正文

Hvv 日记 威胁情报 7.31(0day)

admin
admin V管理员 /0 评论 /222 阅读
0731
此篇文章发布距今已超过50天,您需要注意文章的内容或图片是否可用!

漏洞

积木报表RCE_0day

    此接口为积木报表组件自带接口,该接口正常访问会提示没有权限,利用jmLink=YWFhfHxiYmI=可以绕过权限校验。在绕过权限校验后,可在请求体中注入内存马,以获取服务器权限。

漏洞路径 

/jeecg-boot/jmreport/save?previousPage=xxx&jmLink=YWFhfHxiYmI=

文件HASH

7a7251f48286563bba067056af4285bf

哈**集团有限公司整改**专项审计报告.exe

75d8097b47bfa9e021c71b4a34f80b91

举报材料-docx.exe

cdc7a25cd82b584b6244214faf9171c8

执行查看.msi

bf8ed3c4c9ba01c5cce00897f52d3947

action.py

e2dbef1ea654b8e8d77f61072c177f74

执行查看.exe

e0aaea76f7af11f1bb9c0613df9ade3a

**金融候选人职位登记表1.zip

9492cec7ce22942be9373661b6ba70d1

专项漏洞检测工具.exe

恶意IP

攻击者IP:114.249.217.26

地理位置:中国-北京市-北京市

活跃行业:银行

使用工具:

AWVS(应用漏洞扫描器):用于识别Web应用中的安全漏洞,能够自动化扫描并生成详细报告。Burp Suite:集成的Web应用安全测试平台,提供抓包、扫描和攻击功能,常用于发现和利用Web应用中的漏洞。Xray:安全扫描工具,专注于Web应用和API的安全性,能够识别多种漏洞。Goby:网络资产探测工具,能够快速识别目标网络中的设备和服务,帮助攻击者制定攻击策略。

        该攻击者在专项期间新启用基础设施,使用多款黑客工具,对银行行业相关目标表现出极强的针对性。其行为表明,攻击者可能在寻找银行系统中的安全漏洞,以便进行数据泄露或金融欺诈。攻击者的目标可能包括在线银行服务、支付网关和客户信息管理系统。

        使用隐蔽链路 jqb6tw.ceye.io,可能用于隐藏真实的攻击源和流量,增加追踪难度。这种隐蔽性使得攻击者能够在不被发现的情况下进行多次尝试。

近期攻击行为:进行针对银行系统的漏洞扫描,重点关注在线银行服务和支付接口,试图识别可利用的漏洞。攻击者可能利用扫描结果进行进一步的渗透测试,最终获取敏感信息,如客户账户、交易记录等。

攻击者IP:116.62.126.210

地理位置:中国-浙江省-杭州市

活跃行业:电力、能源、煤炭

        该攻击者对目标资产进行了详细的信息收集,随后使用扫描器进行扫描攻击。其行为显示出对电力和能源行业的高度关注,可能试图寻找系统漏洞以进行进一步的攻击。攻击者可能通过社交工程或其他手段获取目标系统的相关信息。

        以扫描攻击为主,近两日的攻击量非常大,表明其可能在进行大规模的网络探测和漏洞挖掘。攻击者可能使用多种扫描工具,针对特定的服务和端口进行高频率的扫描。

        历史攻击行为:该攻击者在专项期间才开始活跃,攻击目标主要集中在能源电力和煤炭相关的网站,可能对行业的正常运营造成威胁。其攻击行为可能导致服务中断,影响电力供应和资源调配。

攻击者IP:39.100.85.55、106.14.217.146、112.125.88.127等

地理位置:中国-北京市

活跃行业:航空、海事、金融等

        多个IP段使用隐蔽链路 *.y1bs.shop 进行扫描,显示出攻击者的组织性和计划性。不同IP段攻击的目标不一致,表明其可能在进行广泛的网络探测。攻击者可能利用分布式攻击手段,增加检测和防御的难度。

        历史攻击行为:在2024-03-22 15:02:14注册了 ns2.y1bs.shop,并在2024-05-30 140.246.157.86 使用过 39.100.85.55 进行攻击,显示出其持续的攻击活动和对目标资产的关注。攻击者可能在多个行业中寻找漏洞,以便进行更大规模的攻击。

潜在影响:该攻击者可能对航空、海事和金融行业的关键基础设施构成威胁,建议加强对相关资产的监控和防护。若攻击成功,可能导致敏感数据泄露、财务损失或服务中断。

攻击者IP:101.200.238.213、101.200.74.236

地理位置:境内数据中心-中国-北京市-北京市

活跃行业:建筑、医疗、电气

        在数据生产中,通过大数据指纹分析将这两个IP关联到一起,并与昨日的攻击者进行了归并。两个IP同属阿里云,行文特征高度重合,表明该攻击者可能具有较多的基础设施可以更换。攻击者可能利用云服务的灵活性来隐藏其真实身份。

        鉴于其可能具备更换IP的能力,建议不要轻易封禁这些IP,而是持续追踪其活动,以便及时发现潜在的攻击行为。定期审查相关日志,识别异常活动。

        近期攻击行为:显示出对建筑、医疗和电气行业的攻击意图,可能导致相关行业的系统瘫痪或数据泄露。若攻击成功,可能影响多个企业的正常运营,导致经济损失和信誉受损。

攻击者IP:124.71.72.93

地理位置:中国-广东省-广州市

活跃行业:政府

使用工具:灯塔(Lighthouse,可能指代某种安全扫描工具或监控工具)。

        根据域名信息,该攻击者在2024年上半年启用,属于华为云的ECS服务器,但在此之前没有相关的攻击记录。近期在专项期间开始启用,进行漏洞扫描,显示出其可能是为特定目标进行的攻击活动。攻击者可能在进行初步的侦查,以寻找可利用的漏洞。

        近期攻击行为:进行针对政府相关系统的漏洞扫描,可能试图寻找可利用的安全漏洞,以进行进一步的攻击,影响政府服务的正常运行。若攻击成功,可能导致敏感数据泄露,影响公众信任。

















推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com