；BRONZE VINEWOOD組織相關事件1件綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

11. XORDDoS和Kaiji殭屍網路變種針對Docker伺服器

【標籤】XORDDoS、Kaiji

【時間】2020-06-22

【簡介】

XORDDoS和Kaiji是Linux殭屍網路惡意軟體型別的變體，此次攻擊是 XORDDoS首次將Docker伺服器作為目標。攻擊者掃描暴露的Docker伺服器通訊埠2375後使用殭屍網路執行暴力攻擊；Kaiji殭屍網路同樣掃描埠2375 暴露的主機，對Docker伺服器執行ping操作，然後部署執行Kaiji二進位制檔案的惡意ARM容器。

【參考連結】

https://blog.trendmicro.com/trendlabs-security-intelligence/xorddos-kaiji-botnet-malware-variants-target-exposed-docker-servers/

【防護措施】

綠盟威脅情報中心關於該事件提取5條IOC，其中包含5個樣本；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

12. Lucifer惡意軟體利用漏洞感染Windows裝置

【標籤】Lucifer

【時間】2020-06-24

【簡介】

Lucifer是加密劫持和DDoS惡意軟體變體的結合，它利用舊漏洞在Windows平臺上傳播和執行惡意活動。該惡意軟體可以進行Monero的密碼劫持，能夠利用多個漏洞和憑據進行命令和控制（C2）操作以及自我傳播，並且針對內部易受攻擊的目標感染並執行EternalBlue，EternalRomance和DoublePulsar後門。

【參考連結】

https://unit42.paloaltonetworks.com/lucifer-new-cryptojacking-and-ddos-hybrid-malware/

【防護措施】

綠盟威脅情報中心關於該事件提取233條IOC，其中包含107個ip、1個域名、19個漏洞和115個樣本；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

13. Hidden Cobra組織的新惡意工具

【標籤】Hidden Cobra

【針對行業】政府,金融,國防

【時間】2020-06-22

【簡介】

Hidden Cobra組織在過去的十年中一直很活躍，今年5月美國政府機構釋出的報告中描述Hidden Cobra組織的三個新惡意工具COPPERHEDGE、TAINTEDSCRIBE和PEBBLEDASH。

【關聯的攻擊組織】

Hidden Cobra（又名Lazarus Group、Guardians of Peace、ZINC和NICKEL ACADEMY）是一個威脅組織，歸屬於朝鮮政府，該組織至少從2009年以來一直活躍。

【關聯的攻擊工具】

COPPERHEDGE是一種遠端訪問工具，以幫助威脅行為者執行系統偵察，在受感染系統上執行任意命令以及竊取被盜資料的能力而聞名；

TAINTEDSCRIBE是一種木馬程式，具有命令模組的功能齊全的信標植入程式，該木馬從命令和控制（C2）伺服器下載其命令執行模組，然後具有下載、上載、刪除和執行檔案，啟用Windows CLI訪問許可權，建立和終止程式，以及執行目標系統列舉的功能；

PEBBLEDASH是又一個功能齊全的信標植入程式的木馬，並由朝鮮支援的駭客組織用於下載、上傳、刪除和執行檔案，啟用Windows CLI訪問，建立和終止程式，並執行目標系統列舉。

【參考連結】

https://blog.reversinglabs.com/blog/hidden-cobra

【防護措施】

綠盟威脅情報中心關於該事件提取135條IOC，其中包含9個IP、38個域名和88個樣本；Hidden Cobra組織相關事件17件，該攻擊組織有22個關聯IP、5個關聯漏洞、117個關聯樣本和31關聯域名；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

14. Office 365網路釣魚活動濫用Adobe Campaign重定向機制

【標籤】Office 365

【時間】2020-06-18

【簡介】

攻擊者利用牛津的電子郵件伺服器傳送垃圾郵件，使用者單擊電子郵件提示的一個按鈕後，透過三星域被重定向到偽裝成Office 365登入頁面的網路釣魚頁面，攻擊活動濫用Adobe Campaign重定向機制，使其躲避安全軟體的檢測，此次攻擊針對歐洲、亞洲和中東。

【參考連結】

https://research.checkpoint.com/2020/phishing-campaign-exploits-samsung-adobe-and-oxford-servers/

【防護措施】

綠盟威脅情報中心關於該事件提取28條IOC，其中包含28個域名；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。

15. 使用StackBlitz工具託管網路釣魚網頁的攻擊活動

【標籤】StackBlitz

【針對行業】政府、金融、國防

【時間】2020-06-05

【簡介】

攻擊者利用StackBlitz工具來託管網路釣魚頁面。垃圾郵件連結透過Microsoft的OneDrive共享軟體服務或者帶有關聯文件下載連結的共享文件提供，使用者單擊下載連結後會重定向到Outlook網路釣魚頁面。

【關聯的攻擊工具】

StackBlitz是一個線上整合開發環境，任何人都可以透過它建立Angular JavaScript和React TypeScript專案併發布到網上。

【參考連結】

https://www.zscaler.com/blogs/research/new-campaign-abusing-stackblitz-tool-host-phishing-pages

【防護措施】

綠盟威脅情報中心關於該事件提取102條IOC，其中包含102個樣本；綠盟安全平臺與裝置已整合相應情報資料，為客戶提供相關防禦檢測能力。