记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

近期针对工业企业和工控行业的APT攻击分析

有研究员发现了对不同国家/地区组织的一系列攻击。截至2020年5月上旬,日本,意大利,德国和英国已出现针对性的攻击案例。多达50%的攻击目标是各个工业部门的组织,攻击受害者包括工业企业的设备和软件供应商,攻击者使用恶意的Microsoft Office文档,PowerShell脚本以及各种使难以检测和分析恶意软件的技术。网络钓鱼电子邮件(用作初始攻击媒介)是使用每个特定国家/地区的语言使用文本自定义的。仅当操作系统的本地化与网络钓鱼电子邮件中使用的语言匹配时,此攻击中使用的恶意软件才会继续运行。例如,在攻击在日本运营的公司的情况下,网络钓鱼电子邮件的文本和包含恶意宏的Microsoft Office文档都是用日语编写的。此外,要成功解密恶意软件模块
发布时间:2020-07-31 10:19 | 阅读:2557 | 评论:0 | 标签:apt 攻击 工控

卡巴斯基报告:Lazarus APT 组织的大型狩猎游戏

原文链接:Lazarus on the hunt for big game译者:知道创宇404实验室翻译组 毫无疑问,2020 年将成为历史上令人不愉快的一年。在网络安全领域,针对目标的勒索软件攻击日益增加,集体的伤害就更加明显。通过调查许多此类事件,并通过与一些值得信赖的行业合作伙伴讨论,我们认为我们现在对勒索软件生态系统的结构有了很好的了解。勒索软件生态系统的结构犯罪分子利用广泛传播的僵尸网络感染(例如,臭名昭著的 Emotet 和 Trickbot 恶意软件家族)传播到受害者和第三方开发者的勒索软件“产品”的网络中。当攻击者对目标的财务状况和IT流程有充分了解后,他们就会在公司的所有资产上部署勒索软件,并进入谈判阶段。这个生态系统在独立、高度专业化的集群中运行,在大多数情况下,除
发布时间:2020-07-30 20:13 | 阅读:2301 | 评论:0 | 标签:apt

伊朗APT 35黑客40GB教学视频泄露

IBM X-Force Incident Response Intelligence Services (IRIS)研究人员在5月发现了伊朗黑客组织APT 35 (Charming Kitten、Phosphorous或ITG18)的一个在线服务器,该服务器是一个虚拟私有云服务器,由于安全设置错误配置导致暴露在互联网上。该服务器上有多个APT 35的域名,上面还保存着超过40GB的数据。数据中包括接近5小时的视频会议信息,这些视频主要是用于培训黑客。从视频来看,其中部分受害者包括美国和希腊海军的个人账号、以及针对美国官员的钓鱼攻击活动。培训视频研究人员发现的视频文件是一个名为Bandicam的桌面录屏软件录制的视频文件,时长在2分钟到2小时之间。文
发布时间:2020-07-21 12:42 | 阅读:2829 | 评论:0 | 标签:apt 泄露

从APT29看网络威胁归因(上)

  网络威胁归因("Threat Attribution"或"Cyber Threat Attribution")一直是安全行业争议非常大的话题。网络威胁归因有时候也叫网络攻击追踪溯源, 美国军方的说法是"Attribution"或"Cyber Attribution",中文直译为“归因”,一般指追踪网络攻击源头、溯源攻击者的过程。 归因之所以存在争议,最重要的原因主要有以下两点:1.不同利益团体的诉求- 政府、军方,网络空间安全防御的威慑力、捍卫国家网络空间主权和国家主权等,比如美国司法部经常
发布时间:2020-07-21 11:35 | 阅读:3790 | 评论:0 | 标签:apt

朝鲜半岛APT组织Lazarus在MacOS平台上的攻击活动分析

TAG:高级可持续攻击、Lazarus、MacOSTLP:白(报告使用及转发不受限制)日期:2020-07-06概述自2018年以来,Lazarus组织在MacOS平台上的攻击活动日渐活跃。该组织曾于2018年8月被曝光制作加密货币交易网站“Celas LLC”,以推广交易软件为名推广恶意代码盗取密币,此后又不断被曝光使用相似手法搭建了“Worldbit-bot”、“JMT Trading”、“Union Crypto Trader”等伪装平台,用于推广Windows和macOS两种平台下带有后门的交易软件,继续对
发布时间:2020-07-21 11:33 | 阅读:4647 | 评论:0 | 标签:apt 攻击

被低估的混乱军团-WellMess(APT-C-42)组织网络渗透和供应链攻击行动揭秘

7月16日(昨天),美国网络安全和基础设施安全局(CISA),英国国家网络安全中心(NCSC),加拿大通信安全机构(CSE)和美国国家安全局(NSA)发布了一份联合报告,称APT29组织使用WellMess系列工具针对美国、英国和加拿大的新冠病毒研究和疫苗研发相关机构发动攻击。值得注意的是,报告中该重点提及的“WellMess”正是一例全新APT组织,2019年360安全大脑就已捕获并发现了WellMess组织一系列的APT攻击活动,并将其命名为“魔鼠”,单独编号为APT-C-42。更为惊险的是,360安全大脑披露,从2017年12月开始,WellMess组织便通过网络渗透和供应链攻击作战之术,瞄准国内某网络基础服务提供商,发起了定向攻击。WellMess组织是一
发布时间:2020-07-20 18:09 | 阅读:3712 | 评论:0 | 标签:apt 攻击 渗透

