月度归档: 2025 年 1 月
-
未知地区
未知地区APT组织入侵多个WordPress网站为多种恶意软件提供初始感染链服务
摘要 Insikt Group 已确定与 Recorded Future 跟踪的流量分配系统 (TDS) 相关的多层基础设施,编号为 TAG-124,与 LandUpdate808、404TDS、KongTuke 和 Chaya_002 等威胁活动集群重叠。TAG-124 包含一个受感染的 WordPress 网站网络、攻击者控制的有效负载服务器、一个中央服务器、一个可疑的管理服务器、一个附加面板…
阅读更多 » -
未知地区
未知APT组织针对南亚高价值目标的间谍行动
执行摘要 我们确定了一组跟踪活动,编号为CL-STA-0048。该组活动针对的是南亚的高价值目标,其中包括一家电信组织。 此活动集群使用了罕见的工具和技术,包括我们称之为 Hex Staging 的技术,攻击者利用该技术以分块方式传递有效载荷。他们的活动还包括使用ping通过 DNS 进行渗透,以及滥用SQLcmd实用程序窃取数据。 根据对策略、技术和程序 (TTP) 以及所使用的工具、基础设施和…
阅读更多 » -
未知地区
APT组织银狐通过虚假软件安装程序传播ValleyRAT恶意软件
攻击概述 Intezer Labs 研究团队发现了一系列针对中文地区(如香港、台湾和中国)组织的攻击。这些攻击利用一个多阶段加载器(我们将其命名为PNGPlug)来传递ValleyRAT负载。 本报告记录了类似的攻击链,揭示了感染媒介和传递恶意文件的方法。 据报道,此次攻击始于一个钓鱼网页,旨在鼓励受害者下载伪装成合法软件的恶意 MSI(Microsoft Installer)包。 执行后,安装程…
阅读更多 » -
未知地区
未知APT组织PlushDaemon针对韩国VPN提供商发起供应链攻击
ESET 研究人员提供了有关之前未披露的与中国结盟的 APT 组织的详细信息,我们将其追踪为 PlushDaemon,以及它的一项网络间谍行动:2023 年,一家韩国公司开发的 VPN 软件的供应链遭到入侵,攻击者用一个安装程序替换了合法的安装程序,该安装程序还部署了该组织的签名植入程序,我们将其命名为 SlowStepper - 一个功能丰富的后门,其工具包包含 30 多个组件。 概述 2024…
阅读更多 » -
中亚
哈萨克斯坦APT组织Silent Lynx针对吉尔吉斯斯坦及邻国开展网络攻击
介绍 Seqrite Labs APT 团队最近发现了一个新威胁组织的两次新攻击活动,我们将其称为**Silent Lynx**。该威胁组织之前曾针对东欧和中亚参与经济决策和银行业的政府智库。此次攻击活动针对的是 SPECA(中亚经济特别计划)的国家之一,即吉尔吉斯斯坦,威胁组织在其中投放了以联合国为主题的诱饵,目标是吉尔吉斯共和国国家银行的政府实体,而第二次攻击活动则针对吉尔吉斯斯坦财政部。 在…
阅读更多 » -
朝鲜半岛
朝鲜APT 组织Lazarus 的隐秘属性:利用扩展属性逃避检测
介绍 Lazarus APT 组织已开始尝试使用自定义扩展属性代码逃避检测。 扩展属性是可与各种文件系统中的文件和目录关联的元数据。它们允许用户存储除文件大小、时间戳和权限等标准属性之外的其他文件信息。 在研究滥用扩展属性的恶意软件时,发现最相似的技术是 2020 年的一种技术,其中邦德传说广告软件将其有效负载隐藏在资源分支中,并通过特殊路径“filename/..namedfork/rsrc”访…
阅读更多 » -
东欧
疑似俄罗斯APT组织APT28 相关的新APT组织UAC-0063针对中亚和哈萨克斯坦外交关系进行网络间谍活动
介绍 2024 年 11 月 27 日星期三,俄罗斯总统普京对哈萨克斯坦进行了为期两天的国事访问,与当地代表讨论能源项目的实施,并对抗中国和西方的影响。普京说他正在拜访他的“真正的盟友”,但 Sekoia 调查了一场正在进行的网络间谍活动,该活动使用了合法的 Office 文件,这些文件被评估为来自哈萨克斯坦共和国外交部,这些文件被进一步武器化,可能用于收集中亚的战略情报,包括哈萨克斯坦及其与亚洲…
阅读更多 » -
综合报告
界限模糊:民族国家和有组织的网络犯罪分子如何变得相似
