记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Sharpshooter攻击活动与朝鲜APT Lazarus有关

McAfee研究人员在分析了Sharpshooter攻击活动的C2服务器代码后发现该攻击活动与朝鲜的APT组织Lazarus有关。据分析,是在政府部门的帮助下进行的,结果表明该攻击活动的范围更加广泛、比研究人员最初认为的更加复杂。与朝鲜的关系为了隐藏真实位置,攻击者使用了ExpressVPN服务,该服务与来自2个伦敦的IP地址的服务器上的web shell (Notice.php)有关。但是该IP地址并不是攻击者的真实来源。与朝鲜APT组织Lazarus的关系是通过分析使用的工具、策略和方法得出的结论。比如,在Sharpshooter之前研究人员就发现Rising Sun与其他Lazarus组织的攻击活动使用相同的策略
发布时间:2019-03-08 12:20 | 阅读:76138 | 评论:0 | 标签:事件 Sharpshooter

TransparentTribe APT组织2019年针对印度政府、军事目标的攻击活动报告

一、 报告背景进入2019年以来,腾讯安全御见威胁情报中心检测到多起针对印度政府部门、军事目标等的攻击活动,诱饵内容包括"印度空袭分裂主义组织(英译汉)"、"联合国军事观察员(英译汉)"等。经过分析关联确认,攻击组织为TransparentTribe APT组织。TransparentTribe APT组织,又称ProjectM、C-Major,是一个来自巴基斯坦的APT攻击组织,主要目标是针对印度政府、军事目标等。该组织的活动最早可以追溯到2012年。该组织的相关活动在2016年3月被proofpoint披露,趋势科技随后也跟进进行了相关活动的披露
发布时间:2019-03-07 00:20 | 阅读:72541 | 评论:0 | 标签:事件 TransparentTribe APT

Docker Control API和社区镜像被用来传播加密货币挖矿恶意软件

研究人员通过搭建容器蜜罐收集的数据进行分析来监控威胁,并且发现了一起利用使用Docker Hub上发布的容器镜像的伪造容器进行非授权的加密货币挖矿的恶意活动。该镜像被用来传播加密货币挖矿恶意软件。对于安全公司和安全研究人员来说,搭建没有任何安全防护措施和没有预装安全软件的蜜罐是常用的收集恶意样本的方式。但docker是有最佳实践和建议来防止这类错误的、不安全的配置的。蜜罐获取的流量和活动是为了获取针对容器平台本身的攻击而不是容器应用的。研究人员发现的这起攻击活动是不依赖于任何漏洞利用,也不依赖于某种docker版本的。发现错误配置和暴露的容器镜像是攻击者感染更多相关主机唯一需要做的。暴露后,Docker API会让用户
发布时间:2019-03-04 12:20 | 阅读:101131 | 评论:0 | 标签:事件 恶意软件 加密

从Instagram上窃取个人资料的土耳其黑客团伙

社交平台的博主们通过营造自身的品牌形象来获取更多粉丝的关注,对于黑客来说,他们苦心经营的形象也能被视为商品对待,通过盗取账号/个人信息来饱其私囊。近日,一名Instagram平台上粉丝超过1.5万名的摄影师就遭遇了此类状况。对该事件的进一步调查显示,黑客是通过网络钓鱼黑进她的账户的。虽然听起来似乎很简单,但我们也发现,针对Instagram上“网红”们的攻击,已经成为了某个土耳其语黑客群体的惯用手法,并且黑客们通过滥用Instagram的账户恢复程序,让受害者们即使按正常的申诉流程也要不回自己的账户。我们在研究时就曾看到过这样的案例:一些在Instagram上粉丝数在1.5万至7万之间的博主们,其个人资料遭到了黑客攻击
发布时间:2019-03-04 12:20 | 阅读:66156 | 评论:0 | 标签:事件 Instagram

LazyCat:针对澳大利亚议会的APT攻击事件分析

近日,澳大利亚主要政党与国会的电脑系统遭到了外国政府的攻击。澳洲总理莫里森当天说,安全机构在调查针对国会议员的网络攻击事件时发现,包括自由党、工党和国家党等几个政党的网络也受到了影响。Cybaze-Yoroi ZLab对该攻击事件进行了技术分析。技术分析所有分析的样本看似都属于后利用阶段,即攻击者用来进行数据窃取和之后的行动。这些模块并不属于开源的后利用框架,而是用C#语言在.NET框架上开发的。LazyCat DLL第一个分析的恶意软件样本是LazyCat,主要来源于著名的Mimikatz渗透测试工具。表1:  LazyCat样本信息静态分析表明使用的库是.NET框架编写的,没有使用高度混淆,因此可以逆向其
发布时间:2019-03-01 12:20 | 阅读:67485 | 评论:0 | 标签:事件 APT攻击事件

