记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华疑似Lazarus(APT-Q-1)涉及npm包供应链的攻击样本分析
团伙背景Lazarus是疑似具有东北亚背景的APT组织,奇安信内部跟踪编号APT-Q-1。该组织因2014年攻击索尼影业开始受到广泛关注,其攻击活动最早可追溯到2007年。Lazarus早期主要针对政府机构,以窃取敏感情报为目的,但自2014年后,开始以全球金融机构、虚拟货币交易场等为目标,进行敛财为目的的攻击活动。此外,该组织还针对安全研究人员展开攻击。近年来,Lazarus频繁发起软件供应链攻击,今年上半年披露的3CX供应链攻击事件被认为出自该组织之手。事件概述奇安信威胁情报中心近期发现一批较为复杂的下载器样本,这类样本经过多层嵌套的PE文件加载,最终从C2服务器下载后续载荷并执行。
APT-C-56(透明部落)利用OLE对象部署CrimsonRAT木马的攻击活动分析
APT-C-56 透明部落APT-C-56(透明部落)(Transparent Tribe)又名APT36、ProjectM、C-Major,是一个具有南亚背景的APT组织,其主要针对印度等周边国家发动网络攻击,善于运用社会工程学进行鱼叉攻击向目标用户投递带宏的doc、ppam和xls等类型诱饵文档,并且还开发出了属于自己的专属木马CrimsonRAT等工具,此外透明部落组织还被发现与SideCopy组织存在基础设施重叠。360高级威胁研究院捕获到了一批针对印度国防、金融、大学等单位的攻击样本。
微软警告:俄背景黑客正攻击未打补丁的 Outlook 系统
Hackernews 编译,转载请注明出处:
微软周一表示,与俄罗斯军事情报部门有关的黑客仍在积极利用微软软件的一个漏洞,获取受害者的电子邮件。
研究人员在3月份的一份报告的更新中表示,被微软追踪为 Forest Blizzard,同时也被称为 Fancy Bear 及 APT28 的黑客,早在2022年4月就试图利用该漏洞未经授权访问微软 Exchange 服务器内的电子邮件帐户。
该漏洞被追踪为 CVE-2023-23397,它影响 Windows 设备上所有版本的 Microsoft Outlook 软件。
HrServ – Previously unknown web shell used in APT attack
Introduction 介绍In the course of our routine investigation, we discovered a DLL file, identified as hrserv.dll, which is a previously unknown web shell exhibiting sophisticated features such as cu
APT29利用WinRAR漏洞对大使馆的网络进行攻击
在最近的一波网络攻击中,外国大使馆成为了一个名为 APT29 恶意组织的攻击目标,他们利用目前广泛使用的文件压缩软件 WinRAR 中的漏洞,采用了一种更为复杂的攻击方法。这一攻击方式在整个网络安全领域引起震动,导致人们不得不立即采取行动加强网络安全防御。根据网络安全专家的报告,APT29 组织巧妙地将 NGROK 功能与 WinRAR 漏洞结合使用,潜入了大使馆网络。NGROK 服务是专为安全隧道连接到本地主机而设计的,黑客利用它来隐藏自己的恶意活动,这也使得攻击的检测和归因成为了一项艰巨的挑战。
APT-C-28(ScarCruft)组织针对韩国部署Chinotto组件的活动分析
APT-C-28 ScarCruftAPT-C-28(ScarCruft)亦被称为APT37(Reaper)、Group123等,是一个来自朝鲜半岛的APT组织。该组织自被披露以来,其攻击活动一直持续至今,并维持着较高的活跃度。APT-C-28的主要目标是韩国等亚洲国家,且在多个领域开展网络间谍活动,其中涵盖化学、电子、制造、航空航天、汽车和医疗保健等行业。
威胁情报 | 海莲花 APT 组织模仿 APT29 攻击活动分析
