记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

APT29?针对美国智库、非盈利和公共组织的网络攻击分析

路透社最近报道有黑客组织对全球的多个目标发起了网络攻击活动。微软研究人员也追踪到了同样的攻击活动,本文介绍该攻击活动的相关细节。研究人员发现攻击活动主要攻击公共机构和非政府组织,比如智库、研究中心和教育机构,以及石油、天然气、化工以及医疗行业的私营企业。第三方安全研究人员分析称该攻击是APT 29(CozyBear)组织发起的攻击活动,微软称APT 29为YTTRIUM。截止目前,微软研究人员称还没有足够的证据表明该攻击活动来源于APT 29。攻击概览攻击活动是2018年11月14日早晨开始的。攻击目标主要是参与政策制定或在该区域有政治影响的机构。 钓鱼攻击在不同行业的分布虽然目标分布在全球的不同行业,但主要
发布时间:2018-12-09 12:20 | 阅读:79495 | 评论:0 | 标签:Web安全 APT29

深度剖析俄罗斯黑客组织APT29的后门

POSTSPY最大程度的利用了内置于Windows系统中的特性来设置隐蔽的后门,这些特性被称为“living off the land”(意思是入侵者使用系统凭据和合法的软件管理工具访问系统,感染和收集有价值的数据)。POSHSPY使用WMI来存储后门代码,使其对不熟悉WMI机制的人不可见。PowerShell只有在合法系统过程能被执行,如果是恶意代码执行,能通过加强日志分析或者内存就可以发现。POSHSPY中的特点,如罕见的后门信标、流量混淆、多层加密以及地理位置合法的C2(command and control,指挥控制)网站,增加了网络流量识别的难度,也使得POSHSPY性能高效,执行隐秘。2015年Mandiant在一次事件响应发现了早期变种的POSHSPY后门,部署为PowerShell脚本。随后,在
发布时间:2017-04-11 22:45 | 阅读:174734 | 评论:0 | 标签:技术 APT29 后门

APT29网络间谍使用“域名幌子”技术规避检测

3月27日,火眼威胁研究博客文章指出,俄罗斯网络间谍组织APT29一直在用一种名为“域名幌子”(Domain Fronting)的技术,让目标机构难以识别恶意流量。 域名幌子是一种审查规避技术,通过伪装成去往合法主机如谷歌、亚马逊或CloudFlare的流量,来绕过审查机制。Open Whisper Systems 最近实现了该技术以帮助埃及和阿联酋的Signal用户绕过政府审查。 火眼在其博客中写道: APT29(别名公爵、安逸熊、舒适公爵)至少2年前便已使用该技术。该组织据信是美国大选黑客事件和挪威著名公司攻击活动的背后黑手。 APT29使用了Tor匿名网络与被感染主机通信。Tor流量会被某些防御机制认为是可疑流量。为将Tor流量伪装成合法流量,APT29使用了Meek插件,实现“域名幌子”,将发送到To
发布时间:2017-03-30 14:15 | 阅读:164576 | 评论:0 | 标签:牛闻牛评 APT29 Tor 俄罗斯 域名幌子 网络间谍

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云