记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

APT Group系列——Darkhotel 之中间组件篇

文章目录一、手法简述二、中间执行工具2.1 注入器2.1.1 环境检查2.1.2 持久化2.1.3 注入2.2 HTA下载组件三、组件升级工具3.1 微下载器3.1.1 持久化 & 环境检测3.1.2 C&C通信3.2 Karba下载器3.2.1 功能性质3.2.2 持久化 & 环境检测3.2.3 搜集系统信息3.2.4 C&C通信四、感染 & 横向移动4.1 Pioneer组件4.1.1 功能4.1.2 环境检测4.1.3 感染PE文件4.1.4 持续感染4.2 Ramsay组件集4.2.1 功能4.2.2 释放组件4.2.3 感染PE bindsvc.exe4.2.4 Rookit组件Hfile.sys4.2
发布时间:2020-08-14 11:56 | 阅读:2123 | 评论:0 | 标签:研究调研 APT Group Darkhotel 中间组件 伏影实验室 感染传播 apt

卡巴斯基实验室:2020Q2 APT趋势报告

一、概述卡巴斯基全球研究与分析团队(GReAT)三年多以来一直在发布高级持续性威胁(APT)活动的季度报告。这些报告基于我们的威胁情报研究,提供了我们在私有APT报告中已经发布和详细讨论的部分内容摘要,以突出展示我们认为大家应该关注的重大事件和发现。这是我们系列报告的最新一期,重点关注我们在2020年第二季度期间观察到的活动。二、显著发现5月11日,总部位于英国的超级计算中心ARCHER宣布将在调查安全事件期间关闭对互联网的访问。其网站表明,“ARCHER设施是基于提供核心计算资源的Cray XC30超级计算机,共有4920个节点”。与此同时,总部位于德国的bwHPC也宣布发生一起安全事件,并决定限制对其资源的访问。瑞士国家超级计算机中心在参与一项新冠病毒小膜蛋白研究项目的过程中,宣布他们以及其他欧洲高性能计算
发布时间:2020-08-14 11:39 | 阅读:2208 | 评论:0 | 标签:apt

安天针对绿斑组织近期APT攻击活动的分析报告

1 概述安天于2007年发现来自中国台湾地区相关攻击组织的初始线索,于2010年发现其进一步活动,于2013年发现其相关组织背景,于2014年将该组织命名为“绿斑”,于2018年公开发布报告《“绿斑”行动——持续多年的攻击》[1],同年10月该报告被中央电视台《焦点访谈》[2]节目引用作为宣传网络安全的案例。近期,安天CERT在梳理安全事件时,发现一批针对我国政府、科研等机构的鱼叉邮件攻击活动。经分析,这批攻击活动的手法和代码与2019年的绿斑组织活动基本一致。鱼叉邮件中多数为钓鱼链接,目的是钓取目标邮箱账户和密码信息,钓取成功后转向一个下载页面,下载到的均为看似来自官方的正常文件。另有少数邮件带有压缩包附件,里面包含的恶意文件负责释放后续的窃密程序。我们基于已掌握的数据进行汇总、梳理、分析并形成本篇报告。通过
发布时间:2020-08-12 13:25 | 阅读:12073 | 评论:0 | 标签:apt 攻击

APT-SpyMax间谍软件家族追踪

 概述:坦桑尼亚大陆超级联赛足球赛季在即,该足球赛是非洲坦桑尼亚的顶级职业足球联赛。最近安全人员发现威胁行为者将攻击目标对准了正在进行的坦桑尼亚大陆超级联赛足球赛。他们分发了两个最著名足球俱乐部的Android应用安装包,分别是SimbaSC和Yanga(YoungAfricans)SC。经分析发现该两款恶意软件是通过SpyMax间谍软件框架打包的恶意程序。主要通过利用SimbaSC和Yanga(YoungAfricans)SC合法应用的图标吸引用户安装使用。且SpyMax间谍软件上半年行动活跃,疫情期间利用“新冠肺炎”热点锁定移动用户。SpyMax间谍软件框架打包的恶意软件具有强大的隐匿功能,其主要通过动态从服务器获取加载恶意代码来执行其恶意行为,一般病毒引擎无法检测到。 1. 程序运行流程图恶意程序运行主要
发布时间:2020-08-11 11:23 | 阅读:1383 | 评论:0 | 标签:apt

