记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

北非狐(APT-C-44)攻击活动揭露

主要发现 载荷投递 钓鱼网站 第三方文件托管网站 传播方式 样本分析 Android样本分析 PC样本分析 受害者分析 归属分析 总结 IOC 主要发现 近期,360烽火实验室联合360高级威胁研究院发现一起针对阿拉伯语地区的长达三年的多次网络攻击活动。该攻击活动自2017年10月开始至今,攻击平台主要为Windows和Android。通过分析,我们发现此次攻击活动来自阿尔及利亚,主要利用钓鱼网站和第三方文件托管网站进行载荷投递,并且使用社交媒体进行传播,受害者主要分布在阿拉伯语地区,其中包含疑似具有军事背景的相关人员。
发布时间:2020-10-26 19:43 | 阅读:3080 | 评论:0 | 标签:apt 攻击

Linux APT攻击概述

Windows可以运行大多数APT攻击工具,与此同时,人们普遍认为Linux系统较为安全,不易受到恶意代码攻击。多年来,Linux未遇到大量病毒、蠕虫和木马,但Linux中仍存在恶意软件,包括PHP后门,rootkit等。Linux服务器中承载了各种业务使其成为攻击者的首要目标。如果攻击者能够攻陷Linux服务器,他们不仅可以访问存储在服务器上的数据,还可以攻击与之通联的Windows或macOS的服务器。Barium在2013年首次报告有关Winnti APT集团(又名APT41或Barium),当时他们主要针对游戏公司获得直接的经济收益。
发布时间:2020-10-26 17:54 | 阅读:3805 | 评论:0 | 标签:linux apt 攻击

HPE已修复影响其SSMC的身份验证绕过漏洞;Symantec披露伊朗APT Seedworm针对中东

收录于话题 维他命安全简讯25星期日2020年10月【漏洞补丁】HPE已修复影响其SSMC的身份验证绕过漏洞https://www.bleepingcomputer.com/news/security/hpe-fixes-maximum-sever
发布时间:2020-10-25 10:23 | 阅读:7344 | 评论:0 | 标签:漏洞 apt

蔓灵花APT组织利用恶意文档攻击国内研究机构

收录于话题 Editor's Note ​蔓灵花(BITTER)APT组织是一个长期针对亚洲地区进行攻击活动的APT组织。主要针对目标区域的政府、军工业、电力、核工业等单位进行攻击,试图窃取敏感数据。 奇安信威胁情报中心 Author 安全能力中心 奇安信威胁情报中心 威胁情报信息共享,事件预警通报,攻击事件分析报告,恶意软件分析报告 背景近期,奇安信安全能力中心捕获到针对特定单位群体展开的定向攻击活动,通过分析发现其为“蔓灵花”APT组织。该组织最早在2016由美国安全公司Forcepoint进行了披露,并且命名为“BITTER”。
发布时间:2020-10-22 15:32 | 阅读:3446 | 评论:0 | 标签:apt 攻击

蔓灵花APT组织利用恶意CHM文档针对国内研究机构的攻击活动分析

背景近期,奇安信安全能力中心捕获到针对特定单位群体展开的定向攻击活动,通过分析发现其为“蔓灵花”APT组织。该组织最早在2016由美国安全公司Forcepoint进行了披露,并且命名为“BITTER”。蔓灵花(T-APT-17、BITTER)APT组织是一个长期针对亚洲地区进行攻击活动的APT组织。主要针对目标区域的政府、军工业、电力、核工业等单位进行攻击,试图窃取敏感数据。攻击活动分析1、攻击方式该组织主要采用鱼叉钓鱼的方式,对相关目标单位的个人直接发送嵌入了攻击诱饵的钓鱼邮件。本次攻击行动中使用的诱饵为rar压缩包,而压缩包里携带恶意的chm文档。
发布时间:2020-10-22 10:18 | 阅读:5172 | 评论:0 | 标签:apt 攻击

Donot team组织(apt-35)针对“微信群体”攻击活动分析

 概述:DonotTeam是一个疑似具有南亚某国政府背景的APT组织,其组织具备针对Windows与Android双平台的攻击能力。在长期的跟踪过程发现,发现其安装图标伪装成微信、程序包名伪装成微信的程序包名,开始仿冒微信,针对群体发生了变化,开始针对使用微信群体的用户。传播的恶意软件大都具有比较完善的窃取用户隐私数据的功能,窃取的用户隐私数据包括短信、联系人、通讯录、通话记录、键盘记录、日历行程等信息。
发布时间:2020-10-20 17:53 | 阅读:7551 | 评论:0 | 标签:apt 攻击

