1.APT 攻击

APT37 针对中韩外贸人士的攻击

APT37 组织，该组织疑似来自朝鲜的攻击组织，经常攻击国内的外贸公司、在华外企高管，甚至政府部门。经常使用鱼叉钓鱼邮件进行定向攻击，除此之外还使用 Nday 或者 0day 漏洞进行木马捆绑和伪装。

在 2019 年 8 月底到 9 月中旬，某情报中心发现一批针对疑似中韩贸易等相关人士的钓鱼攻击活动。经过分析溯源发现，疑似是 APT37 攻击组织的最新攻击活动。

威胁来源

https://mp.weixin.qq.com/s/Wnb-r7SWbGGN-XuQ8fW_jw

2.APT28 针对哈萨克斯坦矿业公司攻击

APT28（通常也被称为 FancyBear、STRONTIUM、Sednit、Sofacy 等）是一个威胁组织，美国司法部 2018 年 7 月对俄罗斯总参谋部主要情报理事会提出起诉。这个组织至少从 2004 年起就被认为是活跃的，并且有从事间谍活动的动机。它的目标包括世界各地的私营部门、军队和政府。

据 MeltX0R 安全研究人员称，虽然这次攻击捕获到的样本并不能完全去决定这就是 APT28 组织所为，但它与其他 Zebrocy 之间的具有相似性，以及哈萨克斯坦历来是 APT28 的攻击目标的事实，都是很值得怀疑的。无论如何，这是一个有趣的样本，以审查和提供洞察潜在的经济间谍活动。

威胁来源

https://meltx0r.github.io/tech/2019/10/24/apt28.html

3.Donot APT 组织近期活动

Donot 又名 肚脑虫、APT-C-35，是一个印度背景的 APT 组织，主要针对巴基斯坦等南亚地区国家的政府机构、重点企业等领域进行网络间谍活动，其目的主要为窃取敏感信息。其最早的攻击活动可以追溯到2016 年上半年，该组织至今依然活跃。

Donot 近期持续活跃，其木马和网络资产保持持续更新和扩充状态，其攻击手段也在不断变化和提高，泰国和斯里兰卡等地相关目标遭到该组织定向攻击。

2019 年 7 月之前，该组织多使用包含恶意宏的 xls 文档作为木马投递载体，7 月至今，该组织大量使用包含模板注入的 docx 文档作为载体，投递 yty 攻击框架，并通过下载键盘记录、截屏和文件收集等插件实现窃密及监控行为。

威胁来源

https://m.threatbook.cn/detail/1924

漏洞相关

1.Adobe 漏洞泄露了 750 万用户数据

美国计算机软件公司 Adobe 在本月初发现了严重的安全漏洞，该漏洞泄露了 Creative Cloud 服务用户信息记录的数据库。尽管所包含的详细信息不是很敏感，但可以针对数据泄露的用户精心设计一场网络钓鱼活动。

威胁来源

https://www.bleepingcomputer.com/news/security/75-million-records-of-adobe-creative-cloud-user-data-exposed/

2.黑客恶意利用 PHP7 远程执行代码漏洞

PHP7 中的一个远程代码执行漏洞（CVE-2019-11043）在野利用被发现。安全专家 Omar Ganiev 通过 Twitter 宣布了 PHP-FPM（PHP 的 FastCGI 流程管理器（FPM））中“新补丁”对于远程代码执行漏洞的有效性 。CVE-2019-11043 漏洞不需要使用特定技能即可接入服务器，它是 PHP-FPM 的 fpm_main.c 中的 env_path_info 下溢漏洞。这意味着该问题仅影响启用 PHP-FPM 的 NGINX 服务器。

威胁来源

https://thehackernews.com/2019/10/nginx-php-fpm-hacking.html

3.由恶意 GIF 文件引发的 RCE 漏洞

本月初，新加坡安全研究员 @Awakened 披露了关于 WhatsApp（2.19.244之前版本）存在的 RCE 漏洞（CVE-2019-11932）利用的文章，该漏洞由Android-gif-Drawable 开源库中 double-free 错误触发。

攻击者通过向 WhatsApp 用户发送一个精心制作的恶意 GIF 文件，就可以获得 WhatsApp 的应用权限，在手机端进行 SD 卡读取、音频录制、摄像头访问、文件系统访问、WhatsApp 沙盒存储访问等操作。

漏洞演示视频

威胁来源

https://www.cnvd.org.cn/webinfo/show/5257?from=timeline

移动App

1.Google Play 出现 Joker Trojans 应用

Joker Trojans（玩笑木马/病毒，也称恶作剧病毒）这类病毒的特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。

据国外多个知名 twitter 主报道，现在 Google Play 中每天都会出现 Joker Trojans，并且有很大的下载量，虽说此类木马病毒不会造成伤害，但是还得提防一下。

威胁来源

Telegram Channel Report

2.移动恶意软件和 APT 间谍研究报告

在移动恶意软件和 APT 间谍方面，黑莓揭露了几次之前不为人知的攻击活动，这些攻击由熟悉的和新识别的 APT 发起。这项研究还将调查一些已知的、正在进行的、有针对性的行动，并揭示新的情报和联系，以填补先前发表的研究中存在的空白。这份报告还代表了对中国、伊朗、越南、朝鲜以及其他两个不知名但可能由国家资助的组织对巴基斯坦政府和军方使用手机恶意软件的更广泛调查。

威胁来源

https://threatvector.cylance.com/en_us/home/mobile-malware-and-apt-espionage-prolific-pervasive-and-cross-platform.html

3.Android 新的银行木马家族 —— Ginp

新的 Android 银行木马家族 —— Ginp，主要针对西班牙和英国。最新版本模仿 AdobeFlashPlayer 并从资产中解密有效负载。滥用易访问性服务，将自己设置为默认短信应用，从 C&C 服务器获取钓鱼注入。

威胁来源

Telegram Channel  Report

4.恶意软件 xHelper 持续感染安卓设备

过去几个月来，一些安卓用户被一款名为 xHelper 的恶意软件持续困扰，它的自动重新安装机制令人们束手无策。xHelper 最早发现于 3 月。到 8 月，它逐渐感染了 32000 多台设备。而截至本月，根据赛门铁克的数据，感染总量已达到 45000。该恶意软件的感染轨迹不断上升。赛门铁克表示，xHelper 每天平均造成 131 名新受害者，每月约有 2400 名新的受害者。

威胁来源

https://www.symantec.com/blogs/threat-intelligence/xhelper-android-malware

其    他

《中华人民共和国密码法》正式通过:

10 月 26 日，我国首部密码法获十三届全国人大常委会第十四次会议 26 日表决通过，将自 2020 年 1 月 1 日起正式施行。作为我国密码领域的综合性、基础性法律，该法案将有效规范密码应用和管理，促进密码事业发展，保障网络与信息安全，提升密码管理科学化、规范化、法治化水平。

来源

http://www.npc.gov.cn/npc/c30834/201910/6f7be7dd5ae5459a8de8baf36296bc74.shtml

The End