-
未知地区
未知地区APT组织DragonRank入侵IIS服务器部署BadIIS恶意软件
2024 年,一种名为“BadIIS”的恶意软件在亚洲大量传播。BadIIS 以 Internet 信息服务 (IIS) 为目标,可用于 SEO 欺诈或向合法用户的浏览器中注入恶意内容。这包括显示未经授权的广告、分发恶意软件,甚至针对特定群体进行水坑攻击。在此活动中,威胁行为者利用易受攻击的 IIS 服务器在受感染的服务器上安装 BadIIS 恶意软件。一旦用户向受感染的服务器发送请求,他们可能会…
阅读更多 » -
东欧
俄罗斯APT组织UAC-0006携SmokeLoader恶意软件攻击乌克兰最大的国有银行
UAC-0006 是一个以经济为目的的网络威胁组织,它再次出现,发起了一场复杂的网络钓鱼活动,目标是乌克兰最大的国有银行 PrivatBank 的客户。该活动利用包含恶意 JavaScript、VBScript 和 LNK 文件的受密码保护的档案来绕过检测,并通过进程注入和 PowerShell 执行部署 SmokeLoader 恶意软件。UAC-0006 在战术、技术和程序 (TTP) 方面与臭…
阅读更多 » -
朝鲜半岛
朝鲜APT组织Lazarus恶意软件家族进一步变种被发现
苹果公司向其设备内置恶意软件工具XProtect推送了签名更新,以阻止其所谓的 macOS Ferret 家族的几种变体:FROSTYFERRET_UI、FRIENDLYFERRET_SECD 和 MULTI_FROSTYFERRET_CMDCODES。这个朝鲜恶意软件家族最早于12 月被研究人员描述,并于1 月初进一步被描述,并被确定为朝鲜传染性面试活动的一部分,在该活动中,威胁行为者通过工作面…
阅读更多 » -
未知地区
APT 组织Silver Fox 利用ValleyRAT木马攻击 Org 的会计部门
介绍 本文探讨了 ValleyRAT 更广泛的执行过程和更新的交付技术。在调查此威胁时,我们观察到该行为者今年更新了他们的策略、技术和程序 (TTP)。有趣的是,该行为者在其攻击的旧版本和新版本中重复使用了相同的 URL。 根据我们之前对该威胁行为者行动的研究,该组织使用多种分发渠道传播远程访问木马 (RAT)。这些渠道包括钓鱼电子邮件、恶意网站和即时通讯平台。该威胁行为者越来越多地将目标对准组织…
阅读更多 » -
东南亚
台湾APT组织GreenSpot 利用虚假下载页面和欺骗域名攻击163.com用户
GreenSpot(绿斑)高级持续性威胁 (APT) 组织被认为来自台湾,自至少 2007 年以来一直活跃。该组织以数据盗窃行动而闻名,主要通过网络钓鱼活动针对中国的政府、学术和军事相关实体。 163.com是中国最大的 IT 公司之一网易运营的免费电子邮件服务,已成为 GreenSpot 的频繁攻击目标,其主要目的是窃取登录凭据。 Hunt.io 研究人员观察到,这些域名的注册时间相隔数小时,旨…
阅读更多 » -
朝鲜半岛
朝鲜APT组织Kimsuky 组织使用 RDP Wrapper 发起持续威胁
AhnLab 安全情报中心 (ASEC) 之前曾分析过 Kimsuky 集团利用 PebbleDash 后门和定制的 RDP Wrapper 发起攻击的案例。Kimsuky 集团一直在不断发起相同类型的攻击,本文将介绍已识别的其他恶意软件。 1. 概述 威胁者正在通过鱼叉式网络钓鱼攻击分发包含恶意命令的快捷方式文件 (*.LNK)。文件名中包含姓名和公司名称,这表明威胁者可能正在收集特定目标的信息…
阅读更多 » -
朝鲜半岛
朝鲜APT组织APT37 黑客利用群聊通过恶意 LNK 文件发起攻击
朝鲜国家支持的黑客组织 APT37(又名 ScarCruft、Reaper)被发现利用群聊平台传播恶意 LNK 文件。 这一最新策略凸显了该组织渗透系统和窃取敏感数据的方法不断演变。 APT37 最近的活动涉及通过流行消息平台上的群聊发送恶意 LNK 文件。 这些文件通常嵌入在 ZIP 档案中,并使用熟悉的图标和文件名进行伪装,以欺骗目标。 例如,攻击者使用“中国政府对朝鲜政策变化.zip”等文件…
阅读更多 » -
朝鲜半岛
朝鲜APT组织Lazarus 在针对开发人员的攻击中部署 Marstech1 JavaScript 植入程序