警报!APT组织利用VPN和Windows漏洞黑进美国政府网络

美国联邦调查局(FBI)和网络安全与基础设施安全局(CISA)在上周五发表联合安全警报,表示黑客正在利用VPN与Windows漏洞入侵政府网络。攻击活动主要针对各联邦、州、地方、郡县以及地区(SLTT)一级政府网络发动,部分非政府网络也同期受到波及。安全警报指出,“根据CISA掌握的情报,此轮攻击致使攻击者以未授权方式访问到部分选举支持系统;但迄今为止,尚无证据表明选举数据的完整性受到了损害。”官员们同时补充称,“由于距离大选仍有一段时日,攻击者似乎并没有做出特别明确的目标选择,但此次事件仍彰显了存储在政府网络内的选举信息所面临的安全风险。
发布时间:2020-10-13 17:58 | 阅读:6399 | 评论:0 | 标签:漏洞 apt windows

Kraken:无文件APT攻击事件

收录于话题 9月17日,安全研究人员Hossein Jazi 和 Jérôme Segura发现了一种名为“Kraken”的新型攻击,这种攻击将恶意载荷注入到Windows错误报告(WER)服务中,以此来逃避检测。WerFault.exe通常在与操作系统、Windows特性或应用程序相关的错误时调用,但受害者看到WerFault.exe在机器上运行时,可能并不是发生了什么错误,而是遭受了攻击。虽然这种技术并不新鲜,但是这次行动很可能是一个APT组织的工作。该组织曾使用工人的赔偿要求网络钓鱼邮件来引诱受害者。
发布时间:2020-10-13 12:57 | 阅读:4405 | 评论:0 | 标签:apt 攻击

红蓝对抗下的“Kraken”无文件APT攻击事件

9月17日,安全研究人员Hossein Jazi 和 Jérôme Segura发现了一种名为“Kraken”的新型攻击,这种攻击将恶意载荷注入到Windows错误报告(WER)服务中,以此来逃避检测。WerFault.exe通常在与操作系统、Windows特性或应用程序相关的错误时调用,但受害者看到WerFault.exe在机器上运行时,可能并不是发生了什么错误,而是遭受了攻击。虽然这种技术并不新鲜,但是这次行动很可能是一个APT组织的工作。该组织曾使用工人的赔偿要求网络钓鱼邮件来引诱受害者。
发布时间:2020-10-13 12:50 | 阅读:4593 | 评论:0 | 标签:apt 攻击

Kraken: 无文件APT攻击滥用Windows错误报告服务

9月17日,研究人员发现一个名为Kraken 新攻击活动,会将payload 注入Windows Error Reporting (WER,Windows 错误报告)服务中作为绕过机制。WER 服务(WerFault.exe)一般是在有与操作系统、Windows特征、和应用程序相关的错误产生时才会被调用。当受害者看到WerFault.exe 运行时,会认为有错误产生,实际上在本次攻击事件中是被攻击了。诱饵文件9月17日,研究人员发现一起利用鱼叉式钓鱼攻击来传播含有恶意文档的zip文件的攻击活动。
发布时间:2020-10-13 11:05 | 阅读:3260 | 评论:0 | 标签:apt 攻击 windows

疑似APT28最新键盘记录器样本分析

1 概述9月初,威胁分析高级专家Alexey Vishnyakov在twitter上发布使用Nim语言编写的疑似APT28的键盘记录器类样本。白泽安全实验室获取Alexey Vishnyakov提供的样本进行分析,经分析,该类样本使用Nim语言编写,这似乎符合APT28近期恶意代码开发风格,而且该类键盘记录器样本似乎正在开发中,并没有嵌入C&C,这和Alexey Vishnyakov在twitter上阐述的信息基本一致。以下是白泽安全实验室对疑似APT28的键盘记录器类样本进行的详细分析。
发布时间:2020-10-12 14:27 | 阅读:5101 | 评论:0 | 标签:apt

活跃9年的XDSpy APT组织分析

ESET 研究人员近日发现了一个新的APT 组织——XDSpy,该组织从2011 年开始活跃,主要攻击东欧和塞尔维亚的政府组织并从中窃取敏感文件。XDSpy APT 组织从2011年开始活跃,但直到近日才被发现,很少有APT 组织能够活跃9年而不被发现。目标XDSpy APT组织的攻击目标主要位于东欧和塞尔维亚,受害者主要是军事、外交相关的政府机构以及少量的私营企业。
发布时间:2020-10-10 11:12 | 阅读:8952 | 评论:0 | 标签:apt

