绿盟威胁情报2024年11月月报.pdf

2024年11月

/

11月，绿盟科技威胁情报中心（NTI）发布了多个漏洞和威胁事件通告，包含ApacheSolr

身份验证绕过漏洞（CVE-2024-45216）通告、OracleWebLogicServer远程代码执行漏洞

（CVE-2024-21216）通告、微软11月安全更新多个产品高危漏洞通告等。

绿盟科技CERT监测到微软发布11月安全更新补丁，修复了89安全问题，涉及Windows、

MicrosoftSQLServer、MicrosoftOffice、Azure、OpenSourceSoftware、

MicrosoftVisualStudio、SystemCenter等广泛使用的产品，其中包括权限提升漏洞、远程

代码执行漏洞等高危漏洞类型。

本月的威胁事件中包含，能伪造通话界面，FakeCall恶意软件变种在安卓手机中传播、新

型RemcosRAT变种通过Excel文件攻击Windows用户、新型RemcosRAT变种通过Excel

文件攻击Windows用户和黑客使用macOS扩展文件属性隐藏恶意代码等事件。

以上所有漏洞情报和威胁事件情报、攻击组织情报，以及关联的IOC，均可在绿盟威胁情

报中心获取，网址：https///

一、漏洞态势

2024年11月绿盟科技安全漏洞库共收录338个漏洞,其中高危漏洞105个，微软高危漏洞9个。

*数据来源：绿盟科技威胁情报中心，本表数据截止到2024.12.05

注：绿盟科技漏洞库包含应用程序漏洞、安全产品漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等；

二、威胁事件

1.EarthBaxiaUsesSpear-PhishingandGeoServerExploittoTargetAPAC

【标签】CVE-2024-36401

【时间】2024-11-11

【简介】

7月，监测发现胁行为者Earth针对台湾一家政府机构使用鱼叉式网络钓鱼电子邮件，并利用CVE-2024-36401

作为初始访问向量，在受感染的机器上部署定制的CobaltStrike组件。

【参考链接】

https///en_us/research/24/i/earth-baxia-spear-phishing-and-geoserver-exploit.

html

【防护措施】

绿盟威胁情报中心关于该事件提取10条IOC，绿盟安全平台与设备已集成相应情报数据，为客户提供相关防

御检测能力。

2.能伪造通话界面，FakeCall恶意软件变种在安卓手机中传播

【标签】FakeCall

【时间】2024-11-01

【简介】

据Hackread消息，ZimperiumszLabs的网络安全研究人员发现了FakeCall恶意软件的一个新变种，能够诱

导受害者拨打诈骗电话，导致身份信息被窃取。FakeCall是一种语音钓鱼类型的网络钓鱼恶意软件，一旦安装，就

能完全控制住安卓系统手机。

【参考链接】

https///scary-fakecall-malware-captures-photos-otps-android/#google_vignette

【防护措施】

绿盟安全平台与设备已集成相应情报数据，为客户提供相关防御检测能力。

3.新型RemcosRAT变种通过Excel文件攻击Windows用户

【标签】RemcosRAT

【时间】2024-11-11

【简介】

近期，Fortinet的研究人员揭露了一个针对Windows用户的新型网络攻击钓鱼活动，该活动通过恶意Excel

文件传播RemcosRAT（远程访问木马）的新变种。Remcos是一种在线销售的商业RAT（远程管理工具），它为

购买者提供广泛的高级功能，以远程控制属于买家的计算机，对用户的数据安全和隐私构成严重威胁。RemcosRAT

因其高级功能而被网络犯罪分子所青睐，包括数据窃取、远程执行、键盘记录、屏幕截图、音频记录等。

【参考链接】

https///blog/threat-research/new-campaign-uses-remcos-rat-to-ex