2019.10.17-2019.10.24
 攻击团伙情报
揭密：当年奥运会背后的网络暗战和幕后网军真相
英美调查显示俄罗斯Turla APT组织伪装成伊朗黑客
Magecart Group 5可能与Carbanak APT相关
来自TransparentTribe APT组织的窃密
攻击行动或事件情报
披露：导致一个自动化设备生产商全球的系统宕机一周的罪魁祸首
传统与网络空间中的热战交叠：沙特油仓被炸后前后美伊的多维角力
网络战O2O进一步升级？伊朗阿巴丹炼油厂疑似遭受网络攻击导致火灾
史无前例：微软SQL Server被黑客组织安上了后门skip-2.0
恶意代码情报
克什米尔冲突之针对巴基斯坦的Chenab（奇纳布河）监控活动样本分析
McAfee ATR分析Sodinokibi勒索
漏洞相关情报
泛微e-cology OA SQL注入漏洞预警  
攻击团伙情报
 1
 揭密：当年奥运会背后的网络暗战和幕后网军真相
披露时间：2019年10月23日
情报来源：
https://mp.weixin.qq.com/s/anC86mOuuaH09lnWMEVXEw
 
相关信息：
2018年2月26日，平昌的官员们承认，2018年2月9日举行的冬奥会开幕式遭到了网络袭击，但他们拒绝证实袭击是由俄罗斯人发动的。开幕式晚上，互联网、广播系统和奥运会网站都出现了问题。许多观众无法打印他们的入场券，导致座位空置。
针对奥运会攻击的初始样本OlympicDestroyer是一种网络蠕虫，它收集带有主机名的用户凭据，并将新数据附加到现有数据的末尾，从而进一步渗透。经红雨滴团队测试后发现，在开启系统后会造成频繁重启且蓝屏的情况，无法进入系统，且安全模式也无法进入，若要进入需要执行恢复系统操作。从此处便可以看出，攻击者一开始打算便不是出于窃密为目的，而单纯是破坏性行动，从而试图干扰奥运会的举行。从手法上来看，与 NotPetya和BadRabbit勒索软件相似。
2
 英美调查显示俄罗斯Turla APT组织伪装成伊朗黑客
披露时间：2019年10月21日
情报来源：
https://securityaffairs.co/wordpress/92770/apt/turla-false-flag-iran.html
 
相关信息：
据英国《金融时报》报道，英美联合调查显示，与俄罗斯有关联的网络间谍组Turla在超过35个国家进行了多次伪装成伊朗黑客的攻击。这是Turla APT首次采用这种策略。
2018年，美国情报机构报道称，俄罗斯国家资助的黑客利用袭击袭击了韩国平昌冬奥会。当时，黑客引入了与朝鲜Lazarus Group相关的恶意代码。Turla至少自2007年以来一直活跃在全世界各个地区。包括瑞士国防公司RUAG、美国国务院和美国中央司令部等在内的多个机构都是该组织攻击的受害者。
参与调查的专家认为该组织至少自2014年以来就劫持了臭名昭著的与伊朗相关的APT组织Oilrig。该组织攻击符合伊朗的战略利益，主要在中东开展业务，目标是金融，政府，能源，化工，电信和其他行业。
3
 Magecart Group 5可能与CarbanakAPT相关
披露时间：2019年10月22日
情报来源：
https://blog.malwarebytes.com/threat-analysis/2019/10/the-forgotten-domain-exploring-a-link-between-magecart-group-5-and-the-carbanak-apt/
 
相关信息：
Malwarebytes的研究人员追踪到Magecart Group5（Magecart旗下最活跃的犯罪团伙之一）似乎与Carbanak黑客组织有联系。自2010年以来，安全公司至少监视了十几个团体的活动。恶意软件研究人员分析了MagecartGroup 5相关活动所涉及的多个域后，发现注册人与Dridex恶意软件和Carbanak组织有关。
4
 来自TransparentTribe APT组织的窃密
披露时间：2019年10月22日
情报来源：
https://www.freebuf.com/articles/network/215818.html
 