作者:知道创宇404高级威胁情报团队时间:2023年11月30日1. 概述参考资料2023年11月,知道创宇404高级威胁情报团队成功捕获到海莲花组织最新的攻击样本。该样本以购买BMW汽车为主题,诱导攻击目标执行恶意文件。与此同时,该攻击与今年APT29的诱导主题和木马加载流程有相似之处,初步分析表明这可能是攻击者故意模仿的结果。2. 攻击释放链参考资料攻击释放链3. 样本功能综述参考资料原始样本为“BMW_2023年机构及院士销售价格框架.pdf.lnk”。
海莲花 APT 组织模仿 APT29 攻击活动分析
作者:知道创宇404高级威胁情报团队 时间:2023年11月30日1.概述2023年11月,知道创宇404高级威胁情报团队成功捕获到海莲花组织最新的攻击样本。该样本以购买BMW汽车为主题,诱导攻击目标执行恶意文件。与此同时,该攻击与今年APT29的诱导主题和木马加载流程有相似之处,初步分析表明这可能是攻击者故意模仿的结果。2.攻击释放链攻击释放链3.样本功能综述原始样本为“BMW_2023年机构及院士销售价格框架.pdf.lnk”。该文件内置了四部分内容,分别是:lnk参数、诱饵文档、dropper程序和hta文件,四部分内容通过相互配合完成既定功能目标。
WildCard: The APT Behind SysJoker Targets Critical Sectors in Israel
Our research team has identified a new APT group, dubbed “WildCard,” initially detected through its use of the SysJoker malware, which targeted Israel’s educational sector in 2021. WildCard has
摩诃草组织(APT-Q-36)借Spyder下载器投递Remcos木马
团伙背景摩诃草,又名Patchwork、白象、Hangover、Dropping Elephant等,奇安信内部跟踪编号APT-Q-36。该组织被普遍认为具有南亚地区背景,其最早攻击活动可追溯到2009年11月,已持续活跃10余年。该组织主要针对亚洲地区的国家进行网络间谍活动,攻击目标包括政府、军事、电力、工业、科研教育、外交和经济等领域的组织机构。事件概述Spyder恶意软件与摩诃草组织存在关联[1],主要功能是下载并运行C2服务器下发的可执行文件。奇安信威胁情报中心观察到自7月以来,Spyder至少经过了两轮更新,并发现攻击者借助Spyder向目标主机植入Remcos木马。
在针对阿富汗政府的 APT 攻击中检测到新的“HrServ.dll”Web Shell
阿富汗的一个未指定的政府实体成为了先前未记录的名为HrServ的 Web shell 的目标,这被怀疑是高级持续威胁 (APT) 攻击。
卡巴斯基安全研究员 Mert Degirmenci在本周发布的分析中表示,Web shell 是一个名为“hrserv.dll”的动态链接库 (DLL),具有“复杂的功能,例如用于客户端通信和内存执行的自定义编码方法” 。
这家俄罗斯网络安全公司表示,根据这些工件的编译时间戳,它发现了可以追溯到 2021 年初的恶意软件变种。
Web shell 通常是恶意工具,可对受感染的服务器提供远程控制。
GitHub 7K星:eCapture新版支持Android 13、14
发表于 #抓包工具 1 个 #eCapture 6 个 #android 2 个 #openssl 2 个 #boringssl 1 个 eCapture[1]是一个无需CA证书,即可捕获HTTPS/TLS明文的抓包工具,常用语网络分析、故障定位等。最初定位是Linux上的抓包工具,在2022年9月支持了Android系统,在Android 12起,只要是Linux内核是5.5以上的ARM架构,都可以正常运行。支持TLS 1.2、TLS1.3版本的协议,只需要root,无需应用重启、更改等,很受大家欢迎。
英韩两国联合警报:某APT组织软件供应链攻击升级
