记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

【安全帮】境外非法组织利用深信服SSL VPN设备下发恶意文件并发起APT攻击活动

境外非法组织利用深信服SSL VPN设备下发恶意文件并发起APT攻击活动近日,有消息称境外APT组织利用深信服SSL VPN设备发起恶意攻击,经深信服分析,该事件为境外非法组织通过非法手段控制部分深信服SSL VPN设备,并利用客户端升级漏洞下发恶意文件到客户端的APT攻击活动。本次漏洞为SSL VPN设备Windows客户端升级模块签名验证机制的缺陷,但该漏洞利用前提是必须已经获取控制SSL VPN设备的权限,因此利用难度较高。针对该事件,深信服已启动紧急响应机制,具体应对措施可见深信服官方说明。参考来源:https://mp.weixin.qq.com/s/lKp_3kPNEycXqf
发布时间:2020-04-07 10:18 | 阅读:2890 | 评论:0 | 标签:apt 攻击

神秘APT组织利用IE和Firefox漏洞攻击中国和日本

日本国家互联网应急中心(JPCERT / CC)研究人员发现有APT组织利用今年已经修复的IE和Firefox中的2个漏洞对中国和日本发起攻击,这两个漏洞是CVE-2019-17026和CVE-2020-0674。CVE-2019-17026是Firefox浏览器中的安全漏洞,该漏洞已于今年1月发布了安全补丁。CVE-2020-0674是影响IE的安全攻击,微软已于1月修复了该安全漏洞。攻击概述攻击活动通过伪造的网站将用户重定向到攻击站点。图1是受害者从访问被篡改的网站到重定向感染恶意软件的过程。图1:恶意软件感染过程受害者使用IE或Firefox浏览器访问恶意站点时,会被重定向到攻击站点后,会收到与访问的浏览器相对应的攻击代码。图2是恶意软件根据
发布时间:2020-04-04 12:29 | 阅读:4944 | 评论:0 | 标签:漏洞 apt 攻击

近期使用"新冠疫情(COVID-19)"为诱饵的APT攻击活动汇总

近期使用"新冠疫情(COVID-19)"为诱饵的APT攻击活动汇总2020-03-26 09:59:15随着新冠病毒疫情(COVID-19)成为全球性威胁,以此为主题的网络攻击事件骤然增长。其中中国大陆、意大利、韩国等国家成为黑客网络攻击的高风险地区。腾讯安全威胁情报中心自疫情爆发后,已监测到多起以新冠病毒疫情为主题的攻击活动。一、概述 目前,由新型冠状病毒引起的肺炎疫情(COVID-19)在全球蔓延,已有190个国家存在确诊病例,全球确诊人数已经超过43万人,死亡病例超过1.9万。中国大陆已基本控制住疫情,但在意大利、西班牙、美国等发达国家疫情仍处于爆发期,世界卫生组织已将疫情的全球风险级别确定为“非常高”。 而随着新冠病毒疫情(COVID-19)在全球蔓延,以此为主题的网络攻击事件骤然增长。其中中国大陆、意
发布时间:2020-03-26 10:57 | 阅读:5308 | 评论:0 | 标签:apt 攻击

APT37分析之Final1stspy

样本分析样本名称Final1stspy,Dropper样本类型PE32 executable (DLL) (GUI) Intel 80386, for MS Windows样本大小244224MD50dd50c4a5aa9899504cb4cf95acd981eSHA138f28bfce4d0b2b497e6cf568d08a2b6af244653SHA2562011b9aa61d280ca9397398434af94ec26ddb6ab51f5db269f1799b46cf65a76线上沙箱动静态分析查看导入表,看到反调试相关的函数程序中多次使用IsDebuggerPresent来检测程序是否被调试或使用GetStartupInfo检测程
发布时间:2020-03-25 13:33 | 阅读:5102 | 评论:0 | 标签:apt

Kimsuky APT组织利用疫情话题针对南韩进行双平台的攻击活动的分析

 一.前言kimsuky APT组织(又名Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom) ,该组织一直针对于韩国的智囊团,政府组织,新闻组织,大学教授等等进行活动.并且该组织拥有windows平台的攻击能力,载荷便捷,阶段繁多。并且该组织十分活跃.其载荷有带有漏洞的hwp文件,恶意宏文件,释放载荷的PE文件等近日,随着海外病例的增加,使用新型冠状病毒为题材的攻击活动愈来愈多.例如:海莲花APT组织通过白加黑的手段向中国的政府部门进行鱼叉投递,摩诃草APT组织冒充我国的重点部门针对政府和医疗部门的攻击活动,毒云藤和蓝宝菇组织通过钓鱼的方式窃取人员的邮箱密码,借以达到窃密或者是为下一阶段做准
发布时间:2020-03-23 17:22 | 阅读:4926 | 评论:0 | 标签:apt 攻击

