Frequent verification codes may appear for non-Mainland China IP visits. If visitors are severely affected, please send [IP|ASN](3.215.79.68|AS14618) to the bottom mailbox to add to the whitelist

文章列表

2022-06-01 00:00   摩诃草组织以巴基斯坦相关政府机构文件为诱饵的攻击活动分析    #奇安信威胁情报中心 #威胁情报 摩诃草组织一直以来都是我们的重点关注对象。近期,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了该组织多个攻击样本。在此攻击活动中,攻击者使用带漏洞的RTF文件进行鱼叉攻击,当受害者点击执行诱饵文件之后,将会通过漏洞执行变种BADNEWS木马。

2022-05-16 00:00   Operation Dragon Breath(APT-Q-27):针对博彩行业的降维打击    #奇安信威胁情报中心 #威胁情报 攻守双方经过多年的对抗后,渐渐催生出了数个高水平的黑客团伙。从2015年至今奇安信威胁情报中心捕获了多个针对博彩行业的RCE 0day攻击活动,国外友商avast在最近发布的龙堡行动一文[4]中捕获了利用wps 0day漏洞针对博彩公司的攻击事件,这表明针对博彩行业的攻击水平不亚于目前主流的APT团伙,但目前每年全球安全类报告涉及博彩的数量少之又少,仍未被友商重视。金眼狗(奇安信内部跟踪编号APT-Q-27)是一个针对在东南亚从事博彩、狗推相关人员以及海外华人群体的黑客团伙,其业务范围涵盖远控、挖矿、DDOS和流量相关。样本主要在Telegram群组中进行传播,样本免杀效果好,有些诱饵针对性强

2022-05-10 11:05   Operation(龙)EviLoong:“无国界”黑客的电子派对    #奇安信威胁情报中心 #威胁情报 奇安信威胁情报中心在日常威胁发现过程中发现一个专门针对游戏公司、制药行业、区块链、互联网金融、企业财务、运维人员等目标的团伙,盗用了多个公司的白证书,样本大部分使用了VMP壳进行了保护,执行过程中会将带有签名的驱动样本加载入内核对三环的样本提供保护,攻击手法极为高超,具备0day/Nday攻击能力,样本由于带有白签名,全程免杀,较难发现。我们将该团伙对应的编号命名为APT-Q-29。

2022-05-06 15:05   Lazarus武器库更新:Andariel近期攻击样本分析    #奇安信威胁情报中心 #威胁情报 Andariel 团伙被韩国金融安全研究所(Korean Financial Security Institute)归属为Lazarus APT组织的下属团体。 该团体主要攻击韩国的组织机构,尤其是金融机构,以获取经济利益和开展网络间谍活动。 近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获到一批与Andariel相关的攻击样本,均为PE可执行文件。根据这批样本上传VT的时间可知相关攻击活动至少从今年2月份开始发起。

2022-05-06 13:04   死灰复燃!新型REvil勒索软件在野攻击活动分析    #奇安信威胁情报中心 #威胁情报 近期,我们观察到一股未知团伙正在利用受Log4j影响的Vmware漏洞在内网中进行漫游,使用GO Simple Tunnel工具建立隧道,使用Psexec尝试投递SystemBC 轻量级后门。经分析,确认与REvil有关。

2022-05-06 11:04   雪虐风饕:疑似Lazarus组织针对韩国企业的攻击活动分析    #奇安信威胁情报中心 #威胁情报 近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获到了大量针对韩国企业的鱼叉式网络钓鱼攻击样本。其通过带漏洞的文档或chm文件进行感染,并区分当前操作系统位数,执行对应系统位数的宏代码,以达到最佳的攻击效果。经研判,本次攻击活动的特点如下:1.初始感染文档均使用CVE-2017-0199远程执行代码漏洞下载后续执行;2.后续攻击利用本地RPC接口的UAC Bypass技术进行权限提升;3.后续载荷加壳干扰分析,并使用简单手段来检测是否在沙箱中;

2022-05-06 00:00   Lazarus武器库更新:Andariel近期攻击样本分析    #奇安信威胁情报中心 #威胁情报 Andariel 团伙被韩国金融安全研究所(Korean Financial Security Institute)归属为Lazarus APT组织的下属团体。 该团体主要攻击韩国的组织机构,尤其是金融机构,以获取经济利益和开展网络间谍活动。 近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获到一批与Andariel相关的攻击样本,均为PE可执行文件。根据这批样本上传VT的时间可知相关攻击活动至少从今年2月份开始发起。

