apt_黑客技术

记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

首页

网络安全

移动安全

招聘信息

黑客关键词

海外英文版

内幕曝光！关于我是如何发现APT组织的攻击

一、背景    大家好，我是顺丰的安全研究员PX-04search，和K一样，我也是专注于公司内部的安全事件的响应，攻击手法的研究分析。作为一个安全研究员，我的日常工作充满了挑战和刺激。每天都面对着各种网络安全威胁，而我的职责也是让每个新的攻击事件浮出水面，保护公司的信息资产和系统安全。    但是就在上周，正当我在办公室悠闲吃着下午茶的时候，公司内部的安全运营平台再次响起了刺耳的高频告警声。

发布时间:2023-05-25 22:32 | 阅读:73056 | 评论:0 | 标签:apt 攻击

新出现的CloudWizard APT活动疑似CommonMagic和CloudWizard的延续

今年3月，卡巴斯基实验室的研究人员在俄乌冲突地区新发现了一个APT活动，该活动涉及使用PowerMagic和CommonMagic植入程序。然而，当时还不清楚是哪个组织发起了这次攻击。在寻找与PowerMagic和CommonMagic相似的植入程序时，研究人员发现了来自同一组织发布的更复杂的恶意活动。最有趣的是，受害者广泛分布在俄乌冲突地区。目标包括个人，以及外交和研究机构。恶意活动涉及使用我们称之为CloudWizard的模块化框架。它的功能包括截图、麦克风录音、键盘记录等。在俄乌冲突地区运营的APT最近急剧增多，比如Gamaredon、CloudAtlas、BlackEnergy等。

发布时间:2023-05-25 12:04 | 阅读:47699 | 评论:0 | 标签:apt

【网络安全分享】APT攻击常用的4种攻击手段！

　　APT全称Advanced PersistentThreat，即高级持续性威胁，是一种周期较长、隐蔽性极强的攻击模式。而且APT攻击生命周期较长，危害性极大，一旦APT攻击病毒被发现时其目标往往已被成功入侵，从而带来不可估量的后果。那么APT攻击常用的攻击手段有哪些?以下是详细的内容介绍。　　1、水坑攻击　　水坑攻击，顾名思义，就是在您每天的必经之路挖几个坑，等您踩下去。水坑攻击是APT常用的手段之一，通常以攻击低安全性目标来接近高安全性目标。攻击者会在攻击前搜集大量目标的信息，分析其网络活动的规律，寻找其经常访问的网站弱点，并事先攻击该网站，等待目标来访，伺机进行攻击。

发布时间:2023-05-25 04:43 | 阅读:53697 | 评论:0 | 标签:apt 攻击网络安全安全网络

GoldenJackal：针对中东和南亚政府的 APT “新贵”

The Hacker News 网站披露，一个名为 GoldenJackal 的 APT 团伙正以中东和南亚的政府、外交等实体组织为目标，开展大规模网络攻击活动。俄罗斯网络安全公司卡巴斯基表示自 2020 年年中以来一直在密切关注 Golden Jackal 组织的活动，其目标范围主要集中在阿富汗、阿塞拜疆、伊朗、伊拉克、巴基斯坦和土耳其等国，团伙成员除了使用定制的恶意软件感染受害者窃取数据，还通过可移动驱动器在系统中传播，并进行持续监视。

发布时间:2023-05-24 17:04 | 阅读:61806 | 评论:0 | 标签:网络安全黑客事件 APT GoldenJackal 网络攻击 apt

APT组织使用的野外Rootkit 分析

本文会分析野外发现的两个rootkit示例：Husky rootkit和Mingloa/CopperStealer rootkit。驱动入口函数DriverEntry让我们从二进制的驱动入口函数DriverEntry开始，在Windows内核驱动程序中，它是DriverEntry。DriverEntry通常包括以下代码块：调用IoCreateDevice和IoCreateSymbolicLink；初始化主要函数数组，其中包含指向各种处理函数的函数指针；为DriverUnload例程分配一个指向处理程序函数的函数指针。

发布时间:2023-05-24 12:02 | 阅读:50127 | 评论:0 | 标签:apt 分析

GoldenJackal：针对中东和南亚政府的 APT “新贵”

