-
东欧
疑似俄罗斯APT组织APT28 相关的新APT组织UAC-0063针对中亚和哈萨克斯坦外交关系进行网络间谍活动
介绍 2024 年 11 月 27 日星期三,俄罗斯总统普京对哈萨克斯坦进行了为期两天的国事访问,与当地代表讨论能源项目的实施,并对抗中国和西方的影响。普京说他正在拜访他的“真正的盟友”,但 Sekoia 调查了一场正在进行的网络间谍活动,该活动使用了合法的 Office 文件,这些文件被评估为来自哈萨克斯坦共和国外交部,这些文件被进一步武器化,可能用于收集中亚的战略情报,包括哈萨克斯坦及其与亚洲…
阅读更多 » -
综合报告
界限模糊:民族国家和有组织的网络犯罪分子如何变得相似
在快速发展的网络环境中,民族国家行为体和有组织的网络犯罪分子之间的区别变得越来越模糊。从历史上看,这些团体有着不同的动机:民族国家试图通过间谍和情报行动获得长期的地缘政治优势,而网络犯罪分子则专注于经济利益,利用漏洞进行勒索、盗窃和欺诈。 然而,最近的证据表明,战术、技术甚至目标都令人不安地趋同,很难区分它们。这种趋同不仅使归因工作复杂化,而且还提出了有关网络威胁不断演变的性质及其对全球安全的影响…
阅读更多 » -
西亚
伊朗APT组织Mint Sandstorm针对大学和研究机构的知名人士进行攻击
自 2023 年 11 月以来,微软观察到 Mint Sandstorm (PHOSPHORUS) 的一个独特子集,其目标是在比利时、法国、加沙、以色列、英国和美国的大学和研究机构中从事中东事务的知名人士。在这次活动中,Mint Sandstorm 使用定制的网络钓鱼诱饵,试图通过社交工程手段诱使目标下载恶意文件。在少数情况下,微软观察到了新的入侵后技巧,包括使用名为 MediaPl 的新定制后门…
阅读更多 » -
南亚
印度APT组织DONOT对印度部署恶意 Android 应用程序
执行摘要 CYFIRMA 的研究团队收集了一个归因于印度 APT 组织“DONOT”的样本,该组织似乎服务于印度国家利益,此外似乎是为针对内部威胁的情报收集而设计的,并将无辜的客户参与平台用于恶意目的。 介绍 该应用程序名为“Tanzeem”和“Tanzeem Update”,在乌尔都语中意为“组织”。恐怖组织和一些印度执法机构使用这个词来指代他们所关联的组织,例如 Jaish-e-Mohamma…
阅读更多 » -
朝鲜半岛
针对韩国解决方案的攻击案例分析-390x220.webp)
APT组织Andariel(G0048)利用SmallTiger针对韩国解决方案的攻击案例分析
Andariel 组织自过去以来一直在攻击韩国公司使用的各种软件值得注意的是,其中包括资产管理解决方案和数据丢失防护(DLP)解决方案,而其他各种解决方案中也发现了漏洞攻击案例。 2024年下半年,Andariel集团的攻击案例仍在继续,主要安装SmallTiger。被利用的软件的一个主要例子是已被利用多年的韩国资产管理解决方案,并且也有迹象表明涉及文档集中化解决方案的利用。 1. 针对韩国资产管…
阅读更多 » -
未知地区
APT组织 Paper Werewolf 制作的恶意软件渗透俄罗斯组织的基础设施
BI.ZONE 威胁情报团队记录到 Paper Werewolf 攻击集群(又名 GOFFEE)活动激增,自 2022 年以来,该攻击集群已进行了至少七次攻击活动,受害者包括政府、能源、金融、媒体等组织。 攻击者会发送带有恶意宏的 Microsoft Word 附件的网络钓鱼电子邮件。然而,他们最近的活动已超出间谍目的:我们发现 Paper Werewolf 破坏了受感染基础设施的运行。 攻击者倾…
阅读更多 » -
东欧
俄罗斯APT组织Turla渗透巴基斯坦APT组织Storm-0156组织的C2服务器
执行摘要 Lumen 的 Black Lotus 实验室发现了一个由俄罗斯威胁行为者“Secret Blizzard”(也称为Turla)策划的长期活动。该组织已成功渗透巴基斯坦行为者“Storm-0156”使用的 33 个独立命令和控制 (C2) 节点。Storm-0156 以专注于间谍活动而闻名,据公开报道,它与两个活动集群“SideCopy”和“Transparent Tribe”有关。这项…
阅读更多 » -
朝鲜半岛
朝鲜APT组织Kimsuky采用新的网络钓鱼策略来攻击受害者
