记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

2022年度APT组织简要盘点浅析

如果用一个词去代表2022,那一定是风云变幻——世界局势错综复杂、全球经济一落千丈、新冠疫情虎视眈眈……在这种环境下,就连本应受益于线上活动增多的互联网行业都无法独善其身,却有一伙人闷声发大财,那就是潜藏于暗处的黑客,尤其是APT组织。用“风云变化”去形容今年的APT活动,同样是适用的。尽管大多因素对他们是有利的,他们还是深深受到了这些因素的影响,也利用了这些因素化为自己的力量。在今年繁多的APT组织和攻击事件中,我们各选出五个典型,以求带大家窥见APT的冰山一角。APT组织,依然都是些老朋友:海莲花、Lazarus、NSA(政府组织)、Sandworm和MuddyWater。
发布时间:2023-01-28 11:53 | 阅读:35827 | 评论:0 | 标签:apt

StrongPity APT组织使用木马化的telegram软件假冒Shagle 应用程序发起攻击

ESET的研究人员最近发现了一个活跃的StrongPity活动,该活动会伪装成Shagle应用程序来传播木马化的Android Telegram应用程序。ESET研究人员认为其幕后组织是StrongPity APT组织。Shagle是一种随机视频聊天服务,提供陌生人之间的加密通信。该活动自2021年11月起活跃,与完全基于网络的真正Shagle网站不同,该网站不提供官方移动应用程序来访问其服务,只提供Android应用程序供下载,这也就意味着用户不可能进行基于网络的流媒体传输。
发布时间:2023-01-26 13:30 | 阅读:109353 | 评论:0 | 标签:apt 攻击 木马 Telegram

2022年全球高级持续性威胁(APT)研究报告

 2022年高级持续性威胁概览在经历了新冠肺炎疫情肆虐,当今世界正处在大发展大变革时期。俄乌冲突爆发、全球经济衰退加之国际间各种力量的较量,使得国际局势日益错综复杂。2022年全球高级持续性威胁(APT)形势依然严峻。全年全球网络安全厂商公开发布的APT报告累计742篇,报告中披露的攻击活动涉及APT组织141个,其中首次披露的APT组织54个,均比2021年明显增加。全球范围内APT攻击活动依然紧跟政治、经济等时事热点,攻击目标集中分布于政府、国防军工、教育、金融等行业领域。依托自身“看见”的能力,360已累计发现了51个境外APT组织,监测到5800多起针对中国的网络渗透攻击。
发布时间:2023-01-18 16:15 | 阅读:104358 | 评论:0 | 标签:apt

《“锲而不舍”2022年知道创宇APT组织分析年鉴》重磅发布!

 作者:知道创宇404威胁情报团队 2022年,俄乌冲突既让我们了解到了世界复杂国际关系对于网络空间的深入影响,也让我们对网络空间中国家间的激烈对抗有了更加直观和深刻的认知。而APT组织无疑是国际网络空间对抗中的重要角色,APT攻击也成为各国关键信息基础设施面临的主流攻击。随着众多组织机构对于APT组织的深入跟踪,越来越多具备国家背景的APT组织被曝光。经过2022年全年对于APT组织的持续跟踪和深入分析,知道创宇404高级威胁情报团队对21个活跃于东欧、南亚、东北亚等地区的APT组织进行了全年攻击活动的还原,并重磅发布《“锲而不舍”2022年知道创宇APT组织分析年鉴》。
发布时间:2023-01-18 13:21 | 阅读:57387 | 评论:0 | 标签:apt 分析

第47篇:ATT&CK矩阵攻击链分析-伊朗APT入侵美国政府内网(中篇)

以下文章来源于ABC123安全研究实验室 ,作者abc123info ABC123安全研究实验室 . ABC_123,2008年入行网络安全,某攻防实验室创始人,Struts2工具及Weblogic T3/IIOP反序列化工具原创作者。擅长红队攻防、0day挖掘、代码审计、网络安全培训、应急响应、日志分析等。专注于前沿网络安全技术。  Part1 前言 大家好,我是ABC_123。前期分享了《伊朗APT组织入侵美国政府内网全过程揭秘(上篇)》,吸粉不少,谢谢大家。
发布时间:2023-01-18 00:17 | 阅读:86285 | 评论:0 | 标签:apt 入侵 攻击 美国 分析 内网