发布时间:2023-05-24 11:56 | 阅读:51310 | 评论:0 | 标签:apt

Meet the GoldenJackal APT group. Don’t expect any howls

GoldenJackal is an APT group, active since 2019, that usually targets government and diplomatic entities in the Middle East and South Asia. Despite the fact that they began their activities years ago,

发布时间:2023-05-24 10:52 | 阅读:35392 | 评论:0 | 标签:exp apt

境外APT组织对国内重点单位的“尼格风暴”行动

前情提要：本报告为中国电信安全公司从互联网角度对本次APT攻击行动做出的风险评估及攻击链画像。报告将从多维度切入，基于电信安全自研全新数据分析模型做风险分析与评估，填充APT攻击画像中的“真空地带”。概述：“风暴模式”的APT攻击2022年 11月16日15:12起，经检测发现境外黑客利用多个攻击资产对我国12个省中18个地市的多个目标展开攻击，面临较大的数据泄露风险。历史攻击回溯和实时风险状态检测，攻击者在2022年11月至2023年2月，利用国内某防火墙漏洞针对我国医疗、能源、化工、地质、基建等关键行业的23个高价值目标展开攻击。

发布时间:2023-05-22 20:02 | 阅读:75524 | 评论:0 | 标签:apt

微软为 Surface Laptop 3 和 Pro 9 推出固件更新：修复漏洞，提升稳定性

IT之家 5 月 22 日消息，微软今日为第三代 Surface Laptop 和最新的旗舰平板电脑 Surface Pro 9 发布了几个新的驱动程序，新的 2023 年 5 月的固件现在可以在基于英特尔的机型上下载。Surface Laptop 3 的 5 月固件更新增加了对新的扩展配件的支持，提高了 Surface Dock 2 的稳定性，改善了无线连接并修补了一些安全漏洞。具体的驱动程序列表如下：这次更新支持 Windows 10 版本 20H2 及更高版本，以及 Windows 11 版本 21H2 及更高版本。如果用户在更新后遇到无法连接 Wi-Fi 的问题，可以尝试关机重启设备。

发布时间:2023-05-22 19:42 | 阅读:162506 | 评论:0 | 标签:漏洞 apt 微软

APT-C-28（ScarCruft）组织利用恶意文档投递RokRat攻击活动分析

APT-C-28  ScarCruftAPT-C-28组织，又名ScarCruft、APT37（Reaper）、Group123，是一个来自于东北亚地区的境外APT组织，其相关攻击活动最早可追溯到2012年，且至今依然保持活跃状态。APT-C-28组织主要针对韩国等亚洲国家进行网络攻击活动，针对包括化学、电子、制造、航空航天、汽车和医疗保健等多个行业，其中以窃取战略军事、政治、经济利益相关的信息和敏感数据为主。同时，RokRat是基于云的远程访问工具，从2016年开始一直被APT-C-28组织在多个攻击活动中使用。

发布时间:2023-05-19 22:33 | 阅读:93917 | 评论:0 | 标签:apt 攻击分析

响尾蛇 APT 组织持续攻击我国和巴基斯坦实体组织

The Hacker News 网站披露，网络安全研究人员近期发现 APT 组织 SideWinder 正在“集中火力”猛攻位于我国和巴基斯坦境内的实体组织。APT 组织 SideWinder 至少从 2012 年起就开始活跃，其攻击链主要利用鱼叉式网络钓鱼作为入侵机制，在受害目标的网络环境中“站稳脚跟”，从其以往的攻击目标来看，受攻击最频繁的国家包括巴基斯坦、中国、斯里兰卡、阿富汗、孟加拉国、缅甸、菲律宾、卡塔尔和新加坡等。

发布时间:2023-05-19 11:06 | 阅读:59515 | 评论:0 | 标签:apt 攻击巴基斯坦

APT 组织 SideWinder 频频攻击中国和巴基斯坦

The Hacker News 网站披露，网络安全研究人员近期发现 APT 组织 SideWinder 正在“集中火力”猛攻位于巴基斯坦和中国境内的实体组织。APT 组织 SideWinder 至少从 2012 年起就开始活跃，其攻击链主要利用鱼叉式网络钓鱼作为入侵机制，在受害目标的网络环境中“站稳脚跟”，从其以往的攻击目标来看，受攻击最频繁的国家包括巴基斯坦、中国、斯里兰卡、阿富汗、孟加拉国、缅甸、菲律宾、卡塔尔和新加坡等。

