记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

疑似伊朗APT34 使用新后门针对约旦政府发起新一轮攻击

4 月 26 日,Malwarebytes 发现一封针对约旦外交部官员进行攻击的恶意邮件。该邮件携带一个恶意 Excel 文档,其中包含一个名为 Saitama的新后门。研究人员经过分析,确认该攻击来源于疑似与伊朗有关的攻击组织 APT 34。APT34 也被称为 OilRig/COBALT GYPSY/IRN2/HELIX KITTEN,被认为是来自伊朗的攻击组织。该组织从 2014 年来一直保持活跃,针对中东国家的金融、政府、能源、化学和电信行业发起定向攻击。
发布时间:2022-05-14 10:39 | 阅读:27687 | 评论:0 | 标签:后门 apt 攻击

APT 网络间谍组织确认由三个独立的团队组成

研究人员发现,这个对美国公用事业进行网络间谍攻击的威胁集团实际上是由三个子集团组成的,他们都有自己的工具集和攻击目标,自2018年以来就一直在全球运作。 TA410是一个伞式网络间谍组织,根据安全公司ESET的研究人员本周发表的一份报告,该组织不仅针对美国的公共事业部门进行攻击,而且还会针对中东和非洲的外交组织进行攻击。 虽然它从2018年以来就一直很活跃,但TA410直到2019年才首次被研究人员发现。当时研究员发现了一个针对公用事业部门进行攻击的网络钓鱼活动,该活动使用了一种当时被称为LookBack的新型恶意软件。
发布时间:2022-05-13 18:08 | 阅读:22491 | 评论:0 | 标签:安全快讯 APT apt 间谍 网络

新出现的APT组织专门针对赌博网站发起攻击

研究人员最近新发现了一个新的高APT组织,我们称之为EarthBerberoka(又名GamblingPuppet)。该APT组织专门针对Windows、macOS和Linux平台上的赌博网站。该恶意软件家族包括经过验证且已升级的恶意软件家族,例如PlugX和Gh0stRAT,以及在本文称为PuppetLoader的全新多阶段恶意软件家族。PuppetLoaderPuppetLoader是一个复杂的五阶段恶意软件家族,它使用了一些有趣的技术,包括劫持加载的模块以启动恶意代码,以及将恶意负载和模块隐藏在修改后的位图图像(BMP)文件中。第1阶段:混淆程序和加载程序RC4实施不正确。
发布时间:2022-05-13 13:29 | 阅读:9175 | 评论:0 | 标签:apt 攻击 赌博

APT网络间谍组织确认由三个独立的团队组成

研究人员发现,这个对美国公用事业进行网络间谍攻击的威胁集团实际上是由三个子集团组成的,他们都有自己的工具集和攻击目标,自2018年以来就一直在全球运作。TA410是一个伞式网络间谍组织,根据安全公司ESET的研究人员本周发表的一份报告,该组织不仅针对美国的公共事业部门进行攻击,而且还会针对中东和非洲的外交组织进行攻击。虽然它从2018年以来就一直很活跃,但TA410直到2019年才首次被研究人员发现。当时研究员发现了一个针对公用事业部门进行攻击的网络钓鱼活动,该活动使用了一种当时被称为LookBack的新型恶意软件。
发布时间:2022-05-12 19:02 | 阅读:14651 | 评论:0 | 标签:apt 间谍 网络

威胁告警:Barbies 邮件APT攻击

网际思安麦赛安全实验室近期从来源中东地区的钓鱼邮件中反复追踪到Barbies APT攻击。该APT攻击具有相当大的隐藏性,通过携带视频附件的色情类邮件诱惑员工解压附件,并点击被伪装的黑客程序。黑客程序一旦被触发,将长期驻留在员工计算机,并盗窃数据。请各个单位和企业注意,并及时采取建议的保护措施。
发布时间:2022-05-11 11:34 | 阅读:18831 | 评论:0 | 标签:APT攻击 网际思安 apt 攻击