第46篇:伊朗APT组织入侵美国政府内网全过程揭秘(上篇)

以下文章来源于ABC123安全研究实验室 ,作者abc123info ABC123安全研究实验室 . ABC_123,2008年入行网络安全,某攻防实验室创始人,Struts2工具及Weblogic T3/IIOP反序列化工具原创作者。擅长红队攻防、0day挖掘、代码审计、网络安全培训、应急响应、日志分析等。专注于前沿网络安全技术。  Part1 前言 大家好,我是ABC_123,公众号更名为"ABC123安全研究实验室"。
发布时间:2023-01-14 15:31 | 阅读:139571 | 评论:0 | 标签:apt 入侵 美国 内网

APT组织Bitter网络间谍攻击活动实例分析

Bitter(T-APT-17、BITTER、蔓灵花)组织是一个长期针对中国、巴基斯坦等国家进行攻击活动的南亚地区APT组织,因其早期使用的特种木马通信的数据包头部以“BITTER”作为标识而得名。该组织主要针对政府、军工、能源等单位进行攻击以窃取敏感数据,具有强烈的政治背景。近日,中孚信息威胁研究人员分析了该组织近期一次针对孟加拉国军事机构的攻击活动,攻击者通过利用Office的公式编辑器组件(EQNEDT32.EXE)漏洞,投放恶意诱饵文档和中间恶意软件来部署远程访问木马,进行网络间谍活动。
发布时间:2023-01-13 15:15 | 阅读:61743 | 评论:0 | 标签:apt 攻击 间谍 网络 分析

《“锲而不舍”2022年知道创宇APT组织分析年鉴》重磅发布

2022年,俄乌冲突既让我们了解到了世界复杂国际关系对于网络空间的深入影响,也让我们对网络空间中国家间的激烈对抗有了更加直观和深刻的认知。而APT组织无疑是国际网络空间对抗中的重要角色,APT攻击也成为各国关键信息基础设施面临的主流攻击。随着众多组织机构对于APT组织的深入跟踪,越来越多具备国家背景的APT组织被曝光。经过2022年全年对于APT组织的持续跟踪和深入分析,知道创宇404高级威胁情报团队对21个活跃于东欧、南亚、东北亚等地区的APT组织进行了全年攻击活动的还原,并重磅发布《“锲而不舍”2022年知道创宇APT组织分析年鉴》。
发布时间:2023-01-13 13:29 | 阅读:85272 | 评论:0 | 标签:apt 分析

APT组织MuddyWater分析

关键词:MuddyWater、网络间谍活动、知识产权窃取攻击、中东地区随着网络攻击的增长,全球网络安全问题日益显著。在诸多威胁中,网络间谍攻击是一类极具代表性的行动,它可用于获取敏感信息或机密数据,譬如知识产权、政府或商业机密。攻击者的目标可能是获取经济利益、造成声誉损害、维护政治利益或发动网络战争。本文将聚焦于网络间谍攻击中高度活跃的一个组织MuddyWater。1. MuddyWater历史背景Stuxnet是 2010年针对伊朗核计划进行打击的标志性事件。伊朗以此为鉴,开始投入相关领域以期提高网络战能力。
发布时间:2023-01-13 12:02 | 阅读:73930 | 评论:0 | 标签:apt 分析

Dark Pink APT组织盯上亚太地区政府

根据最新研究,亚太地区的政府和军事组织正成为一个先前未知的高级持续威胁(APT)攻击者Dark Pink的攻击目标。总部位于新加坡的 Group-IB 在与黑客新闻分享的一份报告中表示,它正在跟踪以Dark Pink为名的APT组织的攻击活动,并将2022年6月至2022年12月期间的七次成功攻击归因于该组织。据悉,该组织的大部分攻击都针对柬埔寨、印度尼西亚、马来西亚、菲律宾、越南以及波斯尼亚和黑塞哥维那的军事机构、政府部门和机构以及宗教和非营利组织,据报道,一次未成功的入侵是针对一个未具名的欧洲国家设在越南的发展项目机构。
发布时间:2023-01-12 13:21 | 阅读:67499 | 评论:0 | 标签:apt

