-
综合报告
CYFIRMA 行业报告 – 能源和公用事业行业
CYFIRMA 行业报告提供了针对能源和公用事业行业的网络安全威胁分析,包括高级持续性威胁(APT)攻击活动、网络钓鱼和勒索软件受害者的分析。报告显示该行业在过去 90 天内面临的网络风险较低,APT 活动风险等级为中等,网络钓鱼和勒索软件风险等级为低。
阅读更多 » -
综合报告
CrowdStrike发布了《2025 年全球威胁报告》
CrowdStrike发布了《2025 年全球威胁报告》,报告显示GenAI 驱动的社会工程和民族国家漏洞研究与利用激增,以及无恶意软件、基于身份的攻击急剧增加。与此同时,世界各地的APT组织正在利用人工智能生成的欺骗手段,利用被盗凭证,并越来越多地执行跨域攻击(利用端点、云和身份之间的漏洞),以绕过安全控制并在暗中操作而不被发现。转向利用受信任访问的无恶意软件入侵,再加上破纪录的突破时间,让防御…
阅读更多 » -
朝鲜半岛
朝鲜APT组织APT37利用网络钓鱼邮件部署RokRat远程访问木马
APT37 组织 APT37 又名 ScarCruft、Reaper 和 Red Eyes,是一个由朝鲜政府支持的黑客组织,自 2012 年以来一直活跃。最初,其行动主要针对韩国的公共和私营部门,但在 2017 年,其目标扩大到日本、越南、中东以及医疗保健和制造业等行业。到 2023 年,APT37 已转向针对 Windows 和 Android 平台用户的网络钓鱼活动。 该组织以利用各种攻击媒介…
阅读更多 » -
未知地区
未知APT组织UAC-0173 针对乌克兰开展网络攻击
自 2025 年 1 月下半月开始,乌克兰政府计算机应急反应小组 CERT-UA 记录到有组织犯罪集团 UAC-0173 的活动恢复,该集团根据命令并获得金钱奖励,进行网络攻击,获取对公证员计算机的秘密远程访问权限,从而进一步对国家登记册进行未经授权的更改。 因此,2025 年 2 月 11 日,又发送了另一封电子邮件,据称代表乌克兰司法部的一个地区部门,其中包含下载可执行文件的链接(例如“HAK…
阅读更多 » -
东南亚
越南APT组织Lotus Blossom利用不同版本的 Sagerunex和黑客工具开展网络攻击
思科 Talos 发现了多起针对政府、制造业、电信和媒体的网络间谍活动,并提供了 Sagerunex 和其他黑客工具用于后续活动。 Talos 将这些攻击归咎于名为Lotus Blossom 的威胁行为者。Lotus Blossom 自 2012 年以来一直积极开展网络间谍活动,并且至今仍在继续运作。 根据我们对这些活动中使用的策略、技术和程序 (TTP) 的检查,以及 Lotus Blossom…
阅读更多 » -
综合报告
高管威胁形势报告——越南
CYFIRMA 的报告揭示了越南在网络安全领域面临的多方面威胁,包括地缘政治紧张、经济增长带来的工业间谍、数字基础设施的扩张、供应链漏洞、关键基础设施风险以及网络安全框架的薄弱等。
阅读更多 » -
东欧
白俄罗斯APT组织Ghostwriter针对乌克兰政府和白俄罗斯反对派开展网络攻击
摘要 SentinelLABS 观察到一场针对白俄罗斯反对派活动人士以及乌克兰军事和政府组织的活动。 该活动自 2024 年 7 月至 8 月开始筹备,并于 2024 年 11 月至 12 月进入活跃阶段。 最近的恶意软件样本以及命令与控制 (C2) 基础设施活动表明该操作在最近几天仍然活跃。 SentinelLABS 评估认为,这组威胁活动是之前公开报告中确定的长期 Ghostwriter 活动…
阅读更多 » -
未知地区
未知APT组织Angry Likho对俄罗斯开展网络攻击
Angry Likho(一些供应商将其称为 Sticky Werewolf)是我们自 2023 年以来一直在监控的一个 APT 组织。它与我们之前分析过的Awaken Likho 非常相似,因此我们将其归类到 Likho 恶意活动集群中。然而,Angry Likho 的攻击往往具有针对性,其基础设施更紧凑,植入范围有限,并且主要针对大型组织的员工,包括政府机构及其承包商。鉴于诱饵文件是用流利的俄语…