朝鲜威胁行为者被发现与之前未记录的 JavaScript 植入程序 Marstech1 有关,该植入程序是针对开发人员的有限针对性攻击的一部分。 一、背景与核心发现 Lazarus Group 开发了新型恶意软件植入工具 "Marstech1",其功能显著区别于早期版本,并采用独特的混淆技术 攻击范围:Marstech1 仅用于针对开发者供应链的定向攻击(2024年末至2025年1月),尚未广泛传…
阅读更多 » -
朝鲜半岛
朝鲜APT组织Lazarus 针对全球加密货币行业及开发者发起的供应链攻击与数据窃取行动
核心主题 朝鲜 Lazarus 组织针对全球加密货币行业及开发者发起的供应链攻击与数据窃取行动,通过多层代理基础设施实现隐蔽指挥与控制(C2),并利用定制化网络管理平台集中操控攻击流程。 关键攻击手段 供应链攻击 篡改合法软件包(如加密货币应用、身份验证工具),植入混淆后门,诱导开发者执行恶意代码。 全球受害者达 233人(2025年1月最新数据),印度、巴西为重灾区。 隐蔽管理平台 C2服务器部…
阅读更多 » -
未知地区
未知地区APT组织入侵多个WordPress网站为多种恶意软件提供初始感染链服务
摘要 Insikt Group 已确定与 Recorded Future 跟踪的流量分配系统 (TDS) 相关的多层基础设施,编号为 TAG-124,与 LandUpdate808、404TDS、KongTuke 和 Chaya_002 等威胁活动集群重叠。TAG-124 包含一个受感染的 WordPress 网站网络、攻击者控制的有效负载服务器、一个中央服务器、一个可疑的管理服务器、一个附加面板…
阅读更多 » -
未知地区
未知APT组织针对南亚高价值目标的间谍行动
执行摘要 我们确定了一组跟踪活动,编号为CL-STA-0048。该组活动针对的是南亚的高价值目标,其中包括一家电信组织。 此活动集群使用了罕见的工具和技术,包括我们称之为 Hex Staging 的技术,攻击者利用该技术以分块方式传递有效载荷。他们的活动还包括使用ping通过 DNS 进行渗透,以及滥用SQLcmd实用程序窃取数据。 根据对策略、技术和程序 (TTP) 以及所使用的工具、基础设施和…
阅读更多 » -
未知地区
APT组织银狐通过虚假软件安装程序传播ValleyRAT恶意软件
攻击概述 Intezer Labs 研究团队发现了一系列针对中文地区(如香港、台湾和中国)组织的攻击。这些攻击利用一个多阶段加载器(我们将其命名为PNGPlug)来传递ValleyRAT负载。 本报告记录了类似的攻击链,揭示了感染媒介和传递恶意文件的方法。 据报道,此次攻击始于一个钓鱼网页,旨在鼓励受害者下载伪装成合法软件的恶意 MSI(Microsoft Installer)包。 执行后,安装程…
阅读更多 » -
未知地区
未知APT组织PlushDaemon针对韩国VPN提供商发起供应链攻击
ESET 研究人员提供了有关之前未披露的与中国结盟的 APT 组织的详细信息,我们将其追踪为 PlushDaemon,以及它的一项网络间谍行动:2023 年,一家韩国公司开发的 VPN 软件的供应链遭到入侵,攻击者用一个安装程序替换了合法的安装程序,该安装程序还部署了该组织的签名植入程序,我们将其命名为 SlowStepper - 一个功能丰富的后门,其工具包包含 30 多个组件。 概述 2024…
阅读更多 » -
中亚
哈萨克斯坦APT组织Silent Lynx针对吉尔吉斯斯坦及邻国开展网络攻击
介绍 Seqrite Labs APT 团队最近发现了一个新威胁组织的两次新攻击活动,我们将其称为**Silent Lynx**。该威胁组织之前曾针对东欧和中亚参与经济决策和银行业的政府智库。此次攻击活动针对的是 SPECA(中亚经济特别计划)的国家之一,即吉尔吉斯斯坦,威胁组织在其中投放了以联合国为主题的诱饵,目标是吉尔吉斯共和国国家银行的政府实体,而第二次攻击活动则针对吉尔吉斯斯坦财政部。 在…
阅读更多 » -
朝鲜半岛
朝鲜APT 组织Lazarus 的隐秘属性:利用扩展属性逃避检测
介绍 Lazarus APT 组织已开始尝试使用自定义扩展属性代码逃避检测。 扩展属性是可与各种文件系统中的文件和目录关联的元数据。它们允许用户存储除文件大小、时间戳和权限等标准属性之外的其他文件信息。 在研究滥用扩展属性的恶意软件时,发现最相似的技术是 2020 年的一种技术,其中邦德传说广告软件将其有效负载隐藏在资源分支中,并通过特殊路径“filename/..namedfork/rsrc”访…
阅读更多 »