疑似APT-C-26(Lazarus)组织通过加密货币钱包推广信息进行攻击活动分析

APT-C-26  LazarusISO文件是未压缩的存档磁盘映像文件,它代表光盘(CDDVD)上的全部数据,大多数时候ISO文件被刻录到USB/CD/DVD作为可引导内容,用于引导机器进行安装。由于ISO文件的特性,在诱饵文件的使用上深受Lazarus、Winnti、TA505等APT组织的青睐。
发布时间:2023-01-11 21:04 | 阅读:103151 | 评论:0 | 标签:加密 apt 攻击 分析 加密货币

APT组织“GroupA21”借政府官方文档攻击巴基斯坦

#安全报告 102 个 #APT 32 个 #N​etWire 1 个 #GroupA21 1 个 1           概述GroupA21 组织是疑似来自印度的APT组织,又名 “幼象”、“babyelephant” 等, 该组织至少自 2017 年开始活跃,持续针对南亚地区的巴基斯坦、斯里兰卡、马尔代夫和孟加拉等国的政府、军事、外交、情报、原子能和高校等行业和机构开展网络间谍活动的APT组织。
发布时间:2023-01-11 12:36 | 阅读:70804 | 评论:0 | 标签:apt 攻击 巴基斯坦

俄罗斯 APT 组织 Turla 正搭载已有十年之久的恶意软件部署新的后门

据观察,名为Turla的俄罗斯网络间谍组织搭载了一种已有十年历史的恶意软件使用的攻击基础设施,以乌克兰为目标提供自己的侦察和后门工具。 谷歌旗下的 Mandiant 正在跟踪未分类集群名称UNC4210下的操作,称被劫持的服务器对应于 2013 年上传到 VirusTotal的商品恶意软件变体,称为ANDROMEDA (又名 Gamarue)。
发布时间:2023-01-09 18:32 | 阅读:118682 | 评论:0 | 标签:国际动态 漏洞事件 俄罗斯 后门 apt 恶意软件

Automated Libra通过CAPTCHA绕过自动创建GitHub账号,进行加密货币挖矿

Automated Libra黑客组织通过CAPTCHA绕过技术自动账号创建,进行加密货币挖矿。近期,南非黑客组织'Automated Libra'通过CAPTCHA绕过技术实现自动账号创建,在云平台创建账户,利用免费的资源进行加密货币挖矿来获利。Automated Libra是位于南非的黑客组织,也是freejacking攻击活动PurpleUrchin背后的黑客组织。Freejacking 是使用免费云资源来执行加密货币挖矿活动的过程。Unit 42 研究人员分析了Automated Libra的250GB数据,发现了黑客的基础设施、历史和使用的技术。
发布时间:2023-01-09 13:30 | 阅读:67782 | 评论:0 | 标签:加密 apt 自动 加密货币

eCapture支持bogingssl TLS 1.3明文捕获

前言一个多月前,有网友反馈Android上,TLS 1.2明文网络包正常捕获,而TLS 1.3的明文网络包无法捕获。笔者得知这个问题后,花了几个周末时间修复、添加了这个功能。在这期间,笔者工作繁忙以及感染新冠,整个功能拖了一两个月 才完成。精力与体力,支撑起来越来越吃力。搞开源,全是靠爱发电,实属不易。值得庆幸的是,收获了5400星的关注,这也是对笔者最大的认可。这个周末,发布了eCapture 0.4.11版本,支持boringssl的TLS 1.3的密钥捕获,支持明文解密pcapng数据包存储。有需要的朋友可以下载使用。
发布时间:2023-01-09 08:48 | 阅读:77646 | 评论:0 | 标签:apt SSL

Dark Web Profile: MuddyWater APT Group

Security concerns grow day by day with the rise of cyberattacks. Among the threats, cyber espionage is one of the prominent activities. It can be used to get a hold of sensitive or classified data t
发布时间:2023-01-05 11:41 | 阅读:71711 | 评论:0 | 标签:apt

GitHub and the Ekoparty 2022 Capture the Flag

As a sponsor of Ekoparty 2022, GitHub had the privilege of submitting several challenges to the event’s Capture The Flag (CTF) competition. Hubbers from across the company came together to brainsto
发布时间:2023-01-03 21:05 | 阅读:98125 | 评论:0 | 标签:apt