8月10日每日安全热点 - 2020年第二季度APT趋势报告

漏洞 Vulnerability一个字节的差错导致Cisco防火墙路由器远程代码执行https://blogs.360.cn/post/yi-ge-zi-jie-cha-cuo-dao-zhi-Cisco-fang-huo-qiang-lu-you-qi-yuan-cheng-dai-ma-zhi-xing.htmlTeamViewer可通过浏览特定URL来破解用户密码(CVE-2020-13699)https://www.helpnetsecurity.com/2020/08/06/cve-2020-13699/安全工具 Security ToolsJuicy Potato:红队常用的Windows平台提权工具https://github.com/ohpe/juicy-potato在Linux上使用REMnu
发布时间:2020-08-10 13:27 | 阅读:1872 | 评论:0 | 标签:apt

近期针对工业企业和工控行业的APT攻击分析

有研究员发现了对不同国家/地区组织的一系列攻击。截至2020年5月上旬,日本,意大利,德国和英国已出现针对性的攻击案例。多达50%的攻击目标是各个工业部门的组织,攻击受害者包括工业企业的设备和软件供应商,攻击者使用恶意的Microsoft Office文档,PowerShell脚本以及各种使难以检测和分析恶意软件的技术。网络钓鱼电子邮件(用作初始攻击媒介)是使用每个特定国家/地区的语言使用文本自定义的。仅当操作系统的本地化与网络钓鱼电子邮件中使用的语言匹配时,此攻击中使用的恶意软件才会继续运行。例如,在攻击在日本运营的公司的情况下,网络钓鱼电子邮件的文本和包含恶意宏的Microsoft Office文档都是用日语编写的。此外,要成功解密恶意软件模块,操作系统还必须具有日语本地化版本。攻击成功后,会在受害者计算机
发布时间:2020-07-31 10:19 | 阅读:3706 | 评论:0 | 标签:apt 攻击 工控

卡巴斯基报告:Lazarus APT 组织的大型狩猎游戏

原文链接:Lazarus on the hunt for big game译者:知道创宇404实验室翻译组 毫无疑问,2020 年将成为历史上令人不愉快的一年。在网络安全领域,针对目标的勒索软件攻击日益增加,集体的伤害就更加明显。通过调查许多此类事件,并通过与一些值得信赖的行业合作伙伴讨论,我们认为我们现在对勒索软件生态系统的结构有了很好的了解。勒索软件生态系统的结构犯罪分子利用广泛传播的僵尸网络感染(例如,臭名昭著的 Emotet 和 Trickbot 恶意软件家族)传播到受害者和第三方开发者的勒索软件“产品”的网络中。当攻击者对目标的财务状况和IT流程有充分了解后,他们就会在公司的所有资产上部署勒索软件,并进入谈判阶段。这个生态系统在独立、高度专业化的集群中运行,在大多数情况下,除了业务联系之外,这些集群
发布时间:2020-07-30 20:13 | 阅读:3341 | 评论:0 | 标签:apt

伊朗APT 35黑客40GB教学视频泄露

IBM X-Force Incident Response Intelligence Services (IRIS)研究人员在5月发现了伊朗黑客组织APT 35 (Charming Kitten、Phosphorous或ITG18)的一个在线服务器,该服务器是一个虚拟私有云服务器,由于安全设置错误配置导致暴露在互联网上。该服务器上有多个APT 35的域名,上面还保存着超过40GB的数据。数据中包括接近5小时的视频会议信息,这些视频主要是用于培训黑客。从视频来看,其中部分受害者包括美国和希腊海军的个人账号、以及针对美国官员的钓鱼攻击活动。培训视频研究人员发现的视频文件是一个名为Bandicam的桌面录屏软件录制的视频文件,时长在2分钟到2小时之间。文件的时间戳表明视频是在上传到APT 35服务器的前一天录制的。B
发布时间:2020-07-21 12:42 | 阅读:3786 | 评论:0 | 标签:apt 泄露

从APT29看网络威胁归因(上)