APT组织攻击乌克兰网络

对乌克兰的网络攻击被战略性地用于支持地面战役,该网络袭击在2月份由五个国家支持的高级持续威胁(APT)组织支持开始组织实施。根据微软周三发布的研究,参与这些活动的APT主要由俄罗斯赞助。本周发布的单独报告也揭示了与俄罗斯有联系的APT对乌克兰数字资产的网络攻击浪潮。微软研究人员认为,六个与俄罗斯结盟的威胁行为者进行了237次网络攻击操作,其行为对于平民福利构成威胁,其同时也试图对乌克兰目标进行数十次网络间谍攻击。此外,根据微软客户安全和信托公司副总裁Tom Burt的一篇博客文章指出,俄罗斯被认为在某种“混合战争”中使用网络攻击。他说,这与“针对对平民至关重要的服务和机构的动态军事行动”有关。
发布时间:2022-05-10 13:30 | 阅读:18713 | 评论:0 | 标签:apt 攻击 网络

从防御者视角看APT攻击

前言 APT防御的重要性毋庸讳言,为了帮助各位师傅在防御方面建立一个总体认识,本文会将APT防御方法分为三类,分别是:监控、检测和缓解技术,并分别进行梳理,介绍分析代表性技术。这一篇分析现有的监控技术。 APT 这里不谈APT概念,就是分享两张最近看到的觉得描述APT非常契合的图。 如果我们把APT分成6个攻击阶段的话,一种经典的划分方式如下 或者也可以画成金字塔 这里我们假设攻击目标位于金字塔的顶端,侧面表示攻击进化的环境(如物理平面、用户平面、网络平面、应用平面等)。金字塔平面依赖于每个组织的细节,并根据记录事件的环境定义。
发布时间:2022-05-09 19:41 | 阅读:24331 | 评论:0 | 标签:APT攻击 APT防御 beacon 内存监控 域名 硬盘监控 防御 apt 攻击

从防御者视角来看APT攻击

前言APT防御的重要性毋庸讳言,为了帮助各位师傅在防御方面建立一个总体认识,本文会将APT防御方法分为三类,分别是:监控、检测和缓解技术,并分别进行梳理,介绍分析代表性技术。这一篇分析现有的监控技术。APT这里不谈APT概念,就是分享两张最近看到的觉得描述APT非常契合的图。如果我们把APT分成6个攻击阶段的话,一种经典的划分方式如下或者也可以画成金字塔。这里我们假设攻击目标位于金字塔的顶端,侧面表示攻击进化的环境(如物理平面、用户平面、网络平面、应用平面等)。金字塔平面依赖于每个组织的细节,并根据记录事件的环境定义。假设APT组织能够全面了解目标的所有设施以确定达到目标G的可行平面。
发布时间:2022-05-09 10:36 | 阅读:15573 | 评论:0 | 标签:防御 apt 攻击

端点安全系统针对APT攻击的实证评估(下)

收录于合集 写在前面:文章最后,对所有被测安全产品做了总结,大家可以直接查看结果,了解目前端点安全产品的能力情况。4.17 McAfee Endpoint Protection        McAfee Endpoint Protection是最容易配置、技术人员最友好的解决方案之一,允许对特定的进程行为做出反应,例如,远程内存分配;但也会基于例如阻止程序注册表自动运行这样的方便选项,减少攻击者选择,主动消除威胁。
发布时间:2022-05-03 15:10 | 阅读:38287 | 评论:0 | 标签:apt 攻击 安全

多个APT组织趁着俄乌乱局的掩护发起针对其他目标的攻击

对于网络攻击者来说,任何人们的事件,都可以成为他们发起攻击的一个理由。当然最近发生的地缘政治紧张局势也不例外。在过去一个月里,CheckPointResearch(CPR)观察到世界各地的高级持续威胁(APT)组织发起了新一拨活动,以冲突为诱饵的鱼叉式网络钓鱼电子邮件随处可见,根据目标和地区的不同,攻击者使用的诱饵从官方文件到新闻文章,甚至是职位公告。这些诱饵文档利用恶意宏或模板注入来获得目标组织的初始立脚点,然后发起恶意攻击。以冲突为诱饵不仅限于特定地区或APT组织,从拉丁美洲、中东、亚洲,都有这种攻击的身影。
发布时间:2022-04-30 13:24 | 阅读:31502 | 评论:0 | 标签:apt 攻击