APT-C-56(透明部落)利用外贸链接伪装文档攻击分析

APT-C-56  透明部落透明部落(Transparent Tribe),别名APT36、ProjectM、C-Major,是一个具有南亚背景的APT组织,其长期针对周边国家和地区(特别是印度)的政治、军事进行定向攻击活动,其开发有自己的专属木马CrimsonRAT,还曾被发现广泛传播USB蠕虫。在今年年初,透明部落与SideCopy被发现利用相同的基础设施并使用相同主题针对相似目标进行攻击,其利用走私情报相关诱饵、伪装成印度国防部邮件针对印度频频发起攻击。与之相关联的SideCopy更新了基于Golang的Linux窃密武器。
发布时间:2022-12-30 15:13 | 阅读:158552 | 评论:0 | 标签:apt 攻击 分析

APT攻击转向恶意Excel加载项作为初始入侵向量

日前,Cisco Talos披露称,高级持续性威胁 (APT) 攻击者和恶意软件组织正越来越多地使用 Excel 加载项(.XLL)文件作为初始入侵向量。据悉,由于Microsoft决定默认阻止从 Internet 下载的 Office 文件使用 Visual Basic for Applications (VBA) 宏,这导致许多威胁参与者在最近几个月即兴创作了他们的攻击链。根据Cisco Talos的说法,通过鱼叉式网络钓鱼电子邮件和其他社会工程攻击传递的武器化 Office 文档仍然是寻求执行恶意代码的犯罪集团广泛使用的切入点之一。
发布时间:2022-12-29 13:22 | 阅读:113162 | 评论:0 | 标签:apt 入侵 攻击

APT组织Confucius针对巴基斯坦IBO反恐行动的网络攻击事件分析

阅读: 15一、概述受多方因素影响,巴基斯坦长期遭受严重的地方恐怖主义威胁,该国一直以来也将反恐作为重要的国家安全战略。2022年下半年,巴基斯坦安全部队在俾路支省、开伯尔区、北瓦济里斯坦区等地展开了多次基于情报的行动(intelligence-based operation, IBO),突袭并击毙了多名恐怖分子。巴基斯坦方面近期在反恐方面的高调表现引发了印度方面的关注。11月30日,绿盟科技伏影实验室捕获了一起针对巴基斯坦木尔坦地区武装力量的网络攻击事件,攻击者以木尔坦的罗德兰区IBO行动报告为诱饵,尝试投递一种变种木马程序以控制受害者设备。
发布时间:2022-12-28 19:35 | 阅读:185021 | 评论:0 | 标签:安全分享 APT Confucius IBO MessPrint Pakistan apt 攻击 网络 分析 网络攻击

Lazarus APT’s Operation Interception Uses Signed Binary

Malware authors have regularly used signed binaries to bypass the Apple security mechanism and infect macOS users. We came across one such sample and this time they are baiting users with job vacancie
发布时间:2022-12-24 11:40 | 阅读:204150 | 评论:0 | 标签:apt RCE

慢雾:朝鲜 APT 组织对 NFT 用户大规模钓鱼分析

#慢雾区块链安全科普 34 个 #安全技术研究 135 个 By: 山&耀背景9 月 2 日,慢雾安全团队发现疑似 APT 团伙针对加密生态的 NFT 用户进行大规模钓鱼活动,并发布了《“零元购” NFT 钓鱼分析》。9 月 4 日,推特用户 Phantom X 发推称朝鲜 APT 组织针对数十个 ETH 和 SOL 项目进行大规模的网络钓鱼活动。
发布时间:2022-12-24 00:13 | 阅读:238117 | 评论:0 | 标签:apt 钓鱼 分析 NFT 朝鲜

2022MOVEment Aptos writeup by ChaMd5

招新小广告CTF组诚招re、crypto、pwn、misc、合约方向的师傅,长期招新IOT+Car+工控+样本分析多个组招人有意向的师傅请联系邮箱admin@chamd5.org(带上简历和想加入的小组)本文是对比赛的时候没做出来题目的一次复盘。
发布时间:2022-12-20 12:19 | 阅读:158498 | 评论:0 | 标签:apt