响尾蛇(SideWinder)APT组织针对南亚的攻击活动披露

一、 概述从2017年底到2019年初,腾讯安全御见威胁情报中心发现一个疑似来自印度的APT攻击组织持续针对巴基斯坦等南亚国家的军事目标进行了定向攻击。腾讯安全御见威胁情报中心对该组织的攻击活动进行了长期的深入分析,从溯源结果来看,该组织的最早的攻击活动可以追溯到2012年。从腾讯安全御见威胁情报中心的分析结果来判断,该组织的背景跟卡巴斯基在2018年第一季度报告中提到的SideWinder组织非常的相似,虽然卡巴斯基并未发布任何该组织的技术细节和报告。我们继续沿用卡巴斯基的命名,命名该组织为"响尾蛇"(SideWinder、T-APT-04)。腾讯安全御见威胁情报中心曾在2018年5月份
发布时间:2019-02-28 12:20 | 阅读:65241 | 评论:0 | 标签:事件

朝鲜APT组织Lazarus使用KEYMARBLE后门攻击俄罗斯

一、简介在过去的几周里,我们一直在监控针对俄罗斯公司的可疑活动,我们观察到朝鲜对俄罗斯实体开展的一次攻击,这个活动暴露了我们之前从未见过的捕食者-猎物关系。虽然将攻击归因于某个威胁组织或其他组织是有问题的,但下面的分析揭示了其与朝鲜APT组织Lazarus使用的战术、技术和工具的内在联系。这一发现来自我们正在跟踪的为俄罗斯受害者专门设计和制作的多个恶意Office文档。通过仔细检查这些文档,我们能够看出它们属于感染链的早期阶段,此感染链的终端是一个多功能Lazarus后门的更新版本,被US-CERT称为KEYMARBLE 。Lazarus有时也被称为Hidden Cobra,是当今世界上最流行和最活跃的APT
发布时间:2019-02-25 12:20 | 阅读:143335 | 评论:0 | 标签:事件 朝鲜APT 后门

疑似1.59亿LinkedIn领英客户数据库正在以99美元的价格被售卖

不传谣不信谣,题目说了疑似,所以不管怎么着,改密码吧2019年1月30日,一位名叫"Andrew"的未知黑客通过Pastebin网络服务发布了一份在线声明,据称宣布了其拥有属于LinkedIn的1.59亿客户数据库。为了证明真假,黑客已经发布了一份包含100个客户的样本列表及其帐户登录凭据,作为泄露数据的证明。目前,黑客拒绝公开分享整个泄露的数据库,而是愿意以99美元的价格向愿意购买的人出售完整的清单。此外,对于不想直接购买整个数据库的人,黑客也提出以一小笔费用0.012比特币(41美元)的价格来破解你想要的任何人的个人账户。Yes, this means that for .012BTC 
发布时间:2019-01-31 12:20 | 阅读:102570 | 评论:0 | 标签:事件 LinkedIn 泄漏

万豪称5亿喜达屋客户信息被泄露 CEO向公众致歉

昨晚,高端酒店巨头万豪国际集团称下属的喜达屋酒店的大量用户数据可能已经被黑客获得,并且这可能会导致迄今为止最大的用户信息泄漏事件。万豪酒店通过万豪自身的所有的公众平台对外公布了这一消息,第一时间公开了相关内容细节,并成立了特设网站与电话专线回应公众对此事的问询。万豪称他们在今年9月8日收到了一条内部安全检查工具发出的关于第三方试图访问喜达屋宾客预定数据库的警报,在收到该警报后万豪第一时间聘请权威安全专家进行调查。在调查中得知,自2014年起就有第三方开始对喜达屋的服务网络进行未授权访问。根据近期第三方的行为,发现他们在复制并加密某些信息,直至昨日,终于解密了信息,确认信息来自于喜达屋宾客预定数据库。根据万豪的公告,虽然
发布时间:2018-12-02 00:20 | 阅读:86292 | 评论:0 | 标签:事件

针对马拉维(MALAWI)国民银行的网络攻击样本分析报告

1、概述近日,安天CERT(安全研究与应急处理中心)在梳理相关安全事件时发现多例对马拉维国民银行(National Bank of Malawi)的钓鱼邮件攻击样本。马拉维共和国(Republic of Malawi)是位于非洲东南部的内陆国家,国土面积11.8万平方公里。截至2017年9月,其全国共计人口2840万人,是非洲撒哈拉沙漠以南人口密度最高的国家之一。其国家经济长期依赖农业出口,政府常年靠举债度日,曾被联合国评为世界上最贫困的国家之一(摘自维基百科),国民银行是其国内最大的商业银行。安天通过对攻击样本和关联线索的综合分析,发现这是一系列以金融机构电子邮件为突破口,通过邮件进行交叉渗透的定向攻击事件。攻击者使
发布时间:2018-11-30 12:21 | 阅读:94179 | 评论:0 | 标签:事件

供应链攻击活动Red Signature分析

IssueMakersLab与Trend Micro的研究人员一起发现了Red Signature行动,一起窃取韩国企业信息的供应链攻击。研究人员7月底发现了这起攻击。攻击者黑进了远程支持方案提供商的更新服务器,通过更新过程传播9002 RAT(remote access tool)。这个过程首先是窃取公司的证书,然后用窃取的证书对恶意软件进行签名。如果客户端位于目标组织的IP地址范围内,攻击者还会配置更新服务器使其只传播恶意文件。9002 RAT还会安装其他的恶意工具,IIS 6 WebDav(利用CVE-2017-7269)的漏洞利用工具和SQL数据库密码复制器。安装的这些工具暗示攻击者的目标未web服务器和数据库
发布时间:2018-09-29 12:20 | 阅读:98765 | 评论:0 | 标签:事件

