记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

使用Windows与Android双平台在野漏洞利用链的APT攻击活动

收录于话题 #威胁情报 12 #漏洞系列 21 Google ProjectZero与威胁分析小组(TAG)披露了一个高级可持续性威胁(APT)攻击活动,该漏洞利用链分别针对Windows和Android用户进行0day漏洞攻击。该活动时间在2020年初,APT组织使用两台漏洞利用服务器进行水坑攻击,其中每一个都使用了单独的漏洞利用链。一台服务器针对Windows用户,另一台针对Android。Windows和Android服务器均使用Chrome漏洞利用程序进行初始远程代码执行。
发布时间:2021-01-14 12:21 | 阅读:3533 | 评论:0 | 标签:漏洞 Android apt 攻击 windows android

APT37使用VBA自解码技术注入RokRat

2020年12月7日,研究人员发现一个上传到Virus Total的恶意文档,文档内容显示某会议将在2020年1月召开,而文档的编译时间为2020年1月27日,主要攻击韩国政府,也就是说攻击发生已经1年了。该文件含有一个嵌入的宏,使用VBA自解码技术来在office的内存空间中解码,无需写入硬盘中。然后嵌入RokRat 变种到Notepad中。根据注入的payload分析,研究人员认为该样本与APT 37有关。APT 37是嘲笑的黑客组织,也被成为ScarCruft、Reaper和Group123,自2012年开始活跃,主要攻击目标为韩国的受害者。
发布时间:2021-01-14 10:29 | 阅读:3018 | 评论:0 | 标签:注入 apt

各大游戏公司遭遇与APT27有关的勒索软件攻击

一份新的报告称,最近一系列的针对电子游戏公司的勒索软件攻击与臭名昭著的APT27威胁组织有密切的关系,这表明高级持续性威胁(APT)正在改变过去的间谍集中战术,转而采用勒索软件进行攻击。研究人员注意到此次攻击与APT27的 "密切联系",它们作为供应链攻击的一部分,它们被引入了去年影响全球主要游戏公司的勒索软件攻击事件的名单中。这些事件的细节(包括具体的公司名称和时间)很少。然而,虽然研究人员告诉Threatpost,他们无法说出具体的被攻击的游戏公司的名字,但他们表示已经有五家公司受到了攻击的影响。
发布时间:2021-01-12 12:15 | 阅读:4974 | 评论:0 | 标签:apt 攻击 勒索

APT37组织使用VBA自解码技术投递ROKRAT

收录于话题 一、简介来自Malwarebytes LABS的威胁情报小组于2020年7月在Virus Total上发现了一个新上传的恶意文档,该文档内容很像是一次针对韩国政府的会议邀请。恶意文档中提到的会议日期是2020年1月23日,文档的编辑时间2020年1月27日,这暗示该攻击发生在大约一年前。文件中包含一个嵌入宏,并使用VBA解码技术对自身进行解码,该过程发生在Microsoft Office的进程空间中,不需要写入磁盘。然后,它将ROKRAT的变种注入到Notepad.exe进程中。通过对注入的载荷进行分析,Hossein Jazi所在的威胁情报小组认为该样本与APT37相关联。
发布时间:2021-01-11 17:34 | 阅读:3862 | 评论:0 | 标签:apt

APT-KBuster仿冒韩国金融机构最新攻击活动追踪

概述:疫情还未结束,欺诈者就已经蠢蠢欲动,年中时分,KBuster团伙再次发力,非法获取大量用户数据。近期恒安嘉新暗影安全实验室通过APP全景态势与案件情报溯源挖掘系统,发现KBuster组织针对韩国地区进行的仿冒金融机构的最新钓鱼活动,此次攻击活动从2019年12月开始持续到2020年8月,攻击者可能来自荷兰。该组织会利用xampp框架搭建钓鱼网站向外传播仿冒APP。经分析发现该类软件具有信息窃取、远程控制和系统破坏的恶意行为。
发布时间:2021-01-11 10:34 | 阅读:3473 | 评论:0 | 标签:apt 攻击 追踪

疑似 APT35 与响尾蛇组织使用的域名被披露

收录于话题 #顺风耳 1个 1、疑似 APT 35 在 2020 年 12 月末开始使用的域名check-reload-page.xyz (88.99.10.237)front-cover-panel.xyz (144.76.115.59)page-home-reload.xyzfront-home-pan
发布时间:2021-01-07 21:15 | 阅读:19172 | 评论:0 | 标签:apt