  网络威胁归因("Threat Attribution"或"Cyber Threat Attribution")一直是安全行业争议非常大的话题。网络威胁归因有时候也叫网络攻击追踪溯源, 美国军方的说法是"Attribution"或"Cyber Attribution",中文直译为“归因”,一般指追踪网络攻击源头、溯源攻击者的过程。 归因之所以存在争议,最重要的原因主要有以下两点:1.不同利益团体的诉求- 政府、军方,网络空间安全防御的威慑力、捍卫国家网络空间主权和国家主权等,比如美国司法部经常起诉其他国家的“黑客”。- 专业安全厂商,安全能力体现、市场营销等。- 甲方企业,了解对手及其技战术实施针对性及有效的防御,更进一步提升整体安全态势。 2.获取归因所需的元数据的能力&nbs
发布时间:2020-07-21 11:35 | 阅读:5284 | 评论:0 | 标签:apt

朝鲜半岛APT组织Lazarus在MacOS平台上的攻击活动分析

TAG:高级可持续攻击、Lazarus、MacOSTLP:白(报告使用及转发不受限制)日期:2020-07-06概述自2018年以来,Lazarus组织在MacOS平台上的攻击活动日渐活跃。该组织曾于2018年8月被曝光制作加密货币交易网站“Celas LLC”,以推广交易软件为名推广恶意代码盗取密币,此后又不断被曝光使用相似手法搭建了“Worldbit-bot”、“JMT Trading”、“Union Crypto Trader”等伪装平台,用于推广Windows和macOS两种平台下带有后门的交易软件,继续对加密货币生态相关公司发起定向攻击。近期,通过对相关攻击活动的分析跟进,微步情报局近期通过威胁狩猎系统捕获到Lazarus组织在MacOS平台上使用的多种类型的后门木马,这种多样性就如同朝鲜半岛地域的代
发布时间:2020-07-21 11:33 | 阅读:5361 | 评论:0 | 标签:apt 攻击

被低估的混乱军团-WellMess(APT-C-42)组织网络渗透和供应链攻击行动揭秘

7月16日(昨天),美国网络安全和基础设施安全局(CISA),英国国家网络安全中心(NCSC),加拿大通信安全机构(CSE)和美国国家安全局(NSA)发布了一份联合报告,称APT29组织使用WellMess系列工具针对美国、英国和加拿大的新冠病毒研究和疫苗研发相关机构发动攻击。值得注意的是,报告中该重点提及的“WellMess”正是一例全新APT组织,2019年360安全大脑就已捕获并发现了WellMess组织一系列的APT攻击活动,并将其命名为“魔鼠”,单独编号为APT-C-42。更为惊险的是,360安全大脑披露,从2017年12月开始,WellMess组织便通过网络渗透和供应链攻击作战之术,瞄准国内某网络基础服务提供商,发起了定向攻击。WellMess组织是一个一直未被业界认定的APT组织,多方面数据显示该
发布时间:2020-07-20 18:09 | 阅读:4216 | 评论:0 | 标签:apt 攻击 渗透

7月20日每日安全热点 - WellMess(APT-C-42)组织攻击行动揭秘

安全工具 Security Toolsoledump最新版本发布https://blog.didierstevens.com/2020/07/19/update-oledump-py-version-0-0-51/恶意软件 Malware警惕新型nginx后门,目前全杀毒软件免杀https://ti.dbappsecurity.com.cn/informationDetail?id=947&from=timeline安全研究 Security Research不可删除的广告软件https://www.anquanke.com/post/id/211055基于HTTP的Python脚本木马程序安全分析https://medium.com/bugbountywriteup/python-http-based
发布时间:2020-07-20 13:35 | 阅读:4028 | 评论:0 | 标签:apt 攻击

俄罗斯黑客组织APT29试图窃取新冠疫苗信息

近日,据Wired报道,英国、美国和加拿大情报机构声称俄罗斯国家黑客组织(APT29)针对新冠病毒疫苗项目发起针对性攻击。上述三国情报官员声称,有证据表明黑客组织APT29成员攻击了参与疫苗开发的制药企业和学术机构。这三个国家的官员认为,这是试图窃取知识产权和有关潜在疫苗候选者的信息的尝试。黑客使用了以前未与俄罗斯关联的“自定义恶意软件”,以及其他广泛使用的软件(例如VPN)中的许多众所周知的漏洞。这些攻击采用了鱼叉式钓鱼攻击方式,试图将登录详细信息收集到目标组织系统的联网存储器中。三国情报机构对俄罗斯发动攻击的证据充满信心,以至于英国的国家网络安全中心(NCSC),加拿大通信安全机构和包括美国国家安全局和国土安全部在内的各种美国安全机构罕见地决定公开谴责APT29为幕后黑手,与此同时,英国政府也认定俄罗斯试图
发布时间:2020-07-17 18:58 | 阅读:6028 | 评论:0 | 标签:牛闻牛评 首页动态 APT29 信息窃取 新冠疫苗 apt