相关信息：
近期，深信服安全团队通过对海外第三方数据样本的监控，捕获到疑似TransparentTribe APT组织变种样本（当前在国内尚未发现该病毒活动迹象）。该组织又被称为ProjectM、C-Major，通常通过鱼叉式钓鱼邮件对特定国家政府发起针对性的攻击，主要为窃取受害者主机的敏感信息。启用宏之后，诱饵文件正文如下，该诱饵文件伪装为“2019英勇奖名单”，另外我们发现正文中“SENA MEDAL”为印度的荣誉奖项，由此推断该诱饵文件是投递到印度区域，结合目前印巴网络战持续升温，该诱饵文件很可能是针对相关军事人员。
攻击行动或事件情报
 1
 披露：导致一个自动化设备生产商全球的系统宕机一周的罪魁祸首
披露时间：2019年10月24日
情报来源：
https://mp.weixin.qq.com/s/bwKZReti5gztq92L4U21IQ
 
相关信息：
皮尔兹是全球最大的自动化设备生产商之一，总部位于德国，在全球有24家子公司和众多合作伙伴，其在中国的总部位于上海，并在北京和广州设有子公司，国内业务非常广泛。
从2019年10月13日起，由于受到了BitPaymer勒索病毒的攻击，该公司在全球范围内的所有服务器和PC工作站，包括通信设施，都受到了影响。据悉其生产能力没有收到太大的影响，但是其订单系统无法正常工作，无法提交订单和检查客户状态，在全球76个国家或地区的所有业务都收到了影响，截止到发稿为止，接受订单信息依然是通过电子邮件按照顺序进行人工处理。鉴于此事件对工业界影响较大，奇安信病毒响应中心在对BitPaymer勒索软件进行分析后，结合以往其背后的团伙攻击事件时间线进行总结，同时对勒索代码进行简单分析。
2
 传统与网络空间中的热战交叠：沙特油仓被炸后前后美伊的多维角力
披露时间：2019年10月18日
情报来源：
https://mp.weixin.qq.com/s/VQhwNBvb-Z9eyxGiAba0Hg
 
相关信息：
根据路透社10月16日最新报道称，由于美国认为沙特阿拉伯石油设施被袭击一事是伊朗所为，因此其于9月下旬，为了遏制伊朗拥有的可“发布对美国不利消息”的能力，美国秘密打击了伊朗的网络。而根据消息透露，该次攻击行为影响了物理硬件，但未提供进一步的细节。
奇安信威胁情报中心红雨滴团队对沙特阿拉伯石油设施被炸事件进行了整理，对美国与伊朗之间的网络战进行分析，最后研判石油类能源网络安全的趋势。
3
 网络战O2O进一步升级？伊朗阿巴丹炼油厂疑似遭受网络攻击导致火灾
披露时间：2019年10月21日
情报来源：
https://mp.weixin.qq.com/s/qoJ4yHCzdz1vwU7S9bngow
 
相关信息：
当地时间2019年10月20日下午，一则关于伊朗阿巴丹炼油厂（Abadan Refinary）发生火灾一事出现于国外媒体报道中，其中提到火势已经受到控制。
奇安信威胁情报中心红雨滴团队在威胁态势监控过程中，发现外网一个名为@Babak Taghvaee，自我介绍为英国广播公司（BBC）通讯员的账号，发布了一条关于伊朗阿巴丹炼油厂发生火灾的消息，并称已经确认是网络攻击导致的火灾，有可能是出于伊朗对沙特阿拉伯发起的无人机袭击的报复。卡巴斯基安全研究员转发了该消息，并称怀疑是网络攻击，让我们拭目以待。
红雨滴团队对无人机袭击沙特国家石油公司（阿美石油公司）的两处石油设施并引发火灾一事进行了分析，并对随后美国方面称已经对伊朗进行了秘密网络军事打击一事进行了说明。
4
 史无前例：微软SQL Server被黑客组织安上了后门skip-2.0
披露时间：2019年10月23日
情报来源：
https://www.welivesecurity.com/2019/10/21/winnti-group-skip2-0-microsoft-sql-server-backdoor/
 