阅读更多 » -
未知地区
未知APT组织针对亚太地区各种工业组织开展网络攻击
摘要 卡巴斯基 ICS CERT 的一项调查发现了一种专门针对亚太地区各种工业组织的网络威胁。该威胁是由攻击者策划的,他们使用合法的中国云内容交付网络 (CDN) _myqcloud_和_有道云笔记_服务作为其攻击基础设施的一部分。攻击者采用了复杂的多阶段有效载荷交付框架来确保逃避检测。他们的技术包括使用本地文件托管 CDN、用于样本加密的公开可用的打包程序、命令和控制 (C2) 地址的动态更改、…
阅读更多 » -
东欧
多个与俄罗斯结盟的APT组织瞄准 Signal Messenger开展网络攻击
Google 威胁情报小组 (GTIG) 发现,一些与俄罗斯政府结盟的威胁行为者正不断努力入侵俄罗斯情报部门感兴趣的个人使用的 Signal Messenger 账户。虽然这种新兴的行动兴趣可能是由俄罗斯再次入侵乌克兰的背景下,在战时获取敏感政府和军事通信的需求引发的,但我们预计,针对 Signal 的策略和方法将在短期内变得更加普遍,并扩展到乌克兰战区以外的其他威胁行为者和地区。 Signal …
阅读更多 » -
朝鲜半岛
朝鲜APT组织Kimsuky利用 Dropbox 和 PowerShell 脚本进行针对性攻击
DEEP#DRIVE 攻击活动是一项复杂且多阶段的行动,针对的是韩国企业、政府实体和加密货币用户。攻击者利用用韩语编写并伪装成合法文档的定制网络钓鱼诱饵,成功渗透到目标环境,这一点从我们能够获得的有关攻击者的 C2 基础设施的信息中可见一斑(请参阅:攻击者的基础设施)。 这些诱饵文件以工作日志、保险文件和加密相关文件为主题,经过精心设计,以吸引目标受众,从而增加了成功执行的可能性。通过使用 .hw…
阅读更多 » -
综合报告
行政威胁形势报告 – 台湾
台湾作为一个高科技产业和全球供应链的关键节点,其网络安全面临着外的威胁,包括地缘政治紧张、经济和工业重要性、知识产权盗窃、金融动机以及战略和军事意义等方面。报告指出,2024 年台湾面临的网络攻击活动增加,报告还预测了台湾网络威胁形势的新趋势,包括国家支持的间谍活动和供应链攻击、勒索软件的演变和云漏洞利用、自定义恶意软件和高级攻击技术的增加,以及对运营技术和物联网的攻击等。
阅读更多 » -
东欧
俄罗斯APT组织Storm-2372 发起设备代码网络钓鱼活动
Microsoft 威胁情报中心发现,威胁行为者 Storm-2372 正在积极且成功地发起设备代码网络钓鱼活动。我们正在进行的调查表明,该活动自 2024 年 8 月以来一直处于活跃状态,行为者创建的诱饵类似于 WhatsApp、Signal 和 Microsoft Teams 等消息应用程序的体验。在此期间,Storm-2372 的目标包括欧洲、北美、非洲和中东的政府、非政府组织 (NGO)、…
阅读更多 » -
东欧
俄罗斯APT组织Seashell Blizzard对全球15个国家地区发起网络攻击
Microsoft 首次发布了我们对俄罗斯国家行为体 Seashell Blizzard 内部的一个子组织及其多年初始访问行动的研究,Microsoft Threat Intelligence 将其称为“BadPilot 活动”。该子组织在全球范围内对面向互联网的基础设施进行了各种入侵,以使 Seashell Blizzard 能够持续攻击高价值目标并支持量身定制的网络运营。本博客详细介绍了该子组…
阅读更多 » -
东欧
俄罗斯APT组织Sandworm利用木马化的 Microsoft KMS 激活工具攻击乌克兰用户
执行摘要 EclecticIQ 分析师高度确信,支持俄罗斯情报总局 (GRU) 的威胁行为者Sandworm (APT44) [1]正在积极针对乌克兰 Windows 用户开展网络间谍活动。自 2023 年底俄罗斯入侵乌克兰以来,Sandworm 可能一直在进行网络间谍活动。Sandworm 利用盗版的 Microsoft 密钥管理服务 (KMS) 激活器和虚假的 Windows 更新来传播新版本…
阅读更多 »