每周高级威胁情报解读(2025.02.01~02.06)
APT37组织利用HWP文件攻击韩国多个组织;Kimsuky 组织使用 RDP Wrapper 发起攻击;Lazarus Group 利用复杂的 LinkedIn 招聘骗局针对加密钱包
奇安信威胁情报中心
每周高级威胁情报解读(2025.02.01~02.06)
APT37组织利用HWP文件攻击韩国多个组织;Kimsuky 组织使用 RDP Wrapper 发起攻击;Lazarus Group 利用复杂的 LinkedIn 招聘骗局针对加密钱包
每周高级威胁情报解读(2025.01.24~01.31)
Andariel攻击组织使用恶意文件执行RID劫持攻击;;UAC-0063组织对中亚及欧洲国家进行网络间谍攻击活动;Lazarus发起“Phantom Circuit”攻击活动针对加密货币和技术开发者
每周高级威胁情报解读(2025.01.24~01.31)
Andariel攻击组织使用恶意文件执行RID劫持攻击;;UAC-0063组织对中亚及欧洲国家进行网络间谍攻击活动;Lazarus发起“Phantom Circuit”攻击活动针对加密货币和技术开发者
每周高级威胁情报解读(2025.01.17~01.23)
Operation(Giỗ Tổ Hùng Vương)hurricane:浅谈新海莲花组织在内存中的技战术;Lazarus 利用Electron程序瞄准加密货币行业;疑似APT29利用Sliver恶意软件攻击德国实体
每周高级威胁情报解读(2025.01.17~01.23)
Operation(Giỗ Tổ Hùng Vương)hurricane:浅谈新海莲花组织在内存中的技战术;Lazarus 利用Electron程序瞄准加密货币行业;疑似APT29利用Sliver恶意软件攻击德国实体
ALPHA威胁情报分析云平台V8.0贺岁版焕新登场
迎接2025,体验焕新:ALPHA v8.0跨年版,邀您即刻启航!
【奇安信情报沙箱】警惕伪装为文档的恶意快捷方式(LNK)文件
奇安信威胁情报中心近期发现一个恶意ZIP压缩包,其中包含一个LNK文件,会触发powershell执行,创建一个EXE文件,该EXE通过计划任务实现持久化,与C2通信并窃取多种数据。根据分析关联到名为ZIZI Stealer的恶意软件
Operation(Giỗ Tổ Hùng Vương)hurricane:浅谈新海莲花组织在内存中的技战术
新海莲花组织最早出现于2022年中,2023年底转入不活跃状态,2024年11月重新活跃并被快速制止。文章分享了新海莲花组织在内存中的技战术分析,同时通过2024年3月的两波 0day 供应链事件,最终确认攻击者位于 UTC +7 时区。
每周高级威胁情报解读(2025.01.10~01.16)
Sticky Werewolf针对俄罗斯政府部门;近些年APT-C-60(伪猎者)组织使用的载荷分析;APT28针对哈萨克斯坦目标;Lazarus 利用LinkedIn针对日本组织攻击
每周高级威胁情报解读(2025.01.03~01.09)
“海莲花”组织在GitHub投毒进行攻击;EAGERBEE后门更新组件对中东地区展开攻击;韩国2024 年 12 月 APT 攻击威胁趋势报告
ALPC 之殇 - 8月未知 Windows 在野提权 Nday 漏洞研究
近期,我们发现一个未知 Windows 在野提权 Nday 漏洞样本,该漏洞样最早被上传时只有6个查杀。经过分析确认该漏洞应该是在八月的微软补丁中被修复,是一个被修复的未知nday利用。本文对该漏洞及漏洞样本进行了详细分析。
每周高级威胁情报解读(2024.12.27~2025.01.02)
APT-C-26(Lazarus)组织使用武器化的IPMsg软件的攻击活动分析;Contagious Interview活动使用新的恶意软件OtterCookie;Paper Werewolf网络间谍组织渗透俄罗斯基础设施
每周高级威胁情报解读(2024.12.20~12.26)
Cloud Atlas 使用新工具进行攻击;发现 Charming Kitten 的 新 BellaCiao 变体;Lazarus 利用 CookiePlus 恶意软件攻击核工程师;APT29 利用 RDP 代理在 MiTM 攻击中窃取数据
每周高级威胁情报解读(2024.12.13~12.19)
Mask APT再次出现,针对拉丁美洲组织攻击;Bitter 利用 WmRAT 和 MiyaRAT 恶意软件攻击土耳其国防部门;APT-C-36持续针对哥伦比亚开展攻击活动;Gamaredon 在前苏联国家部署 Android 间谍软件
“银狐”攻击事件频发,幕后黑产组织UTG-Q-1000起底
对最近两年捕获到的“银狐”相关攻击事件进行了分析和关联后,我们有了一些发现,本文将会对一个目前最活跃的使用“银狐”木马的黑产组织进行讨论,为了避免混淆,我们使用UTG-Q-1000来称呼这个黑产组织。
‘银狐’肆虐,奇安信情报沙箱助力识别
近期,我们发现多个水坑网站,伪装成谷歌翻译网站,在页面上任意点击时会提示下载Flash插件,诱导用户点击确定下载安装。借助根据奇安信情报沙箱分析,下载的ZIP压缩包包含EXE文件,该EXE文件执行一系列恶意代码,导致最终访问“银狐”家族C2
每周高级威胁情报解读(2024.12.06~12.12)
Secret Blizzard 利用 Amadey 恶意软件即服务在乌克兰部署 Kazuar 后门;Gamaredon 在前苏联国家部署 Android 间谍软件;Radiant Capital 事件归因于 AppleJeus
国内最大IT社区CSDN被挂马,CDN可能是罪魁祸首?
近日我们观察到某恶意域名的访问量从9月初陡增,10月底开始爆发,并观察到恶意的payload ,基于相关日志确认CSDN被挂马。测绘数据显示国内大量网站正文页面中包含该恶意域名,包含政府、互联网、媒体等网站,推测 CDN 厂商疑似被污染。
潜藏在签名安装文件中的Koi Loader恶意软件
近日,我们使用奇安信情报沙箱分析可疑Inno Setup安装文件,该文件带有数字签名,沙箱结果显示样本启动后运行powershell代码,从远程服务器下载JS脚本并执行,JS脚本进一步调用powershell代码从同一个服务器下载其他载荷。
威胁情报信息共享,事件预警通报,攻击事件分析报告,恶意软件分析报告
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)