在快速发展的网络环境中,民族国家行为体和有组织的网络犯罪分子之间的区别变得越来越模糊。从历史上看,这些团体有着不同的动机:民族国家试图通过间谍和情报行动获得长期的地缘政治优势,而网络犯罪分子则专注于经济利益,利用漏洞进行勒索、盗窃和欺诈。 然而,最近的证据表明,战术、技术甚至目标都令人不安地趋同,很难区分它们。这种趋同不仅使归因工作复杂化,而且还提出了有关网络威胁不断演变的性质及其对全球安全的影响…
阅读更多 » -
西亚
伊朗APT组织Mint Sandstorm针对大学和研究机构的知名人士进行攻击
自 2023 年 11 月以来,微软观察到 Mint Sandstorm (PHOSPHORUS) 的一个独特子集,其目标是在比利时、法国、加沙、以色列、英国和美国的大学和研究机构中从事中东事务的知名人士。在这次活动中,Mint Sandstorm 使用定制的网络钓鱼诱饵,试图通过社交工程手段诱使目标下载恶意文件。在少数情况下,微软观察到了新的入侵后技巧,包括使用名为 MediaPl 的新定制后门…
阅读更多 » -
南亚
印度APT组织DONOT对印度部署恶意 Android 应用程序
执行摘要 CYFIRMA 的研究团队收集了一个归因于印度 APT 组织“DONOT”的样本,该组织似乎服务于印度国家利益,此外似乎是为针对内部威胁的情报收集而设计的,并将无辜的客户参与平台用于恶意目的。 介绍 该应用程序名为“Tanzeem”和“Tanzeem Update”,在乌尔都语中意为“组织”。恐怖组织和一些印度执法机构使用这个词来指代他们所关联的组织,例如 Jaish-e-Mohamma…
阅读更多 » -
朝鲜半岛
针对韩国解决方案的攻击案例分析-390x220.webp)
APT组织Andariel(G0048)利用SmallTiger针对韩国解决方案的攻击案例分析
Andariel 组织自过去以来一直在攻击韩国公司使用的各种软件值得注意的是,其中包括资产管理解决方案和数据丢失防护(DLP)解决方案,而其他各种解决方案中也发现了漏洞攻击案例。 2024年下半年,Andariel集团的攻击案例仍在继续,主要安装SmallTiger。被利用的软件的一个主要例子是已被利用多年的韩国资产管理解决方案,并且也有迹象表明涉及文档集中化解决方案的利用。 1. 针对韩国资产管…
阅读更多 » -
未知地区
APT组织 Paper Werewolf 制作的恶意软件渗透俄罗斯组织的基础设施
BI.ZONE 威胁情报团队记录到 Paper Werewolf 攻击集群(又名 GOFFEE)活动激增,自 2022 年以来,该攻击集群已进行了至少七次攻击活动,受害者包括政府、能源、金融、媒体等组织。 攻击者会发送带有恶意宏的 Microsoft Word 附件的网络钓鱼电子邮件。然而,他们最近的活动已超出间谍目的:我们发现 Paper Werewolf 破坏了受感染基础设施的运行。 攻击者倾…
阅读更多 » -
东欧
俄罗斯APT组织Turla渗透巴基斯坦APT组织Storm-0156组织的C2服务器
执行摘要 Lumen 的 Black Lotus 实验室发现了一个由俄罗斯威胁行为者“Secret Blizzard”(也称为Turla)策划的长期活动。该组织已成功渗透巴基斯坦行为者“Storm-0156”使用的 33 个独立命令和控制 (C2) 节点。Storm-0156 以专注于间谍活动而闻名,据公开报道,它与两个活动集群“SideCopy”和“Transparent Tribe”有关。这项…
阅读更多 » -
朝鲜半岛
朝鲜APT组织Kimsuky采用新的网络钓鱼策略来攻击受害者
1. 概述 ○ 正如许多人所知,电子邮件网络钓鱼在世界各地不断被报道,并且是威胁行为者选择的最流行的攻击之一。有人说,如果收件箱中收到的电子邮件中不包含恶意文件(恶意软件),则很难检测来自 URL 网络钓鱼方法的威胁。 ○ 诱导 URL 点击的经典网络钓鱼攻击有时被视为传统威胁,并且其风险级别被“贬值”。然而,难以忽视的事实是,在韩国发现的许多 URL 网络钓鱼攻击中都包含 Kimsuky 组织。…
阅读更多 » -
东欧
疑似俄罗斯黑客组织Matrix利用僵尸网络通过物联网设备进行DDoS攻击
一个由名为 Matrix 的威胁行为者策划的新型广泛分布式拒绝服务 (DDoS) 活动。该活动由我们在蜜罐上检测到的活动触发,本次调查深入探究了 Matrix 的方法、目标、工具和总体目标。 此次活动凸显了如何利用易用工具和最低限度的技术知识来发动大规模网络攻击。Matrix 展示了威胁行为者越来越倾向于针对联网设备(尤其是物联网和企业系统)中的漏洞和错误配置。该行动结合了公共脚本、暴力攻击和利用…
阅读更多 »