2022-05-06 00:00   “透明部落”利用走私情报相关诱饵针对印度的攻击活动分析    #奇安信威胁情报中心 #威胁情报 近期,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了该组织多个Crimson RAT攻击样本。在此攻击活动中,攻击者使用恶意宏文件进行鱼叉攻击,当受害者点击执行诱饵文件之后,将会在本地释放并执行一个恶意程序,恶意程序就是Transparent Tribe组织自有的远控软件Crimson RAT,在后续关联中,我们还发现了Transparent Tribe组织的USBWorm组件。

2022-05-06 00:00   Lazarus武器库更新:Andariel近期攻击样本分析    #奇安信威胁情报中心 #威胁情报 Andariel 团伙被韩国金融安全研究所(Korean Financial Security Institute)归属为Lazarus APT组织的下属团体。 该团体主要攻击韩国的组织机构,尤其是金融机构,以获取经济利益和开展网络间谍活动。 近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获到一批与Andariel相关的攻击样本,均为PE可执行文件。根据这批样本上传VT的时间可知相关攻击活动至少从今年2月份开始发起。

2022-05-06 00:00   死灰复燃!新型REvil勒索软件在野攻击活动分析    #奇安信威胁情报中心 #威胁情报 近期,我们观察到一股未知团伙正在利用受Log4j影响的Vmware漏洞在内网中进行漫游,使用GO Simple Tunnel工具建立隧道,使用Psexec尝试投递SystemBC 轻量级后门。经分析,确认与REvil有关。

2022-05-05 00:00   “盲眼鹰”近期伪造司法禁令的攻击活动分析    #奇安信威胁情报中心 #威胁情报 近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获到了盲眼鹰的攻击活动样本。在此攻击活动中,盲眼鹰组织的感染链与之前的攻击活动保持相对一致,使用诱饵PDF作为入口点,诱导受害者点击短链接下载压缩包,解压后点击执行伪装为pdf的VBS脚本,从而开启一个复杂的多阶段无文件感染链。

2022-05-05 00:00   “盲眼鹰”近期伪造司法禁令的攻击活动分析    #奇安信威胁情报中心 #威胁情报 近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获到了盲眼鹰的攻击活动样本。在此攻击活动中,盲眼鹰组织的感染链与之前的攻击活动保持相对一致,使用诱饵PDF作为入口点,诱导受害者点击短链接下载压缩包,解压后点击执行伪装为pdf的VBS脚本,从而开启一个复杂的多阶段无文件感染链。

2022-05-05 00:00   “盲眼鹰”近期伪造司法禁令的攻击活动分析    #奇安信威胁情报中心 #威胁情报 近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获到了盲眼鹰的攻击活动样本。在此攻击活动中,盲眼鹰组织的感染链与之前的攻击活动保持相对一致,使用诱饵PDF作为入口点,诱导受害者点击短链接下载压缩包,解压后点击执行伪装为pdf的VBS脚本,从而开启一个复杂的多阶段无文件感染链。

2022-03-25 00:00   全球高级持续性威胁(APT)2021年度报告    #奇安信威胁情报中心 #威胁情报 2021年,奇安信威胁情报中心首次使用奇安信威胁雷达对境内的APT攻击活动进行了全方位遥感测绘。监测到我国范围内大量IP地址与数十个境外APT组织产生过高危通信,北京地区以及广东、福建、浙江、江苏等沿海省份作为我国政治中心、经济发达地区,是境外APT组织进行网络攻击的主要目标地区。

2022-03-23 19:05   赛博空间的魔眼(续):PROMETHIUM伪装为WinRar.exe的攻击活动分析    #奇安信威胁情报中心 #威胁情报 近日,我们在日常的威胁狩猎中捕获了PROMETHIUM组织伪装成常用压缩软件WinRAR.exe安装包进行情报刺探的攻击活动样本。经研判,本次攻击活动的特点如下:1.使用水坑进行攻击,此次攻击样本内嵌WinRAR.exe签名的软件安装包,并使用WinRAR.exe图标伪装自身;2.硬编码字符串‘v28_kt32p0’,疑似版本更迭至v28;3.收集指定类型文件压缩加密后回传C2服务器;

By QianX.in