7月20日每日安全热点 - WellMess(APT-C-42)组织攻击行动揭秘

安全工具 Security Toolsoledump最新版本发布https://blog.didierstevens.com/2020/07/19/update-oledump-py-version-0-0-51/恶意软件 Malware警惕新型nginx后门,目前全杀毒软件免杀https://ti.dbappsecurity.com.cn/informationDetail?id=947&from=timeline安全研究 Security Research不可删除的广告软件https://www.anquanke.com/post/id/211055基于HTTP的Python脚本木马程序安全分析https://medium.com/bugbountyw
发布时间:2020-07-20 13:35 | 阅读:3594 | 评论:0 | 标签:apt 攻击

俄罗斯黑客组织APT29试图窃取新冠疫苗信息

近日,据Wired报道,英国、美国和加拿大情报机构声称俄罗斯国家黑客组织(APT29)针对新冠病毒疫苗项目发起针对性攻击。上述三国情报官员声称,有证据表明黑客组织APT29成员攻击了参与疫苗开发的制药企业和学术机构。这三个国家的官员认为,这是试图窃取知识产权和有关潜在疫苗候选者的信息的尝试。黑客使用了以前未与俄罗斯关联的“自定义恶意软件”,以及其他广泛使用的软件(例如VPN)中的许多众所周知的漏洞。这些攻击采用了鱼叉式钓鱼攻击方式,试图将登录详细信息收集到目标组织系统的联网存储器中。三国情报机构对俄罗斯发动攻击的证据充满信心,以至于英国的国家网络安全中心(NCSC),加拿大通信安全机构和包括美国国家安全局和国土安全部在内的各种美国安全机构罕见地决定公开谴责APT29为幕后黑手,与此同时,英国政府也认定俄罗斯试图
发布时间:2020-07-17 18:58 | 阅读:5550 | 评论:0 | 标签:牛闻牛评 首页动态 APT29 信息窃取 新冠疫苗 apt

蛇从暗黑中袭来——响尾蛇(SideWinder) APT组织2020年上半年活动总结报告

蛇从暗黑中袭来——响尾蛇(SideWinder) APT组织2020年上半年活动总结报告 注意事项:1.本报告由追影小组原创,未经许可禁止转载2.本文一共3245字,36张图,预计阅读时间8分钟3.本文涉及的敏感内容皆以打码,并且不公开C2和hash.所造成的恶劣影响与本公众号和本团队无关 0x00.前言: 响尾蛇(又称SideWinder,T-APT-04)是一个背景可能来源于印度的 APT 组织,该组织此前已对巴基斯坦和东南亚各国发起过多次攻击, 该组织以窃取政府, 能源, 军事, 矿产等领域的机密信息为主要目的。 在今年年初的时候,Gcow安全团队的追影小组发布了关于SiderWinder APT组织的报告——《游荡于中巴两国的魅影——响尾蛇(SideWinder) APT组织针对巴基斯坦最近的活动以
发布时间:2020-07-12 22:09 | 阅读:5875 | 评论:0 | 标签:业界快讯 案例分析 APT Gcow Gcow安全团队 SideWinder 响尾蛇 追影小组 apt

Cycldek APT使用USBCulprit间谍软件对气密系统的攻击

卡巴斯基(Kaspersky)最新研究结果显示,一名攻击者开发出新的功能来攻击气密系统,以窃取敏感数据进行间谍活动。APT被称为Cycldek,Goblin Panda或Conimes,它使用广泛的工具集在受害者网络中进行横向移动和信息窃取,包括以前未报告的定制工具,策略和程序,用于攻击越南,泰国和老挝的政府机构。“其中一个新发现的工具,被命名为USBCulprit,并已发现以依靠USB介质exfiltrate的攻击数据,这可能表明Cycldek正在尝试到达受害环境中的网络。Cycldek最早在2013年被CrowdStrike观察到,在利用已知漏洞(例如CVE-2012-0158,CVE-2017-11882)诱骗文件中,对东南亚(尤其是越南)的
发布时间:2020-07-04 09:31 | 阅读:11605 | 评论:0 | 标签:apt 攻击

针对意大利制造行业的高级攻击,疑似与Gorgon APT相关

5月份,有网络安全公司发现了有一种攻击专门针对在全球范围内从事制造业的意大利公司,其中一些公司还属于汽车生产制造商。该活动背后的团队与研究人员在Roma225、Hagga、Mana、YAKKA中所描述的恶意操作中发现的团队相同。该攻击团队于2018年首次被Unit42(网络安全提供商Palo Alto Networks的攻击情报部门)发现,当时在美国、欧洲和亚洲的科技、零售、制造和地方政府产业的大规模恶意攻击中,该团队首次出现。研究人员还发现该团队与Gorgon APT相关,但没有明确的证据证实这一点。Gorgon APT(高级持久攻击)是一个老牌且高危的在线攻击,由Unit 42研究人员于2018年2月首次发现。自2018年2月首次被发现以来,G
发布时间:2020-06-29 10:42 | 阅读:11147 | 评论:0 | 标签:apt 攻击

