August 12, 2020

AA20-225A: Malicious Cyber Actor Spoofing COVID-19 Loan Relief Webpage via Phishing Emails

Original release date: August 12, 2020 Summary The Cybersecurity and Infrastructure Security Agency (CISA) is currently tracking an unknown malicious cyber actor who is spoofing the […]
August 14, 2020

AA20-227A: Phishing Emails Used to Deploy KONNI Malware

Original release date: August 14, 2020 Summary This Alert uses the MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK®) framework. See the ATT&CK for Enterprise framework […]
August 26, 2020

AA20-239A: FASTCash 2.0: North Korea's BeagleBoyz Robbing Banks

Original release date: August 26, 2020 Summary This Alert uses the MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK®) framework. See the ATT&CK for Enterprise framework […]
August 31, 2020

QNAP NAS在野漏洞攻击事件

本文作者:马延龙,叶根深,金晔 背景介绍 2020年4月21号开始,360Netlab未知威胁检测系统监测到有攻击者使用QNAP NAS设备漏洞,攻击我们的Anglerfish蜜罐节点。我们看到这个漏洞PoC并没有在互联网上公布,攻击者在漏洞利用过程中相对谨慎,互联网上也仍有一些未修复漏洞的QNAP NAS设备。因此,我们需要披露这个漏洞攻击事件,并提醒安全社区和QNAP NAS用户,避免受到此类漏洞攻击。 漏洞分析 漏洞类型: 未授权远程命令执行漏洞 漏洞原因: 通过360 FirmwareTotal系统分析,我们发现这个漏洞出现CGI程序/httpd/cgi-bin/authLogout.cgi中。它在处理用户注销登录时,会根据Cookie中字段名称选择相应的注销登录函数。其中QPS_SID,QMS_SID和QMMS_SID注销登录函数未过滤特殊字符即使用snprintf函数拼接curl命令字符串并使用system函数直接执行,所以造成命令注入。 漏洞修复:在2017年7月21号,我们发现QNAP发布固件版本4.3.3修复了这个漏洞。修复后的固件中使用qnap_exec函数替换了原来的system函数。其中qnap_exec函数在/usr/lib/libuLinux_Util.so.0.0中定义,通过调用execv函数执行自定义命令,避免命令注入。 攻击者行为分析 我们共捕获到2个攻击者IP 219.85.109.140和 103.209.253.252使用完全一样的Payload,漏洞攻击成功后会通过wget请求http://165.227.39.105:8096/aaa文件。 这个攻击者不像常规的Botnet一样自动化地植入Bot程序,整个攻击过程看起来也不是完全自动化执行的,根据目前的线索,我们还不清楚攻击者的真实目的。 我们在165.227.39.105:8096下载网站上发现其他2个文本文件.sl和rv。其中.sl文件是2行未知的字符串。 [email protected] IvHVFqkpJEqr|DNWLr rv文件是一个bash反弹shell脚本,控制地址为165.227.39.105,端口为TCP/1234。 此外,我们通过端口探测,发现165.227.39.105运行了SSH,Metasploit,Apache httpd等服务。 Discovered open […]