蛇从暗黑中袭来——响尾蛇(SideWinder) APT组织2020年上半年活动总结报告

蛇从暗黑中袭来——响尾蛇(SideWinder) APT组织2020年上半年活动总结报告 注意事项:1.本报告由追影小组原创,未经许可禁止转载2.本文一共3245字,36张图,预计阅读时间8分钟3.本文涉及的敏感内容皆以打码,并且不公开C2和hash.所造成的恶劣影响与本公众号和本团队无关 0x00.前言: 响尾蛇(又称SideWinder,T-APT-04)是一个背景可能来源于印度的 APT 组织,该组织此前已对巴基斯坦和东南亚各国发起过多次攻击, 该组织以窃取政府, 能源, 军事, 矿产等领域的机密信息为主要目的。 在今年年初的时候,Gcow安全团队的追影小组发布了关于SiderWinder APT组织的报告——《游荡于中巴两国的魅影——响尾蛇(SideWinder) APT组织针对巴基斯坦最近的活动以及
发布时间:2020-07-12 22:09 | 阅读:6740 | 评论:0 | 标签:业界快讯 案例分析 APT Gcow Gcow安全团队 SideWinder 响尾蛇 追影小组 apt

Cycldek APT使用USBCulprit间谍软件对气密系统的攻击

卡巴斯基(Kaspersky)最新研究结果显示,一名攻击者开发出新的功能来攻击气密系统,以窃取敏感数据进行间谍活动。APT被称为Cycldek,Goblin Panda或Conimes,它使用广泛的工具集在受害者网络中进行横向移动和信息窃取,包括以前未报告的定制工具,策略和程序,用于攻击越南,泰国和老挝的政府机构。“其中一个新发现的工具,被命名为USBCulprit,并已发现以依靠USB介质exfiltrate的攻击数据,这可能表明Cycldek正在尝试到达受害环境中的网络。Cycldek最早在2013年被CrowdStrike观察到,在利用已知漏洞(例如CVE-2012-0158,CVE-2017-11882)诱骗文件中,对东南亚(尤其是越南)的国防,能源和政府部门在长期潜伏渗透。 ,CVE-2018-080
发布时间:2020-07-04 09:31 | 阅读:12701 | 评论:0 | 标签:apt 攻击

针对意大利制造行业的高级攻击,疑似与Gorgon APT相关

5月份,有网络安全公司发现了有一种攻击专门针对在全球范围内从事制造业的意大利公司,其中一些公司还属于汽车生产制造商。该活动背后的团队与研究人员在Roma225、Hagga、Mana、YAKKA中所描述的恶意操作中发现的团队相同。该攻击团队于2018年首次被Unit42(网络安全提供商Palo Alto Networks的攻击情报部门)发现,当时在美国、欧洲和亚洲的科技、零售、制造和地方政府产业的大规模恶意攻击中,该团队首次出现。研究人员还发现该团队与Gorgon APT相关,但没有明确的证据证实这一点。Gorgon APT(高级持久攻击)是一个老牌且高危的在线攻击,由Unit 42研究人员于2018年2月首次发现。自2018年2月首次被发现以来,Gorgon APT一直在策划对政府组织(美国、英国、俄罗斯、西班
发布时间:2020-06-29 10:42 | 阅读:11494 | 评论:0 | 标签:apt 攻击

APT的思考: PowerShell命令混淆高级对抗

“ 阅读本文大概需要 10 分钟。 ”   2020年 第  16  篇文章 ,flag 继续 每周至少更一篇前言良好的习惯是人生产生复利的有力助手本周发布的文章有点晚了,今天又熬夜了,没办法,技术文章不能水,必须要保证质量,价值输出是本公众号存在的前提。最近有朋友加我好友后,问我之前写的icmp远控代码能不能分享一下,今天兑现承诺,关注公众号回复【15】,即可获取源码。上一篇讲解了APT攻击中用到的cmd命令混淆,本篇延续上一篇的内容,分析一下攻击中更加常用的powershell混淆和检测方法。powershell的功能强大且调用方式十分灵活,目前大多数攻击者已经将PowerShell 应用
发布时间:2020-06-29 00:22 | 阅读:11864 | 评论:0 | 标签:apt

