月度归档: 2025 年 2 月
-
未知地区
APT 组织Silver Fox 利用ValleyRAT木马攻击 Org 的会计部门
介绍 本文探讨了 ValleyRAT 更广泛的执行过程和更新的交付技术。在调查此威胁时,我们观察到该行为者今年更新了他们的策略、技术和程序 (TTP)。有趣的是,该行为者在其攻击的旧版本和新版本中重复使用了相同的 URL。 根据我们之前对该威胁行为者行动的研究,该组织使用多种分发渠道传播远程访问木马 (RAT)。这些渠道包括钓鱼电子邮件、恶意网站和即时通讯平台。该威胁行为者越来越多地将目标对准组织…
阅读更多 » -
东南亚
台湾APT组织GreenSpot 利用虚假下载页面和欺骗域名攻击163.com用户
GreenSpot(绿斑)高级持续性威胁 (APT) 组织被认为来自台湾,自至少 2007 年以来一直活跃。该组织以数据盗窃行动而闻名,主要通过网络钓鱼活动针对中国的政府、学术和军事相关实体。 163.com是中国最大的 IT 公司之一网易运营的免费电子邮件服务,已成为 GreenSpot 的频繁攻击目标,其主要目的是窃取登录凭据。 Hunt.io 研究人员观察到,这些域名的注册时间相隔数小时,旨…
阅读更多 » -
朝鲜半岛
朝鲜APT组织Kimsuky 组织使用 RDP Wrapper 发起持续威胁
AhnLab 安全情报中心 (ASEC) 之前曾分析过 Kimsuky 集团利用 PebbleDash 后门和定制的 RDP Wrapper 发起攻击的案例。Kimsuky 集团一直在不断发起相同类型的攻击,本文将介绍已识别的其他恶意软件。 1. 概述 威胁者正在通过鱼叉式网络钓鱼攻击分发包含恶意命令的快捷方式文件 (*.LNK)。文件名中包含姓名和公司名称,这表明威胁者可能正在收集特定目标的信息…
阅读更多 » -
朝鲜半岛
朝鲜APT组织APT37 黑客利用群聊通过恶意 LNK 文件发起攻击
朝鲜国家支持的黑客组织 APT37(又名 ScarCruft、Reaper)被发现利用群聊平台传播恶意 LNK 文件。 这一最新策略凸显了该组织渗透系统和窃取敏感数据的方法不断演变。 APT37 最近的活动涉及通过流行消息平台上的群聊发送恶意 LNK 文件。 这些文件通常嵌入在 ZIP 档案中,并使用熟悉的图标和文件名进行伪装,以欺骗目标。 例如,攻击者使用“中国政府对朝鲜政策变化.zip”等文件…
阅读更多 » -
朝鲜半岛
朝鲜APT组织Lazarus 在针对开发人员的攻击中部署 Marstech1 JavaScript 植入程序
朝鲜威胁行为者被发现与之前未记录的 JavaScript 植入程序 Marstech1 有关,该植入程序是针对开发人员的有限针对性攻击的一部分。 一、背景与核心发现 Lazarus Group 开发了新型恶意软件植入工具 "Marstech1",其功能显著区别于早期版本,并采用独特的混淆技术 攻击范围:Marstech1 仅用于针对开发者供应链的定向攻击(2024年末至2025年1月),尚未广泛传…
阅读更多 » -
朝鲜半岛
朝鲜APT组织Lazarus 针对全球加密货币行业及开发者发起的供应链攻击与数据窃取行动
核心主题 朝鲜 Lazarus 组织针对全球加密货币行业及开发者发起的供应链攻击与数据窃取行动,通过多层代理基础设施实现隐蔽指挥与控制(C2),并利用定制化网络管理平台集中操控攻击流程。 关键攻击手段 供应链攻击 篡改合法软件包(如加密货币应用、身份验证工具),植入混淆后门,诱导开发者执行恶意代码。 全球受害者达 233人(2025年1月最新数据),印度、巴西为重灾区。 隐蔽管理平台 C2服务器部…
阅读更多 »