记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

APT SideWinder针对南亚某区域的最新攻击活动

背景概述近日NDR团队捕获多起南亚APT组织SideWinder攻击事件。下图为攻击样本下载的截图。SideWinder简介响尾蛇(又称SideWinder,T-APT-04)是一个背景来源于印度的 APT 组织,该组织此前已对巴基斯坦和东南亚各国发起过多次攻击, 该组织以窃取政府、能源、军事、矿产等领域的机密信息为主要目的。样本分析本次捕获到的攻击样本手法与往期相似,即通过带漏洞的RTF文档释放并执行JS脚本:SideWinder组织惯用手法最明显标志为在一阶脚本中最后动态调用自加载程序o.work函数。
发布时间:2021-04-12 18:08 | 阅读:6551 | 评论:0 | 标签:apt 攻击

3月APT事件回顾 | 未知黑客组织攻击微软Exchange;黑客组织攻破十几万个摄像头

全球APT事件回顾1. 未知黑客组织攻击微软电邮,全球数千家企业被困网中关于该黑客组织还没有具体归因,可能来自一个未知组织。鉴于微软公司(Microsoft Corp.)商业电子邮件软件Exchange的应用之广泛,一场针对该应用系统的精准攻击正在演变为全球网络安全危机,黑客们竞相在各企业做出应对前扩大战果。微软方面称,这场攻击始于一个黑客组织。据一名知情的前美国高级官员称,迄今全球至少有6万已知受害者。在微软力图阻止攻击的同时,很多中小企业被困在了黑客撒下的漫天大网中。
发布时间:2021-04-09 13:47 | 阅读:9537 | 评论:0 | 标签:apt 攻击 黑客

法国Asteelflash被勒索2400万美元;FBI和CISA联合发布APT利用FortiOS漏洞攻击的警报

维他命安全简讯04星期日2021年04月【安全播报】FBI和CISA联合发布APT利用FortiOS漏洞攻击的警报https://us-cert.cisa.gov/ncas/current-activity/2021/04/02/fbi-cisa-joint-adviso
发布时间:2021-04-04 09:18 | 阅读:23356 | 评论:0 | 标签:漏洞 iOS apt 攻击 勒索 ios

针对性伪装攻击,终端信息安全的间谍--海莲花 APT

#病毒文件分析 9个 背景概述近期,深信服终端安全团队捕获并分析了一个APT样本,经过分析人员确认来自近年来频繁活跃的“海莲花”组织。*2012年4月,首次发现某境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。该组织主要通过鱼叉攻击和水坑攻等方法,配合多种社会工程学手段进行渗透,利用木马程序入侵并控制特定目标人群的终端系统,窃取相关的机密资料。根据该组织的攻击特点,将其命名为“海莲花”(OceanLotus)。“海莲花”组织自首次发现以来,已被发现先后使用了4种不同形态的木马程序。
发布时间:2021-03-31 17:38 | 阅读:15337 | 评论:0 | 标签:apt 攻击 间谍 安全

某APT于去年利用11个0day横扫三大操作系统

Google零项目团队最近更新:某APT于去年利用11个0day横扫三大操作系统,该神秘黑客组织在去年的一年中至少利用11个0day漏洞进行水坑攻击以入侵Windows、iOS和Android操作系统。 2020年10月,Google Project Zero团队发现了七个在野外被积极使用的零日漏洞。这些漏洞是通过少数网站上的“水坑”攻击来利用实现的,这些网站都有一个共同特征, 那便是指向两个托管了Android,Windows和iOS设备漏洞利用链的攻击服务器。
发布时间:2021-03-30 11:13 | 阅读:16227 | 评论:0 | 标签:0day apt

网络钓鱼骗局利用伪造的 Google reCAPTCHA 系统窃取Office 365凭据

Microsoft用户受到了成千上万的网络钓鱼电子邮件的攻击,这是一次持续不选的攻击,目的是窃取用户的Office 365凭据。攻击者利用一个虚假的Google reCAPTCHA系统和包含受害者公司logo的顶级域名登录页面,增加了伪造系统的合法性。据研究人员称,在过去三个月中,至少有2500封此类电子邮件发送给银行和IT部门的高层员工,但均未成功。电子邮件首先会将收件人带到伪造的Google reCAPTCHA系统页面。 Google reCAPTCHA是一项可通过使用图灵测试来区分人类和机器人的服务(例如,通过要求用户点击一系列图像中的消火栓),从而帮助保护网站免受垃圾邮件和滥用的侵害。
发布时间:2021-03-28 13:09 | 阅读:18956 | 评论:0 | 标签:apt 钓鱼 网络