DHS警告:Microsoft Exchange服务器漏洞正被APT黑客利用

DHS警告称,多个APT黑客组织正在积极利用未打补丁的Microsoft Exchange服务器漏洞。如果成功,则攻击者可以使用高级特权远程安装代码。Microsoft Exchange服务器中发现的一个严重漏洞正被多个APT黑客组织积极利用。根据美国国土安全部网络安全和基础设施安全局的警报,只要成功破解未打补丁的系统,攻击者就可以获得远程访问权限。美国国家安全局建议各组织查看Microsoft的针对性指南以缓解该漏洞的潜在危害。该漏洞名为CVE-2020-0688,在Exchange邮件和日历服务器控制面板中被发现。服务器在安装时无法正确创建唯一密钥。微软警告说,有了验证密钥,以邮箱通过身份验证的用户可以传递“由Web应用程序反序列化的任意对象,
发布时间:2020-03-20 14:30 | 阅读:6369 | 评论:0 | 标签:漏洞 apt

MuddyWaterAPT之宏病毒分析

一、样本IOC指标样本名NETA_-T_bitak Siber G_venlik birli_i Protokolv5.docMd521aebece73549b3c4355a6060df410e9Sha1dbab599d65a65976e68764b421320ab5af60236f样本大小314368 bytes样本类型Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Template: Normal.dotm, Last Saved By: Babak Amiri, Revision Number:
发布时间:2020-03-20 14:13 | 阅读:6086 | 评论:0 | 标签:apt

APT攻防之红队入侵:DLL劫持与白利用

0×00 DLL劫持技术概述 Windows加载DLL的规则:首先会尝试从当前程序所在的目录加载DLL,如果没找到则在Windows系统目录中查找,如果还是没有则会去环境变量中列出的各个目录下查找。 动态链接库(DLL)劫持原理:攻击者能够利用Windows加载DLL的规则,将需要劫持程序目录下的合法DLL替换成恶意DLL。 DLL劫持技术已经存在了多年,早在2010年就被发现,那为什么我们还要不停的炒剩饭呢?因为它仍然是一种可行的方法,并且在在野的APT攻击样本中仍然占有一席之地!当越来越多的APT组织逐渐暴露在大家的视野中,它们使用的攻击载荷随之曝光,经过长期分析与研究我们发现能够挖掘或使用0day攻击的APT组织凤毛麟角,绝对部分是使用现有技术与冷门技术来进行攻击。目前大部分的软件开发者仍然没有
发布时间:2020-03-18 09:15 | 阅读:6941 | 评论:0 | 标签:apt 入侵

3月17日每日安全热点 - 越南APT“海莲花”利用疫情话题攻击我国政府机构

漏洞 VulnerabilityCVE-2020-8597: PPPD 远程代码执行漏洞分析(含PoC)https://gist.github.com/nstarke/551433bcc72ff95588e168a0bb666124CVE-2020-0601 ECC证书欺骗漏洞分析https://mp.weixin.qq.com/s/XWyabJwSItfFPR-yMcAkygCVE-2020-0796:Windows SMB SMBGhost 漏洞PoC——Python版https://github.com/eerykitty/CVE-2020-0796-PoCVisual Studio Code Python扩展中存在代码执行漏洞(附PoC)https://b
发布时间:2020-03-17 11:06 | 阅读:9561 | 评论:0 | 标签:apt 攻击

3月11日每日安全热点 - APT34 新的间谍行动涉及黎巴嫩政府

漏洞 VulnerabilityCVE-2020-0796:疑似微软SMBv3协议“蠕虫级”漏洞事件初步跟进说明https://cert.360.cn/warning/detail?id=04f6a686db24fcfa478498f55f3b79ef2020 年 3 月补丁日分析https://www.tripwire.com/state-of-security/vert/vert-threat-alert-march-2020-patch-tuesday-analysis/罗克韦尔自动化(Rockwell Automation)和江森自控(Johnson Controls)的工业控制系统(ICS)发现了高危漏洞,极大影响基础设施安全https://threat
发布时间:2020-03-11 13:54 | 阅读:12128 | 评论:0 | 标签:apt

全球高级持续性威胁(APT) 2019年上半年研究报告

作者:腾讯御见威胁情报中心 原文链接:https://mp.weixin.qq.com/s/2mjJC00rEVSx7CK8BVL90A腾讯安全御见威胁情报中心根据团队自己的研究以及搜集的国内外同行的攻击报告,编写了该份2019年上半年APT攻击研究报告。一、前言高级可持续性攻击,又称APT攻击,通常由国家背景的相关攻击组织进行攻击的活动。APT攻击常用于国家间的网络攻击行动。主要通过向目标计算机投放特种木马(俗称特马),实施窃取国家机密信息、重要企业的商业信息、破坏网络基础设施等活动,具有强烈的政治、经济目的。整个2019年上半年,网络攻击频发,全球的网络安全形势不容乐观。腾讯安全御见威胁情报中心根据团队自己的研究以及搜集的国内外同行的攻击报告,编写了该份2019年上半年APT攻击研究
发布时间:2020-03-09 22:00 | 阅读:11743 | 评论:0 | 标签:apt