疑似蔓灵花APT组织伪装多国身份攻击孟加拉国

 蔓灵花(Bitter)是一个被广泛认为来自印度的APT组织,该组织长期针对我国及周边南亚各国的政府、军工、电力、核等部门发动网络攻击,窃取敏感数据,具有较强的政治背景。近期,安恒安全数据部猎影实验室捕获到多个疑似蔓灵花组织的活动样本。该批样本无论在攻击手法或者武器代码等方面都与该组织此前的攻击活动极为相似,延续了其一贯的攻击特征。蔓灵花组织利用得到权限的巴基斯坦、孟加拉国政府邮箱发起网络攻击活动,我们发现其中一处回连域名使用了中文拼音,疑似伪装为我国进行攻击。
发布时间:2022-04-26 18:42 | 阅读:28791 | 评论:0 | 标签:apt 攻击 身份

美指控朝鲜APT利用新型恶意软件攻击记者

当地时间4月25日,美国新闻网站NK News称,其发现朝鲜支持的APT37正利用一种新型恶意软件样本攻击在朝记者。APT37又名Ricochet Chollima,据信是由朝鲜政府支持,它将新闻报道视为一种敌对行动,试图利用这次攻击获取机密信息,并查明记者的消息来源。NK News是一家美国新闻网站,致力于利用朝鲜国内的情报体系,报道朝鲜新闻并提供有关朝鲜的研究和分析。在发现攻击后,NK News联系恶意软件专家Stairwell进行技术分析。
发布时间:2022-04-26 13:18 | 阅读:21463 | 评论:0 | 标签:apt 攻击 恶意软件

如何发现并阻断APT攻击?深信服蓝军与海莲花“交手”成功案例分享

  想象一下,有一个团伙,一直在监视你,你在明他在暗,他长期潜伏,收集关键情报,只为找准机会,对你发起“袭击”……害怕吗?在网络世界里,这种事情在默默上演,受害者可能是个人、可能是组织、可能是企业,而后果可能是“致命”的……怎么办?你只能一筹莫展?当然不是!   10月23日,在第五届看雪安全开发者峰会(2021 SDC)中,深信服蓝军高级威胁攻防研究员闫忠进行了主题为《多维度视角下APT挖掘实践》的分享,以追踪海莲花APT组织攻击活动的实战经验为例,详细分析了反向追踪APT组织的实战思路。
发布时间:2022-04-25 16:27 | 阅读:20415 | 评论:0 | 标签:apt 攻击

持续风险监测体系实践:基于ATT&CK的APT高频技术分析

ATT&CK作为一套反映网络安全攻击的知识模型,自2013年提出以来越来越受到安全行业的关注,已逐渐成为网络攻击事件分析的新标准,在众多APT事件分析中得到广泛应用。针对不同APT组织的攻击技术,必达实验室安全技术专家黄慧敏依托于基于协同的持续性风险监测体系,追踪APT组织活动轨迹,以ATT&CK为载体,分析了部分活跃且具有代表性的APT组织攻击策略的整体情况,见《持续风险监测体系实践——基于ATT&CK的APT攻击策略分析》,本文进一步探讨了高频技术,梳理形成了APT组织常用技术清单。
发布时间:2022-04-24 09:43 | 阅读:19609 | 评论:0 | 标签:apt 体系 分析

专家称APTs持有接管关键基础设施的工具

联邦机构警告说,威胁攻击者已经建立并准备部署一些可以接管那些被大量使用的工业控制系统(ICS)设备的工具,这给关键基础设施供应商带来了很大的麻烦,特别是那些能源行业的供应商。能源部(DoE)、网络安全和基础设施安全局(CISA)、国家安全局(NSA)和联邦调查局在一份联合公告中警告说,某些高级持续性威胁(APT)攻击者已经证明有能力获得对多个工业控制系统(ICS)或监督控制和数据采集(SCADA)设备的全面系统访问权限。这些机构称,APTs开发的定制工具允许他们在获得对操作技术(OT)网络的访问权限后,进行扫描、破坏和控制那些受影响的设备。
发布时间:2022-04-22 13:24 | 阅读:16993 | 评论:0 | 标签:apt