发表于 英国国家网络安全中心(NCSC)和韩国国家情报院(NIS)11月23日发布联合警报称,朝鲜国家黑客继续利用流行软件应用程序中的零日漏洞,作为全球供应链攻击活动的一部分,以进行间谍活动和金融盗窃。联合警报描述了朝鲜国家相关网络行为者实施软件供应链攻击所使用的技术和策略,并称攻击的复杂性和数量正在不断增加,同时鼓励组织采取安全措施,以减少系统和数据受到损害的机会。NCSC和NIS认为这些供应链攻击旨在协调并极大地帮助实现更广泛的朝鲜国家优先事项,包括创收、间谍活动和盗窃先进技术。此前,英国和韩国宣布建立新的战略网络伙伴关系,两国承诺共同努力应对共同的网络威胁。
用FOFA进行一场APT Bitter追踪的实战
发表于 #网络空间测绘 24 个 #搜索技巧 3 个 #FOFA 25 个 #语法 5 个 ##APT 1 个 ▌写在前面在使用FOFA进行资产扩展时,我们可能会遇到一种情况,即当目标资产没有明显的有效关键特征时,我们可能会不知所措,不清楚如何进行下一步的操作。如果我们只是提取关键字段特征,那可能并不足以达到我们的最终目标。因此,这次分享将以一次实战为例,从初始的一点信息(或称之为"开局一个碗")出发,结合丰富的经验和方法,我们通过多角度识别,揭示了该APT组织更多的存活资产。
LogShield: A New Framework That Detects The APT Attack Patterns
There have been several cases of GPT model-based detection for various attacks from system logs.已经有几例基于 GPT 模型的检测来自系统日志的各种攻击。However, there has been no dedicated framework for detecting APTs as they use a low and slow approach to compromise the systems.但是,还没有专门的框架来检测 APT,因为它们使用低速和慢速的方法来破坏系统。
发布时间:2023-11-21 22:36 |
阅读:75460 | 评论:0 |
标签:apt
APT 29 黑客组织利用 WINRAR 0day 漏洞(CVE-2023-38831 )攻击大使馆
据观察,与俄罗斯有关的网络间谍组织 APT29 在最近的攻击中利用了 WinRAR 中的 CVE-2023-38831 漏洞。
乌克兰国家安全与国防委员会 (NDSC) 报告称,APT29(又名 SVR 组织、 Cozy Bear、 Nobelium、 Midnight Blizzard和 The Dukes)在最近的攻击中一直在利用WinRAR 中的CVE-2023-38831漏洞。
APT29和 APT28 网络间谍组织参与了 民主党全国委员会黑客攻击以及针对2016年美国总统选举 的攻击浪潮 。
APT-29 黑客组织利用 WINRAR 0day漏洞CVE-2023-38831 攻击大使馆
据观察,与俄罗斯有关的网络间谍组织 APT29 在最近的攻击中利用了 WinRAR 中的 CVE-2023-38831 漏洞。乌克兰国家安全与国防委员会 (NDSC) 报告称,APT29(又名 SVR 组织、 Cozy Bear、 Nobelium、 Midnight Blizzard和 The Dukes)在最近的攻击中一直在利用WinRAR 中的CVE-2023-38831漏洞。APT29和 APT28 网络间谍组织参与了 民主党全国委员会黑客攻击以及针对2016年美国总统选举 的攻击浪潮 。
APT组织 GAMAREDON 使用 USB 蠕虫 LITTERDRIFTER 攻击乌克兰
Check Point 研究人员观察到,Gamaredonh黑客组织在针对乌克兰的攻击中通过 USB 传播名为 LitterDrifter 的蠕虫病毒。Gamaredon(又名 Shuckworm、Actinium、Armageddon、Primitive Bear、UAC-0010 和 Trident Ursa)自 2014 年以来一直活跃,其活动重点在乌克兰,该组织使用多级后门Pteranodon / Pterodo进行观察 。Gamaredon APT 组织 持续对乌克兰境内的 实体进行攻击,包括安全部门、军队和政府组织。
揭秘APT组织 - 美国国安局NSA的TAO