【01.07】安全帮®每日资讯:2027年全球VPN市场规模将达到756亿美元;朝鲜 APT37被指发动软件供应链攻击

收录于话题 安全帮®每日资讯朝鲜 APT37被指发动软件供应链攻击,瞄准股票投资人本周发布的一份报告指出,朝鲜黑客组织 Thallium(即 APT37)专门针对一家私有股票投资通讯服务发动软件供应链攻击。目前,该组织主要依靠钓鱼攻击如通过 Microsoft Office 文档来攻击受害者。APT37 目前利用多种方式如交付受污染的 Windows 安装程序和启用宏功能的 Office 文档攻击投资人。
发布时间:2021-01-07 10:51 | 阅读:6049 | 评论:0 | 标签:apt 攻击 安全

FIN7 APT组织有趣的另类样本

收录于话题 #逆向分析 5个 背景在日常样本狩猎中我们发现了一则比较有意思的FIN7 APT组织的攻击样本,该样本在被分析人员发现后依旧能够在VT上保持较
发布时间:2021-01-06 19:26 | 阅读:7489 | 评论:0 | 标签:apt

手把手教你分析APT:蔓灵花下载器样本分析

收录于话题 文章来源:疯猫网络初始载荷信息攻击的初始载荷是一个文件名为双后缀名的文件“开证装期邮件.pdf.exe”,这是一种常见的文件伪装方式,利用Windows的扩展名显示设置(“隐藏已知文件类型的扩展名”)伪装真实的.exe后缀,再选择高级自解压选项中自定义自解压文件图标,选择让exe文件看起来像PDF文档,诱骗用户打开。
发布时间:2021-01-03 09:14 | 阅读:14223 | 评论:0 | 标签:apt

APT组织归属分析参考书,兼谈SolarWinds事件的溯源

APT归属分析电子书前两天阿里鸟哥在群里分享了一本书,Attribution of Advanced Persistent Threats - How to Identify the Actors Behind Cyber-Espionage,一个德国人写的,下载链接:https://pan.baidu.com/share/init?surl=9bKFNK8IMW_edRHNMno7OA (提取码:iz03)。
发布时间:2020-12-31 19:29 | 阅读:10788 | 评论:0 | 标签:apt

12月31日每日安全热点 - 通过MITER ATT&CK发现APT攻击

漏洞 Vulnerability深信服SSL VPN注入漏洞通告https://cert.360.cn/warning/detail?id=22786213eb59260733dae25d1677ce57安全工具 Security ToolsLilly:通过检索Favicon哈希值,使用
发布时间:2020-12-31 09:53 | 阅读:6768 | 评论:0 | 标签:apt 攻击 安全

直播分享|APT横行,疫情时代敌情刺探

收录于话题 点击蓝字关注我们相信从事网安的大家都发现了,自从今年新冠爆发以来,黑客APT组织的活跃程度也大大提升了!许多黑客使用的钓鱼网站和邮件等,都与时俱进地用上了疫情相关的内容。根据统计显示,疫情前期至3月初,在APT组织使用的诱饵信息中,诸如“武汉”、“湖北”、 “Coronavirus”、“N95”等词语频繁出现。讲到这里,可能有小伙伴会疑惑,APT究竟是什么呢?APT攻击又称高级可持续威胁攻击,特征是极强的隐蔽性和针对性。APT攻击者一般是高水平的强大黑客组织,能适应目标的安防系统,长时间潜伏,反复攻击,窃取大量内网机密。当APT组织C位出道,就能获得一个炫酷代号。
发布时间:2020-12-27 10:17 | 阅读:24194 | 评论:0 | 标签:apt

CISA发布有关正在进行的APT网络活动的洞察报告;Citrix称黑客利用DDoS攻击其NetScaler ADC设备

收录于话题 维他命安全简讯25星期五2020年12月【分析报告】CISA发布有关正在进行的APT网络活动的洞察报告Kaspersky发布Lazarus针对COVID-19情报的分析报告【安全漏洞】6月被修复的Windows漏洞仍可被利用,PoC已发布QNAP修复影响QTS、QES和QuTS hero的6个严重漏洞【数据泄露】21Buttons的AWS存储桶配置错误泄露数百万用户的数据【DDoS攻击】Citrix称黑客利用DDoS攻击其NetScaler ADC设备01CISA发布有关正在进行的APT网络活动的洞察报告CISA发布了有关正在进行的APT网络活动的洞察报告。
发布时间:2020-12-25 12:04 | 阅读:13466 | 评论:0 | 标签:ddos apt 攻击 黑客

