加国头条 i4cc.ca ｜每周精华情报5.19

把每个周重点的网络空间威胁情报报告、漏洞、技术等汇总整理，能放在这里的都是精华，方便关注的老哥查阅，欢迎关注的老哥仔细研读讨论！

APT活动必看

1、沙特政府网络安全局表示，有黑客团体（使用中国菜刀、nbts.exe、 sscan.exe）使用Microsoft SharePoint中的远程代码执行漏洞对其网络进行刺探打击。暗指兔。

https://www.ncsc.gov.sa/wps/portal/ncsc/home/Alerts/!ut/p/z1/lVLRboJAEPwaH8kud-cBj2elYKkxYgpyLwYR67VyaEts-_c9apM2aYS6T3PJ3O7szIKEJUidn9Rj3qha53vzziRf2fbYDUmA9zMnGqMYzRe3QxpQMUVIQIIsdHNodpDp4rXYq_UAWzDAXV2VZ7xq4arULflQqA1khBPGiyGxkOWOxYiXW57tEWvLGS9dToi33kD6NR0njIU2I9EsRkRBkzCk7o2NAQX5W5w7cgTOEZOJmER0HvHv_x0E2b1cz3zyv_l4oQReqf-vQNndfmEcvzuTLntoIlZPx6MUJsdaN-V7A8v-INM2yh5z-uRlZj3nZ70g8bjpEDt-Evt0ljBIT6p8gwddv1TmFhdXXk-IcKgql34oU1aQWs_bqU_ZJ0-OxIA!/dz/d5/L2dBISEvZ0FBIS9nQSEh/

2、接上，加拿大发布警惕利用SharePoint Server的China Chopper恶意软件活动

https://cyber.gc.ca/en/alerts/china-chopper-malware-affecting-sharepoint-servers

3、不写题目系列1

https://www.nytimes.com/2019/05/06/us/politics/china-hacking-cyber.html

4、不写题目系列2

https://threatvector.cylance.com/en_us/home/reaver-mapping-connections-between-disparate-chinese-apt-groups.html

5、德国报道TeamViewer受到供应链攻击，APT17。

https://www.spiegel.de/plus/teamviewer-wie-hacker-das-deutsche-vorzeige-start-up-ausspionierten-a-00000000-0002-0001-0000-000163955857

6、美国DHS联合FBI发布朝鲜APT组织使用的工具ELECTRICFISH分析。ELECTRICFISH是一个命令行工具，用于在两个IP地址之间汇集流量。；恶意软件不断尝试与源或目标IP地址通信以启动隧道会话。在使用代理服务器配置恶意软件之后，即可完成此操作；DHS的报告描述了ELECTRICFISH使用的代理配置。“可以使用代理服务器/端口和代理用户名和密码配置恶意软件。此功能允许连接到位于代理服务器内部的系统，这允许参与者绕过受感染系统所需的身份验证以到达网络外部，“

https://www.us-cert.gov/ncas/analysis-reports/AR19-129A

7、警惕供应链攻击，挺典型，APT攻击组织BlackTech利用ASUS WebStorage的云存储服务部署Plead后门。除此之外，还可以利用MITM发起中间人攻击，攻击者攻击路由器并将路由器作为C2让我想到了好几个主流APT组织，推荐大家看看这篇报告，里面知识点很多。感兴趣的老哥可以看一下趋势科技和JPCERT发的关于BlackTech的报告。

https://www.welivesecurity.com/2019/05/14/plead-malware-mitm-asus-webstorage/

8、黑客组织攻击了Best of the Web，在网站上做水坑、嵌入JS代码抓访客记录以及键盘。警惕这种供应链攻击！说句废话，水坑攻击实际上在APT攻击中的应用非常多，但是实际抓到的案例比较少，牛逼的组织使用水坑工具直接获取目标精确信息（浏览器版本、账号密码、主机信息等）可直接精确打击。拭目以待吧！

Github code

https://gist.github.com/gwillem/4403a9caf6877d6276cf6fe834a0b48a

https://urlscan.io/responses/5c4474793baf83d5376045163d77f8f2ecd228ba5941ee8572489cb475a3cd1b/

https://twitter.com/gwillem/status/1127890329175244800

9、卡巴斯基发布，疑似朝鲜的APT组织StarCruft利用蓝牙设备窃取数据。另外报告中关于朝鲜APT组织之间的关系做了比较好的证据链关联。

https://securelist.com/scarcruft-continues-to-evolve-introduces-bluetooth-harvester/90729/