发布时间:2023-05-18 11:56 | 阅读:65600 | 评论:0 | 标签:apt 攻击中国巴基斯坦

第62篇：越南海莲花APT针对中国大陆的邮件钓鱼技战术手法总结

 Part1 前言 大家好，我是ABC_123，公众号正式更名为”希潭实验室”，敬请关注。去年ABC_123跟朋友一起吃饭，听一个朋友兴奋地说道“我们抓到了一个海莲花！”，于是便引起了我对海莲花APT组织的兴趣。本期就分析一下这个长期对我国进行网络攻击的APT组织“海莲花”，又名APT32、OceanLotus或APT-C-00，该组织普遍认为由越南政府支持，至少从2012年4月份开始，长期对中国及其它国家的政府机构、科研机构、大型国企、能源行业、金融行业和重要私企等进行网络攻击，窃取机密情报或技术资料。

发布时间:2023-05-14 10:52 | 阅读:125081 | 评论:0 | 标签:apt 钓鱼中国越南

APT组织Red Stinger瞄准东欧的军事和关键基础设施

自2020年以来，一个名为Red Stinger的先前未被发现的高级持续威胁(APT)攻击者与针对东欧的攻击有关。Malwarebytes在5月11日发布的一份报告中透露：“军事、交通和关键基础设施以及一些参与9月东乌克兰公投的实体是主要攻击目标，攻击者泄漏了快照、USB驱动器、键盘敲击和麦克风录音。”Red Stinger与卡巴斯基上个月以Bad Magic名义披露的威胁集群重叠，该威胁集群去年针对位于顿涅茨克、卢甘斯克和克里米亚的政府、农业和交通组织。

发布时间:2023-05-12 17:44 | 阅读:65579 | 评论:0 | 标签:apt 军事

黑客攻击揭秘：探究APT37如何借助LNK文件大肆传播RokRAT

如果你喜欢我的文章，欢迎关注公众号：安全女巫转载请注明出处：https://mp.weixin.qq.com/s/I0_MkneXT9wqLz37xe9I9A 转载来源：http://www.myzaker.com/article/6459c5c6b15ec03db53bcd88 翻译原文：https://research.checkpoint.com/2023/chain-reaction-rokrats-missing-link/ 本文是 Check Point 根据其 2022 年 7 月首次发现的一个 RokRAT 样本来做的深入分析。

发布时间:2023-05-10 15:43 | 阅读:68016 | 评论:0 | 标签:APT37 DOGCALL Inky Squid lNK文件 Reaper RedEyes RokRAT ScarCru

SideWinder APT组织使用多态性技术攻击巴基斯坦和土耳其

BlackBerry研究团队5月8日发布报告称，印度多产的SideWinder高级持续威胁组织(APT)正使用使用多态性技术，攻击巴基斯坦政府官员和在土耳其的个人。报告指出，该活动的第一阶段（于11月发现）使用针对巴基斯坦目标的服务器端多态攻击，而今年早些时候发现的后期阶段使用网络钓鱼策略向受害者发送恶意引诱文件。不过值得注意的是，APT并没有在文档中使用恶意宏来投放恶意软件——当文档被用作诱饵时通常就是这种情况——而是利用CVE- 2017-0199漏洞来传递有效负载。自2012年以来活跃的SideWinder于2018年第一季度被卡巴斯基检测到，并被认为主要针对巴基斯坦的军事基础设施。

发布时间:2023-05-10 14:49 | 阅读:66744 | 评论:0 | 标签:apt 攻击土耳其巴基斯坦

奇安信发布2021年APT报告中国是APT攻击首要受害国

　　3月25日，奇安信威胁情报中心正式发布了《全球高级持续性威胁（APT）2021年度报告》（简称《报告》），对过去一年APT活动进行了全面的分析。《报告》认为，现阶段中国依旧是全球APT活动的首要地区性目标，网络窃密活动与网络破坏活动持续加剧，经济与科技领域网络安全，正在经受着前所未有的巨大考验。　　《报告》显示，2021年，奇安信威胁情报中心首次使用奇安信威胁雷达对境内的APT攻击活动进行了全方位遥感测绘，监测到我国范围内大量IP地址与数十个境外APT组织产生过高危通信。这表明至少有数十个境外APT组织对国内目标发起过网络攻击。