APT的思考: PowerShell命令混淆高级对抗

“ 阅读本文大概需要 10 分钟。 ”   2020年 第  16  篇文章 ,flag 继续 每周至少更一篇前言良好的习惯是人生产生复利的有力助手本周发布的文章有点晚了,今天又熬夜了,没办法,技术文章不能水,必须要保证质量,价值输出是本公众号存在的前提。最近有朋友加我好友后,问我之前写的icmp远控代码能不能分享一下,今天兑现承诺,关注公众号回复【15】,即可获取源码。上一篇讲解了APT攻击中用
发布时间:2020-06-29 00:22 | 阅读:11315 | 评论:0 | 标签:apt

Higaisa APT最新LNK攻击分析

5月29日,研究人员发现了一个与朝鲜APT组织Higaisa相关的攻击活动。2019年初,腾讯研究人员分析发现Higaisa APT组织与朝鲜半岛有关。该APT组织的攻击活动最早可以追溯到2016年,包括使用Gh0st和PlugX木马,以及手机恶意软件。其攻击目标主要是政府组织和人权组织,以及其他与朝鲜相关的实体。在最近的攻击活动中,Higaisa使用了一个负责创建多阶段攻击的恶意快捷方式文件,多阶段攻击活动中含有许多恶意脚本、payload和诱饵PDF文档。传播攻击者使用了通过鱼叉式钓鱼攻击传播的绑定了压缩文件的恶意LNK文件。研究人员在5月12日-31日发现了2个与该攻击活动相关的变种:· “CV_Colliers.rar”· “Pr
发布时间:2020-06-22 14:13 | 阅读:13494 | 评论:0 | 标签:apt 攻击 AI

Higaisa APT 相关新的 LNK 攻击分析

原文链接:New LNK attack tied to Higaisa APT discovered译者:知道创宇404实验室翻译组 5月29日,我们发现了一起网络攻击事件,我们认为这该事件是由一名叫做Higaisa的渗透攻击黑客发起的。有关信息显示:Higaisa APT与朝鲜半岛有关,并于2019年初被腾讯安全威胁情报中心进行了首次披露。该小组的活动可以追溯到2016年,活动内容包括使用特洛伊木马(例如Gh0st和PlugX)以及移动恶意软件,活动目标包括政府官员、人权组织以及与朝鲜有关的其他实体企业。在近期的攻击活动中,Higaisa使用了一个恶意快捷文件,该文件最终导致了一个包含恶意脚本、有效载荷和欺诈PDF文档内容的多阶段攻击行为。变体分发黑客们使用了捆绑在存档中的恶意LNK
发布时间:2020-06-08 20:52 | 阅读:11450 | 评论:0 | 标签:apt 攻击 AI

伊朗金龟子APT组织对科威特和沙特阿拉伯航空和政府部门的攻击活动

CaFer-APT是一个具有明显伊朗特征的威胁组织。从2014起,人们就知道它在活跃,专注于网络间谍活动,BITDeDeNever已经发现了针对中东的关键基础设施,大概是为了收集情报。ButdFrand研究人员发现了这个攻击者在中东地区的攻击,最早可以追溯到2018年,攻击活动用到了一些工具,包括开源工具,这使得溯源变得困难,使用了不同的黑客工具和定制后门。被分析的攻击活动的受害者符合这个攻击者主要是中东的航空运输和政府部门。• 攻击目标是航空运输与政府。• 攻击活动发生在周末。• 在科威特攻击中,威胁者创建了自己的用户帐户。• 沙特阿拉伯的攻击使用了社会工程来入侵受害者。• 两种攻击的最终目标都是得到数据。0x01 攻击活动分析回顾这一威胁组织,
发布时间:2020-06-04 12:09 | 阅读:13024 | 评论:0 | 标签:apt 攻击

6月4日每日安全热点 - 俄APT在最近攻击中利用了3个Exim漏洞

漏洞 VulnerabilityCVE-2020-12753:LG 智能手机任意代码执行漏洞https://twitter.com/campuscodi/status/1267914361370226688Node.js TLS session 重用漏洞导致hostname 验证绕过——P0https://bugs.chromium.org/p/project-zero/issues/detail?id=2019Apache Tomcat CVE-2020-9484 Poc以及writeuphttps://packetstormsecurity.com/files/157924/CVE-2020-9484.tgzIOS 13.5.1修复了unc0ver 5.0越狱
发布时间:2020-06-04 11:53 | 阅读:12570 | 评论:0 | 标签:漏洞 apt 攻击

公告

学习黑客技术,传播黑客文化

推广

工具

标签云