-
东欧
俄罗斯APT组织Earth Kasha利用ANEL后门针对日本发起钓鱼攻击
根据趋势科技的研究,自 2024 年 6 月左右以来,针对日本个人和组织的新鱼叉式网络钓鱼活动一直在进行。此次活动的一个有趣方面是名为 ANEL 的后门的回归,该后门在 2018 年左右被 APT10 用于针对日本的活动,此后再未被发现。此外,已知由 Earth Kasha 使用的 NOOPDOOR 已被确认在同一活动中使用。基于这些发现,我们评估此次活动是 Earth Kasha 新行动的一部分…
阅读更多 » -
东欧
俄罗斯APT组织UAC-0099利用WinRAR漏洞针对乌克兰国家机构实施间谍攻击
2024年11月至12月期间,乌克兰CERT-UA政府计算机应急响应小组调查了UAC-0099组织针对一些国家组织,特别是林业、法医检查机构、工厂等发起的多起网络攻击。 带有 LNK 或 HTA 文件双存档形式附件的电子邮件传统上用于传递网络威胁。同时,某些存档可能包含针对已知 WinRAR 漏洞 CVE-2023-38831 的利用。 如果成功破解,则会在计算机上启动 LONEPAGE 程序,该…
阅读更多 » -
美洲
近期攻击活动分析-390x220.jpg)
南美APT组织APT-C-36(盲眼鹰)近期攻击活动分析
APT-C-36 盲眼鹰 APT-C-36(盲眼鹰)是一个疑似来自南美洲的APT组织,主要目标位于哥伦比亚境内,以及南美的一些地区,如厄瓜多尔和巴拿马。该组织自2018年被发现以来,持续发起针对哥伦比亚国家的政府部门、金融、保险等行业以及大型公司的定向攻击。 APT-C-36近期常采用鱼叉攻击,以PDF文件作为入口点,诱导用户点击文档里面的恶意链接下载RAR压缩包文件。大部分压缩包文…
阅读更多 » -
东欧
俄罗斯APT组织Earth Koshchei在复杂的RDP攻击中使用红队工具
红队为组织加强安全防御提供了必要的工具和测试方法。网络犯罪分子和高级持续性威胁 (APT) 参与者密切关注红队开发的新方法和工具,他们可能会将其用于恶意目的。 2024 年 10 月,趋势科技跟踪的名为 Earth Koshchei 的 APT 组织(也称为 APT29 和 Midnight Blizzard)可能对众多目标使用了流氓远程桌面协议 (RDP) 攻击方法。这种方法早在 2022 年就…
阅读更多 » -
朝鲜半岛
Lazarus组织利用新旧恶意软件进化感染链
过去几年,Lazarus 组织一直在利用虚假工作机会传播恶意软件,攻击各行各业的员工,包括国防、航空航天、加密货币和其他全球行业。这次攻击活动被称为DeathNote 活动,也被称为“Operation DreamJob”。我们之前曾发布过这次活动的历史记录。 最近,我们观察到了一次类似的攻击,Lazarus 组织在一个月内向至少两名与同一核相关组织有关联的员工发送了包含恶意文件的存档文件。在调查…
阅读更多 » -
东欧
:Secret-Blizzard入侵Storm-0156基础设施以进行间谍活动-1-390x220.webp)
频繁搭便车者第二部分:俄罗斯黑客组织Secret Blizzard利用其他组织的工具攻击乌克兰
在利用另一个民族国家威胁行为者的工具和基础设施来促进间谍活动之后,俄罗斯民族国家行为者 Secret Blizzard 使用这些工具和基础设施来攻击乌克兰的目标,正如我们上一篇博客中详细介绍的那样。Microsoft Threat Intelligence 观察到,这些活动不断导致下载 Secret Blizzard 的自定义恶意软件,而Tavdig后门为安装他们的KazuarV2后门创造了立足点…
阅读更多 » -
东欧
频繁的搭便车行为(第一部分):Secret Blizzard入侵Storm-0156基础设施以进行间谍活动
根据 Microsoft Threat Intelligence 的发现以及政府和其他安全供应商的报告,我们评估,被追踪为 Secret Blizzard 的俄罗斯民族国家行为者在过去七年中至少使用了其他六个威胁行为者的工具和基础设施。他们还积极瞄准基础设施,其他威胁行为者从受害者那里窃取数据,意图收集这些数据用于自己的间谍计划。我们评估,Secret Blizzard 使用其他行为者的基础设施和…
阅读更多 » -
东欧
俄罗斯 APT 组织Gamaredon的Android监控家族BoneSpy和PlainGnome被曝光