网络间谍APT组织伪装成加密货币挖矿活动来发起各种攻击

早在2018 年,由于加密货币挖矿的攻击性低以及隐秘性特点,其迅速成为网络罪犯首选的攻击载体和伪装手段。近日一个名为Bismuth的高级威胁组织最近使用加密货币挖掘作为隐藏其活动的手段并避免触发高优先级警报的方法。加密货币挖掘通常被认为是一种不怎么具有安全隐患的安全问题,因此该方法允许攻击者建立持久性攻击并在受到攻击的网络上横向移动,同时从攻击中获利。加密货币挖掘发起攻击的诱饵Bismuth经常以人权和民权组织为目标,但它的受害者名单其实包括跨国公司、金融服务、教育机构和政府部门的对象。自2012年以来,Bismuth就一直在从事网络间谍活动。
发布时间:2021-03-25 14:35 | 阅读:16586 | 评论:0 | 标签:加密 apt 攻击 间谍 网络

DVWA Insecure CAPTCHA

#网络安全 23 #web安全 23 #渗透测试 23 #靶场 17 0x01.INSECURE CAPTCHA(Low)相关代码分析<?phpif( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '1' ) ) {//
发布时间:2021-03-24 21:31 | 阅读:14733 | 评论:0 | 标签:apt

再现在野0day攻击--BITTER APT攻击事件

全文共1363字,阅读大约需要3分钟。  一、事件回顾2020年2月24日,网络情报公司cyble发布了一篇名为Bitter APT Enhances Its Capabilities With Windows Kernel Zero-day Exploit的文章,描述了APT组织BITTER在近期的攻击活动中,使用windows 0day漏洞CVE-2021-1732进行本地提权的行为。该报告同时分析了一个BITTER在近期使用的后门木马。
发布时间:2021-03-23 19:30 | 阅读:18696 | 评论:0 | 标签:0day apt 攻击

MMcORE 针对东南亚的 APT 攻击

作者: Yenn_原文链接:Wei's Blog基本信息File NameFile SizeFile TypeMD576,800 Bytebbe4ae55f828e020c32e215f4d152cc3查壳无壳详细分析在运行后,动态行为中未发现任何异常,?
发布时间:2021-03-19 12:52 | 阅读:14366 | 评论:0 | 标签:apt 攻击

10 余个 APT 黑客组织攻击微软 Exchange 服务器

3 月 2 日,微软面向 Microsoft Exchange Server 2013, 2016 和 2019 紧急发布带外(Out of Band)安全更新,修复了一个预认证的远程代码执行(RCE)漏洞链(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065)。 黑客可以利用这些漏洞在不知道有效账户凭证的情况下接管任意可访问的 Exchange 服务器。截止发稿为止,目前有超过 5000 台右键服务器检测到了 webshells,超过 6 万个客户受到影响,而欧洲银行业管理局等多个重要机构遭到攻击。
发布时间:2021-03-12 12:41 | 阅读:17402 | 评论:0 | 标签:热点 网络安全 黑客事件 安全漏洞 微软 网络攻击 黑客攻击 apt 攻击 黑客

“透明部落” APT组织移动端新近活动披露

概述2021年2月,奇安信威胁情报中心移动安全团队在移动端高级威胁分析运营过程中,发现APT组织“透明部落”新近活动采用的移动端Tahorse RAT出现新变种。Tahorse RAT是APT组织“透明部落”此前基于开源的Ahmyth远控定制生成,于2020年8月25日被我们进行命名披露。此次Tahorse RAT变种主要去掉了漏洞的使用,但其恶意功能保持不变,部分变种还增加了Google提供的FireBase能力实现云控制,目前未发现此恶意代码对国内有影响。2020年8月,奇安信威胁情报中心移动安全团队与安全厂商卡巴先后披露了APT组织“透明部落”在移动端的攻击活动。
发布时间:2021-02-24 20:28 | 阅读:31050 | 评论:0 | 标签:移动 apt

APT组织Lazarus既往攻击工具Torisma与DRATzarus分析

文章目录概述Torisma木马来源主要功能监控宿主机驱动器数量的变化监控活动RDP会话数量的变化收集本机信息并连接CnC获取并执行CnC发送的Shellcode向CnC发送指定命名管道中获得的数据通信模式上线通信指令获取发送命名管道信息DRATzarus木马来源基本框架主要功能通信模式上线流量CnC回复格式IoC阅读: 2概述在今年1月由Google披露的一起APT攻击活动中,朝鲜APT组织Lazarus对世界各国的安全研究人员进行了长期的渗透攻击。伏影实验室对该事件中出现的攻击载荷进行了深入分析,并将主体木马程序命名为STUMPzarus。
发布时间:2021-02-23 12:03 | 阅读:17902 | 评论:0 | 标签:安全分享 APT DRATzarus Lazarus Torisma apt 攻击

