每周高级威胁情报解读(2024.12.27~2025.01.02)
APT-C-26(Lazarus)组织使用武器化的IPMsg软件的攻击活动分析;Contagious Interview活动使用新的恶意软件OtterCookie;Paper Werewolf网络间谍组织渗透俄罗斯基础设施
奇安信威胁情报中心
每周高级威胁情报解读(2024.12.20~12.26)
Cloud Atlas 使用新工具进行攻击;发现 Charming Kitten 的 新 BellaCiao 变体;Lazarus 利用 CookiePlus 恶意软件攻击核工程师;APT29 利用 RDP 代理在 MiTM 攻击中窃取数据
每周高级威胁情报解读(2024.12.13~12.19)
Mask APT再次出现,针对拉丁美洲组织攻击;Bitter 利用 WmRAT 和 MiyaRAT 恶意软件攻击土耳其国防部门;APT-C-36持续针对哥伦比亚开展攻击活动;Gamaredon 在前苏联国家部署 Android 间谍软件
“银狐”攻击事件频发,幕后黑产组织UTG-Q-1000起底
对最近两年捕获到的“银狐”相关攻击事件进行了分析和关联后,我们有了一些发现,本文将会对一个目前最活跃的使用“银狐”木马的黑产组织进行讨论,为了避免混淆,我们使用UTG-Q-1000来称呼这个黑产组织。
‘银狐’肆虐,奇安信情报沙箱助力识别
近期,我们发现多个水坑网站,伪装成谷歌翻译网站,在页面上任意点击时会提示下载Flash插件,诱导用户点击确定下载安装。借助根据奇安信情报沙箱分析,下载的ZIP压缩包包含EXE文件,该EXE文件执行一系列恶意代码,导致最终访问“银狐”家族C2
每周高级威胁情报解读(2024.12.06~12.12)
Secret Blizzard 利用 Amadey 恶意软件即服务在乌克兰部署 Kazuar 后门;Gamaredon 在前苏联国家部署 Android 间谍软件;Radiant Capital 事件归因于 AppleJeus
国内最大IT社区CSDN被挂马,CDN可能是罪魁祸首?
近日我们观察到某恶意域名的访问量从9月初陡增,10月底开始爆发,并观察到恶意的payload ,基于相关日志确认CSDN被挂马。测绘数据显示国内大量网站正文页面中包含该恶意域名,包含政府、互联网、媒体等网站,推测 CDN 厂商疑似被污染。
潜藏在签名安装文件中的Koi Loader恶意软件
近日,我们使用奇安信情报沙箱分析可疑Inno Setup安装文件,该文件带有数字签名,沙箱结果显示样本启动后运行powershell代码,从远程服务器下载JS脚本并执行,JS脚本进一步调用powershell代码从同一个服务器下载其他载荷。
每周高级威胁情报解读(2024.11.29~12.05)
Patchwork组织近期针对国内的攻击活动分析;APT35 对多个国家的航空航天和半导体行业发动攻击;APT-C-53(Gamaredon)组织广泛攻击活动分析
Ultralytics遭供应链投毒攻击,模型训练恐成挖矿!
奇安信威胁情报中心发现由Ultralytics团队开发的YOLO11模型框架项目ultralytics 遭恶意投毒,用户在使用pypi安装最新的v8.3.41版本时,机器将被植入挖矿木马,我们建议使用了该项目的用户尽快进行自查。
每周高级威胁情报解读(2024.11.22~11.28)
- APT-C-48(CNC)组织近期钓鱼攻击活动分析报告
- RomCom组织利用Firefox和Tor浏览器的零日漏洞发起攻击
- APT-C-60 恶意活动利用合法服务
去中心化的噩梦:隐藏在 P2P 网络下的后门 alphatronBot
alphatronBot是一款基于p2p协议的后门程序,拥有远控功能,并且会下发特定的payload。该恶意软件通过PubSub聊天室的形式进行控制,后门内置了700多个受感染的p2p C2节点,影响linux和windows双平台。
每周高级威胁情报解读(2024.11.15~11.21)
- APT-C-36(盲眼鹰)近期伪造司法部门文件投DcRat后门事件分析
- UNC1549组织伪造求职网站投递恶意软件
- DONOT 组织对巴基斯坦海事和国防工业发起网络攻击
每周高级威胁情报解读(2024.11.08~11.14)
- Lazarus 利用 macOS 扩展文件属性隐藏恶意代码
- 伊朗“梦想工作”活动披露
- WIRTE 继续针对中东并转向破坏性活动
- 金眼狗团伙近期活动跟踪
奇安信情报沙箱助力,识破求职网站伪装下的恶意软件
我们发现一个来自伪装为求职网站的可疑压缩包。通过奇安信情报沙箱的智能恶意行为综合判断,识别出文件可疑并给出10分的恶意评分。RAS 检测结果表明样本可能采用 DLL 侧加载手段。结合手动分析,认为此次恶意活动是 UNC1549 攻击的延续。
金眼狗团伙近期活动跟踪
基于奇安信威胁雷达的测绘分析,从 2022 年以来,金眼狗一直是对国内攻击频率最高的几个组织之一。本文将对最近几年捕获到的金眼狗样本以及攻击手法进行介绍,并讨论金眼狗的常用攻击手法和样本演变。
每周高级威胁情报解读(2024.11.01~11.07)
-Lazarus组织不断更新Contagious Interview活动策略
-APT-C-08(蔓灵花)组织:多元攻击载体大揭秘
-MSI 文件滥用新趋势:新海莲花组织首度利用 MST 文件投递特马
MSI 文件滥用新趋势:新海莲花组织首度利用 MST 文件投递特马
奇安信威胁情报中心发现,新海莲花组织APT-Q-31近期重新活跃,并采用MSI文件滥用的新手法,这是首次在国内针对政企的APT活动中捕获到该技术的使用。海莲花的两个攻击集合共享攻击资源,但TTP完全不同。上次新海莲花的活跃是2023年末。
每周高级威胁情报解读(2024.10.25~10.31)
- Midnight Blizzard 使用 RDP 文件进行大规模鱼叉式网络钓鱼活动
- UNC5812 针对乌克兰军事新兵传播反动言论
- Kimsuky组织滥用PebbleDash和RDP Wrapper
每周高级威胁情报解读(2024.10.18~10.24)
- APT-C-08(蔓灵花)组织 WebDAV 行动分析
- APT-C-35(肚脑虫)组织针对南亚某制造公司的攻击活动分析
- RomCom黑客组织利用新型 SingleCamper RAT 变种攻击乌克兰政府
威胁情报信息共享,事件预警通报,攻击事件分析报告,恶意软件分析报告
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)