-
东欧
开箱 Anubis:探索 FIN7 最新后门的隐秘策略
在高级持续性威胁 (APT) 不断发展的形势下,臭名昭著的金融网络犯罪集团 FIN7 又为其武器库添加了另一个复杂的工具。我们最近发现一种新的基于 Python 的后门,称为“AnubisBackdoor”,正在他们最新的活动中部署。 FIN7 自 2015 年起便活跃起来,已成为技术最为精湛的犯罪集团之一,主要针对金融和酒店业。FIN7 以其定制恶意软件开发能力和创新的社会工程策略而闻名,曾在全…
阅读更多 » -
朝鲜半岛
朝鲜APT组织Lazarus 扩大恶意 npm 活动:11 个新软件包添加了恶意软件加载程序和 Bitbucket 负载
Contagious Interview行动背后的朝鲜威胁行为者已经扩大了他们在 npm 生态系统中的存在,发布了更多恶意软件包,这些恶意软件包会传播之前发现的BeaverTail 恶意软件,并引入了具有远程访问木马 (RAT) 加载器功能的新软件包。这些最新样本使用十六进制字符串编码来逃避自动检测系统和手动代码审核,这表明威胁行为者的混淆技术发生了变化。 该威胁组织的目标始终没有改变:入侵开发人…
阅读更多 » -
朝鲜半岛
-390x220.png)
未知朝鲜APT组织伪装成招聘电子邮件的网络钓鱼攻击案例研究(BeaverTail、Tropidoor)
2024年11月29日,一个名为Dev.to的开发者社区披露了一起伪装成招聘通知邮件进行传播的恶意软件案例。在这种情况下,攻击者传递了一个包含项目的 BitBucket 链接,受害者发现该项目包含恶意软件并将其披露给社区。该项目内部有一个名为“tailwind.config.js”的 BeaverTail 恶意软件以及一个名为“car.dll”的下载器恶意软件。 图1 开发者社区披露的攻击案例 目…
阅读更多 » -
东欧
卢甘斯克人民共和国APT组织UAC-020利用 DarkCrystal RAT 针对乌克兰国防工业综合体进行间谍活动
政府计算机应急响应小组 CERT-UA 记录了多起针对国防工业综合体企业员工和乌克兰国防军个人代表的有针对性的网络攻击案例。 2025 年 3 月,人们发现 Signal 信使正在分发带有档案的消息,其中据称包含一份有关会议结果的报告。同时,在某些情况下,为了增加信任,可能会从帐户已被预先泄露的现有联系人列表中的个人发送消息。 通常,提到的档案包含一个扩展名为“.pdf”的文件,以及一个归类为 D…
阅读更多 » -
未知地区
未知APT组织 PhaseShifters使用加密程序和工具被曝光
关键点 在2024 年 11 月发表的一项关于 PhaseShifters 组织的研究中,我们报道了针对俄罗斯公司的攻击。这些攻击中的一些恶意加载器是使用 Crypters And Tools 服务生成的。 本文介绍了Crypters And Tools的内部结构和基础设施。 调查显示,至少有三个团体使用这项服务(PhaseShifters、Blind Eagle、TA558)。 我们的观察表明,…
阅读更多 » -
东南亚
印度尼西亚APT组织INDOHAXSEC被曝光
执行摘要 在对东南亚网络威胁形势进行例行监测期间,北极狼实验室团队发现了一个相对较新的印度尼西亚黑客组织,自称“ INDOHAXSEC ”,一直活跃于该地区。 在过去的几个月中,该组织利用自己定制的工具和从更广泛的互联网上收集的工具,对该地缘政治区域内的众多实体和政府机构进行了分布式拒绝服务 (DDoS) 等网络攻击并发动了勒索软件攻击。 这个集体很大程度上是出于政治动机,但有时也是出于经济动机,…
阅读更多 » -
朝鲜半岛
朝鲜APT组织 Lazarus正在对加密货币发动网络战
npm 再次遭遇 Lazarus 团伙发起的新一轮恶意软件包攻击,同时 Socket 和 Seal Security 合作解决了 npm 的一个关键漏洞。
阅读更多 » -
朝鲜半岛
新间谍软件被曝光-390x220.jpg)
朝鲜APT组织 ScarCruft(APT37)新间谍软件被曝光