2022年6月22日,西北工业大学发布了一份《公开声明》,披露该校成为境外网络攻击的目标。随后,陕西省西安市公安局碑林分局发布了一份《警情通报》,证实在西北工业大学的信息网络中发现了多款源自境外的木马样本,警方已正式立案调查。国家计算机病毒应急处理中心和360公司组成的技术团队全程参与了此次案件的技术分析工作。他们从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本,并得到了欧洲、南亚部分国家合作伙伴的通力支持。经过综合使用国内外数据资源和分析手段,技术团队还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头。
APT29利用CVE-2023-38831攻击大使馆
此报告由乌克兰国家网络安全协调中心发布摘要在这份报告中,我们揭示了由 APT29 策划的一次复杂的网络攻击,这是一个与俄罗斯外国情报局(SVR)有关的持续性威胁组织。这次攻击的目标覆盖了多个欧洲国家,包括阿塞拜疆、希腊、罗马尼亚和意大利,主要目标是渗透大使馆实体。APT29 利用了 WinRAR 中新发现的一个漏洞,被标识为 CVE-2023-38831,以便于他们的入侵。这份报告深入探讨了这些网络操作的复杂细节,揭示了攻击者的策略、技术和程序。
桃色陷阱行动:APT-C-52(焰魔蛇)组织针对巴基斯坦的攻击活动
APT-C-52 焰魔蛇APT-C-52(焰魔蛇)组织是一个来自南亚的APT组织,主要针对巴基斯坦进行有组织、有计划、针对性的网络攻击行动。该组织攻击活动开始于2021年初,至今仍处于活跃状态。我们获取攻击者服务器泄露的部分数据,受害者主要为巴基斯坦军事人员。APT-C-52(焰魔蛇)组织主要通过Google Play应用商店传播恶意应用,首先利用Facebook获取攻击目标联系方式,然后通过WhatsApp或短信等社交方式传播恶意应用的下载地址,诱导攻击目标安装并使用恶意应用,实现窃取目标隐私数据等敏感信息的目的。
【高级持续威胁追踪(APT)】响尾蛇正在持续活跃中
概述近期,深信服深瞻情报实验室监测到APT组织对巴基斯坦政府单位的最新攻击动态,经分析研判后,将该样本归因为响尾蛇组织发起的攻击。响尾蛇组织, 又称SideWinder、APT-C-17、T-APT-04,是一个来自于南亚地区的境外APT组织。该组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。相关攻击活动最早可以追溯到2012年,至今还非常活跃。在针对巴基斯坦地区的攻击中,该组织主要针对政府机构、军事单位进行攻击。
OT攻击协同导弹打击!俄罗斯“沙虫”APT新型攻击摧毁了乌克兰电网
发表于 Mandiant公司11月9日发布报告称,2022年底,该公司响应了一起破坏性网络物理事件,其中与俄罗斯有关的威胁参与者Sandworm针对乌克兰关键基础设施组织进行了攻击。该事件是一次多事件网络攻击,利用一种影响工业控制系统 (ICS)/操作技术 (OT) 的新技术。该攻击者首先使用OT级陆上生活 (LotL) 技术来可能触发受害者的变电站断路器,导致意外停电,同时乌克兰各地的关键基础设施遭到大规模导弹袭击。Sandworm随后在受害者的IT环境中部署了CADDYWIPER擦除器的新变种,从而实施了第二次破坏性事件。
近期 Higaisa(黑格莎) APT 针对中国用户的钓鱼网站、样本分析(二)
0|前言上接前文,继续分析来自APT组织的病毒样本(标题已经至2.3.9)。因为不能从C&C服务器获取到返回值,末尾线程通讯阶段的内容调试不知道线程间交互的啥,想按运行流程调试很迷茫。虽然有些没看明白,不过感觉这个木马写的好规范,一点也不像阿三那种七拼八凑,应该是迭代出来的。2.3.9|创建线程-连通性检测shellcode在完成各类反调试、加解密、密钥生成等操作等之后,开始了网络通讯的初始化和发包操作。创建线程做连通性检测,但翻来翻去并没有看见有对下图域名中的URL,有连通性检测的发包或者请求域名解析。
新APT组织DarkCasino:零日漏洞的攻击浪潮
