年度归档: 2025 年
-
朝鲜半岛
朝鲜APT组织Kimsuky 组织使用 RDP Wrapper 发起持续威胁
AhnLab 安全情报中心 (ASEC) 之前曾分析过 Kimsuky 集团利用 PebbleDash 后门和定制的 RDP Wrapper 发起攻击的案例。Kimsuky 集团一直在不断发起相同类型的攻击,本文将介绍已识别的其他恶意软件。 1. 概述 威胁者正在通过鱼叉式网络钓鱼攻击分发包含恶意命令的快捷方式文件 (*.LNK)。文件名中包含姓名和公司名称,这表明威胁者可能正在收集特定目标的信息…
阅读更多 » -
朝鲜半岛
朝鲜APT组织APT37 黑客利用群聊通过恶意 LNK 文件发起攻击
朝鲜国家支持的黑客组织 APT37(又名 ScarCruft、Reaper)被发现利用群聊平台传播恶意 LNK 文件。 这一最新策略凸显了该组织渗透系统和窃取敏感数据的方法不断演变。 APT37 最近的活动涉及通过流行消息平台上的群聊发送恶意 LNK 文件。 这些文件通常嵌入在 ZIP 档案中,并使用熟悉的图标和文件名进行伪装,以欺骗目标。 例如,攻击者使用“中国政府对朝鲜政策变化.zip”等文件…
阅读更多 » -
朝鲜半岛
朝鲜APT组织Lazarus 在针对开发人员的攻击中部署 Marstech1 JavaScript 植入程序
朝鲜威胁行为者被发现与之前未记录的 JavaScript 植入程序 Marstech1 有关,该植入程序是针对开发人员的有限针对性攻击的一部分。 一、背景与核心发现 Lazarus Group 开发了新型恶意软件植入工具 "Marstech1",其功能显著区别于早期版本,并采用独特的混淆技术 攻击范围:Marstech1 仅用于针对开发者供应链的定向攻击(2024年末至2025年1月),尚未广泛传…
阅读更多 » -
朝鲜半岛
朝鲜APT组织Lazarus 针对全球加密货币行业及开发者发起的供应链攻击与数据窃取行动
核心主题 朝鲜 Lazarus 组织针对全球加密货币行业及开发者发起的供应链攻击与数据窃取行动,通过多层代理基础设施实现隐蔽指挥与控制(C2),并利用定制化网络管理平台集中操控攻击流程。 关键攻击手段 供应链攻击 篡改合法软件包(如加密货币应用、身份验证工具),植入混淆后门,诱导开发者执行恶意代码。 全球受害者达 233人(2025年1月最新数据),印度、巴西为重灾区。 隐蔽管理平台 C2服务器部…
阅读更多 » -
未知地区
未知地区APT组织入侵多个WordPress网站为多种恶意软件提供初始感染链服务
摘要 Insikt Group 已确定与 Recorded Future 跟踪的流量分配系统 (TDS) 相关的多层基础设施,编号为 TAG-124,与 LandUpdate808、404TDS、KongTuke 和 Chaya_002 等威胁活动集群重叠。TAG-124 包含一个受感染的 WordPress 网站网络、攻击者控制的有效负载服务器、一个中央服务器、一个可疑的管理服务器、一个附加面板…
阅读更多 » -
未知地区
未知APT组织针对南亚高价值目标的间谍行动
执行摘要 我们确定了一组跟踪活动,编号为CL-STA-0048。该组活动针对的是南亚的高价值目标,其中包括一家电信组织。 此活动集群使用了罕见的工具和技术,包括我们称之为 Hex Staging 的技术,攻击者利用该技术以分块方式传递有效载荷。他们的活动还包括使用ping通过 DNS 进行渗透,以及滥用SQLcmd实用程序窃取数据。 根据对策略、技术和程序 (TTP) 以及所使用的工具、基础设施和…
阅读更多 » -
未知地区
APT组织银狐通过虚假软件安装程序传播ValleyRAT恶意软件
攻击概述 Intezer Labs 研究团队发现了一系列针对中文地区(如香港、台湾和中国)组织的攻击。这些攻击利用一个多阶段加载器(我们将其命名为PNGPlug)来传递ValleyRAT负载。 本报告记录了类似的攻击链,揭示了感染媒介和传递恶意文件的方法。 据报道,此次攻击始于一个钓鱼网页,旨在鼓励受害者下载伪装成合法软件的恶意 MSI(Microsoft Installer)包。 执行后,安装程…
阅读更多 » -
未知地区
未知APT组织PlushDaemon针对韩国VPN提供商发起供应链攻击
