安全运维

“银狐”团伙使用核酸检测退费发票信息主题的钓鱼攻击增多

   近期,某网络安全实验室持续监控并分析一个被称为"银狐"的钓鱼活动动向。该实验室最新监测数据显示,利用"核酸检测退费通知"和"电子发票详情"作为饵料的钓鱼攻击案例显著上升。这些…

Gootloader程序通过SEO中毒技术进行分发

Gootloader 演练Gootloader,测试于 2024 年 5 月 21 日分发(SEO poisoning->fake forum->zip->。JS…

图表:利用 Microsoft API 的威胁数量不断增加

图形 API 通常用于与基于云的命令和控制服务器进行不显眼的通信    越来越多的威胁已开始利用 Microsoft Graph API,通常用于促进与 Microsoft 云服务…

观针对波兰政府机构的大规模恶意软件活动

本周,CERT Polska (CSIRT NASK) 和 CSIRT MON 观察到针对波兰政府机构的大规模恶意软件活动。根据技术指标和与过去描述的攻击(m.in 针对乌克兰实体…

NoSQL注入你了解多少?

NoSQL 注入是一种漏洞,攻击者能够干扰应用程序对 NoSQL 数据库进行的查询。 NoSQL 注入可能使攻击者能够: 绕过身份验证或保护机制。 提取或编辑数据。 导致拒绝服务。…

使用 Python 进行恶意软件分析初学者指南

概述 恶意软件是指通过未经授权窃取或滥用机密信息或占用网络带宽来损害计算机系统和网络的恶意软件。恶意软件的危险一直在不断增加,并且可能会产生从个人层面到组织层面的影响。为了防止此类…

UAT4356组织借助思科零日漏洞入侵全球政府网络

ArcaneDoor 是一项由国家资助的攻击者针对多个供应商的外围网络设备发起的攻击活动的最新例子。对于这些行为者来说,外围网络设备是针对间谍活动的完美入侵点。作为数据进出网络的关…

Scaly Wolf组织通过钓鱼攻击下发White Snake窃取程序

主要发现正在考虑的活动集群的方法不断发展:新的工具被添加到其武器库中。使用受密码保护的存档可以让攻击者绕过安全措施并成功传播恶意软件。代表各个部门发送网络钓鱼电子邮件会显着增加受害…

俄罗斯Sandworm组织对乌克兰20个重要机构发起攻击

概况2024年3月,乌克兰CERT-UA政府计算机应急响应小组披露了Sandworm组织的恶意计划,旨在破坏能源、水和热力领域约20家企业信息和通信系统(ICS)的稳定运行乌克兰十…

以中东政府实体为目标的DuneQuixote攻击活动分析

关键点Avast 发现了一项通过捏造工作机会针对特定个人的新活动。 “FudModule 2.0”Avast 发现了从感染媒介到利用0day漏洞部署 rootkit 的完整攻击链A…

利用Global Protect防火墙漏洞的活动

执行摘要Palo Alto Networks 和 Unit 42 致力于跟踪与 CVE-2024-3400 相关的活动,并与外部研究人员、合作伙伴和客户合作,透明、快速地共享信息。…

Raspberry Robin蠕虫通过Windows脚本文件得到传播

Raspberry Robin于 2021 年底首次发现,是一种 Windows 蠕虫,最初针对技术和制造组织。此后,它已发展成为企业面临的最普遍的威胁之一。今年 3 月,惠普威胁…

PupyRAT恶意软件活动分析

Pupy是一种RAT恶意软件,其特点是跨平台支持。由于它是在 GitHub 上发布的开源代码,因此不断被包括 APT 组织在内的各种攻击者使用。例如,已知它过去曾被 APT35 组…

针对开发人员的开源供应链攻击技术分析

在最近的一次攻击活动中,网络犯罪分子被发现巧妙地操纵 GitHub 的搜索功能,并使用精心设计的存储库来分发恶意软件。关键点GitHub 搜索操纵:攻击者使用流行的名称和主题创建恶…

TA547 利用 Rhadamanthys Stealer 针对德国组织

概述Proofpoint 发现 TA547 以德国组织为目标,通过电子邮件活动传播了 Rhadamanthys 恶意软件。这是研究人员首次观察到 TA547 使用 Rhadaman…

威胁者针对零售行业的钓鱼活动

威胁行为者不再墨守成规。如今,他们使用短信、电子邮件、虚假网页和受损的云帐户等多种渠道。他们利用这些不同的渠道来建立持久性和妥协的身份,以便他们可以提升特权并横向移动。 Proof…

MuddyWater组织最新攻击框架DarkBeatC2分析

在针对哈马斯恐怖分子的“Swords of Iron War”期间,伊朗威胁行为者加大了针对以色列私营企业的“黑客和泄密”假黑客活动的强度。这篇博文重点介绍了最近进行的一些攻击,并…

恶意Bing广告活动推送NordVPN以投递SecTopRAT

我们看到的大多数恶意搜索广告都源自谷歌,但威胁行为者也在滥用其他搜索引擎。由于 Microsoft Bing 与 Windows 生态系统和 Edge 浏览器的密切联系,它可能是第…

攻击者通过YouTube推广盗版视频游戏以传播恶意软件

要点 Proofpoint 发现多个 YouTube 频道通过推广破解和盗版视频游戏及相关内容来传播恶意软件。 视频描述包含可下载信息窃取程序的链接。 该活动可能针对的是家庭计算机…

越南CoralRaider组织对亚洲多个国家实施数据窃取活动

Cisco Talos 发现了一个新的威胁行为者,我们将其称为“CoralRaider”,我们认为该威胁行为者源自越南并具有经济动机。 CoralRaider 至少自 2023 年…

