-
东南亚
驶向危险:APT组织DONOT针对巴基斯坦海事和国防制造业的攻击
概述 CRIL 最近发现了一项似乎针对巴基斯坦制造业的活动,该行业为该国的海事和国防部门提供支持。在分析了该活动所涉及的文件后,确定该攻击与已知的 APT 组织 DONOT 有关。 DoNot,也称为 APT-C-35,是一个自 2016 年开始运营的高级持续性威胁 (APT) 组织。该组织曾多次针对南亚各地的政府和军事实体以及外交部和大使馆发起攻击。 图 1 – Cyble Vision 威…
阅读更多 » -
朝鲜半岛
“Million OK !!!!”和Naver Facade:追踪最近疑似Kimsuky基础设施
2024 年 3 月,Twitter/X 上的一名安全研究人员观察到一系列 IP 地址和域发出了不寻常的 HTTP 响应:“百万 OK!!!”。随后对基础设施和域的分析将此活动与朝鲜威胁组织 Kimsuky 联系起来。 Hunt 研究人员最近观察到涉及最近注册的域的其他活动返回相同的响应。这些网页使用韩国科技公司 Naver 的网站图标,尽管它们与该公司没有任何关联。域名注册信息表明,该集团正在积…
阅读更多 » -
未知地区
未知地区APT组织EC2 Grouper被捕获
在分析云中身份泄露事件的这些年里,我们发现相同的攻击者会定期出现,有些出现的频率更高。在我们了解到的攻击行为中,最活跃的攻击者就是我们称之为“EC2 Grouper”的攻击者。在过去几年中,我们在数十个客户环境中发现了该攻击者,这使他们成为我们跟踪到的最活跃的组织之一。该攻击者通常的嫌疑在于,他们在攻击中倾向于使用类似的用户代理和相同的安全组命名约定。 虽然用户代理甚至安全组名称等指标可以帮助归因…
阅读更多 » -
南亚
巴基斯坦APT组织APT36的恶意软件ElizaRAT演变分析
介绍 APT36 又名透明部落 (Transparent Tribe),是一个总部位于巴基斯坦的威胁行为者,因持续针对印度政府组织、外交人员和军事设施而臭名昭著。APT36 针对 Windows、Linux 和 Android 系统进行了多次网络间谍活动。 在最近的活动中,APT36 使用了一种特别阴险的 Windows RAT,称为 ElizaRAT。ElizaRAT 于 2023 年首次被发现…
阅读更多 » -
朝鲜半岛
朝鲜APT组织APT37威胁背后的网络侦察活动分析
◈ 执行摘要 国家支持的 APT37 组织的秘密网络侦察活动分析 收集攻击目标的IP地址(位置信息)、Web浏览器、操作系统等信息 以快捷方式(lnk)恶意文件为主要策略的威胁实体 需要积极引入异常行为检测响应解决方案(EDR)来加强终端安全。 1. 概述 APT37组织被称为国家网络安全威胁组织,正在主导针对韩国的各种网络间谍活动。打击对象主要是朝鲜人权团体、脱北者、报道朝鲜的记者以及统一、国防…
阅读更多 » -
未知地区
PhaseShifters 团队的“新”技术——使用隐写术攻击俄罗斯
PT 专家安全中心的研究人员在监控针对俄罗斯组织的攻击时,发现了 PhaseShifters 组织的新攻击链。这个组织被命名为 PhaseShifters,因为它在技术上与 UAC-0050 组织有所不同。攻击链中使用了网络钓鱼电子邮件和文件,这些文件被归类为 PhaseShifters 组织的攻击。攻击者使用了 Rhadamanthys、DarkTrack RAT、Meta Stealer 等恶…
阅读更多 » -
南亚
印度APT组织SideWinder 的演变和扩张
SideWinder APT 组织自 2012 年起活动,主要针对南亚和东南亚的政府和军事实体。该组织利用公开的漏洞、恶意 LNK 文件和脚本作为感染媒介,以及公开的远程管理工具(RAT)。尽管长期以来被认为是低技能的攻击者,但实际上他们的技术能力和操作复杂性在深入分析后才得以体现。 Side 近,SideWinder 的活动范围显著扩大,影响了中东和非洲的实体,并发现了一种新的后开发工具包 “S…
阅读更多 »