Higaisa APT最新LNK攻击分析

5月29日,研究人员发现了一个与朝鲜APT组织Higaisa相关的攻击活动。2019年初,腾讯研究人员分析发现Higaisa APT组织与朝鲜半岛有关。该APT组织的攻击活动最早可以追溯到2016年,包括使用Gh0st和PlugX木马,以及手机恶意软件。其攻击目标主要是政府组织和人权组织,以及其他与朝鲜相关的实体。在最近的攻击活动中,Higaisa使用了一个负责创建多阶段攻击的恶意快捷方式文件,多阶段攻击活动中含有许多恶意脚本、payload和诱饵PDF文档。传播攻击者使用了通过鱼叉式钓鱼攻击传播的绑定了压缩文件的恶意LNK文件。研究人员在5月12日-31日发现了2个与该攻击活动相关的变种:· “CV_Colliers.rar”· “Project link and New copyright pol
发布时间:2020-06-22 14:13 | 阅读:15032 | 评论:0 | 标签:apt 攻击 AI

Higaisa APT 相关新的 LNK 攻击分析

原文链接:New LNK attack tied to Higaisa APT discovered译者:知道创宇404实验室翻译组 5月29日,我们发现了一起网络攻击事件,我们认为这该事件是由一名叫做Higaisa的渗透攻击黑客发起的。有关信息显示:Higaisa APT与朝鲜半岛有关,并于2019年初被腾讯安全威胁情报中心进行了首次披露。该小组的活动可以追溯到2016年,活动内容包括使用特洛伊木马(例如Gh0st和PlugX)以及移动恶意软件,活动目标包括政府官员、人权组织以及与朝鲜有关的其他实体企业。在近期的攻击活动中,Higaisa使用了一个恶意快捷文件,该文件最终导致了一个包含恶意脚本、有效载荷和欺诈PDF文档内容的多阶段攻击行为。变体分发黑客们使用了捆绑在存档中的恶意LNK文件,该文件可能以钓鱼网
发布时间:2020-06-08 20:52 | 阅读:12593 | 评论:0 | 标签:apt 攻击 AI

伊朗金龟子APT组织对科威特和沙特阿拉伯航空和政府部门的攻击活动

CaFer-APT是一个具有明显伊朗特征的威胁组织。从2014起,人们就知道它在活跃,专注于网络间谍活动,BITDeDeNever已经发现了针对中东的关键基础设施,大概是为了收集情报。ButdFrand研究人员发现了这个攻击者在中东地区的攻击,最早可以追溯到2018年,攻击活动用到了一些工具,包括开源工具,这使得溯源变得困难,使用了不同的黑客工具和定制后门。被分析的攻击活动的受害者符合这个攻击者主要是中东的航空运输和政府部门。• 攻击目标是航空运输与政府。• 攻击活动发生在周末。• 在科威特攻击中,威胁者创建了自己的用户帐户。• 沙特阿拉伯的攻击使用了社会工程来入侵受害者。• 两种攻击的最终目标都是得到数据。0x01 攻击活动分析回顾这一威胁组织,我们已经确定了来自科威特和沙特阿拉伯两个国家的受害者。这些国家受
发布时间:2020-06-04 12:09 | 阅读:13804 | 评论:0 | 标签:apt 攻击

6月4日每日安全热点 - 俄APT在最近攻击中利用了3个Exim漏洞

漏洞 VulnerabilityCVE-2020-12753:LG 智能手机任意代码执行漏洞https://twitter.com/campuscodi/status/1267914361370226688Node.js TLS session 重用漏洞导致hostname 验证绕过——P0https://bugs.chromium.org/p/project-zero/issues/detail?id=2019Apache Tomcat CVE-2020-9484 Poc以及writeuphttps://packetstormsecurity.com/files/157924/CVE-2020-9484.tgzIOS 13.5.1修复了unc0ver 5.0越狱工具中使用的一个内核漏洞(CVE-2020-98
发布时间:2020-06-04 11:53 | 阅读:12688 | 评论:0 | 标签:漏洞 apt 攻击