刺向巴勒斯坦的致命毒针——双尾蝎 APT 组织的攻击活动分析与总结

一.前言双尾蝎APT组织(又名: APT-C-23 ),该组织从 2016 年 5 月开始就一直对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击.其在2017年的时候其攻击活动被360企业    安全进行了披露,并且其主要的攻击区域为中东,其中以色列与巴勒斯坦更受该组织的青睐。攻击平台主要包括 Windows 与Android :其中针对windows 的平台,其比较常见的手法有投放带有” *.exe “或” *.scr “文件后缀的释放者文件,在目标用户打开后释放对应的诱饵文档,并且释放下一步的侦查者(Recon).持久存在的方式也不唯一,一般    通过写入注册表启动项以及释放指向持久化远控的快捷方式到自启动文件夹下.其侦
发布时间:2020-03-09 17:42 | 阅读:8664 | 评论:0 | 标签:apt 攻击

Invoke-APT29:模拟攻击仿真

MITRE最近在其正在进行的年度Endpoint Security Eficacy测试和评估系列中进行了第二次ATT&CK反攻击仿真,此次仿真侧重于评估多个端点安全供应商针对模拟攻击者的行为能力,该测试基于详细记录的真实攻击参与者。预防不是这次测试的重点,因此假定的攻击和了解攻击者在被利用后活动的能力是主要的重点。MITR每年都会选择一个新的攻击角色,并根据公众对攻击者的了解尽可能紧密地进行模拟。在2019年的ATT&CK评估中,臭名昭著的APT29被选为模拟组。他们是来自俄罗斯独的攻击者,最出名的是2015年夏天开始的对民主党全国委员会的攻击,该组织已经活跃了近十年,并有许多别名,如YTTRIUM、The Dukes、Cozy Bear和
发布时间:2020-03-09 09:08 | 阅读:9663 | 评论:0 | 标签:apt 攻击

下一只沉默的羔羊是谁?诺崇狮APT组织揭露

一、 概述 无论物理还是网络空间的对抗,中东从来都是高度活跃的区域,奇安信红雨滴团队也一直保持着关注。基于长期的分析整理,本文公开一波持续几年的定向攻击活动及背后的团伙,值得分享到安全社区以增进我们对地缘政治背景下的网络行动的理解。 自名为“Operation Restoring Hope” 的也门干预行动当天,也就是2015年4月22开始,截至2018年世界杯结束后的数月里,有一个网络攻击组织一直持续针对阿·拉伯用户、什叶派及评论人士进行展开攻击,在攻击后我们发现不少被攻击的社交平台账号变成“沉默账号”,在目前已知的APT组织中均未发现和该组织有重叠,因此奇安信红雨滴把其归属为一个新的组织:诺崇狮组织。 有一句话这样形容Dota游戏里的一名角色人物—-沉默术士(诺崇):一切魔法,遭遇了他,都将归于
发布时间:2020-03-08 15:15 | 阅读:10408 | 评论:0 | 标签:apt

2019全球高级持续性威胁(APT)研究报告

一、前言 高级可持续性攻击,又称APT攻击,通常由国家背景的相关攻击组织进行攻击的活动。APT攻击常用于国家间的网络攻击行动。主要通过向目标计算机投放特种木马(俗称特马),实施窃取国家机密信息、重要企业的商业信息、破坏网络基础设施等活动,具有强烈的政治、经济目的。 整个2019年,虽然没有太过于轰动的攻击事件,但是攻击的事件却有增无减。腾讯安全威胁情报中心根据团队自己的研究以及搜集的国内外同行的攻击报告,编写了该份2019年APT攻击研究报告。根据研究结果,我们认为主要的结论如下: 1、 中国依然是APT攻击的主要受害国,受到来自于东亚、东南亚、南亚、欧美等各个区域的网络威胁; 2、网络攻击形势跟地域政治局势有相当密切的关联,地域安全形势复杂的地区,往往是APT攻击最为严重和复杂的地区; 3、多平台的
发布时间:2020-03-08 14:19 | 阅读:13299 | 评论:0 | 标签:安全报告 2019 apt 木马

DarkUniverse:神秘的APT框架

2017年4月,ShadowBrokers发布了知名的Lost in Translation泄露事件,其中含有一个可以在被黑的系统中检查其他APT的踪迹。2018年,研究人员发现了描述该脚本第27个函数的APT,研究人员将其命名为DarkUniverse。该APT组织活跃了至少8年,从2009年到2017年。由于有很高的代码重合,研究人员有理由相信DarkUniverse是ItaDuke的一部分。ItaDuke是从2013年开始活跃的一个黑客组织,使用PDF漏洞利用来释放恶意软件,用Twitter账号来保存C2服务器URL。技术细节感染向量鱼叉式钓鱼攻击是一种常用的恶意软件传播方式。为了获得受害者的关注,研究人员为每个受害者准备了一封信,并弹窗来打
发布时间:2020-03-05 12:21 | 阅读:9359 | 评论:0 | 标签:apt

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云