分析:“年度最严重APT事件”将推动全球网络安全市场大增长

收录于话题 #网络安全产业 1个 点击蓝字关注我们美国证券公司Wedbush的高级技术分析师Dan Ives提出,由于SolarWinds黑客入侵给微软等多家企业及各州一级政府机构造成新一轮安全威胁,2021年全球网络安全支出将增长20%。Ives认为,考虑到这股“需求风暴”的巨大规模,他对网络安全股票的未来走势非常看好,并在周日发布的报告中上调了多支网络安全股票的价格预期。Ives表示,结合SolarWinds入侵事件的性质,市场后续将在高级威胁检测、零信任架构、数据安全与身份安全等领域划拨更多预算。
发布时间:2020-12-24 15:30 | 阅读:12090 | 评论:0 | 标签:apt 网络安全 安全

聊聊APT的溯源分析

收录于话题 #不忘初心 11个 安全分析与研究专注于全球恶意软件的分析与研究阅读这篇文章之前,如果你对APT一无所知,可以先了解一下APT三个字的英文,A-Advanced,P-Persistent ,T-Threat。
发布时间:2020-12-24 00:05 | 阅读:16209 | 评论:0 | 标签:apt

细说APT之Rootkit自我保护

  APT黑客组织已被大众耳熟能详,由于rootkit技术高权限,更底层等特性,常被恶意软件用于对抗杀毒软件,自我保护等方向,历来是黑白“兵家必争之地”。本文整理APT常用的自我保护技术,揭开rootkit神秘面纱,知己知彼,百战不殆 ➬ Ramsay  Darkhotel框架Ramsay于今年5月被披露,具备突破物理隔离限制新特性,引入Rootkit新组件,达到自我保护的目的。
发布时间:2020-12-23 16:56 | 阅读:14746 | 评论:0 | 标签:apt

从Solarwinds供应链攻击(金链熊)看APT行动中的隐蔽作战

收录于话题 作者:zcgonvh && rem4x校对:zcgonvh、rem4x、n1nty、L.N.编辑:L.N.0x10 前言有过实战经历的红队成员都应知晓,任意行动在任意路径下,可能被捕获的任意行为,均可能造成行动暴露。站在攻击者的角度思考,这里体现了三个信息:1. 攻击者在行动前,应意识到可能导致行动暴露的信息,并制定避免方式。2. 攻击者在行动时,应严格按照行动前的隐蔽条例作战,并及时处理突发情况。3. 攻击者在行动后,应清理遗留信息,并封存已用资源。考虑现阶段安全环境现状,无论是基于主机或是基于网络的防御均日趋完善,完美的隐藏在现实中是不可能的。
发布时间:2020-12-23 13:49 | 阅读:11236 | 评论:0 | 标签:apt 攻击

FireEye遭APT攻击?!针对企业的APT攻击是如何发生的?

本周二,全球领先的APT防御企业FireEye透露其系统遭到APT攻击。作为最早提出APT-1报告的安全厂商,FireEye多次通过报告的形式,针对地区网络发展、国家网络战略、新型APT组织等发声。该公司表示,黑客利用“新颖技术”窃取了渗透测试工具包,而这可能会在全球范围内引发新的攻击。(图片来源于网络)APT事件并不是新鲜事,就在本月欧盟某国家外交部计算机被发现植入后门,长达5年的APT攻击行动揭秘。在过去的几年中,网络攻击的数量和复杂性一直在不断提升,APT攻击事件的普遍性预示着更不可估计的威胁,现在正是检测系统是否遭到网络攻击的好时机。
发布时间:2020-12-22 18:46 | 阅读:11815 | 评论:0 | 标签:APT攻击行动 安芯网盾 apt 攻击

美国政府机构正遭受国家级APT供应链攻击

收录于话题 更多全球网络安全资讯尽在邑安全美网络空间的战火从未偃旗息鼓。上周FireEye风波还未平息,今天凌晨《路透社》再次爆出猛料称,美国财政部、商务部以及一些其他政府机构等正被国家级APT组织攻击。值得注意的是,此次攻击利用SolarWinds产品缺陷发起,不仅美国相关政府及企业受到影响,更涉及全球多个区域和国家。可以说,一场全球大范围供应链攻击正蓄意进行……SolarWinds:成立于1999年,是一家致力于为企业开发软件以帮助管理其网络、系统和信息技术基础架构的美国公司,其总部位于美德克萨斯州的奥斯汀,并在世界多个国家设有销售和产品开发办事处。
发布时间:2020-12-22 12:07 | 阅读:7800 | 评论:0 | 标签:apt 攻击

杀招|如何一键接入排查SolarWinds供应链APT攻击,操作都在这!