针对墨西哥用户的dark tequila

Dark Tequila是针对墨西哥用户的复杂恶意行动,其主要目的是窃取财务信息,以及登录热门网站的凭据,包括从代码版本存储库到公共文件存储帐户和域名注册商。只有在满足某些条件时,才会向受害者提供多级有效载荷;安装安全套件或在分析环境中运行样本时避免感染。从最终有效载荷中获取到的目标列表中,此特定行动针对几家墨西哥银行机构的客户,并包含一些嵌入在用西班牙语编写的代码中的注释,这些注释使用仅在拉丁美洲使用的单词。大多数受害者都位于墨西哥。该行动自2013年以来一直活跃,因此它是一款非常'añejo'(成熟)的产品。有两种已知的感染媒介:鱼叉式网络钓鱼和USB设备感染。它背后的威胁行为者严格监控和控制所
发布时间:2018-09-06 12:20 | 阅读:83542 | 评论:0 | 标签:事件

深入剖析利用俄军军事论坛名义传播的恶意软件

几天前,FortiGuard Labs团队发现了一个利用CVE-2017-0199漏洞的恶意PPSX文件,该文件是为讲俄语的人设计的。文件名“Выставка”翻译为“展览”。经过进一步确认,PPSX文件针对每年在俄罗斯举办的名为陆军2018年国际军事和技术论坛的展览。这是最大的军事武器和特种装备展览之一,不仅在俄罗斯,而且是世界上类似展览中的最杰出的活动之一。由于该活动计划于2018年8月21日至26日举行,因此发现此恶意文件非常及时。图01.诱饵文件此恶意软件的另一个有趣的因素是包含的段落,如下所示。图02.俄语邀请大致意思为:封闭动态展示现代和未来的军事武器样本和“联合武装部队特种部队”的特种装备虽然活动对任何人
发布时间:2018-08-30 12:20 | 阅读:91002 | 评论:0 | 标签:事件

剖析亚马逊AWS安全配置的未来和挑战

2017.7-2018.7:AWS错误配置惹下的祸2017年7月,由于亚马逊云存储服务器上的配置错误,导致包括《华尔街日报》订户在内的220万道琼斯“私密信息”都遭到未经授权的访问,其中,受影响的数据包括姓名、电子邮件地址、家庭地址、内部帐户详细信息、信用卡号码的最后四位数字,以及紧急联系电话号码等;2017年9月,安全公司UpGuard在亚马逊云存储上发现了“被错误设为对公众可见”的机密文件,这些泄漏的机密文件中包含了一些美国军方和情报人员简历信息。据发现该漏洞的分析师表示,此次信息泄露是由错误的安全配置所致;2017年11月,安全公司UpGuard 再次发现托管在AWS S3服务器的47份美国陆军情报与安全司令部(
发布时间:2018-08-27 12:20 | 阅读:101378 | 评论:0 | 标签:事件 行业

还有多少个X站在被后门、webshell寄生?

事件回顾近日,国内某知名二次元视频网站(以下简称X站)遭遇黑客攻击,近千万条用户数据外泄 ,其中包括用户 ID、昵称、" 加密存储 " 的密码等信息。同时在某群、github上也出现了黑客的贩卖及勒索信息。黑客入侵分析根据曝光的信息初步判断,黑客应该是利用X站某台互联网服务器上的应用漏洞上传后门或webshell,成功穿过防火墙等安全设备并getshell,之后通过东西向流动渗透内网,成功窃取近千万条用户数据并控制内网主机。根据黑客的描述,目前该后门仍未被清除,如果不及时处理不仅仅是数据泄露的问题,黑客还有可能进行锁死服务器、清除数据等极端操作。也许你的安全已经做到了90分,但干掉你的往往是剩下那个
发布时间:2018-08-20 12:20 | 阅读:105848 | 评论:0 | 标签:事件 后门

从移动应用看微信支付SDK XML实体注入漏洞

一周前,嘶吼报道了《微信支付曝“0元购”漏洞,官方称已修复,实际风险隐患巨大》的事件。这个漏洞是首发在Seclists上,在被爆出的那几天,国内有很多安全厂商对这件事进行了及时的跟进与相应。嘶吼联系了在移动互联网安全领域领先的盘古实验室,他们也对这个漏洞在技术方面进行了下面严谨的分析:从该漏洞的技术细节看,漏洞的利用需要2个先决条件,1)攻击者必须获取有效的商户服务器的notify_url(异步通知接口)以实施攻击。例如漏洞发布者提到的momo和vivo商户服务器:Momo:https://pay.immomo.com/weixin/notifyVivo:https://pay.vivo.com.cn/webpay/w
发布时间:2018-07-14 17:20 | 阅读:157089 | 评论:0 | 标签:事件 漏洞 微信XXE 注入 移动

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云