疑似APT28利用高碳铬铁生产商登记表为诱饵的攻击活动分析

收录于话题 #APT 17 #APT28 1 概述近日,奇安信红雨滴团队在日常高价值威胁挖掘过程中,捕获两例哈萨克斯坦地区上传样本,样本以哈萨克斯坦Kazchrome企业信息为诱饵,Kazchrome据称是全球最大的高碳铬铁生产商。诱导受害者启用恶意宏,一旦宏被启用后,恶意宏将释放执行远控木马到计算机执行,经分析溯源发现,释放执行的木马疑似是奇幻熊组织常用Zebrocy变种。
发布时间:2021-02-22 17:02 | 阅读:17621 | 评论:0 | 标签:apt 攻击

Lazarus APT攻击手法之利用Build Events特性执行代码复现

收录于话题 近日,GoogleTAG安全部门披露了一起利用推特等社交媒体针对不同公司和组织从事漏洞研究和开发的安全研究人员的社会工程学攻击事件,经绿盟科技伏影实验室分析,确认此次事件为Lazarus组织针对网络安全行业的一次针对性网络攻击,并猜测其可能有更深层次的攻击意图和行动。绿盟科技攻击对抗技术研究团队M01NTeam也针对此次事件展开了全面的分析研判,认定本次事件是一个典型的“明修栈道、暗渡陈仓”社会工程学攻击事件,也将在本文中揭秘该事件中Lazarus组织使用的一种新型间接命令执行攻击技术。Lazarus组织是一支来自朝鲜半岛的APT组织。
发布时间:2021-02-22 01:34 | 阅读:30419 | 评论:0 | 标签:apt 攻击 执行

群狼环伺:新冠疫苗数据正遭受全球APT组织攻击

E安全2月19日讯  据报道,朝鲜试图盗取美国制药巨头辉瑞公司的COVID-19疫苗数据。据英国广播公司报道,韩国国家情报局已经介绍了所谓的网络攻击,尽管目前尚不确定是否有任何数据被盗。辉瑞公司是最近几个月开发并获得批准用于预防冠状病毒疫苗的几家制药公司之一。然而,疫苗的开发和推广被成为关注的目标,极易被不法分子窃取疫苗数据信息和疫苗接种计划。去年11月,微软透露,目前,有三个来自俄罗斯和朝鲜的威胁组织,他们在得到政府的支持下,一直在攻击7家负责开发COVID-19疫苗和治疗方法的公司。
发布时间:2021-02-19 11:37 | 阅读:27060 | 评论:0 | 标签:apt 攻击

神兵利器 - APT-Hunter 威胁猎人日志分析工具

收录于话题         APT-Hunter是Windows事件日志的威胁猎杀工具,它由紫色的团队思想提供检测隐藏在海量的Windows事件日志中的APT运动,以减少发现可疑活动的时间,而不需要有复杂的解决方案来解析和检测Windows事件日志中的攻击,如SIEM解决方案和日志收集器。
发布时间:2021-02-10 19:25 | 阅读:24257 | 评论:0 | 标签:apt

2021年1月南亚地区APT组织攻击活动总结分析

概述南亚地区一直以来便是APT 组织攻击活动的热点区域。从 2013 年 5月 国外安全公司披露 Hangover 行动(即摩诃草组织)以来,先后出现了多个不同命名的 APT 组织在该地域持续性的活跃,并且延伸出错综复杂的关联性,包括摩诃草、蔓灵花、肚脑虫、魔罗桫、响尾蛇等。造成归属问题的主要因素是上述 APT 活动大多使用非特定的攻击载荷和工具,脚本化和多种语言开发的载荷往往干扰着归属分析判断,包括使用.Net、Delphi、AutoIt、Python 等。
发布时间:2021-02-07 19:23 | 阅读:31547 | 评论:0 | 标签:apt 攻击