在APT攻击中利用特定国家软件的0 day漏洞研究

APT攻击通常利用软件漏洞使恶意软件感染受害者。常用的软件包括Microsoft Office,IE和Adobe Flash Player,所有这些都在世界范围内在广泛使用。另一方面,某些APT攻击是通过利用特定于区域的软件中的漏洞进行的。政府机构经常使用此类软件,这往往是攻击者的目标。这些攻击在国际上很少讨论,因为其性质仅与特定国家有关。在日本,有许多情况是利用日本特有的恶意软件,通过利用仅在日本使用的软件中的漏洞来进行攻击。在本文中,我们将描述近年来攻击群体的TTP。我们还将介绍利用本地软件漏洞的APT组织。1.简介不同的攻击者使用各种策略,技术和过程(TTP),以诱骗受害者感染恶意软件。特别是在APT攻击中,观察到了高度复杂的方法,例如供应链攻击,零日攻击等。广泛使用的软件(例如Microsoft Off
发布时间:2020-06-01 11:03 | 阅读:21969 | 评论:0 | 标签:漏洞 apt 攻击

APT的思考: CMD命令混淆高级对抗

“ 阅读本文大概需要 5 分钟。 ”   2020年 第  15  篇文章 ,flag 继续 每周至少更一篇前言良好的习惯是人生产生复利的有力助手上一篇根据我对问题的认知方式,讲解了cobalt-strike的学习之路,希望对大家能有启发。Cobalt-strike在APT攻击中相对比较常见,延续APT攻击的思路,讲解一下APT攻击中命令混淆的场景。本篇 以CMD命令混淆作为切入点,探讨一下CMD命令混淆的高级对抗。有朋友说在后台和我交流技术不是很方便,下面是我的微信号,想进行技术交流的可以加我,备注“公众号”,卖货的,伸手党不要加我,谢谢。一. 背景首先要说一下攻击者为什么会使用CMD命令混
发布时间:2020-05-31 15:35 | 阅读:19192 | 评论:0 | 标签:apt

朝鲜APT组织Hidden Cobra最新攻击活动报告

美国国务院、财政部、国土安全部和联邦调查局正在发布这一咨询文件,作为国际社会、网络维护者和公众对朝鲜网络威胁的全面调查文件。 这一建议强调了朝鲜:正式名称为朝鲜民主主义人民共和国(朝鲜)所构成的网络威胁,并提出了减轻威胁的建议步骤。 特别是,附件1列出了与朝鲜网络威胁有关的美国政府资源,附件2包括与联合国1718制裁委员会(朝鲜)专家小组报告的链接。朝鲜的恶意网络活动威胁到美国和更广泛的国际社会,特别是对国际金融体系的完整性和稳定性构成重大威胁。 在美国和联合国强力制裁的压力下,朝鲜越来越依赖非法活动——包括网络犯罪——为其大规模毁灭性武器和弹道导弹计划创收。 特别是,美国对朝鲜的恶意网络活动深感关切,美国政府称之为HIDDEN COBRA。 朝鲜有能力进行破坏性或破坏性的网络活动,影响美国的关键基础设施。 朝
发布时间:2020-05-29 14:30 | 阅读:13708 | 评论:0 | 标签:apt 攻击

Naikon APT再次重现江湖

Naikon是一个高级持续性威胁(APT)组织。Naikon这个名字来自该组织使用的一款恶意软件中的一段代码。该组织惯于使用精心打造的钓鱼电子邮件,诱使收件人打开其带有恶意软件的附件。最近,Check Point Research发现了新的证据,表明Naikon APT正在针对亚太地区(APAC)几个国家进行网络间谍活动。攻击使用了一个名为Aria-body的新后门,以控制受害者的网络。2015年后,Naikon APT就没有再活动了,这表明他们要么保持沉默,要么是在隐形攻击,要么彻底改变其行动方法。下面,我就介绍一下Naikon APT在过去5年中一直使用的战术、技术、程序和基础设施。攻击目标在过去的十年中,Naikon APT一直将目标对准几个地区的国家政府,比如澳大利亚,印度尼西亚,菲律宾,越南,泰国,缅
发布时间:2020-05-28 11:06 | 阅读:12252 | 评论:0 | 标签:apt AI

深入分析已出现在APT攻击样本中的一个有趣的macOS后门

早在2018年,我就针对Mac遇到的各种APT攻击进行了一次总结。其中,我专门提到了攻击者正在使用的后门,它是Tinyshell的修改版。 Tiny Shell是一款轻量级的标准远程Shell工具,可以提供远程执行命令(包括:Rlogin,Telnet,Ssh等)和文件传输功能(上传、下载),支持单字节,完全支持pseudo-Terminal Pairs(pty/tty)等伪终端,其运行方式类似于SSH的一个未知版本。由于该恶意软件已经被恶意行为者修改,因此称其为Tinyshell似乎并不准确。因此,我将这个特定的修改版本称为TinyTim,本文中使用的样本可以在VirusTotal 上找到。SHA256:8029e7b12742d67fe13fcd53953e6b03ca4fa09b1d5755f8f8289
发布时间:2020-05-27 12:15 | 阅读:11272 | 评论:0 | 标签:后门 apt 攻击