Earth Freybug组织利用UNAPIMON恶意软件规避检测

在过去的一个月里,我们调查了一次网络间谍攻击,我们将其归因于 Earth Freybug(也称为APT41的子集)。 Earth Freybug 是一个网络威胁组织,至少自 201…

Remcos RAT最新活动分析

Remcos RAT 通常通过恶意附件、偷渡式下载或社交工程进行传播,自 2016 年以来一直活跃。最初由欧洲公司BreakingSecurity提出,作为合法的远程控制工具,此后…

结论

最近,Morphisec Labs 发现与 Mispadu(也称为 URSA)相关的活动显着增加,Mispadu 是 ESET 于 2019 年首次标记的银行木马。Mispadu …

东盟实体遭到Stately Taurus等APT组织入侵

执行摘要在过去 90 天里,Unit 42 研究人员发现了两个中国高级持续威胁 (APT) 组织对东南亚国家联盟 (ASEAN) 附属实体和成员国进行网络间谍活动:第一个 APT …

攻击者向PyPi投递恶意软件包以窃取用户信息

几个小时前,Python 包索引 (PyPi) 暂停了新项目创建和新用户注册,以缓解正在进行的恶意软件上传活动。Checkmarx 研究团队同时调查了由多个恶意软件包组成的活动,这…

FlightNight:印度政府实体和能源部门成为网络间谍活动的目标

恶意软件加载程序对于部署恶意软件至关重要,它使威胁行为者能够传递和执行恶意负载,从而促进数据盗窃和勒索软件等犯罪活动。利用先进的规避技术,加载程序绕过安全措施并利用各种分发渠道产生…

StrelaStealer 恶意软件从知名电子邮件客户端窃取电子邮件登录数据

执行摘要StrelaStealer 恶意软件从知名电子邮件客户端窃取电子邮件登录数据,并将其发送回攻击者的 C2 服务器。攻击成功后,威胁行为者将获得受害者的电子邮件登录信息,然后…

TellYouThePass勒索病毒锁定财务管理设备

0x01   攻击概况近日,360反勒索服务接到大量受害者反馈其设备中被植入了勒索软件。而这波勒索攻击的受害者都有着两个显著的共同特征:1. 中招设备未安装360安全产品2. 中招…

基于Go的加载器推动了Rhadamanthys信息窃取程序的部署

恶意软件加载程序(也称为植入程序或下载程序)是地下犯罪活动中的流行商品。他们的主要功能是成功危害一台机器并部署一个或多个额外的有效负载。好的加载程序可以在推送其他恶意软件之前避免检…

伊朗Curious Serpens组织最新FalseFont后门分析

执行摘要本文回顾了最近发现的 FalseFont 后门,该后门被疑似与伊朗有关联的威胁行为者使用,Unit 42 将其追踪为 Curious Serpens。Curious Ser…

TinyTurla新的供应链攻击

思科 Talos 提供了其最近两份报告的最新信息,该报告涉及俄罗斯间谍组织 Turla 部署的TinyTurla-NG (TTNG)植入程序。我们现在掌握了该攻击者使用的整个杀伤链…

TA450使用与薪酬有关的诱饵来针对以色列员工

概述Proofpoint 研究人员最近观察到与伊朗结盟的威胁组织 TA450(也称为 MuddyWater、Mango Sandstorm 和 Static Kitten)的新活动…

多个针对安卓平台的恶意软件分析

介绍针对移动设备的恶意软件是我们经常遇到的。2023 年我们的技术阻止了移动设备上的 3380 万次恶意软件、广告软件和危险软件攻击。2023 年最引起共鸣的攻击之一是针对 iOS…

使用DGA的最新Mirai僵尸网络披露

概述Mirai家族作为botnet的常青树,存在众多变种,但极少出现使用DGA的Mirai变种,据我们观测,上一个使用DGA(Domain Generation Algorithm…

Kimsuky组织使用韩国企业有效证书签名的恶意软件攻击韩国用户

安实验室安全情报中心 (ASEC) 最近证实,Kimsuky 组织向国内公共机构分发了伪装成安装程序的恶意软件。所涉及的恶意软件是一个植入程序,它会创建Endoor ,这是在过去的…

PhantomBlu活动采用新规避方法投递NetSupport RAT

Perception Point 安全研究人员最近发现了一项新出现的针对美国组织的活动。被称为“PhantomBlu”的新兴恶意软件活动采用新的 TTP 和行为来逃避检测并部署臭名…

RedCurl组织近期活动使用Windows合法服务绕过安全限制

间谍组织 Earth Kapre(又名 RedCurl 和 Red Wolf)一直在积极针对俄罗斯、德国、乌克兰、英国、斯洛文尼亚、加拿大、澳大利亚和美国的组织开展网络钓鱼活动。它…

HiatusRAT活动开始瞄准台湾地区组织和美国军事采购系统

执行摘要   2023 年 3 月,Lumen Black Lotus Labs 报告了一场名为“ HiatusRAT ”的复杂活动,该活动感染了全球 100 多个边缘网络设备。该…

伪装成安装程序的StealC恶意软件正在大量传播

已确认从Discord、GitHub、Dropbox等处下载,并考虑到之前以类似方式分发的案例,推测该恶意页面伪装成特定程序下载页面,会通过多个途径指向下载网址重定向。StealC…

Tweaks信息窃取程序感染Roblox游戏平台用户

介绍Zscaler 的 ThreatLabz 最近发现了一项新活动,该活动针对 Roblox 用户分发名为 Tweaks(又名 Tweaker)的信息窃取程序。攻击者正在利用 Yo…