全文共2826字,阅读大约需6分钟。一. 概述012022年5月,绿盟科技伏影实验室披露了一起名为DarkCasino的大型APT攻击事件,确认了一个活跃且具有较高对抗能力的攻击者并对其进行持续跟踪。随着对该攻击者活动的深入研究,伏影实验室逐步排除了该攻击者与已知黑客组织的联系,确认了其高级持续性威胁性质,并沿用行动名称,将该攻击者命名为DarkCasino。2023年8月,国外安全厂商跟进披露了一起DarkCasino针对加密货币论坛用户的活动,并捕获了一个由该攻击者在攻击过程使用的WinRAR 0 day漏洞CVE-2023-38831。
新兴APT组织DarkCasino的燎原之火,WinRAR零日漏洞CVE-2023-38831的利用现状
发表于 #伏影实验室 54个 一概述2022年5月,绿盟科技伏影实验室披露了一起名为DarkCasino的大型APT攻击事件①,确认了一个活跃且具有较高对抗能力的攻击者并对其进行持续跟踪。随着对该攻击者活动的深入研究,伏影实验室逐步排除了该攻击者与已知黑客组织的联系,确认了其高级持续性威胁性质,并沿用行动名称,将该攻击者命名为DarkCasino。2023年8月,国外安全厂商跟进披露了一起DarkCasino针对加密货币论坛用户的活动②,并捕获了一个由该攻击者在攻击过程使用的WinRAR 0 day漏洞CVE-2023-38831。
APT组织DarkCasino的燎原之火,WinRAR零日漏洞CVE-2023-38831的利用现状
阅读: 22一、概述2022年5月,绿盟科技伏影实验室披露了一起名为DarkCasino的大型APT攻击事件,确认了一个活跃且具有较高对抗能力的攻击者并对其进行持续跟踪。随着对该攻击者活动的深入研究,伏影实验室逐步排除了该攻击者与已知黑客组织的联系,确认了其高级持续性威胁性质,并沿用行动名称,将该攻击者命名为DarkCasino。2023年8月,国外安全厂商跟进披露了一起DarkCasino针对加密货币论坛用户的活动,并捕获了一个由该攻击者在攻击过程使用的WinRAR 0 day漏洞CVE-2023-38831。
2023年第三季度APT攻击趋势报告
年初,研究人员发现了针对亚太地区政府的持续攻击。这起攻击事件,通过攻击特定类型的安全USB驱动器达成,这种安全的USB驱动器被国家的政府机构用来在计算机系统之间,安全地存储和物理传输数据,该驱动器提供硬件加密。USB驱动器包含一个受保护的分区,该分区只能通过捆绑在USB未加密部分的定制软件和用户已知的密码短语来访问。调查揭示了一个由各种恶意模块组成的长期活动,用于执行命令,从受感染的设备收集文件和信息,并将其传递给使用相同或其他安全USB驱动器作为载体的其他设备。它们还能够在受感染的系统上执行其他恶意文件。
隐藏在挖矿木马外衣下的 StripedFly APT 组织,感染百万台 Windows、Linux 主机
一个名为StripedFly的复杂跨平台恶意软件在网络安全研究人员的眼皮底下活跃了五年,在此期间感染了超过一百万个Windows和Linux系统。
卡巴斯基去年发现StripedFly恶意软件框架的真实意图,发现其从2017年开始活动的证据,该恶意软件被世界各地的安全研究人员错误地归类为门罗币挖矿木马。
分析师将StripedFly描述为令人印象深刻,具有复杂的基于TOR的流量隐藏机制,来自受信任平台的自动更新,类似蠕虫的传播功能,以及在公开披露漏洞之前创建的自定义EternalBlue SMBv1漏洞。
伊朗黑客(APT-C-34)被发现对中东政府和军队进行间谍活动
主要发现Check Point Research (CPR) 正在监测隶属于情报与安全部 (MOIS) 的Scarred Manticore正在进行的伊朗间谍活动。这些攻击依赖于LIONTAIL,这是一种安装在 Windows 服务器上的高级被动恶意软件框架。出于隐蔽目的,LIONTIAL 植入程序利用对 Windows HTTP 堆栈驱动程序 HTTP.sys 的直接调用来加载驻留在内存中的有效负载。作为与Sygnia事件响应团队共同努力的一部分 ,利用多种取证工具和技术来揭示入侵和 LIONTAIL 框架的其他阶段。当前的活动在 2023 年中期达到顶峰,并在人们的关注下至少一年了。
黑帝公告 📢
❤十年经营、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤
客黑业创的万千入年个一
❤用费0款退球星,年1期效有员会
🧠富财控掌,知认升提,长成起一💡