年度归档: 2024 年
-
未知地区
未知地区APT组织EC2 Grouper被捕获
在分析云中身份泄露事件的这些年里,我们发现相同的攻击者会定期出现,有些出现的频率更高。在我们了解到的攻击行为中,最活跃的攻击者就是我们称之为“EC2 Grouper”的攻击者。在过去几年中,我们在数十个客户环境中发现了该攻击者,这使他们成为我们跟踪到的最活跃的组织之一。该攻击者通常的嫌疑在于,他们在攻击中倾向于使用类似的用户代理和相同的安全组命名约定。 虽然用户代理甚至安全组名称等指标可以帮助归因…
阅读更多 » -
南亚
巴基斯坦APT组织APT36的恶意软件ElizaRAT演变分析
介绍 APT36 又名透明部落 (Transparent Tribe),是一个总部位于巴基斯坦的威胁行为者,因持续针对印度政府组织、外交人员和军事设施而臭名昭著。APT36 针对 Windows、Linux 和 Android 系统进行了多次网络间谍活动。 在最近的活动中,APT36 使用了一种特别阴险的 Windows RAT,称为 ElizaRAT。ElizaRAT 于 2023 年首次被发现…
阅读更多 » -
朝鲜半岛
朝鲜APT组织APT37威胁背后的网络侦察活动分析
◈ 执行摘要 国家支持的 APT37 组织的秘密网络侦察活动分析 收集攻击目标的IP地址(位置信息)、Web浏览器、操作系统等信息 以快捷方式(lnk)恶意文件为主要策略的威胁实体 需要积极引入异常行为检测响应解决方案(EDR)来加强终端安全。 1. 概述 APT37组织被称为国家网络安全威胁组织,正在主导针对韩国的各种网络间谍活动。打击对象主要是朝鲜人权团体、脱北者、报道朝鲜的记者以及统一、国防…
阅读更多 » -
未知地区
PhaseShifters 团队的“新”技术——使用隐写术攻击俄罗斯
PT 专家安全中心的研究人员在监控针对俄罗斯组织的攻击时,发现了 PhaseShifters 组织的新攻击链。这个组织被命名为 PhaseShifters,因为它在技术上与 UAC-0050 组织有所不同。攻击链中使用了网络钓鱼电子邮件和文件,这些文件被归类为 PhaseShifters 组织的攻击。攻击者使用了 Rhadamanthys、DarkTrack RAT、Meta Stealer 等恶…
阅读更多 » -
南亚
印度APT组织SideWinder 的演变和扩张
SideWinder APT 组织自 2012 年起活动,主要针对南亚和东南亚的政府和军事实体。该组织利用公开的漏洞、恶意 LNK 文件和脚本作为感染媒介,以及公开的远程管理工具(RAT)。尽管长期以来被认为是低技能的攻击者,但实际上他们的技术能力和操作复杂性在深入分析后才得以体现。 Side 近,SideWinder 的活动范围显著扩大,影响了中东和非洲的实体,并发现了一种新的后开发工具包 “S…
阅读更多 »