⭐近期安全动态 2021.11.28⭐

90_

1.火绒安全软件正式上架 Win11 应用商店
发布时间：2021.11.12
事件来源：https://www.huorong.cn/info/1636712943745.html
事件摘要：火绒安全软件已正式上架微软 Win11 应用商店，用户可以通过微软商店搜索火绒相关关键词安装使用。

2.一击必中，秒速处置 | 奇安信正式发布漏洞情报服务
发布时间：2021.11.15
事件来源：https://www.qianxin.com/news/detail?news_id=2795
事件摘要：奇安信正式发布漏洞情报服务，从漏洞监测、漏洞挖掘、漏洞分析、漏洞评价、漏洞通知以及漏洞处置进行全生命周期的闭环管理，旨在为各企事业单位提供高精准、高可用漏洞情报，有效提升对漏洞预警、分析、处置和响应的能力。

3.腾讯主机安全（云镜）兵器库：斩杀挖矿木马的利剑-BinaryAI 引擎
发布时间：2021.11.24
事件来源：https://s.tencent.com/research/report/135
事件摘要：腾讯安全技术团队利用人工智能方法，开发出 BinaryAI 引擎对样本文件进行软件成分分析，使末知挖矿木马检测能力大幅提升，目前腾讯主机安全（云镜）已率先集成 BinaryAI 引擎。

4.工信部对腾讯采取过渡性的行政指导措施
发布时间：2021.11.24
事件来源：https://baijiahao.baidu.com/s?id=1717305802410468640&wfr=spider&for=pc
事件摘要：今年以来，在工信部开展的 App 侵害用户权益专项整治中，腾讯公司旗下 9 款产品存在违规行为，共计 4 批次被公开通报，违反了 2021 年信息通信业行风纠风相关要求。按照有关部署，工信部对腾讯公司采取过渡性的行政指导措施，要求对于即将发布的 App 新产品，以及既有 App 产品的更新版本，上架前需经工信部组织技术检测，检测合格后正常上架。腾讯公司 11 月 24 日下午表示，公司正持续升级 App 对用户权益保护的各项措施，并配合监管部门进行正常的合规检测。

威胁事件

1.双平台传播——活跃的 H2Miner 组织挖矿分析
发布时间：2021.11.17
事件来源：https://www.antiy.cn/research/notice&report/research_report/20211117.html
事件摘要：今年 11 月以来，安天 CERT 陆续捕获到多批次 H2Miner 挖矿组织攻击事件，该挖矿组织自 2019 年出现，持续活跃，同时向 Linux 与 Windows 双平台传播恶意脚本，最终下载门罗币挖矿程序以及其他后门、端口扫描工具等。安天智甲终端防御系统（简称 IEP ） Windows 与 Linux 版本可实现对该挖矿木马的查杀与有效防护。

2.春风吹又生，Emotet 僵尸网络 “死灰复燃”
发布时间：2021.11.17
事件来源：https://www.freebuf.com/news/305041.html
事件摘要：在被欧洲刑警连根拔除的 10 个月后，Emotet 似乎在 11 月 14 日又有了活动的迹象，它采用 DLL 文件的形式在感染的服务器上分发，最终为恶意软件 Trickbot 提供“开门的钥匙”。Emotet 之所以被欧洲刑警称为“世界上最危险的恶意软件”，是因为 Emotet 可以成为其他恶意软件的感染桥梁，通过多链路传播感染后，感染 Emotet 的设备可以轻松加载其他的恶意软件，诸如 Trickbot、QakBot 和 Ryuk 等都是其中的典型代表。

3.Dr.Web 在华为 AppGallery 应用商店侦测到新木马
发布时间：2021.11.22
事件来源：https://news.drweb.cn/show/?i=14360&lng=cn
事件摘要：Doctor Web 公司病毒分析师在华为 AppGallery 应用商店大量游戏中侦测到内置的木马 Android.Cynos.7.origin，其功能是收集手机用户的号码。这些游戏的安装量于数千到数百万不等。据 AppGallery 所示下载量计算，这些危险游戏的总安装量至少已有 930 万次。Doctor Web 公司已就侦测到的危险通知华为公司。发布此新闻之际所有包含此木马的应用已从 AppGallery 下架。

4.另辟蹊径，Memento 勒索软件的帮凶竟是 WinRAR ？
发布时间：2021.11.23
事件来源：https://www.freebuf.com/news/305605.html
事件摘要：今年 10 月，Sophos 研究人员发现了 Memento 勒索软件，它采用了一种新方法来阻止受害者访问文件。即使用可以重命名的 WinRAR 免费版本来压缩文件，在对文件进行加密的同时删除受害者系统中的原始文件。与其他勒索团伙一样，如果受害者拒绝支付赎金，Memento 团伙就以数据泄漏为由来威胁受害者。

5.太古海事被勒索，部分中国雇员信息泄露
发布时间：2021.11.26
事件来源：https://mp.weixin.qq.com/s/0gClVoxTA17Pa_Kq07qZGA
事件摘要：Swire Pacific Offshore (SPO) 太古海洋开发集团 (太古公司旗下) 已确认成为 Cl0p 勒索软件团伙有针对性的网络攻击的受害者。该公司声称可能会暴露个人信息和机密专有商业信息。