收录于话题 SolarWinds供应链APT攻击事件被爆出近日,SolarWinds供应链APT攻击事件引起了业界的关注。SolarWinds官方发布公告称,在SolarWinds Orion Platform的2019.4 HF5到2020.2.1及其相关补丁包的受影响版本中,存在高度复杂后门行为的恶意代码。据悉该后门包含传输文件、执行文件、分析系统、重启机器和禁用系统服务的能力,从而导致安装了污染包的用户可能存在数据泄露的风险。由于模块具有SolarWinds数字签名证书,针对杀毒软件有白名单效果,隐蔽性很高,难以排查且危害巨大。
发布时间:2020-12-19 17:20 | 阅读:19003 | 评论:0 | 标签:apt 攻击

拨开年度最严重APT攻击疑云:200家机构受害、数百黑客集团作战

收录于话题 Editor's Note 截止12月16日,已确认受害的重要机构至少200家,波及北美、欧洲等全球重要科技发达地区的敏感机构,其中美国占比超过60%。 奇安信集团 Author 奇安信集团 奇安信集团 新一代网络安全领军者。 截止12月16日,奇安信CERT已确认至少200家重要机构受害,美国占比超过60%;奇安信CERT分析认为,执行该攻击行动的是一个数百人的集团化组织,并将其命名为“金链熊”;华尔街日报称,美国将该网络间谍活动确定为最高等级。美国国家安全事务助理罗伯特•奥布莱恩当地时间15日缩短了他的出访行程,从巴黎紧急返回华盛顿,以协调处理“美国政府机构遭遇网络攻击”事件。
发布时间:2020-12-17 16:32 | 阅读:11667 | 评论:0 | 标签:apt 攻击 黑客

拨开年度最严重APT攻击疑云:200家机构受害、数百人集团作战

截止12月16日,奇安信CERT已确认至少200家重要机构受害,美国占比超过60%;奇安信CERT分析认为,执行该攻击行动的是一个数百人的集团化组织,并将其命名为“金链熊”;华尔街日报称,美国将该网络间谍活动确定为最高等级。美国国家安全事务助理罗伯特•奥布莱恩当地时间15日缩短了他的出访行程,从巴黎紧急返回华盛顿,以协调处理“美国政府机构遭遇网络攻击”事件。根据奇安信CERT对该事件的持续追踪分析,截止12月16日,已确认受害的重要机构至少200家,波及北美、欧洲等全球重要科技发达地区的敏感机构,其中美国占比超过60%。同时发现,执行该行动的可能是一个数百人的集团化组织。
发布时间:2020-12-17 03:34 | 阅读:23829 | 评论:0 | 标签:apt 攻击

200家机构受害 数百人集团作战 —— 拨开年度最严重APT攻击疑云

收录于话题 奇安信集团 Author 奇安信集团 奇安信集团 新一代网络安全领军者。 截止12月16日,奇安信CERT已确认至少200家重要机构受害,美国占比超过60%;奇安信CERT分析认为,执行该攻击行动的是一个数百人的集团化组织;华尔街日报称,美国将该网络间谍活动确定为最高等级。美国国家安全事务助理罗伯特•奥布莱恩当地时间15日缩短了他的出访行程,从巴黎紧急返回华盛顿,以协调处理“美国政府机构遭遇网络攻击”事件。根据奇安信CERT对该事件的持续追踪分析,截止12月16日,已确认受害的重要机构至少200家,波及北美、欧洲等全球重要科技发达地区的敏感机构,其中美国占比超过60%。
发布时间:2020-12-16 22:30 | 阅读:16167 | 评论:0 | 标签:apt 攻击

FireEye、美国财政部和商务部被APT29攻击 18000名客户面临“窃听”威胁

这意味着,在长达9个月时间里,黑客可以持续监视这些企业和机构,窥探内部电子邮件流量。不得不提及的是,SolarWinds的全球用户中包括了白宫、国防部门、美英信号情报机构等敏感机构。巨大的安全危机下,这些机构正在迫切地试图解决问题。此次攻击被归因于APT29,一个与俄罗斯相关的黑客组织。黑客使用木马化 SolarWinds Orion更新来分发名为SUNBURST 的后门,进入网络内部,然后创建一个新的后门。根据SolarWinds的声明, Orion 软件构建系统遭到破坏,但漏洞并未进入到Orion 产品的源代码存储库中。
发布时间:2020-12-16 12:00 | 阅读:15651 | 评论:0 | 标签:apt 攻击