CISA发布AA22-103A新警报:警惕针对ICS/SCADA设备的APT网络攻击

本周三,包括美国能源部(DOE)、网络安全和基础设施安全局(CISA)和联邦调查局(FBI)在内的多个机构,向关键基础设施运营商发出了严重的潜在攻击警报。 近年来,某些持续威胁(APT)参与者创建了许多定制工具,并在针对工业控制系统(ICS)、监控和数据采集设备(SCADA)等关键基础设施的攻击事件中发挥了相当大的威力。(来自:CISA)具体说来是,此类攻击多针对施耐德电气的 PLC(通用控制器)、欧姆龙 Sysmac N PLC 和开放平台统一通信架构(OPC UA)服务器而发起。
发布时间:2022-04-14 23:31 | 阅读:29278 | 评论:0 | 标签:apt 攻击 网络

CISA 发布 AA22-103A 新警报:警惕针对 ICS/SCADA 设备的 APT 网络攻击

本周三,包括美国能源部(DOE)、网络安全和基础设施安全局(CISA)和联邦调查局(FBI)在内的多个机构,向关键基础设施运营商发出了严重的潜在攻击警报。近年来,某些持续威胁(APT)参与者创建了许多定制工具,并在针对工业控制系统(ICS)、监控和数据采集设备(SCADA)等关键基础设施的攻击事件中发挥了相当大的威力。 (来自:CISA) 具体说来是,此类攻击多针对施耐德电气的 PLC(通用控制器)、欧姆龙 Sysmac N PLC 和开放平台统一通信架构(OPC UA)服务器而发起。
发布时间:2022-04-14 15:18 | 阅读:27945 | 评论:0 | 标签:网络安全 网络攻击 APT网络攻击 CISA ICS/SCADA apt 攻击 网络

俄罗斯四大APT组织及其常用攻击策略和技术

编者按针对俄乌战争期间俄罗斯网络攻击风险增加,美国网络安全公司Logichub梳理俄罗斯知名APT组织及其常见攻击策略和技术。具体包括:一是APT28(又名“奇幻熊”)。该组织与俄罗斯总参谋部军事情报总局(GRU)第26165部队有关,自2004年左右开始运作,经常针对大型政府和国际活动开展攻击活动。APT28攻击方式大胆激进,会直接针对远程代码执行零日等重大漏洞进行攻击,或通过鱼叉式网络钓鱼获取管理员凭据,其所用工具包括恶意软件Zebrocy以及后门程序CHOPSTICK和CORESHELL。二是APT29(又名“舒适熊”)。
发布时间:2022-04-12 15:14 | 阅读:31307 | 评论:0 | 标签:apt 攻击

乌克兰CERT-UA警告,俄相关APT组织正攻击乌克兰国家机构

近日,乌克兰 CERT-UA 计算机应急响应小组发布了一份安全报告,提醒国内组织机构警惕俄罗斯相关的网络间谍组织Armageddon APT(又名Gamaredon、Primitive Bear、Armageddon、Winterflounder或Iron Tilden)发起的鱼叉式网络钓鱼攻击。这些网络钓鱼信息自“vadim_melnik88@i[”发起,其目的是用恶意软件感染目标系统。Armageddon APT组织最早由美国科技公司赛门铁克(Symantec)和趋势科技(TrendMicro)于2015年发现,其活动证据甚至可以追溯至2013年。
发布时间:2022-04-08 17:47 | 阅读:31834 | 评论:0 | 标签:apt 攻击

乌克兰 CERT-UA警告,俄相关Armageddon APT组织正攻击乌克兰国家机构

近日,乌克兰 CERT-UA 计算机应急响应小组发布了一份安全报告,提醒国内组织机构警惕俄罗斯相关的网络间谍组织Armageddon APT(又名Gamaredon、Primitive Bear、Armageddon、Winterflounder或Iron Tilden)发起的鱼叉式网络钓鱼攻击。这些网络钓鱼信息自“vadim_melnik88@i[”发起,其目的是用恶意软件感染目标系统。Armageddon APT组织最早由美国科技公司赛门铁克(Symantec)和趋势科技(TrendMicro)于2015年发现,其活动证据甚至可以追溯至2013年。
发布时间:2022-04-06 18:43 | 阅读:36540 | 评论:0 | 标签:apt 攻击