6.Avast 协助 Google 清理了 150 款增值短信类 Android 恶意扣费应用
发布时间：2021.11.27
事件来源：https://www.cnbeta.com/articles/tech/1208013.htm
事件摘要：最近几周，网络安全公司 Avast 一直在通报被称作“UltimaSMS”的高级短信诈骗活动，可知其波及 151 款下载量达数百万的虚假 Android 应用。Avast 安全研究人员指出：这些恶意 App 将自己伪装成合法工具，涵盖了照片编辑器、相机滤镜、游戏、以及二维码扫描器等领域。然而它们的最终目的，都是诱骗受害者注册昂贵的短信服务、且一切可能在转瞬时间发生 —— 不知不觉中，就可能造成难以被追回的资金损失。

漏洞事件

1.F-secure Atlant 安全漏洞
发布时间：2021.10.04
事件来源：http://cve.scap.org.cn/vuln/VHN-393679
事件摘要：F-secure Atlant 是芬兰 F-Secure（F-secure）公司的一个构建可以扫描和检测恶意文件的应用程序的平台。 F-Secure Atlant  存在安全漏洞，该漏洞源于某些 F-Secure 产品中使用的 AVPACK 模块组件在扫描模糊文件时可能会崩溃。该漏洞可以由攻击者远程触发。攻击成功将导致防病毒引擎的拒绝服务 (DoS) 。

2.CVE-2021-0157、CVE-2021-0158 : Intel BIOS 特权提升漏洞
发布时间：2021.11.16
事件来源：https://cert.360.cn/warning/deta ... 6faa78a768902ee6f08
事件摘要：某些英特尔(R)处理器的 BIOS 固件中的输入验证不正确，可能允许特权用户通过本地访问启用特权升级。对此，360 CERT 建议广大用户及时将 Intel 处理器 BIOS 固件升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

3.微软 Exchange Server 远程代码执行漏洞（CVE-2021-42321）风险通告，漏洞 POC 已公开
发布时间：2021.11.22
事件来源：https://s.tencent.com/research/report/131
事件摘要：微软在 2021 年 11 月补丁星期二（2021.11.10）公开 Exchange 远程代码执行漏洞（CVE-2021-42321）风险，该漏洞为高危漏洞，CVSS 评分 8.8，攻击者可利用该漏洞在 exchange 执行任意代码。exchange 在全球范围内被广泛使用，国内暴露在公网的资产总数超过 6 万。

4.Windows Installer 权限提升漏洞 (0day) 风险通告，腾讯零信任 iOA 率先支持检测拦截
发布时间：2021.11.24
事件来源：https://s.tencent.com/research/report/133
事件摘要：腾讯安全注意到 Windows Installer 权限提升漏洞 Exp 在互联网上公开。此漏洞为 Microsoft Windows Installer(CVE-2021-41379) 漏洞修复补丁的绕过，该漏洞暂无补丁，为 0day 状态。腾讯安全专家已验证网上公开的该 0day 漏洞 EXP（漏洞利用代码）可用，这意味着网络黑产利用将为期不远。

样本：https://bbs.kafan.cn/thread-2222123-1-1.html

5.黑客利用微软 MSHTML 漏洞窃取谷歌、Instagram 信誉（CVE-2021-40444）
发布时间：2021.11.24
事件来源：https://www.bleepingcomputer.com ... le-instagram-creds/
事件摘要：PowerShortShell 窃取程序负载由下载到受感染系统上的 DLL 执行。启动后，PowerShell 脚本开始收集数据和屏幕快照，并将其泄露到攻击者的命令和控制服务器。

APT事件

1.“幼象”组织在南亚地区的网络攻击活动分析
发布时间：2021.11.19
事件来源：https://www.antiy.cn/research/no ... eport/20211119.html
事件摘要：“幼象”组织自安天在 2020 年初披露以来，其攻击活动的规模数量按年度呈倍数增长，攻击手法和攻击资源逐渐丰富，且攻击目标也从初期仅为南亚地区开始覆盖更多的地区。相比于早期我们定义的未成熟的“幼象”，如今该组织已成长为南亚地区最为活跃和成熟的攻击组织。

2.“肚脑虫”组织近期利用 Google 云盘分发新款恶意插件的攻击活动分析
发布时间：2021.11.23
事件来源：https://ti.qianxin.com/blog/arti ... distribute-malware/
事件摘要：Donot“肚脑虫”（APT-Q-38）是疑似具有南亚背景的 APT 组织，其主要以周边国家的政府机构为目标进行网络攻击活动，通常以窃取敏感信息为目的。该组织具备针对 Windows 与 Android 双平台的攻击能力。

3.Lazarus又作妖，近期疑似利用漏洞文档针对韩国航空业展开定向攻击
发布时间：2021.11.24
事件来源：https://x.threatbook.cn/v5/article?threatInfoID=10201
事件摘要：Lazarus 是来自境外的大型 APT 组织，该组织常年持续针对政府、科研、金融、航天、加密货币等机构进行定向攻击活动，其主要目的为窃取重要情报信息及获取经济利益。该组织经常以各种社会工程学方法对目标进行渗透攻击。微步情报局近期通过威胁狩猎系统监测到疑似 Lazarus 组织针对航空业的定向攻击活动。

4.深度剖析 MuddyWater 武器库之 POWERSTATS 后门
发布时间：2021.11.25
事件来源：https://ti.qianxin.com/blog/arti ... apon-of-muddywater/
事件摘要：MuddyWater APT 组织于 2017 年 2 月被 Unit42 披露命名，被认为是来源于中东地区的 APT 组织，主要针对周边国家及其他地区进行攻击。MuddyWater 组织的攻击通常始于向组织发送有针对性的电子邮件，然后从该组织内受感染的系统中窃取合法文件，然后将其武器化并分发给其他受害者。其攻击的特点是善于使用高度混淆的 PowerShell 后门，被称为 POWERSTATS。

hsxd

这个好！！！！