ESET 研究人员提供了有关之前未披露的与中国结盟的 APT 组织的详细信息,我们将其追踪为 PlushDaemon,以及它的一项网络间谍行动:2023 年,一家韩国公司开发的 VPN 软件的供应链遭到入侵,攻击者用一个安装程序替换了合法的安装程序,该安装程序还部署了该组织的签名植入程序,我们将其命名为 SlowStepper - 一个功能丰富的后门,其工具包包含 30 多个组件。 概述 2024…
阅读更多 » -
中亚
哈萨克斯坦APT组织Silent Lynx针对吉尔吉斯斯坦及邻国开展网络攻击
介绍 Seqrite Labs APT 团队最近发现了一个新威胁组织的两次新攻击活动,我们将其称为**Silent Lynx**。该威胁组织之前曾针对东欧和中亚参与经济决策和银行业的政府智库。此次攻击活动针对的是 SPECA(中亚经济特别计划)的国家之一,即吉尔吉斯斯坦,威胁组织在其中投放了以联合国为主题的诱饵,目标是吉尔吉斯共和国国家银行的政府实体,而第二次攻击活动则针对吉尔吉斯斯坦财政部。 在…
阅读更多 » -
朝鲜半岛
朝鲜APT 组织Lazarus 的隐秘属性:利用扩展属性逃避检测
介绍 Lazarus APT 组织已开始尝试使用自定义扩展属性代码逃避检测。 扩展属性是可与各种文件系统中的文件和目录关联的元数据。它们允许用户存储除文件大小、时间戳和权限等标准属性之外的其他文件信息。 在研究滥用扩展属性的恶意软件时,发现最相似的技术是 2020 年的一种技术,其中邦德传说广告软件将其有效负载隐藏在资源分支中,并通过特殊路径“filename/..namedfork/rsrc”访…
阅读更多 » -
东欧
疑似俄罗斯APT组织APT28 相关的新APT组织UAC-0063针对中亚和哈萨克斯坦外交关系进行网络间谍活动
介绍 2024 年 11 月 27 日星期三,俄罗斯总统普京对哈萨克斯坦进行了为期两天的国事访问,与当地代表讨论能源项目的实施,并对抗中国和西方的影响。普京说他正在拜访他的“真正的盟友”,但 Sekoia 调查了一场正在进行的网络间谍活动,该活动使用了合法的 Office 文件,这些文件被评估为来自哈萨克斯坦共和国外交部,这些文件被进一步武器化,可能用于收集中亚的战略情报,包括哈萨克斯坦及其与亚洲…
阅读更多 » -
综合报告
界限模糊:民族国家和有组织的网络犯罪分子如何变得相似
在快速发展的网络环境中,民族国家行为体和有组织的网络犯罪分子之间的区别变得越来越模糊。从历史上看,这些团体有着不同的动机:民族国家试图通过间谍和情报行动获得长期的地缘政治优势,而网络犯罪分子则专注于经济利益,利用漏洞进行勒索、盗窃和欺诈。 然而,最近的证据表明,战术、技术甚至目标都令人不安地趋同,很难区分它们。这种趋同不仅使归因工作复杂化,而且还提出了有关网络威胁不断演变的性质及其对全球安全的影响…
阅读更多 » -
西亚
伊朗APT组织Mint Sandstorm针对大学和研究机构的知名人士进行攻击
自 2023 年 11 月以来,微软观察到 Mint Sandstorm (PHOSPHORUS) 的一个独特子集,其目标是在比利时、法国、加沙、以色列、英国和美国的大学和研究机构中从事中东事务的知名人士。在这次活动中,Mint Sandstorm 使用定制的网络钓鱼诱饵,试图通过社交工程手段诱使目标下载恶意文件。在少数情况下,微软观察到了新的入侵后技巧,包括使用名为 MediaPl 的新定制后门…
阅读更多 » -
南亚
印度APT组织DONOT对印度部署恶意 Android 应用程序
执行摘要 CYFIRMA 的研究团队收集了一个归因于印度 APT 组织“DONOT”的样本,该组织似乎服务于印度国家利益,此外似乎是为针对内部威胁的情报收集而设计的,并将无辜的客户参与平台用于恶意目的。 介绍 该应用程序名为“Tanzeem”和“Tanzeem Update”,在乌尔都语中意为“组织”。恐怖组织和一些印度执法机构使用这个词来指代他们所关联的组织,例如 Jaish-e-Mohamma…
阅读更多 » -
朝鲜半岛
针对韩国解决方案的攻击案例分析-390x220.webp)
APT组织Andariel(G0048)利用SmallTiger针对韩国解决方案的攻击案例分析
Andariel 组织自过去以来一直在攻击韩国公司使用的各种软件值得注意的是,其中包括资产管理解决方案和数据丢失防护(DLP)解决方案,而其他各种解决方案中也发现了漏洞攻击案例。 2024年下半年,Andariel集团的攻击案例仍在继续,主要安装SmallTiger。被利用的软件的一个主要例子是已被利用多年的韩国资产管理解决方案,并且也有迹象表明涉及文档集中化解决方案的利用。 1. 针对韩国资产管…
阅读更多 »