高级持续性威胁:了解APT攻击

APT(高级持续性威胁Advanced Persistent Threat)攻击是一种高级、持续性的攻击模式,通过先进的攻击手段对特定目标进行长期持续性的网络攻击,一般针对拥有敏感数据的大型企业及重要机构。APT攻击的特点一、目标性强APT攻击并不是特指某一种攻击手段,而是指组织与组织之间综合性网络战的一种表现形式。相对于普通网络攻击,APT攻击更为复杂化、专业化,长期潜伏需要财力物力支持,是一种蓄谋已久的“网络间谍”行为,攻击方通常会有组织性的窃取商业机密的网络竞争。二、具有持续性APT攻击是长期持续性的针对某些特定攻击目标利用先进的攻击手段进行网络攻击。
发布时间:2022-04-06 16:07 | 阅读:34247 | 评论:0 | 标签:apt 攻击

从kill-chain的角度检测APT攻击

点击蓝色 关注我们 前言 最近一直在考虑如何结合kill chain检测APT攻击。出发点是因为尽管APT是一种特殊、高级攻击手段,但是它还是会具有攻击的common feature,只要可以把握住共同特征,就能进行检测。而kill chain就是个非常好的common feature描述。 在预研期间看到了一些觉得比较好的工作,这里和各位师傅一起分享下。
发布时间:2022-04-02 16:50 | 阅读:30380 | 评论:0 | 标签:AHP算法 APT-Dt-KC APT攻击 Deliver Exploitation Kill Chain Reconn

俄罗斯“双熊”之“舒适熊”—— Cozy Bear APT组织供应链攻击活动分析

阅读:9Cozy Bear又称为Nobelium(APT29),被认为与俄罗斯情报局有关,最早的活动可追溯至2008年,主要以搜集情报以支持外交和安全政策的决策。该组织的主要攻击目标为欧洲及北约成员国的政府部门。Cozy Bear的攻击工具拥有着出色的渗透能力,其常用工具包括各种Windows平台下的后门程序、信息窃取器以及鱼叉式钓鱼邮件。
发布时间:2022-03-31 19:02 | 阅读:47202 | 评论:0 | 标签:安全分享 APT组织 Cozy Bear 供应链安全 攻击活动 apt 攻击 分析

360揭露美国NSA(APT-C-40)代表性网络武器:超常规网络“军火”无所不用其极

不久前,360政企安全集团公开披露美国国家安全局(NSA)针对全球发起长达十余年的攻击活动,我国是重点攻击目标之一。3月22日,360针对NSA事件再次发布技术报告,完整揭露了NSA针对中国境内目标所使用的代表性网络武器——Quantum(量子)攻击平台。据360报告分析,Quantum(量子)攻击是NSA针对国家级互联网专门设计的一种先进的网络流量劫持攻击技术,主要针对国家级网络通信进行中间劫持,以实施漏洞利用、通信操控、情报窃取等一系列复杂网络攻击。NSA利用这种技术持续对世界各国访问脸书、推特、油管、亚马逊等所有互联网用户发起网络攻击。
发布时间:2022-03-30 15:55 | 阅读:26894 | 评论:0 | 标签:apt 美国 网络 360

GhostWriter APT组织使用Cobalt Strike Beacon攻击乌克兰的国家实体

近期,乌克兰CERT-UA发现与白俄罗斯有关的GhostWriter APT组织进行的鱼叉式网络钓鱼活动,该组织通过Cobalt Strike Beacon恶意软件来攻击乌克兰国家实体。这次的网络钓鱼邮件使用名为“Saboteurs.rar”的RAR存档,其中包含RAR存档“Saboteurs 21.03.rar”。第二个存档包含SFX存档“Saboteurs filercs.rar”,专家声称这些文件名通过使用RTLO技巧来掩盖真正的文档扩展名。
发布时间:2022-03-29 15:54 | 阅读:37366 | 评论:0 | 标签:apt 攻击 Cobalt Strike

那个带着面具的盖伊·福克斯又回来了—“匿名者”