《透视APT》读书笔记

《透视APT》网络空间中的对抗APT的典型事件之——“震网病毒”目标系统:工控系统潜伏渗透:感染了伊朗境内60%的PC突破物理隔离:U盘(病毒检测到宿
发布时间:2020-10-10 11:03 | 阅读:9272 | 评论:0 | 标签:apt

APT“商业化”倒逼企业威胁模型变革

收录于话题 点击蓝字关注我们安全牛评曾经,APT是网络攻击中的奢侈品,高端定制、手工打造、限量发售。但是,随着APT工具技术的产品化和“民主化”,以及“APT即服务”的商业化和规模化,APT这种过去针对高价值目标的高成本低频次攻击,门槛大幅降低,正呈现泛滥趋势,很多过去没有将APT纳入威胁模型的用户,例如中小企业,如今也正成为APT攻击的目标。这意味着大量企业和机构都应当根据APT的最新发展趋势重新修订其威胁模型。也许,针对网络犯罪的“攻击上云”趋势,最佳防御策略正是“安全上云”。安全公司卡巴斯基实验室和Bitdefender在9月份分别发布了有关两个APT雇佣军组织的报告。
发布时间:2020-10-08 14:49 | 阅读:7960 | 评论:0 | 标签:apt

ESET披露自从2011年开始活跃的新APT组织XDSpy

XDSpy 是 ESET 研究人员发现至少自从 2011 年以来就一直活跃的 APT 组织。ESET 最近又发现该组织针对白俄罗斯、俄罗斯、塞尔维亚和乌克兰的政府、军队和外交部。ESET 的安全专家 Matthieu Faou 和 Francis Labelle 在 Virus Bulletin 2020 的一次演讲中披露了该组织的攻击行动。XDSpy在 2020 年年初,ESET 研究人员发现了一个之前未公开的攻击活动,针对的是东欧、巴尔干地区和俄罗斯的政府。不同寻常的是,研究表明这个攻击组织至少从 2011 年开始就一直在活跃,而且 TTP 几乎没有变化。
发布时间:2020-10-07 11:10 | 阅读:10392 | 评论:0 | 标签:apt

APT‑C‑23组织新安卓监控软件分析

APT-C-23 黑客组织以在攻击活动中同时使用Windows 和安卓组件而闻名,其最早使用安卓组件是在2017年。近日,ESET研究人员发现了APT-C-23 组织使用的一款安卓监控软件新版本——Android/SpyC23.A。与2017年的版本相比,Android/SpyC23.A 扩展了监控功能,包括从消息APP 读取通知、电话录音和录屏、以及一些新的特征。时间轴2020年4月,@malwrhunterteam 发推称发现了一款新的安卓恶意软件样本。据VirusTotal 数据,除了ESET外,当时还没有安全厂商能够检测到该样本。
发布时间:2020-10-06 09:40 | 阅读:10537 | 评论:0 | 标签:apt

透明部落APT组织的木马分析

收录于话题 情报链接推特推特情报大佬公开了透明部落组织的攻击载体,笔者尝试进行下载分析和溯源关联。该样本主要采用了doc文档的宏进行主要载体的下发和执行。详细分析1.   Doc文档自身的宏代码创建%ALLUSERSPROFILE%Drmdsia 文件夹。这是存储在窗体中的数据。根据系统版本,也就是以win8为版本界限进行不同载荷的分发。获取数据后,遍历数据都转换为byte型。进行字符拼接添加”xe”,形成exe后缀.进行二进制字节写入,头部刚好为4D5A。然后运行该exe文件,并带入参数(4)。进行主页文字的更改,替换成textbox2的值。
发布时间:2020-09-26 23:37 | 阅读:13578 | 评论:0 | 标签:apt 木马

FBI将APT41成员列入其网络头号通缉名单

美国政府今天宣布对一个中国国家背景团队的5名成员和2名马来西亚黑客提出指控,并声称他们需要为对全世界一百多家公司实施的攻击行为负责。 美国政府今天宣布对一个中国国家背景团队的5名成员和2名马来西亚黑客提出指控,并声称他们需要为对全世界一百多家公司实施的攻击行为负责。APT41又被称为"Barium"、"Winnti"、"Wicked Panda"和"Wicked Spider",这一团队至少从2012年就开始运作了,它不仅仅参与了从许多领域的有价值的目标那里收集战略情报,而且也涉及到在线游戏业的经济目的攻击。
发布时间:2020-09-24 22:57 | 阅读:17915 | 评论:0 | 标签:apt

美国全面恢复伊朗制裁,国家级黑客组织APT39首当其冲

 “伊朗发动的任何攻击,美国都会千倍奉还!”伴随着美国总统特朗普在其推特的表态,美国制裁伊朗之路再度宣告重启,而此次美方制裁伊朗的“新枪口”瞄准了伊的黑客组织。回首当下,网络空间已然成为大国博弈的“头号战场”,甚至自诩“世界霸主”的美国在网络战面前也不敢有丝毫懈怠。
发布时间:2020-09-22 12:43 | 阅读:10448 | 评论:0 | 标签:apt 黑客

曝光APT组织会产生怎样的威慑效果?