海莲花(OceanLotus) APT组织滥用合法证书传播高级 Android 威胁

原文:Android Campaign from Known OceanLotus APT Group Potentially Older than Estimated, Abused Legitimate Certificate译者:知道创宇404实验室翻译组2014年以来,海莲花(OceanLotus)APT组织(或被称为PhantomLance)就以通过官方和第三方市场传播高级Android威胁而闻名。他们试图远程控制受感染的设备、窃取机密数据、安装应用程序并启动任意代码。安全研究人员最近记录了该组织的活动,Bitdefender调查发现了该组织35个新的恶意样本,并证明其活动可能使用了合法且可能被盗的数字证书来对某些样本进行签名。该APT组织的作案手法是先上传干净版本,然后添加恶意软件,然后通过Goog
发布时间:2020-05-13 18:50 | 阅读:25624 | 评论:0 | 标签:Android apt

卡巴斯基实验室:2020Q1 APT攻击趋势报告

概述近两年多来,卡巴斯基全球研究与分析团队(GReAT)一直在发布高级持续性威胁(APT)活动的季度报告,这些报告基于我们的威胁情报研究成果,提供了我们在私有APT报告中已经发表和详细讨论的典型内容。在这里,我们着重强调一些人们有必要关注的重大事件和发现。本报告将重点关注我们在2020年第一季度观察到的恶意活动。考虑到目前处于COVID-19的大流行时期,全世界都受到这一病毒的影响,因此我们首先分析APT组织是如何利用这一话题发起不同类型的攻击的。COVID-19相关的APT活动自世界卫生组织(WHO)宣布COVID-19成为大流行病以来,这一话题已经受到不同攻击者越来越多的关注。我们看到有许多网络犯罪分子发起了网络钓鱼诈骗,他们试图利用人们对病毒的恐惧来谋取暴利。但是,在这一系列攻击者之中,还包括APT威胁行
发布时间:2020-05-09 10:08 | 阅读:23271 | 评论:0 | 标签:apt 攻击

PhantomLance APT分析

2019年7月,Dr. Web研究人员在Google Play中发现了一个后门木马,看似非常复杂。之后,研究人员对其进行了调查,发现这是一个长期的攻击活动,研究人员将其命名为——PhantomLance。其攻击活动可以追溯到2015年12月注册的一个域名。研究人员从2016年开始该攻击活动发布了多个相关的样本,并出现在不同的应用市场中。最近的一个样本就是2019年11月上传到Google Play中的。最新样本Google Play中的监控软件的最新样本伪装成了浏览器清理器:分析过程中,研究人员发现其与OceanLotus APT攻击活动有一定的重叠。研究人员发现其与之前的安卓攻击活动代码存在相似性,基础设施以及Windows后门也存在相似性。恶意软件版本根据技术复杂性,研究人员将发现的样本分成3个不同的系列:
发布时间:2020-05-03 12:28 | 阅读:21095 | 评论:0 | 标签:apt

卡巴斯基:窃取中国新冠情报的越南APT组织绕过了Google Play

据卡巴斯基称,一个正在进行的,为期数年的,针对东南亚个人的网络间谍活动——PhantomLance的数百次恶意软件攻击都成功绕过了Google Play过滤器。根据卡巴斯基的监测,PhantomLance行动至少从2015年开始活跃,幕后操纵者是越南政府支持的APT小组OceanLotus(aka APT32)。据Fireeye 4月22日发布的报告(https://www.fireeye.com/blog/threat-research/2020/04/apt32-targeting-chinese-government-in-covid-19-related-espionage.html)显示,该APT小组最近针对武汉省政府和中国应急管理部展开持续入侵活动(钓鱼电子邮件,上图),以窃取与COVID-19的起
发布时间:2020-04-30 17:33 | 阅读:28910 | 评论:0 | 标签:牛闻牛评 首页动态 新冠情报 越南APT组织 apt

ADS

标签云