奇安信威胁情报中心

奇安信威胁情报中心近期发现一批特别的CHM，其中html十分简单，仅执行一个外部文件，这导致VT报毒数很低。本文基于恶意样本相似性认为这些特殊的 CHM 攻击样本和 C# 后门很可能来自 Mysterious Elephant 组织。

Bitter在今年一直在尝试各种免杀方法：6 月份通过 powershell 加载 havoc 框架、7 月份直接下发 2018 年就在使用的窃密插件，效果都不太理想，最终在 9 月份下发了全新的特马 MiyaRat 还是被我们成功捕获。

-Patchwork 使用新后门 Nexe 绕过安全警报 -揭秘 Kimsuky 的新工具：KLogEXE 和 FPSpy -Gamaredon 仍然是乌克兰“最活跃”的黑客组织 -Kimsuky涉嫌入侵德国导弹制造商

-SloppyLemming 使用 Cloudflare Workers 针对南亚地区 -Confucius 组织利用 ADS 隐藏载荷攻击宗教相关人士 -UNC1860 针对中东的网络攻击工具分析

奇安信威胁情报中心观察到由rust语言编写的勒索软件Rast ransomware非常活跃，国内大量机器被勒索，政企终端受害单位高达 20 余个。根据统计，短短十个月的时间内有 6800 多台终端被控，其中 5700 余台被成功加密。

- Gleaming Pisces 通过 Python 软件包分发 Linux 和 MacOS 后门 - APT34 针对伊拉克政府网络部署恶意软件 - UNC2970 使用木马化 PDF 阅读器部署后门

2024年9月17日，中东地区的黎巴嫩出现一起非常规袭击事件，真主党成员使用的寻呼机在黎巴嫩各地同时引爆，造成多人伤亡。事件还没有确定的调查结论，奇安信威胁情报中心综合网上现有的公开信息整理寻呼机爆炸事件背后可能的攻击手段。

-DarkHotel APT 组织 Observer 木马攻击分析 -朝鲜相关威胁组织分析 -Kimsuky 利用俄朝伙伴关系论文主题诱饵攻击 -Gamaredon 对乌克兰军队的持续攻击

- APT组织 Citrine Sleet 利用 Chromium 零日漏洞 - Kinsuky 组织针对航空航天工程相关人员的恶意代码分析 - APT29复用间谍软件开发商 NSO 和 Intellexa 用过的漏洞

CVE-2024-30051漏洞最早由卡巴斯基发现，根据最初上传到VT的该漏洞的简单分析报告，我们通过该报告中漏洞的特征，找到了QakBot利用的实际样本并对其进行了详细分析。

2024.08.23~

分享近期值得关注的IOC

分享近期值得关注的IOC

分享近期值得关注的IOC

分享近期值得关注的IOC

奇安信凭借威胁情报平台（TIP）、云端产品服务、漏洞情报服务、APT组织档案库等优势能力已连续三次入选Gartner®威胁情报市场指南。

攻击者在使用漏洞攻击前往往会进行非常复杂的信息收集，APT-Q-12使用多套复杂的邮件探针，周期性的向目标投递探针邮件以此来收集受害者的使用习惯和行为逻辑，包括常用的邮件平台、品牌，在针对不同office产品又会进行区别处理。

分享近期值得关注的IOC

分享近期值得关注的IOC

-TA453 利用新型 AnvilEcho 恶意软件攻击著名犹太人物 -网络安全威胁2024年中报告 -BlindEagle 针对拉丁美洲的攻击活动披露 -Sidewinder 组织针对巴基斯坦进行网络钓鱼