收录于话题 #网络空间安全 23个 前言自2013年以来,国外安全厂商Karspersky、Fireeye、Crowdstrike、Paloalto、Symantec、Trendmirco等持续发布全球各主要APT攻击组织的活动报告。但APT组织的活动非但没有收敛,反而愈演愈烈,欣欣向荣。2020年以来,借助新冠疫情大爆发,大批APT组织借机起事,异常活跃。9月16日,美国司法部(DoJ)起诉了两名伊朗国民,两名马来西亚人和五名中国人,称这些人涉嫌在政府资助的针对美国和其他国家/地区的100多家公司的黑客活动中发挥关键作用。
发布时间:2020-09-21 00:25 | 阅读:13466 | 评论:0 | 标签:apt

FBI将5名中国黑客APT41列入网络通缉名单

美国政府2020年9月16日宣布对中国政府资助的黑客组织的5名涉嫌成员和负责对全球100多家公司进行黑客攻击的2名马来西亚黑客的指控。这个网络间谍组织至少自2012年就开始运作,其名称为APT41,也被称为“Barium”,“Winnti”,“邪恶的熊猫”和“邪恶的蜘蛛”,并且不仅仅参与了从有价值的目标中收集战略情报。许多行业,但也有针对在线游戏行业的出于经济动机的攻击。
发布时间:2020-09-18 23:29 | 阅读:27575 | 评论:0 | 标签:apt 黑客

针对Linux发起攻击的14个APT组织(下)

针对Linux发起攻击的14个APT组织(上)Tsunami后门Tsunami(又名Kaiten)是一个UNIX后门,自2002年首次在野外被发现以来,被多个攻击者使用。源代码几年前就公开了,现在有70多个变种。源代码可以在各种嵌入式计算机上顺畅地编译,还有针对ARM、MIPS、Sparc和思科4500/PowerPC的版本。Tsunami仍然是基于linux的路由器、DVR和不断增加的物联网计算机的攻击。2016年,Linux Mint黑客使用了Tsunami的变体,其中一个未知的攻击因素破坏了Linux Mint发行版ISO,使其包含后门。
发布时间:2020-09-18 11:34 | 阅读:8848 | 评论:0 | 标签:linux apt 攻击

季风行动——蔓灵花(APT-C-08)组织大规模钓鱼攻击活动披露

 转载:360威胁情报中心蔓灵花(APT-C-08)是一个拥有南亚地区政府背景的APT组织,近几年来持续对南亚周边国家进行APT攻击,攻击目标涉及政府、军工、高校和驻外机构等企事业单位组织,是目前较活跃的针对我国境内目标进行攻击的境外APT组织之一。2020年360安全大脑在全球范围内曾监测到蔓灵花组织多次攻击行动,如年初在COVID-19新冠病毒席卷我国之际,该组织就曾借疫情攻击过我国的相关单位。
发布时间:2020-09-18 11:26 | 阅读:5899 | 评论:0 | 标签:apt 攻击 钓鱼

来自南亚APT组织的报复性定向网络攻击

收录于话题 奇安信威胁情报中心 Author 奇安信情报中心 奇安信威胁情报中心 威胁情报信息共享,事件预警通报,攻击事件分析报告,恶意软件分析报告 概述 奇安信威胁情报中心红雨滴安全研究团队多年来持续对南亚次大陆方向的攻击活动进行追踪。我们对蔓灵花、摩诃草、响尾蛇等相关组织均做过大量的分析和总结。上述组织长期针对中国、巴基斯坦、尼泊尔等国和地区进行了长达数年的网络间谍攻击活动,主要攻击领域为政府机构、军工企业、核能行业、商贸会议、通信运营商等。
发布时间:2020-09-18 08:18 | 阅读:13082 | 评论:0 | 标签:apt 攻击

Linux系统中APT攻击总结

收录于话题 由于Windows的普及程度很高,我们发现的大多数APT攻击工具都应用在此系统上。与此同时,人们普遍认为Linux是默认安全的操作系统,不易受到恶意代码的攻击。诚然,Linux用户多年来并没有像Windows用户那样面临大量病毒、蠕虫和特洛伊木马的威胁。但是,Linux环境中确实是存在恶意软件的,包括PHP后门,rootkit和漏洞代码。Linux服务器的战略重要性使其更容易成为各种攻击者的目标。
发布时间:2020-09-17 22:11 | 阅读:9729 | 评论:0 | 标签:linux apt 攻击