Lookout 威胁实验室的研究人员发现了两个 Android 监控家族,分别被称为 BoneSpy 和 PlainGnome。它们都归属于与俄罗斯结盟的网络间谍威胁组织 Gamaredon(又名 Primitive Bear、Shuckworm)。2021年,乌克兰安全局 (SSU)将该组织确定为俄罗斯联邦安全局 (FSB) 的一个组成部分。这是首批已知的归属于 Gamaredon 的移动家族。…
阅读更多 » -
东欧
俄罗斯APT组织UAC-0185针对乌克兰国防军和军事国防企业的针对性网络攻击
2024年12月4日,乌克兰CERT-UA政府计算机应急响应小组收到了来自MIL.CERT-UA专家的信息,内容涉及主题为“attention_change_02-1-437 dated 04.12.2024”的电子邮件的分发,据报道称该电子邮件代表乌克兰工业家和企业家联盟(USPP)邀请参加专门讨论该主题的会议乌克兰国防工业产品向北约技术标准过渡于2024年12月5日在基辅以混合形式举行。 同时…
阅读更多 » -
朝鲜半岛
APT组织DarkPlum使用的AsyncRAT变种
介绍 自 2024 年 3 月左右以来,在日本观察到目标攻击组织 DarkPlum(也称为 APT43 或 Kimsuky)的多次攻击。 DarkPlum 使用多种恶意软件,但在最近的攻击活动中观察到了 AsyncRAT 的变体。安全供应商有几份报告提到了这个 AsyncRAT 变种,但详细的分析结果以及与原始版本的差异尚不清楚 。 SOC 一直在研究 DarkPlum 使用的 AsyncRAT …
阅读更多 » -
印度洋
印度APT组织APT-Q-41在网络间谍活动中瞄准巴基斯坦海军
概括 9 月初,作为 BlackBerry 威胁研究和情报团队对整个印度次大陆网络活动的持续监控的一部分,我们发现了一个有趣的 PDF 诱饵,乍一看似乎是巴基斯坦海军的内部 IT 通信。 当我们转向这个遗迹并追踪它的数字足迹时,我们发现了一个相互关联的基础设施网络,其中各种文件类型的遗迹似乎都有一个间谍主题,而它们的目的最终是向目标受害者提供一个隐秘的信息窃取者。 随着我们对这一活动的深入研究,我…
阅读更多 » -
印度洋
APT组织TA397 新攻击链传播了恶意软件WmRAT和MiyaRAT
概述 2024 年 11 月 18 日,TA397(第三方研究人员也将其称为Bitter)利用鱼叉式网络钓鱼诱饵攻击了土耳其的一个国防部门组织。该电子邮件包含一个压缩存档 (RAR) 文件附件,其中包含一个诱饵 PDF (~tmp.pdf) 文件,该文件详细介绍了世界银行在马达加斯加的基础设施发展公共倡议、一个伪装成 PDF 的快捷方式 (LNK) 文件(PUBLIC INVESTMENTS PR…
阅读更多 » -
东欧
APT29采用恶意RDP技术对高价值目标开展网络间谍活动
2024 年 10 月,趋势科技跟踪的名为 Earth Koshchei 的 APT 组织(也称为 APT29 和 Midnight Blizzard)可能对众多目标使用了流氓远程桌面协议 (RDP) 攻击方法。这种方法早在 2022 年就由Black Hills Information Security 详细描述过。这种攻击技术称为“流氓 RDP”,涉及 RDP 中继、流氓 RDP 服务器和恶意…
阅读更多 » -
东欧
APT组织RomCom在野利用 Firefox 和 Windows 零日漏洞
ESET 研究人员在 Mozilla 产品中发现了一个此前未知的漏洞,该漏洞被与俄罗斯结盟的 RomCom 组织在野外利用。这是 RomCom 至少第二次被发现在野外利用重大零日漏洞,此前一次是在2023 年 6 月通过 Microsoft Word滥用CVE-2023-36884。 此严重漏洞(编号为CVE-2024-9680,CVSS 评分为 9.8)允许存在漏洞的 Firefox、Thund…
阅读更多 » -
东亚
APT组织APT-C-60利用合法服务进行攻击
2024 年 8 月左右,JPCERT/CC 确认了针对国内组织的攻击,据信是由攻击组织 APT-C-60 发起的。 这次攻击涉及冒充求职者向组织的招聘部门发送一封电子邮件,并用恶意软件感染该电子邮件。 在本文中,我们将分为以下几个部分来解释攻击方法。 恶意软件感染流程 下载器分析 后门分析 使用类似恶意软件的活动 恶意软件感染流程 图 1 概述了这一最初的违规行为。 图 1:初始妥协流程 这次攻…
阅读更多 »