FireEye遭APT入侵后续:因使用带有后门的SolarWinds软件

上周引发热议的《APT研究公司FireEye反遭APT入侵》事件在本周有了进展,因为火眼使用了带有后门的SolarWinds软件,导致了被黑客入侵,大量红队工具被窃。不止如此,美国其他使用SolarWinds软件的机构和组织也面临遭黑客攻击和入侵的风险。今年年初RSA大会还曾就供应链安全展开探讨,“这是一个难题,可以将后门放置在隐藏的系统中,控制硬件研发的人更知道这个事情”。很显然,回看本次事件依然要回到这个话题——供应链安全。
发布时间:2020-12-15 16:10 | 阅读:12299 | 评论:0 | 标签:后门 apt 入侵

FireEye、美国财政部和商务部被APT 29攻击,18000名客户面临“窃听”威胁

科技公司SolarWinds是这次大规模攻击的开始。这是一个来自外部国家的高度复杂、有针对性的定向供应链攻击事件。黑客利用SolarWinds在今年3月至6月间发布的的网络管理产品Orion更新,植入恶意代码,从而入侵了美国财政部、商务部下属的国家电信和信息管理局(NTIA)、FireEye的网络,此外,多达1.8万的Orion客户也正面临着这次供应链攻击带来的巨大威胁。这意味着,在长达9个月时间里,黑客可以持续监视这些企业和机构,窥探内部电子邮件流量。不得不提及的是,SolarWinds的全球用户中包括了白宫、国防部门、美英信号情报机构等敏感机构。
发布时间:2020-12-15 16:10 | 阅读:11471 | 评论:0 | 标签:apt 攻击

Facebook关闭了APT32在网络攻击中使用的账户

Facebook已经关闭了其平台上的几个账户,越南的APT32组织和一个位于孟加拉国的不知名的威胁组织,这两个网络犯罪集团利用这些账户和页面发起了钓鱼攻击和恶意软件攻击。这家社交媒体巨头表示,现在已经禁止了这两个团伙滥用平台、传播恶意软件和攻击其他账户的行为。一项新的分析称,这两个团伙没有任何的关系,他们利用了"完全不同 "的策略来针对Facebook用户进行攻击。
发布时间:2020-12-15 11:07 | 阅读:10326 | 评论:0 | 标签:apt 攻击

1.8万企业中招!APT29对美国政府发动大规模“日爆”攻击

收录于话题 点击蓝字关注我们上周震惊全球网络安全界的FireEye被黑事件只是冰山一角,在攻击FireEye后不到一周时间,俄罗斯黑客组织APT29又入侵了包括美国财政部和商务部在内的多个政府机构。FireEye在周日晚上透露说,攻击者正在使用Orion(SolarWinds出品的一款广泛使用的网络监控管理软件)更新来感染目标。
发布时间:2020-12-15 10:25 | 阅读:9811 | 评论:0 | 标签:apt 攻击

APT组织针对SolarWinds产品供应链攻击事件预警

收录于话题 安恒威胁情报中心 Author 猎影实验室 安恒威胁情报中心 安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。 点击蓝字关注我们APT组织针对SolarWinds产品供应链攻击事件预警by 猎影实验室01 背景2020年12月13日,据路透社报道,由政府资助的黑客一直在监视美国财政部和商务部的内部电子邮件。其中,有三位知情人士表示攻击者来自俄罗斯,另外两位知情人士称,本次攻击活动与上周披露的”FireEye公司遭APT攻击”事件有关。
发布时间:2020-12-15 00:05 | 阅读:15507 | 评论:0 | 标签:apt 攻击

APT28利用新冠疫苗话题投递Zebrocy木马

收录于话题  1简介今年以来已有多个攻击组织利用新冠疫情话题进行攻击,而随着新冠疫苗逐渐成为新的热点话题,已经有攻击者开始利用新冠疫苗话题进行网络攻击了。就在今年11月份,Intezer公司的研究人员捕获到了疑似APT28组织(也称为Sofacy,Sednit,Fancy Bear和STRONTIUM),利用新冠疫苗话题进行攻击的钓鱼文件,这些诱饵被用来投递Go版本的Zebrocy木马。Zebrocy木马此前被发现用于攻击外交机构和商业组织。
发布时间:2020-12-14 21:31 | 阅读:20827 | 评论:0 | 标签:apt 木马

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云