发布时间:2023-05-10 04:40 | 阅读:89014 | 评论:0 | 标签:apt 攻击中国

朝韩网络攻击一角：APT37改用LNK文件大肆传播RokRAT

本文是Check Point根据其2022年7月首次发现的一个RokRAT样本来做的深入分析。早在 2022 年 7 月，APT37（Inky Squid、RedEyes、Reaper或ScarCruft）就开始试验使用超大 LNK 文件传播 RokRAT 活动，企图利用不受信任来源的宏发起攻击，巧的是，同月微软开始默认阻止跨 Office 文档的宏。与以前一样，攻击的目标还是韩国的目标。研究结果表明，用于最终加载ROKRAT的各种多阶段感染链被用于其他攻击，导致传播与同一攻击者相关的其他工具。

发布时间:2023-05-09 14:57 | 阅读:79735 | 评论:0 | 标签:apt 攻击网络网络攻击

APTSHIELD：一个稳定、高效、实时的Linux主机APT检测系统

#TDSC 3 个 #安全学术圈 116 个 #论文笔记 220 个原文标题：APTSHIELD: A Stable, Efficient and Real-time APT Detection System for Linux Hosts(CCF-A)原文作者：Tiantian Zhu, Jinkai Yu

发布时间:2023-05-07 01:44 | 阅读:122303 | 评论:0 | 标签:linux apt 检测系统

史上影响力最大APT攻击的幕后调查故事

本文转载翻译自：https://www.wired.com/story/the-untold-story-of-solarwinds-the-boldest-supply-chain-hack-ever/那是2019年底，安全公司Volexity的总裁Adair正在调查一家美国智库的网络安全漏洞。入侵没什么特别的，Adair认为他和他的团队会迅速踢走攻击者并完成这个案子，然而直到他们发现了一些奇怪的事情.....第二组黑客此后又活跃在智库的网络中，他们正在追踪电子邮件，拷贝副本并将它们发送到外部的服务器。

发布时间:2023-05-04 19:55 | 阅读:81080 | 评论:0 | 标签:apt 攻击

APT分析之Sandworm勒索攻击模拟、推演、分析

大家好：    我最近在思考一个问题，做安全从个人，公司，行业到底应该去做什么，怎么样才能真正体现安全能力，能防御未知威胁，取得客户的信任，我阅读了很多的文章，尤其是微软的文章，得到一个认知是做安全的本质就是做安全攻防，以一流的安全攻防能力赋能产品打造一流的产品。

发布时间:2023-05-04 10:52 | 阅读:61556 | 评论:0 | 标签:apt 攻击勒索分析

威胁情报信息分享|APT28针对乌克兰政府实体发出伪造的“Windows更新”电子邮件

乌克兰计算机紧急响应小组（CERT-UA）警告称，俄罗斯APT黑客组织针对该国各种政府机构进行网络攻击。该机构将这场钓鱼活动归因于APT28，该组织还被称为Fancy Bear、Forest Blizzard、FROZENLAKE、Iron Twilight、Sednit和Sofacy。这些电子邮件以“Windows更新”为主题，并声称用乌克兰语包含在安全更新的借口下运行PowerShell命令的指示。运行该脚本会加载并执行下一阶段的PowerShell脚本，该脚本通过使用tasklist和systeminfo等命令收集基本系统信息，并通过HTTP请求将详细信息发送到一个Mocky API。

发布时间:2023-05-03 10:52 | 阅读:117690 | 评论:0 | 标签:apt windows 情报威胁情报乌克兰

APT37针对韩国外交部下发RokRAT的窃密活动分析

#猎影实验室 39 个 #apt 3 个 #外交部 1 个 #韩国 1 个点击蓝字关注我们一事件背景      APT37组织又名Group123、InkySquid、Operation Daybreak、Operation Erebus、Reaper Group、Red Eyes、ScarCruft、Venus 121。该组织至少从2012年开始活跃，主要针对韩国的公共和私营部门。2017年，APT37将其目标扩展到朝鲜半岛之外，包括日本、越南和中东，并扩展到更广泛的垂直行业，包括化学、电子、制造、航空航天、汽车和医疗保健实体。

发布时间:2023-04-28 14:01 | 阅读:91670 | 评论:0 | 标签:apt 分析韩国

Evasive Panda APT group delivers malware via updates for popular Chinese software

