Hvv 日记 威胁情报 8.23 （0day漏洞、IP、样本、画像）

0day漏洞

通天星 CMSV6 车载定位监控平台 远程代码执行漏洞

漏洞

奥威亚-教学视频应用云平台-任意文件上传

华夏-ERP-InformationLeakage

九思-OA-XXE

T20-3同享-TXEHR-人力管理管理平台-SQL

信呼-OA-SQL

恶意IP

8.134.217.229

47.238.125.145

恶意文件

b1a525eec7fdc2bac6ca6508bde8facc金融知识万里行宣传活动精彩瞬间docx.exee16c60977d6da4088a90282cb27d8cc6社会公众咨询申请.exe4d5e99c13b1be09c0f24e9e8c7d304e6海关系统存在严重技术问题的反馈doc.exe6332c242bb2443e5a5e68e7dc95937c6福建**网络科技有限公司 账户情况说明.exe

恶意攻击者画像

        IP 为 115.227.243.72，其威胁等级处于中等水平。最近活跃时间锁定在 2024 年 8 月 21 日至 2024 年 8 月 22 日这个关键时间段。地理位置精确到中国浙江省杭州市。该攻击者活跃的行业主要集中在政府领域，这无疑给政府部门的网络安全带来了潜在的挑战。从能力评价来看，在专项期间，此攻击者表现得较为活跃，大胆地对政府部门发动漏洞扫描攻击。值得一提的是，白泽视野敏锐地监测到该攻击者使用了隐蔽链路 mt9u0d.ceye.io，推测其目的可能是为了验证攻击是否成功。此攻击者的攻击利用特征为 mt9u0d.ceye.io，而近期的攻击行为主要是漏洞扫描攻击。这种攻击行为可能会为政府部门的网络系统打开一道危险的口子，使得敏感信息面临被窃取或破坏的风险，因此必须引起高度重视和警惕。

        IP 是 114.218.239.184，威胁等级同样为中等。其最近活跃时间跨度较大，从 2024 年 8 月 7 日一直持续到 2024 年 8 月 22 日，在这段时间里，网络安全防线面临着持续的考验。地理位置处于中国江苏省苏州市。其活跃行业锁定在教育领域，教育领域的网络安全关乎着众多师生的信息安全以及教学秩序的稳定。能力评价方面，在专项期间该攻击者十分活跃，对江苏省的教育单位进行信息收集，并且随后发动攻击。其攻击目标较为单一，且具备明显的针对性，主要的攻击方式为漏洞扫描。攻击利用特征是 q9ipo4.ceye.io，近期的漏洞扫描攻击行为可能会导致教育单位的敏感信息面临被窃取的风险，进而影响到教育教学活动的正常开展，必须采取有效的防范措施来抵御这种潜在的威胁。

        IP 为 223.65.84.225，威胁等级为中等。最近活跃时间在 2024 年 8 月 20 日至 2024 年 8 月 21 日，虽然时间短暂，但危害不容小觑。地理位置在中国江苏省南京市。活跃行业为政府。能力评价显示，在专项期间该攻击者积极活跃，首先对江苏省的企业进行信息收集，这为后续针对政府单位进行漏洞攻击奠定了基础。其攻击利用特征是 8bua3y.ceye.io，近期的攻击行为包括命令注入以及针对 java 组件的漏洞攻击，这种多样化的攻击手段可能会给政府单位的网络安全防护带来更大的挑战。政府部门的网络安全至关重要，一旦被攻破，可能会影响到公共服务的正常运行和社会的稳定，因此必须加强防范，筑牢网络安全的坚固防线。

        IP 是 117.136.38.137，威胁等级为中。最近活跃时间跨度较长，从 2023 年 10 月 28 日一直延续到 2024 年 8 月 22 日，在如此长的时间里，一直是网络安全的潜在威胁。地理位置位于中国北京市。活跃行业涵盖电力、银行、医疗等重要领域，这些领域的网络安全关乎着国计民生和社会的稳定运行。该攻击者使用的工具包括 Burp、Nsfocus Rsas。能力评价表明，在专项期间表现活跃，对电力、银行、医疗行业进行漏洞扫描攻击。从 java 反序列化攻击载荷中发现了隐蔽链路 9pmkzd.ceye.io。攻击利用特征为 9pmkzd.ceye.io，近期的漏洞扫描行为可能会对这些关键行业的网络安全造成严重威胁，影响其正常的业务运行和数据安全。这些行业必须高度重视网络安全防护，采取先进的技术手段和严格的管理措施，确保网络系统的稳定和安全。