不常见的可获取C2的APT32木马分析之旅

推友@liqingjia1989发布了一条动态,很感谢~,然后自己立即分析了下。https://twitter.com/liqingjia1989/status/1602848430690226177VirusTotal下载不到样本,可以在云沙箱下载得到,提交时存在原始文件名,可以发现这大概率是国内最早提交的样本,首次提交时间为2022年12月12日。
发布时间:2022-12-15 00:00 | 阅读:216498 | 评论:0 | 标签:apt 木马 分析

MoveBit 与 Aptos 协作 MoveVM 安全审计

近期,Aptos 官方发表了一篇名为《Securing Move》的文章,文章描述了 Aptos 如何与合作伙伴一起通过审计、Bug 赏金计划、模糊测试等方式来强化 Aptos 的底层安全。文中特别指出了 Aptos 团队与 MoveBit 莫比安全、MystenLabs(Sui) 等公司在 Aptos 主网上线前对 MoveVM 的审计安全工作,并提供了工作成果清单。(文章Securing Move 截图)Move VM 与以太坊的 EVM 虚拟机一样重要。Move程序需要将源码编译成字节码,然后在虚拟机中执行。
发布时间:2022-12-13 21:03 | 阅读:157653 | 评论:0 | 标签:apt 审计 安全

APT37利用IE 0 day漏洞攻击韩国用户

谷歌研究人员发现朝鲜黑客组织APT 37利用IE 0 day漏洞攻击韩国用户。今年10月,谷歌TAG研究人员在IE 浏览器Jscript 引擎中发现一个0 day漏洞,漏洞CVE编号CVE-2022-41128。研究人员发现朝鲜黑客组织APT 37利用该漏洞嵌入恶意文档,用于攻击位于韩国的受害者。这也并非APT 37首次利用IE 0 day漏洞利用攻击用户。使用office文档作为诱饵10月31日,多个位于韩国的用户上传office文档到VirusTotal称其中包含恶意软件。
发布时间:2022-12-13 13:28 | 阅读:143109 | 评论:0 | 标签:漏洞 apt 攻击 韩国

九维团队-暗队(情报)| “海莲花”APT 历史样本分析报告

一、背景关于“海莲花”(OceanLotus)的相关背景介绍在先前的文章:九维团队-暗队(情报)| “海莲花”APT近期攻击样本分析报告中已有提及,在此不再赘述,感兴趣的小伙伴可自行点击蓝字阅读。二、概述近日,安恒信息分子实验室反APT小组(九维团队-暗队)在研究过程中分析了“海莲花”的历史攻击活动样本。样本被加载后会加载多阶段Shellcode逃避反病毒软件,当执行到最后阶段时,会加载CobaltStrike Bind Beacon并等待主动连接。小组通过对样本进行逆向分析,根据样本行为特征、C2以及结合开源情报,确定此次攻击活动背后的组织为“海莲花”APT。
发布时间:2022-12-12 21:05 | 阅读:219575 | 评论:0 | 标签:apt 情报 分析

APT Cloud Atlas: Unbroken Threat

IntroductionSpecialists at the PT Expert Security Center have been monitoring the Cloud Atlas group since May 2019. According to our data, its attacks have been targeting the government sector of the
发布时间:2022-12-12 11:46 | 阅读:156489 | 评论:0 | 标签:apt

Aptos 空投分析

以下文章来源于BitDinosaur ,作者Jurassic Labs BitDinosaur . 带你追寻数据背后的真相! PS:我们不追热点 A Safe, Scalable, and Upgradeable Web3 Infrastructure  &
发布时间:2022-12-11 12:35 | 阅读:256301 | 评论:0 | 标签:apt 分析

Internet Explorer 0-day exploited by North Korean actor APT37

To protect our users, Google’s Threat Analysis Group (TAG) routinely hunts for 0-day vulnerabilities exploited in-the-wild. This blog will describe a 0-day vulnerability, discovered by TAG in late O
发布时间:2022-12-09 21:03 | 阅读:203732 | 评论:0 | 标签:exp apt Tor

黑帝公告 📢

十年经营持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

🙇🧎¥由自富财,长成起一↓

标签云 ☁