漏洞相关

1、Sqlite3远程执行代码漏洞

https://www.talosintelligence.com/vulnerability_reports/TALOS-2019-0777

2、卡巴斯基反病毒产品缓冲区溢出漏洞CVE-2019-8285。

https://www.securityfocus.com/bid/108284/discuss

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8285

3、5.0.8之前的Linux内核易受远程执行代码攻击，攻击者可以利用Linux内核的net/rds/tcp.c中的rds_tcp_kill_sock TCP/IP发现的安全漏洞来触发拒绝服务（DoS）状态，并在易受攻击的Linux机器上远程执行代码。感兴趣的老哥自行搜 CVE-2019-11815。

https://www.bleepingcomputer.com/news/security/linux-kernel-prior-to-508-vulnerable-to-remote-code-execution

4、CVE-2019-0708：Windows RDP服务漏洞，对于Windows 7及Windows Server 2008的用户，及时安装Windows发布的[安全更新]，对于Windows 2003及Windows XP的用户，及时更新系统版本

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

5、思科设备Cisco IOS XE软件Web UI命令注入漏洞

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-webui

6、Cisco Prime基础设施（PI）和思科演进可编程网络（EPN）管理器的基于Web的管理界面中的多个漏洞可能允许远程攻击者获得在底层操作系统上使用提升的权限执行任意代码的能力。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-pi-rce

技术分享

1、新研究，SHA-1碰撞新姿势——chosen-prefix collision attack。让SHA-1安全再次大打折扣。

https://eprint.iacr.org/2019/459.pdf

2、如何利用Office 365做攻击三种技术。三种技术、三种技术、三种技术。

https://www.tripwire.com/state-of-security/security-data-protection/cyber-security/latest-techniques-hackers-office-365/

其中技术之一：

https://www.zdnet.com/article/norelationship-attack-dances-around-office-365-email-filters/

3、逃避检测姿势：加密，技术虽然老，但是真正落地的少，对于大多数的网络设备（APT）检测设备来说，这种技术可以有效躲避检测。

https://blogs.akamai.com/sitr/2019/05/bots-tampering-with-tls-to-avoid-detection.html

4、【推荐关注】透明证书（证书透明度）：证书被APT组织或者其他攻击组织盗用怎么办？难以检测怎么办？透明证书来帮忙。证书日志、显示器、审计。

https://www.certificate-transparency.org/what-is-ct

5、Google发布新项目，0DAY 追踪，主要追踪被APT组织使用的0DAY。目前包括影响来自Facebook，微软，谷歌，苹果，Adobe，Mozilla，思科，甲骨文，IBM和Ghostscript产品的漏洞。零日被认为是由APT3，FruityArmor，ScarCruft（APT37），BlackOasis，APT28（Fancy Bear，Sofacy），Equation Group，AdGholas，APT31，Sandworm，Animal Farm以及备受争议的间谍软件开发的。

https://docs.google.com/spreadsheets/d/1lkNJ0uQwbeC1ZTRrxdtuPLCIl7mlUreoKfSIgajnSyY/htmlview?sle=true#

数据泄露

1、oDB数据库泄漏了属于SMS营销公司ApexSMS的8000多万条记录。这算是运营商事故。泄露的数据类型包括MD5哈希电子邮件、名和姓、城市/州/国家/ ZIP、IP地址、电话号码、移动运营商网络（移动电话或固定电话）

https://techcrunch.com/2019/05/09/sms-spammers-doxxed/

2、巴拿马由于Elasticsearch无密码，泄露了其85%的国民数据，包括全名、出生日期、国民身份证号码（cedula）、医疗保险号码、电话、电子邮件、地址、其他信息。

https://twitter.com/MayhemDayOne/status/1126156443982409728

https://securitydiscovery.com/panama-citizens-massive-data-breach/

3、俄罗斯政府网站泄露了超过225万公民信息，涉及政府雇员和高级政治家的个人和护照等信息。出事的网站是电子交易平台，采购模块ZakazRF（56.2万条记录），“RTS-tender”（55万条）记录），“Roseltorg”（468千条记录），“国家电子平台”（14.2万条记录），ETP AHR（18千条记录）和“Sberbank AST”（50万条记录）

https://www.facebook.com/ibegtin/posts/10156379075648263

https://www.rbc.ru/politics/29/04/2019/5cc2df569a7947c83b69b0d5

4、美国800万用户信息泄露，Elasticsearch数据库无保护，数据库泄露了800万人的个人信息。主要内容是美国的调查问卷（非官方），涉及住址、姓名、邮箱、电话、生日等信息。