Lookout 研究人员发现了一款名为 KoSpy 的 Android 间谍软件,该软件由朝鲜 APT37(ScarCruft)组织开发,主要针对韩语和英语用户,能够收集广泛的个人信息,并且与 APT43 组织的基础设施有共享之处。
阅读更多 » -
朝鲜半岛
朝鲜APT组织Squid Werewolf伪装成招聘人员分发网络钓鱼电子邮件
根据 BI.ZONE 威胁情报团队在 2024 年 12 月的发现,Squid Werewolf 利用网络钓鱼技术,通过电子邮件向目标组织的员工发送虚假的职位描述,这些邮件冒充知名公司的招聘人员。攻击者通常会使用品牌和徽标来增加电子邮件的真实性,但需要注意的是,商标所有者不对这些威胁行为者的行为或由此造成的损失负责。攻击者使用的网络钓鱼电子邮件非常针对性,能够快速访问关键人员使用的系统内的数据。
阅读更多 » -
未知地区
南美APT组织Blind Eagle针对哥伦比亚机构和政府实体开展攻击
本文主要揭露了 “盲鹰”(Blind Eagle)攻击活动中的一些技术细节,包括攻击的各个阶段、指令与控制(C&C)服务器地址以及使用的 payloads 和其他恶意软件。
阅读更多 » -
朝鲜半岛
Lazarus 再次发起新一轮恶意软件包攻击 npm
朝鲜的 Lazarus 集团继续渗透 npm 生态系统,部署了六个新的恶意软件包,旨在破坏开发人员环境、窃取凭据、提取加密货币数据并部署后门。在这次活动中,Socket 研究人员发现 BeaverTail 恶意软件嵌入在看似无害的软件包中—— 、、、、is-buffer-validator和yoojae-validator——每个都与之前在 Lazarus(传染性访谈)行动中记录的策略非常相似。这…
阅读更多 » -
南亚
以更新的工具集瞄准海事和核能领域-390x220.jpg)
印度APT组织SideWinder (响尾蛇)以更新的工具集瞄准海事和核能领域
2024 年下半年,SideWinder APT 组织继续活跃,针对海事基础设施和物流公司的攻击出现了显著增加,同时对南亚的核电站和核能机构表现出特别兴趣。该组织不断努力改进其工具集,以逃避安全软件检测,并在受感染的网络上扩展持久性。攻击方法包括利用 Microsoft Office 文档中的远程模板注入漏洞(CVE-2017-11882),通过 JavaScript 加载器和下载器模块传播恶意软…
阅读更多 » -
未知地区
未知APT组织EncryptHub多阶段恶意软件攻击活动分析报告
新兴网络犯罪APT组织EncryptHub被曝光多阶段恶意软件活动。这个活动通过一系列的操作安全(OPSEC)失误,泄露了关键的基础设施组件,包括目录列表、窃取者日志、PowerShell 脚本和 Telegram 机器人配置。EncryptHub 的攻击链包括多层 PowerShell 脚本,用于收集系统信息、窃取价值信息、执行逃避技术、注入恶意负荷,并部署进一步的信息窃取工具。攻击者通过分发伪…
阅读更多 » -
未知地区
未知APT组织UNK_CraftyCamel针对阿联酋航空和运输开展网络攻击
概述 2024 年秋季,UNK_CraftyCamel 利用一家受到攻击的印度电子公司,向阿拉伯联合酋长国的不到 5 个组织发送了一个恶意 ZIP 文件,该文件利用多个多语言文件最终安装了一个名为 Sosano 的定制 Go 后门。 分析师说明:Proofpoint 使用 UNK_ 指示符来定义仍在发展中且尚未得到足够观察而无法获得数值 TA 指示的活动集群。 传播和感染链分析 2024 年 10…
阅读更多 » -
未知地区
未知地区APT组织Desert Dexter针对中东和北非进行攻击活动
PT 专家安全中心(PT ESC)在 2025 年 3 月 5 日的报告中揭示了一项名为 “沙漠德克斯特” 的网络攻击活动,该活动自 2024 年 9 月起针对中东和北非国家,包括埃及、利比亚、阿联酋、俄罗斯、沙特阿拉伯和土耳其等国家。攻击者通过在 Facebook* 上创建虚假新闻组并发布广告,诱使用户点击包含恶意软件链接的帖子。
阅读更多 »