每周高级威胁情报解读(2024.11.15~11.21) 奇安信威胁情报中心 3 days 8 hours ago - APT-C-36(盲眼鹰)近期伪造司法部门文件投DcRat后门事件分析 - UNC1549组织伪造求职网站投递恶意软件 - DONOT 组织对巴基斯坦海事和国防工业发起网络攻击
每周高级威胁情报解读(2024.11.08~11.14) 奇安信威胁情报中心 1 week 3 days ago - Lazarus 利用 macOS 扩展文件属性隐藏恶意代码 - 伊朗“梦想工作”活动披露 - WIRTE 继续针对中东并转向破坏性活动 - 金眼狗团伙近期活动跟踪
奇安信情报沙箱助力,识破求职网站伪装下的恶意软件 奇安信威胁情报中心 1 week 3 days ago 我们发现一个来自伪装为求职网站的可疑压缩包。通过奇安信情报沙箱的智能恶意行为综合判断,识别出文件可疑并给出10分的恶意评分。RAS 检测结果表明样本可能采用 DLL 侧加载手段。结合手动分析,认为此次恶意活动是 UNC1549 攻击的延续。
金眼狗团伙近期活动跟踪 奇安信威胁情报中心 1 week 6 days ago 基于奇安信威胁雷达的测绘分析,从 2022 年以来,金眼狗一直是对国内攻击频率最高的几个组织之一。本文将对最近几年捕获到的金眼狗样本以及攻击手法进行介绍,并讨论金眼狗的常用攻击手法和样本演变。
每周高级威胁情报解读(2024.11.01~11.07) 奇安信威胁情报中心 2 weeks 3 days ago -Lazarus组织不断更新Contagious Interview活动策略 -APT-C-08(蔓灵花)组织:多元攻击载体大揭秘 -MSI 文件滥用新趋势:新海莲花组织首度利用 MST 文件投递特马
MSI 文件滥用新趋势:新海莲花组织首度利用 MST 文件投递特马 奇安信威胁情报中心 3 weeks ago 奇安信威胁情报中心发现,新海莲花组织APT-Q-31近期重新活跃,并采用MSI文件滥用的新手法,这是首次在国内针对政企的APT活动中捕获到该技术的使用。海莲花的两个攻击集合共享攻击资源,但TTP完全不同。上次新海莲花的活跃是2023年末。
每周高级威胁情报解读(2024.10.25~10.31) 奇安信威胁情报中心 3 weeks 2 days ago - Midnight Blizzard 使用 RDP 文件进行大规模鱼叉式网络钓鱼活动 - UNC5812 针对乌克兰军事新兵传播反动言论 - Kimsuky组织滥用PebbleDash和RDP Wrapper
每周高级威胁情报解读(2024.10.18~10.24) 奇安信威胁情报中心 4 weeks 2 days ago - APT-C-08(蔓灵花)组织 WebDAV 行动分析 - APT-C-35(肚脑虫)组织针对南亚某制造公司的攻击活动分析 - RomCom黑客组织利用新型 SingleCamper RAT 变种攻击乌克兰政府
每周高级威胁情报解读(2024.10.11~10.17) 奇安信威胁情报中心 1 month 1 week ago -疑似 Mysterious Elephant 组织利用 CHM 文件攻击南亚多国 -蔓灵花组织启用全新特马MiyaRat,国内用户成为首要目标 -Lazarus窃密币动作活跃,大量资产仍存活
疑似 Mysterious Elephant 组织利用 CHM 文件攻击南亚多国 奇安信威胁情报中心 1 month 1 week ago 奇安信威胁情报中心近期发现一批特别的CHM,其中html十分简单,仅执行一个外部文件,这导致VT报毒数很低。本文基于恶意样本相似性认为这些特殊的 CHM 攻击样本和 C# 后门很可能来自 Mysterious Elephant 组织。
蔓灵花组织启用全新特马MiyaRat,国内用户成为首要目标 奇安信威胁情报中心 1 month 1 week ago Bitter在今年一直在尝试各种免杀方法:6 月份通过 powershell 加载 havoc 框架、7 月份直接下发 2018 年就在使用的窃密插件,效果都不太理想,最终在 9 月份下发了全新的特马 MiyaRat 还是被我们成功捕获。
每周高级威胁情报解读(2024.09.27~10.10) 奇安信威胁情报中心 1 month 1 week ago -Patchwork 使用新后门 Nexe 绕过安全警报 -揭秘 Kimsuky 的新工具:KLogEXE 和 FPSpy -Gamaredon 仍然是乌克兰“最活跃”的黑客组织 -Kimsuky涉嫌入侵德国导弹制造商
每周高级威胁情报解读(2024.09.20~09.26) 奇安信威胁情报中心 1 month 4 weeks ago -SloppyLemming 使用 Cloudflare Workers 针对南亚地区 -Confucius 组织利用 ADS 隐藏载荷攻击宗教相关人士 -UNC1860 针对中东的网络攻击工具分析
瞄准国内政企!深度揭秘的勒索软件运营商 Rast gang 奇安信威胁情报中心 2 months ago 奇安信威胁情报中心观察到由rust语言编写的勒索软件Rast ransomware非常活跃,国内大量机器被勒索,政企终端受害单位高达 20 余个。根据统计,短短十个月的时间内有 6800 多台终端被控,其中 5700 余台被成功加密。
每周高级威胁情报解读(2024.09.13~09.19) 奇安信威胁情报中心 2 months ago - Gleaming Pisces 通过 Python 软件包分发 Linux 和 MacOS 后门 - APT34 针对伊拉克政府网络部署恶意软件 - UNC2970 使用木马化 PDF 阅读器部署后门
大规模准定向攻击,针对黎巴嫩真主党的寻呼机爆炸事件 奇安信威胁情报中心 2 months 1 week ago 2024年9月17日,中东地区的黎巴嫩出现一起非常规袭击事件,真主党成员使用的寻呼机在黎巴嫩各地同时引爆,造成多人伤亡。事件还没有确定的调查结论,奇安信威胁情报中心综合网上现有的公开信息整理寻呼机爆炸事件背后可能的攻击手段。
每周高级威胁情报解读(2024.09.06~09.12) 奇安信威胁情报中心 2 months 1 week ago -DarkHotel APT 组织 Observer 木马攻击分析 -朝鲜相关威胁组织分析 -Kimsuky 利用俄朝伙伴关系论文主题诱饵攻击 -Gamaredon 对乌克兰军队的持续攻击
每周高级威胁情报解读(2024.08.30~09.05) 奇安信威胁情报中心 2 months 2 weeks ago - APT组织 Citrine Sleet 利用 Chromium 零日漏洞 - Kinsuky 组织针对航空航天工程相关人员的恶意代码分析 - APT29复用间谍软件开发商 NSO 和 Intellexa 用过的漏洞
公开的隐秘:CVE-2024-30051在野提权漏洞研究 奇安信威胁情报中心 2 months 2 weeks ago CVE-2024-30051漏洞最早由卡巴斯基发现,根据最初上传到VT的该漏洞的简单分析报告,我们通过该报告中漏洞的特征,找到了QakBot利用的实际样本并对其进行了详细分析。