1. 概述 ○ 正如许多人所知,电子邮件网络钓鱼在世界各地不断被报道,并且是威胁行为者选择的最流行的攻击之一。有人说,如果收件箱中收到的电子邮件中不包含恶意文件(恶意软件),则很难检测来自 URL 网络钓鱼方法的威胁。 ○ 诱导 URL 点击的经典网络钓鱼攻击有时被视为传统威胁,并且其风险级别被“贬值”。然而,难以忽视的事实是,在韩国发现的许多 URL 网络钓鱼攻击中都包含 Kimsuky 组织。…
阅读更多 » -
东欧
疑似俄罗斯黑客组织Matrix利用僵尸网络通过物联网设备进行DDoS攻击
一个由名为 Matrix 的威胁行为者策划的新型广泛分布式拒绝服务 (DDoS) 活动。该活动由我们在蜜罐上检测到的活动触发,本次调查深入探究了 Matrix 的方法、目标、工具和总体目标。 此次活动凸显了如何利用易用工具和最低限度的技术知识来发动大规模网络攻击。Matrix 展示了威胁行为者越来越倾向于针对联网设备(尤其是物联网和企业系统)中的漏洞和错误配置。该行动结合了公共脚本、暴力攻击和利用…
阅读更多 » -
南亚
南亚APT集团Donot针对巴基斯坦关键行业发起网络攻击
概述 最近发现了一项似乎针对巴基斯坦制造业的活动,该行业为该国的海事和国防部门提供支持。在分析了该活动所涉及的文件后,确定该攻击与已知的 APT 组织 DONOT 有关。 DoNot,也称为 APT-C-35,是一个自 2016 年开始运营的高级持续性威胁 (APT) 组织。该组织曾多次针对南亚各地的政府和军事实体以及外交部和大使馆发起攻击。 图 1 – Cyble Vision 威胁库 在最…
阅读更多 » -
未知地区
未知地区的APT组织Head Mare利用 PhantomCore后门对俄罗斯和白俄罗斯开展网络攻击
2024 年 9 月 2 日,卡巴斯基发布了一篇关于 Head Mare 组织的博客,该组织于 2023 年首次出现。Head Mare 是一个针对俄罗斯和白俄罗斯组织的黑客活动组织,其目标是造成最大损失,而不是获取经济利益。他们使用最新的策略(例如利用 WinRAR 中的CVE-2023-38831漏洞)来获取初始访问权限并传递恶意负载。该组织在 X 上保持公开存在,并在那里披露有关其受害者的信…
阅读更多 » -
东南亚
疑似越南APT组织CoralRaider使用新型恶意程序 PXA Stealer攻击政府和教育部门窃取敏感信息
思科 Talos 发现了一个由越南语威胁行为者发起的新的信息窃取活动,目标是欧洲和亚洲的政府和教育机构。 我们发现了一个名为 PXA Stealer 的新 Python 程序,它以受害者的敏感信息为目标,包括各种在线帐户的凭据、VPN 和 FTP 客户端、财务信息、浏览器 cookie 以及游戏软件的数据。 PXA Stealer 能够解密受害者的浏览器主密码并利用它窃取各种在线账户存储的凭据。 …
阅读更多 » -
未知地区
未知APT组织 Earth Minotaur使用MOONSHINE 漏洞利用工具包和DarkNimbus 后门发起对中国多平台攻击
MOONSHINE 最初被发现是针对藏族社区的恶意活动的一部分,据信也与之前针对维吾尔族的恶意活动有关。它旨在通过利用 Android 移动设备上即时通讯应用程序的漏洞来植入后门。此后,我们发现了此工具包的升级版本,其中包括更新的漏洞和更多保护措施,以阻止安全研究人员的分析。到 2024 年,我们在野外发现了至少 55 个 MOONSHINE 漏洞利用工具包服务器。它仍被威胁行为者积极使用。 Ea…
阅读更多 » -
朝鲜半岛
朝鲜APT组织Kimsuky武器库曝光:多种类木马分析
概述 近期,SecAI监测到Kimsuky自2024年起发起的一系列针对性攻击,活跃程度较高。其中包括4月份针对韩国驻华大使馆的安全相关样本、6月份针对某建筑公司的发票相关样本、7月份针对某韩国知名大学的讲座相关样本等。通过长期的跟踪分析,该组织通过设置大量钓鱼网站、发送带有诱导点击受害者感兴趣名称的样本的钓鱼邮件等方式,进行信息窃取和远程控制活动。在收集了Kimsuky各类攻击样本后,发现该组织…
阅读更多 » -
东欧
俄罗斯黑客组织APT44(Sandworm)使用“Army+”主题开展对乌克兰网络攻击
2024年12月17日,乌克兰CERT-UA政府计算机应急响应小组收到MIL.CERT-UA专家的信息,称检测到一些模仿“Army+”应用程序官方页面并使用Cloudlfare Workers发布的网络资源服务。 如果访问上述网站,用户可以下载可执行文件“ArmyPlusInstaller-v.0.10.23722.exe”(名称更改)。 该 EXE 文件被发现是使用 NSIS(Nullsoft …
阅读更多 »