2020年全球高级持续性威胁(APT)研究报告

收录于话题 #APT年报 1个 2020年全球高级持续性威胁(APT)研究报告[摘要]    2020年攻击概览2020年初,在新冠疫情给全球格局带来新的冲击影响下,全球APT攻击活动异常活跃。全年公开报告数量687篇,其中涉及披露的组织132个,首次披露的组织25个。主要集中已知组织的新攻击活动,越来越多的未知APT组织开始涌现。另外我们也发现大量已知组织开始不断拓展战场,主要从攻击目标地域和涉及行业领域都有显著的变化,如海莲花组织更多采用攻击供应商策略,并更聚焦教育行业。
发布时间:2021-02-05 21:16 | 阅读:32752 | 评论:0 | 标签:apt

高级APT组织的十二星座运势分析

对于网络安全专业人士来说,当您在攻击溯源分析的迷宫中绝望时,不妨请教一下您的夫人,听听她对高级持续威胁(APT)组织头目的星座运势的解读,也许能让您“茅塞顿开”。人类信奉占星术已有上千年,虽然二次元唯物主义者对此类玄学嗤之以鼻,但是,人格与命运之间的强关联是毋庸置疑的。我们必须清楚,每一个网络攻击策划者和领导者,都是有着特定价值观和性格的活生生的个人,拥有属于自己星座的特质。
发布时间:2021-02-01 16:02 | 阅读:17599 | 评论:0 | 标签:APT组织 十二星座 apt

Konni APT 组织以朝鲜疫情物资话题为诱饵的攻击活动分析

 概述Konni APT 组织是朝鲜半岛地区最具代表性的 APT 组织之一,自 2014 年以来一直持续活动,据悉其背后由朝鲜政府提供支持,该组织经常使用鱼叉式网络钓鱼的攻击手法,经常使用与朝鲜相关的内容或当前社会热点事件来进行攻击活动,该组织的主要目标为韩国政治组织,以及日本、越南、俄罗斯、中国等地区。微步情报局近期通过威胁狩猎系统监测到 Konni APT 组织最新攻击活动,经过分析有如下发现:攻击者以“朝鲜疫情物资”话题相关文章作为诱饵文档进行攻击活动,诱饵文档延续了该组织以往的攻击手法,将正文颜色设置为难以阅读的颜色以诱导用户启用宏。
发布时间:2021-02-01 15:05 | 阅读:30523 | 评论:0 | 标签:apt 攻击

认识STUMBzarus——APT组织Lazarus近期定向攻击组件深入分析

文章目录一.  事件背景二、Lazarus Group介绍三、恶意文件分析3.1样本关系3.2攻击阶段3.2.1 Stage1: 4c3499f3cc4a4fdc7e67417e055891c78540282dccc57e37a01167dfe351b2443.2.
发布时间:2021-01-29 23:17 | 阅读:30276 | 评论:0 | 标签:安全分享 APT Lazarus STUMBzarus apt 攻击

2021.01.27-揭秘Lazarus组织最新活动中的新型间接命令执行攻击技术

文章目录2.1 间接命令执行2.2 利用Build Events特性于visual studio工程编译过程执行恶意命令2.2.1 攻击技法揭秘2.2.2 技术改进预测,命令行独立?
发布时间:2021-01-28 13:54 | 阅读:22545 | 评论:0 | 标签:安全分享 APT Lazarus twittter 间接命令执行 攻击 执行

APT追踪:当黑客不讲武德,安全专家也容易被骗

事件影响26日,谷歌威胁分析小组披露了一系列来自东北亚某国黑客组织的针对安全研究人员(尤其是漏洞研究人员)的攻击活动。攻击者使用疑似Lazarus APT组织的攻击基础设施,结合非常具有迷惑性的社工操作,骗取受害者信任,并可能以盗取安全公司电脑上的高价值漏洞研究资料达到攻击目的。目前国内已有一定数量的安全研究人员受到这个组织的欺骗,其研究电脑的敏感信息泄露。技巧攻击攻击者为了与安全研究者建立互信并保持联系,首先会在一些社交媒体上发布一些漏洞研究博客和Twitter,吸引相关研究者的关注。
发布时间:2021-01-27 16:58 | 阅读:18401 | 评论:0 | 标签:apt 黑客 追踪 安全

APT组织Lazarus开始针对安全研究人员发起定向攻击

 【快讯】年末俨然成APT组织高发期!近日,Google安全小组披露了一起利用推特等社交媒体针对安全研究人员的社会工程学攻击事件。经过360安全大脑全网遥测分析研判:此事为朝鲜半岛APT组织Lazarus(APT-C-26) 首次针对网络安全行业发起的APT攻击行动。值得注意的是,此次攻击筹划时间长且严谨缜密,并使用针对数字加密货币和巨头商业公司等行业相似的社会工程学手法。由于此次攻击显现出了有毒“POC”源码包等攻击技术特点,为此360安全大脑将此次攻击行动命名为“破壳行动”。
发布时间:2021-01-27 16:56 | 阅读:16935 | 评论:0 | 标签:apt 攻击 安全

