月度归档: 2025 年 1 月
-
朝鲜半岛
APT组织DarkPlum使用的AsyncRAT变种
介绍 自 2024 年 3 月左右以来,在日本观察到目标攻击组织 DarkPlum(也称为 APT43 或 Kimsuky)的多次攻击。 DarkPlum 使用多种恶意软件,但在最近的攻击活动中观察到了 AsyncRAT 的变体。安全供应商有几份报告提到了这个 AsyncRAT 变种,但详细的分析结果以及与原始版本的差异尚不清楚 。 SOC 一直在研究 DarkPlum 使用的 AsyncRAT …
阅读更多 » -
印度洋
印度APT组织APT-Q-41在网络间谍活动中瞄准巴基斯坦海军
概括 9 月初,作为 BlackBerry 威胁研究和情报团队对整个印度次大陆网络活动的持续监控的一部分,我们发现了一个有趣的 PDF 诱饵,乍一看似乎是巴基斯坦海军的内部 IT 通信。 当我们转向这个遗迹并追踪它的数字足迹时,我们发现了一个相互关联的基础设施网络,其中各种文件类型的遗迹似乎都有一个间谍主题,而它们的目的最终是向目标受害者提供一个隐秘的信息窃取者。 随着我们对这一活动的深入研究,我…
阅读更多 » -
印度洋
APT组织TA397 新攻击链传播了恶意软件WmRAT和MiyaRAT
概述 2024 年 11 月 18 日,TA397(第三方研究人员也将其称为Bitter)利用鱼叉式网络钓鱼诱饵攻击了土耳其的一个国防部门组织。该电子邮件包含一个压缩存档 (RAR) 文件附件,其中包含一个诱饵 PDF (~tmp.pdf) 文件,该文件详细介绍了世界银行在马达加斯加的基础设施发展公共倡议、一个伪装成 PDF 的快捷方式 (LNK) 文件(PUBLIC INVESTMENTS PR…
阅读更多 » -
东欧
APT29采用恶意RDP技术对高价值目标开展网络间谍活动
2024 年 10 月,趋势科技跟踪的名为 Earth Koshchei 的 APT 组织(也称为 APT29 和 Midnight Blizzard)可能对众多目标使用了流氓远程桌面协议 (RDP) 攻击方法。这种方法早在 2022 年就由Black Hills Information Security 详细描述过。这种攻击技术称为“流氓 RDP”,涉及 RDP 中继、流氓 RDP 服务器和恶意…
阅读更多 » -
东欧
APT组织RomCom在野利用 Firefox 和 Windows 零日漏洞
ESET 研究人员在 Mozilla 产品中发现了一个此前未知的漏洞,该漏洞被与俄罗斯结盟的 RomCom 组织在野外利用。这是 RomCom 至少第二次被发现在野外利用重大零日漏洞,此前一次是在2023 年 6 月通过 Microsoft Word滥用CVE-2023-36884。 此严重漏洞(编号为CVE-2024-9680,CVSS 评分为 9.8)允许存在漏洞的 Firefox、Thund…
阅读更多 » -
东亚
APT组织APT-C-60利用合法服务进行攻击
2024 年 8 月左右,JPCERT/CC 确认了针对国内组织的攻击,据信是由攻击组织 APT-C-60 发起的。 这次攻击涉及冒充求职者向组织的招聘部门发送一封电子邮件,并用恶意软件感染该电子邮件。 在本文中,我们将分为以下几个部分来解释攻击方法。 恶意软件感染流程 下载器分析 后门分析 使用类似恶意软件的活动 恶意软件感染流程 图 1 概述了这一最初的违规行为。 图 1:初始妥协流程 这次攻…
阅读更多 » -
东南亚
驶向危险:APT组织DONOT针对巴基斯坦海事和国防制造业的攻击
概述 CRIL 最近发现了一项似乎针对巴基斯坦制造业的活动,该行业为该国的海事和国防部门提供支持。在分析了该活动所涉及的文件后,确定该攻击与已知的 APT 组织 DONOT 有关。 DoNot,也称为 APT-C-35,是一个自 2016 年开始运营的高级持续性威胁 (APT) 组织。该组织曾多次针对南亚各地的政府和军事实体以及外交部和大使馆发起攻击。 图 1 – Cyble Vision 威…
阅读更多 » -
朝鲜半岛
“Million OK !!!!”和Naver Facade:追踪最近疑似Kimsuky基础设施
2024 年 3 月,Twitter/X 上的一名安全研究人员观察到一系列 IP 地址和域发出了不寻常的 HTTP 响应:“百万 OK!!!”。随后对基础设施和域的分析将此活动与朝鲜威胁组织 Kimsuky 联系起来。 Hunt 研究人员最近观察到涉及最近注册的域的其他活动返回相同的响应。这些网页使用韩国科技公司 Naver 的网站图标,尽管它们与该公司没有任何关联。域名注册信息表明,该集团正在积…
阅读更多 »