2021-10-26 18:24   针对巴以地区长达三年的攻击活动揭露    #360 核心安全技术博客 #安全文章 主要发现伪装对象载荷投递社交工具Google Drive样本分析SpyNoteMobihokWH-RAT888RATMetasploitEsecretRAT溯源关联总结IOC参考：主要发现近期，360烽火实验室发现一起针对巴以地区攻击活动，攻击者使用了多种商业间谍软件，同时也基于开源代码构建了独有的间谍软件。通过分析，我们发现该攻击活动自2018年开始，并持续至今。根据攻击者使用的伪装对象，我们推测攻击目标可能为巴以地区。伪装对象攻击者通过将合法的应用打包进间谍软件进行伪装，伪装对象为各种社交应用、阿克萨电台、阿克萨清真寺、耶路撒冷指南、PDF查看器等应用。图1 伪装对象图标载荷投递社交工具T

2021-10-22 14:40   预警：警惕黑客借“提币潮”牟利    #360 核心安全技术博客 #安全文章 一、 概况二、 国内环境下虚拟货币钱包使用情况三、 仿冒的虚拟货币钱包欺诈行为替换剪贴板窃取各类凭据实施间谍活动四、 总结五、 参考链接一、 概况近年来，比特币等虚拟货币交易炒作活动盛行，扰乱经济金融秩序，滋生洗钱、非法集资、诈骗、传销等违法犯罪活动，严重危害人民群众财产安全。9月24日，人民银行等十部门发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》，通知指出虚拟货币兑换、为虚拟货币交易提供撮合服务等虚拟货币相关业务全部属于非法金融活动。虚拟货币钱包就是用来存储、管理、交易虚拟数字货币的工具。虚拟货币钱包用户在我国的地域分布呈现东部多西部少的特点。随着通知的下发，我国移动端虚拟货

2021-06-15 16:47   PJobRAT：针对印度军事人员的间谍软件    #360 核心安全技术博客 #安全文章 概述伪装方式样本分析同源分析窃取的数据分析总结IOC参考链接概述近期，360烽火实验室发现一起主要针对印度军事相关目标的攻击活动，本次攻击活动使用了一种新的Android恶意软件，根据恶意软件包结构我们将其命名为PJobRAT。PJobRAT主要伪装成印度婚恋交友和即时通讯软件。通过对同源样本进行分析，我们推测本次攻击时间从2021年1月开始，该RAT家族或最早出现于2019年12底，本次攻击活动主要针对具有军事相关背景的印度人员。伪装方式PJobRAT伪装成最新版的印度约会和婚姻应用软件Trendbanter，据第三方应用市场介绍Trendbanter是首屈一指的印度约会和婚姻应用程序，汇集

2021-03-30 09:04   FluBot：一场席卷欧洲的移动银行木马攻击活动    #360 核心安全技术博客 #安全文章 概述载荷投递伪装方式样本分析运行流程恶意功能指令控制版本差异影响范围总结概述3月初，西班牙加泰罗尼亚警方破获一起网络金融诈骗案，作案团伙通过Android恶意软件盗取了1100万用户的电话号码，约占西班牙人口的25％，目前四名犯罪嫌疑人已被警方逮捕。该团伙通过名为“FluBot”的Android恶意软件，发送带有恶意软件下载链接短信的方式，发送至少71,000条垃圾短信，感染60,000台设备，其中97％受害用户是西班牙公民。360烽火实验室追踪发现，尽管犯罪嫌疑人已经被逮捕归案，但“FluBot”恶意软件仍在继续运营，我们发现最新版本已经更新到3.7。“FluBot”最早于2020年底曝光，

2021-03-23 18:38   RemRAT：潜伏在中东多年的Android间谍软件    #360 核心安全技术博客 #安全文章 概述伪装方式样本分析功能分析通信方式受害者分析总结IOC参考链接360烽火实验室概述今年是叙利亚内战爆发10周年，在这10年中叙利亚战火从未平息，接二连三的战役造成数十万人丧生，数百万人流离失所，基础设施遭到巨大破坏。“阿勒颇战役” 是叙利亚内战中最血腥的战役之一，该战役开始于2012年7月19日，最终于2016年12月22日以政府军的胜利而结束。持续四年多的“阿勒颇战役”对于叙利亚军队有着重要的意义，该战役是叙利亚军队自危机爆发以来所取得的最大胜利，也是叙利亚战场上的一个重要转折点，该战役的胜利标志着叙利亚军队由战略防御转为了战略进攻。近期，360安全大脑从海量威胁样本中发现一个和“阿勒颇战