破壳行动 - Lazarus(APT-C-26)组织针对安全研究人员的定向攻击活动揭秘

收录于话题 #Lazarus 2个 概述Lazarus(APT-C-26)组织是一支来自于朝鲜半岛的APT组织,该组织长期对韩国、美国、中国、印度等国家进行渗透攻击,此外还对全球的金融机构进行攻击,堪称全球金融机构的最大威胁,该组织最早的攻击活动可以追溯到2007年。近年来,Lazarus(APT-C-26)组织的攻击目标由传统金融行业逐步转向数字货币市场,全球加密货币组织及相关机构都成为其众矢之的。
发布时间:2021-01-26 19:49 | 阅读:35806 | 评论:0 | 标签:apt 攻击 安全

全球高级持续性威胁(APT)2020年度报告 (附下载)

概要◆ 2020 年,奇安信威胁情报中心收录了高级威胁类公开报告共 642 篇,涉及了151 个命名的攻击组织或攻击行动,其中,提及率最高的五个 APT 组织分别是:Lazarus:10.3%,Kimsuky:7.8%,海莲花:5.4%,Darkhotel:4.8%,蔓灵花:3.2%。◆ 本次报告对开源情报中高级威胁活动涉及目标的国家和地域分布情况进行了分析和整理,监测显示高级威胁攻击活动几乎覆盖了全球绝大部分国家和地区。其中,开源情报中提及率最高的五个受害国家,分别为:中国占比 7.4%,韩国:6.6%,美国:4.9%,巴基斯坦:3.2%,印度:3.2%。
发布时间:2021-01-22 10:22 | 阅读:85253 | 评论:0 | 标签:apt

APT组织KimSuky针对韩国攻击样本分析

收录于话题 本文为看雪论坛优秀文章看雪论坛作者ID:顾何0x00 前言在日常app.any.run的样本"蹲点"中,看到了这样一个样本:可以看到样本是个exe,并且已经被打上了apt和kimsuky的标签。于是下载下来分析一下。0x01 基本信息样本hash样本的hash为:35d60d2723c649c97b414b3cb701df1c在VT上搜索该hash可以得到如下内容:由于样本创建时间和提交到VT的时间很相近,可以推测攻击者在制作好该样本之后就马上进行了投递,且该样本并非攻击流程中的首个样本,而是制作好之后直接投放到提前已经搭建好的攻击流程中。
发布时间:2021-01-19 20:49 | 阅读:33576 | 评论:0 | 标签:apt 攻击

使用Windows与Android双平台在野漏洞利用链的APT攻击活动

收录于话题 #威胁情报 12 #漏洞系列 21 Google ProjectZero与威胁分析小组(TAG)披露了一个高级可持续性威胁(APT)攻击活动,该漏洞利用链分别针对Windows和Android用户进行0day漏洞攻击。该活动时间在2020年初,APT组织使用两台漏洞利用服务器进行水坑攻击,其中每一个都使用了单独的漏洞利用链。一台服务器针对Windows用户,另一台针对Android。Windows和Android服务器均使用Chrome漏洞利用程序进行初始远程代码执行。
发布时间:2021-01-14 12:21 | 阅读:22024 | 评论:0 | 标签:漏洞 Android apt 攻击 windows android

APT37使用VBA自解码技术注入RokRat

2020年12月7日,研究人员发现一个上传到Virus Total的恶意文档,文档内容显示某会议将在2020年1月召开,而文档的编译时间为2020年1月27日,主要攻击韩国政府,也就是说攻击发生已经1年了。该文件含有一个嵌入的宏,使用VBA自解码技术来在office的内存空间中解码,无需写入硬盘中。然后嵌入RokRat 变种到Notepad中。根据注入的payload分析,研究人员认为该样本与APT 37有关。APT 37是嘲笑的黑客组织,也被成为ScarCruft、Reaper和Group123,自2012年开始活跃,主要攻击目标为韩国的受害者。
发布时间:2021-01-14 10:29 | 阅读:28657 | 评论:0 | 标签:注入 apt

公告

❤永久免费的Hackdig,帮你成为掌握黑客技术的英雄

🧚 🤲 🧜

标签云