ESET researchers have discovered a campaign that we attribute to the APT group known as Evasive Panda, where update channels of legitimate applications were mysteriously hijacked to deliver the instal

发布时间:2023-04-28 10:51 | 阅读:152147 | 评论:0 | 标签:apt

APT29近期利用CobaltStrike开展攻击活动

1        概述APT29又名Cozy Bear，是一个主要从事信息窃取和间谍活动的APT组织。2023年4月13日，波兰军事反情报局发布了APT29攻击武器HALFRIG、QUARTERRIG和SNOWYAMBER的分析报告，这三个攻击武器都被用来加载CobaltStrike HTTPS Beacon。报告中C&C服务器配置和2021年攻击活动中的基本一致，CS配置文件中的水印也是从2021年起沿用至今的“1359593325”。

发布时间:2023-04-26 12:52 | 阅读:79097 | 评论:0 | 标签:APT29 CobaltStrike 攻击活动 apt 攻击

APT攻防那些事儿

每个搞网络安全的人都觉得APT攻击很“刺挠”你知道有人一直盯着你，但不知道他是谁、在哪不知道他已经拿到了你几把钥匙、几张门卡而他可能已经�

发布时间:2023-04-26 11:09 | 阅读:71306 | 评论:0 | 标签:apt 攻防

APT-LY-1007：东欧地区新APT组织针对俄罗斯军队的攻击活动分析

#apt 2 个 #猎影实验室 38 个点击蓝字关注我们一事件背景      近日，安恒猎影实验室发现了一起针对俄罗斯军事部队的攻击活动，活动使用的恶意文档以俄罗斯联邦武装部队电子部队的专业假期——“电子战专家日”为主题引诱目标点击并运行。      对活动进行关联分析及归因研判后，我们发现来自同一威胁组织（猎影实验室内部追踪代号为“APT-LY-1007”）的攻击样本最早活跃于2022年8月。

发布时间:2023-04-24 14:04 | 阅读:81265 | 评论:0 | 标签:apt 攻击分析俄罗斯

【高级威胁追踪(APT)】Patchwork组织更新技术卷土重来，针对境内教育科研单位再次发起攻击行动

概述近期，深信服深瞻情报实验室联合深信服安服应急响应中心监测到APT组织对国内高校和科研单位的最新攻击动态，并结合深信服创新研究院混动图AI模型分析，将该样本归因为Patchwork组织发起的攻击。Patchwork组织， 又称摩诃草、白象、APT-Q-36、APT-C-09，是一个来自于南亚地区的境外APT组织。该组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动，其中以窃取敏感信息为主。相关攻击活动最早可以追溯到2009年11月，至今还非常活跃。在针对中国地区的攻击中，该组织主要针对政府机构、科研教育领域进行攻击，其中以科研教育领域为主。

发布时间:2023-04-21 13:46 | 阅读:96243 | 评论:0 | 标签:apt 攻击追踪 HW

APT-C-36（盲眼鹰）组织针对哥伦比亚地区部署LimeRAT组件

APT-C-36  盲眼鹰APT-C-36（盲眼鹰）是一个疑似来自南美洲的APT组织，主要目标位于哥伦比亚境内，以及南美其他的国家和地区，如厄瓜多尔和巴拿马。该组织自2018年被发现以来，曾持续发起针对哥伦比亚的攻击活动。即使安全厂商在近两年接连捕获并披露其攻击活动，但也未曾阻止APT-C-36的行动和潜伏，其攻击反而有越演越烈的趋势。近期，360高级威胁研究院在日常情报挖掘中发现并捕获到了盲眼鹰针对哥伦比亚地区的攻击行动。该组织一如既往地采用鱼叉攻击，以PDF文件作为入口点，诱导用户点击文档里面的恶意链接下载RAR压缩包文件。

发布时间:2023-04-19 13:46 | 阅读:87687 | 评论:0 | 标签:apt

China-linked APT41 group spotted using open-source red teaming tool GC2

China-linked APT41 group used the open-source red teaming tool GC2 in an attack against a Taiwanese media organization.Google Threat Analysis Group (TAG) team reported that the China-linked APT41 gr

发布时间:2023-04-19 13:46 | 阅读:97495 | 评论:0 | 标签:apt RCE