2021-03-16 19:27   针对印度锡克教分离主义运动的攻击活动    #360 核心安全技术博客 #安全文章 概述载荷投递样本分析关联总结IOC参考概述据维基百科介绍锡克教是现存最年轻的主流宗教之一，目前在全世界有2500万教徒，是世界第六大宗教。大部分锡克教徒居住在印度旁遮普邦。2019年，有媒体报道Google Play曾上架了一款名为“2020年锡克人公投”（2020 Sikh Referendum）的应用程序并开放给用户免费下载，该应用可就锡克教徒在印度旁遮普邦独立并建立锡克人国家的议题进行公投。这个应用由“正义的锡克教徒（Sikhs for Justice）”组织上传，该组织是一个总部位于美国的是一个分裂国家团体，支持锡克教徒建立独立国家卡利斯坦（Khalistan）将旁遮普邦从印度分裂出去

2021-02-02 18:06   安全预警：利用Android可穿戴扩展通知功能进行自我传播的蠕虫木马分析    #360 核心安全技术博客 #安全文章 发现分析影响建议IOCs:参考:发现近期，我们发现了一批新型蠕虫木马，该木马不需要任何隐私权限，利用可穿戴设备扩展功能针对WhatsApp用户发送蠕虫链接。进一步分析，我们发现该木马实现原理可以针对所有实现了将可穿戴设备扩展添加到通知中的应用。由于将可穿戴扩展添加到通知中的功能在Android 5.0开始被提供使用，因此大约94.1%的Android设备受此蠕虫木马影响。分析蠕虫木马执行流程如下图所示：图1 流程图蠕虫木马不需要申请任何获取隐私的权限，如下图所示：图2 申请权限蠕虫木马启动后连接云端获取蠕虫消息配置信息，并且跳转到通知使用权授权页面，诱导人工授予通知访问权。而后木马将会隐藏图标

2020-12-17 15:41   CVE-2020-17057 Microsoft Windows DirectComposition Uninitialized Pointer Privilege Escalation Vulnerability    #360 核心安全技术博客 #安全文章 CVE-2020-17057 Microsoft Windows DirectComposition Uninitialized Pointer Privilege Escalation VulnerabilityAbstractBackgroundCVE-2020-17057 AnalysisCrash detailVulnerability detailExploitHow I convert arbitrary address minus one to arbitrary resource object releaseHow I get a palette with dangling d

2020-12-11 17:31   CVE-2020-17140 Windows SMB Information Disclosure Analysis    #360 核心安全技术博客 #安全文章 CVE-2020-17140 Windows SMB Information Disclosure AnalysisSummaryBackgroundCVE-2020-17140 AnalysisConclusionPatchReferenceCVE-2020-17140 Windows SMB Information Disclosure AnalysisAuthor:k0shl of 360 Vulcan TeamSummaryMicrosoft patched a SMB remote information disclosure vulnerability this patch tue

2020-12-04 15:00   Domestic Kitten组织（APT-C-50）针对中东地区反政府群体的监控活动    #360 核心安全技术博客 #安全文章 一、 概述二、 伪装对象三、 功能分析四、 与KidLogger的关系五、 受害者分析六、 总结IOCs一、 概述Domestic Kitten组织（APT-C-50）最早被国外安全厂商披露，自2016年以来一直在进行广泛而有针对性的攻击，攻击目标包括中东某国内部持不同政见者和反对派力量，以及ISIS的拥护者和主要定居在中东某国西部的库尔德少数民族。值得注意的是，所有攻击目标都是中东某国公民。伊斯兰革命卫队（IRGC）、情报部、内政部等中东某国政府机构可能为该组织提供支持。2020年9月27日，亚美尼亚与阿塞拜疆之间的冲突升级，在纳戈尔诺-卡拉巴赫地区交战，敌对双方持续发生激烈战斗，并且