提菩行动:来自南亚APT组织“魔罗桫”的报复性定向攻击

收录于话题 概述 奇安信威胁情报中心红雨滴安全研究团队多年来持续对南亚次大陆方向的攻击活动进行追踪。我们对蔓灵花、摩诃草、响尾蛇等相关组织均做过大量的分析和总结。上述组织长期针对中国、巴基斯坦、尼泊尔等国和地区进行了长达数年的网络间谍攻击活动,主要攻击领域为政府机构、军工企业、核能行业、商贸会议、通信运营商等。而近些年来,随着南亚边境冲突加剧,越来越多攻击组织借助中印关系为主题,针对中国关键基础设施部门发起网络攻击活动,我们长期追踪分析的“魔罗桫”APT团伙便是其中之一(国外安全厂商命名的Confucius)。该组织自2013年起便持续活跃,奇安信内部对该团伙命名为“魔罗桫”。
发布时间:2020-09-17 06:45 | 阅读:20590 | 评论:0 | 标签:apt 攻击

OpBlueRaven:揭露APT组织 Fin7 / Carbanak之BadUSB攻击

译者:知道创宇404实验室翻译组原文链接:https://threatintel.blog/OPBlueRaven-Part2/本文旨在为读者提供有关PRODAFT&INVICTUS威胁情报(PTI)团队针对不同威胁者的最新详细信息,以及发现与臭名昭著的Fin7 APT组织合作的人是谁。感谢您曾阅读在本系列文章的第一部分。在公开Fin7和REvil组织关系之前,我们试图与勒索软件的受害者联系,同时,我们将继续发布有关Fin7攻击者工具的文章。在第一篇文章中,我们检查了Carbank后门控制面板的版本更改,并公开了以前未知的Tirion Loader。
发布时间:2020-09-16 15:57 | 阅读:8911 | 评论:0 | 标签:apt 攻击

针对Linux发起攻击的14个APT组织(上)

关于针对Windows系统的有针对性的攻击我们已经写了很多文章,这很容易理解。由于Windows的流行,它是最适合攻击工具的平台。与此同时,研究人员普遍认为Linux是一种默认安全的操作系统,不会受到恶意软件的攻击。毫无疑问,Linux并没有面临Windows系统多年来所面临的病毒、木马和恶意软件的攻击。然而,Linux确实存在恶意软件,比如PHP后门、rootkit和利用代码。如果攻击者能够攻击运行Linux的服务器,不仅可以访问存储在服务器上的数据,还可以访问连接到服务器上运行Windows或macOS的终端,例如,通过驱动下载。
发布时间:2020-09-16 11:03 | 阅读:13160 | 评论:0 | 标签:linux apt 攻击

OpBlueRaven:揭露APT组织 Fin7 / Carbanak之Tirion恶意软件

译者:知道创宇404实验室翻译组原文链接:https://threatintel.blog/OPBlueRaven-Part1/本文旨在为读者提供有关PRODAFT&INVICTUS威胁情报(PTI)团队针对不同威胁者的最新详细信息,以及发现与臭名昭著的Fin7 APT组织合作的人是谁。所有这些都源自威胁者方面的一次OPSEC故障,我们将尝试逐步扩展主题,类似于我们在不断发现的基础上扩大范围。关于Fin7和Carbanak的前所未有的事实:第1部分在5月至2020年7月之间;PRODAFT威胁情报团队的四名成员进行了BlueRaven行动。案例研究源于发现一组看似不重要的轻微OpSec故障。
发布时间:2020-09-15 19:33 | 阅读:7197 | 评论:0 | 标签:apt

APT组织对Linux设备的兴趣大增

近日,根据卡巴斯基的一项调查,APT组织开始越来越多地对Linux设备执行有针对性的攻击,并开发了更多针对Linux的工具。APT对Linux的重视并不让人意外,因为越来越多的企业和组织选择Linux而不是Windows来运行具有战略意义的关键业务服务器和系统。此外,人们通常认为Linux操作系统更安全,不是很流行因而不太可能成为恶意软件的攻击目标。但是,据观察APT攻击者正在利用Linux用户的这种想当然和麻痹大意。报告指出,“过去八年来,已经观察到十几个APT组织使用Linux恶意软件或某些基于Linux的模块”。
发布时间:2020-09-14 19:02 | 阅读:6448 | 评论:0 | 标签:威胁情报 APT攻击 linux apt

ADS

标签云