阅读:14概述2022年2月25日,全球最大的黑客组织“匿名者”(Anonymous)就俄罗斯遭乌克兰的军事行动,宣布正式对俄罗斯发动网络战争。“匿名者”组织在两国冲突中支持乌克兰已不是秘密,其采取的网络攻击手段一直没有停止。截至2022年3月24日,“匿名者”(Anonymous)黑客组织发起了大规模的“印刷攻击”,向俄罗斯民众发送了10万多份反战文件。“匿名者”并向所有向俄罗斯政府纳税以继续在俄罗斯运营的公司宣战,首当其冲的受害公司为雀巢公司。
发布时间:2022-03-25 19:03 | 阅读:44205 | 评论:0 | 标签:安全分享 APT 黑客技术 黑客攻防 黑客组织

奇安信发布2021年APT报告 0day漏洞已成为常规武器

3月25日,奇安信威胁情报中心正式发布了《全球高级持续性威胁(APT)2021年度报告》(简称《报告》),对过去一年APT活动进行了全面的分析。《报告》认为,现阶段中国依旧是全球APT活动的首要地区性目标,网络窃密活动与网络破坏活动持续加剧,经济与科技领域网络安全,正在经受着前所未有的巨大考验。《报告》显示,2021年,奇安信威胁情报中心首次使用奇安信威胁雷达对境内的APT攻击活动进行了全方位遥感测绘,监测到我国范围内大量IP地址与数十个境外APT组织产生过高危通信。这表明至少有数十个境外APT组织对国内目标发起过网络攻击。
发布时间:2022-03-25 13:21 | 阅读:36801 | 评论:0 | 标签:0day 漏洞 apt

全球高级持续性威胁 (APT) 2021年度报告

概述2021年,奇安信威胁情报中心首次使用奇安信威胁雷达对境内的APT攻击活动进行了全方位遥感测绘。监测到我国范围内大量IP地址与数十个境外APT组织产生过高危通信,北京地区以及广东、福建、浙江、江苏等沿海省份作为我国政治中心、经济发达地区,是境外APT组织进行网络攻击的主要目标地区。基于奇安信威胁雷达的测绘分析,2021年,海莲花、蔓灵花、虎木槿、Winnti、毒云藤等组织,是对我国攻击频率最高、危害最大的APT组织。我国境内受其控制的IP地址比例分别为:海莲花22%,毒云藤17%,EICAR 15%,Darkhotel 12%,蔓灵花10%。
发布时间:2022-03-25 12:32 | 阅读:42917 | 评论:0 | 标签:apt

Quantum(量子)攻击系统 – 美国国家安全局“APT-C-40”黑客组织高端网络攻击武器技术分析报告(一)

“APT”(高级持续性攻击)是一种针对性、隐蔽性、持续性极强的网络攻击行为。现已发现的绝大多数APT组织都具有国家或政府背景,相关攻击行为通常由某个与特定国家政府关联的实体机构具体实施。APT攻击的主要目标不是普通个体,而是特定的组织机构,包括政府、大学、医疗、企业、科研甚至重要信息基础设施运维单位等不同类型的重要机构。360云端安全大脑持续跟踪世界现存诸多APT组织及其活动情况,率先发现并公开披露来自美国的世界顶尖APT组织对中国境内目标所发起的持续性攻击行动,并将该组织命名为“APT-C-40”。
发布时间:2022-03-24 18:42 | 阅读:44738 | 评论:0 | 标签:apt 攻击 黑客 安全 美国 网络 分析

俄罗斯APTs对乌克兰狂热的进行钓鱼攻击

谷歌公司警告说,在俄罗斯针对乌克兰进行地面战争的同时,隶属于或支持弗拉基米尔-普京政府的高级持续性威胁(APT)组织正在网络空间内加强对乌克兰和欧洲组织的网络钓鱼和其他攻击。谷歌TAG软件工程总监Shane Huntley在周一发表的一篇博文中写道,谷歌威胁分析小组(TAG)的研究人员发现,被称为FancyBear/APT28和Ghostwriter/UNC1151的威胁组织进行的间谍活动和网络钓鱼活动都有所增加。其中前者被认为是俄罗斯的GRU情报机构,而后者是乌克兰曾报道过的白俄罗斯国防部的一个攻击者。
发布时间:2022-03-21 13:24 | 阅读:33923 | 评论:0 | 标签:apt 攻击 钓鱼

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求投资、赞助、支持💖

标签云