相关信息：
ESET一段时间以来都在追踪 Winnti Group 的攻击活动情况。Winnti Group至少活跃于2012年并发动了多起高级别的针对视频游戏和软件行业的供应链攻击。最近发现了针对微软SQL(MSSQL)的后门，可导致攻击者在受攻陷的组织机构内站稳脚跟。该后门和Winnti Group 在2019年10月使用过的另外一款工具PortReuse 后门之间存在很多相似之处。在受陷环境中，找到了一款被开发人员命名为skip.2-0的新工具。它使用了相同的 VMProtected 启动器和Winnti Group的自定义打包程序，并与该黑客组织工具集的其它样本之间存在很多相似之处。
恶意代码情报 1
 克什米尔冲突之针对巴基斯坦的Chenab（奇纳布河）监控活动样本分析
披露时间：2019年10月22日
情报来源：
https://mp.weixin.qq.com/s/hlha2dAKXOmxjDGr8KHdRQ
 
相关信息：
近日，奇安信病毒响应中心捕捉到了一起极具目的性的安卓APK攻击，经过研判发现其攻击目标疑似为巴基斯坦。这次捕获到的apk样本名为“????????”(乌尔都语：河边)，乌尔都语为巴基斯坦的国语，通过伪装为正常应用(恶意样本加载正常应用)来实现全面监控的作用，能实时捕捉到巴基斯坦国内最新动态。“河边”代号可能是基于历史与地理位置，奇纳布河（Chenab River）存在争议，奇纳布河（Chenab River）上游又经过克什米尔地区，使人不得不去联想到印巴克什米尔冲突，近年来在“克什米尔”地区的冲突也是愈演愈烈。
通过关联样本分析发现，此框架下适用任何针对任何app进行伪装，在关联样本中发现疑似针对巴基斯坦来伪装相关应用，具有很强的针对性，疑似印度针对巴基斯坦近期制定了监控计划。
2
 McAfee ATR分析Sodinokibi勒索
披露时间：2019年10月20日
情报来源：
https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/mcafee-atr-analyzes-sodinokibi-aka-revil-ransomware-as-a-service-crescendo/
 
相关信息：
McAfee的研究人员分析了Sodinokibi勒索软件的不同组织使用的TTP。五月以来，观察到了不同的攻击者有几种不同的作案手法，例如：使用鱼叉式网络钓鱼和武器化文档分发勒索软件、从Pastebin下载有效负载并将其注入操作系统中的进程中、攻击RDP以及使用脚本文件和密码破解工具在受害者网络上分发、利用托管服务提供商分发勒索软件。
像GandCrab一样，罗马尼亚语和波斯语也被列入黑名单。如果这两种语言在受害者的计算机上运行，勒索软件将不会执行。从蜜罐调查中获取的信息，可能得出一个假设，即波斯语攻击者参与了攻击活动波斯语存在。罗马尼亚语是否也是类似的情况则需要进一步的调查。
其他相关 1
 泛微e-cologyOA SQL注入漏洞预警
披露时间： 2019年10月18日
情报来源：
https://cert.360.cn/warning/detail?id=18cbf5351242a887c46f3cc1d6824317
 
相关信息：
2019年10月18日，360CERT监测到2019年10月17日泛微官方发布了泛微e-cologyOA系统存在SQL注入漏洞的预警，漏洞等级高。泛微e-cologyOA系统的多个jsp在实现时将用户可控的参数直接插入到sql查询语句中进行查询，当服务端使用SQLServer 2012以上版本的数据库进行后端存储时，攻击者可以通过精心构造的恶意请求绕过安全检测达成sql注入的效果。360CERT判断漏洞等级为高危，危害面广。建议使用泛微e-cology OA系统 V8、V9版本且数据库版本为SQLSERVER 2012及以上的版本的用户及时安装最新补丁，以免遭受黑客攻击