AhnLab 安全紧急响应中心 (ASEC) 发现通过电子邮件伪装成工资单的 Remcos 远程控制恶意软件的传播。已确认的 Remcos RAT 恶意软件是通过电子邮件主题行“这是工资转移确认证书”欺骗收件人来分发的,如图 1 所示。在附加的cab压缩文件中,附加了一个伪装成PDF文件图标的EXE
2023-10-30
近期,火绒威胁情报系统监测到有黑客团伙针对金融行业进行钓鱼攻击。用户点击钓鱼文件后,其会下载多个文件进行互相关联,随后黑客可以远程控制受害者电脑。不仅如此,该病毒还使用包括 "白加黑","加壳","代码混淆" 在内的多种方式对抗杀软查杀。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒
2023-10-26
概述天际友盟近几个月来发现大量钓鱼网站伪装成各类应用软件官网诱导国内用户下载恶意软件。这些钓鱼网站种类繁多,涉及办公软件、支付平台、游戏、短信验证平台等多类网站。通过分析,我们发现其中大量中文TG(Telegram)钓鱼站、以及一些涉及短信验证服务的网站如PaaSoo等传播同一类型的SiMayRAT
2023-10-26
介绍在过去的几个月里,Check Point Research 一直在跟踪“Stayin' Alive”活动,这是一项至少自 2021 年以来一直活跃的持续活动。该活动在亚洲开展,主要针对电信行业以及政府组织。“Stayin' Alive”活动主要由下载程序和加载程序组成,其中一些被用作针对知名亚洲
2023-10-25
严重性高的分析总结Shuckworm APT(又名 Actinium、Armageddon、Primitive Bear、Gamaredon 和 Trident Ursa)是俄罗斯支持的高级持续威胁 (APT),至少自 2013 年以来一直在运作。众所周知,这个网络间谍组织的目标是政府、军队、和其他
2023-10-25
1、事件背景最近,安恒猎影实验室在日常的网络狩猎中成功捕获了多个针对俄罗斯、白俄罗斯政府及国防部门的攻击样本。通过仔细的样本分析和追溯,我们发现这些攻击事件共享相同的攻击组件和模式,因此我们确定该类攻击背后的幕后黑手为同一组织。鉴于该组织攻击手法的独特性,我们将该组织命名为“骷髅狼”(Skeleto
2023-10-24
伊朗 Crambus 间谍组织(又名 OilRig、APT34)在 2023 年 2 月至 9 月期间对中东政府进行了长达八个月的入侵。在入侵过程中,攻击者窃取了文件和密码,并在一个案例中安装了PowerShell后门(称为PowerExchange),用于监控从Exchange服务器发送的传入邮件
2023-10-24
互联网的技术发展,安全问题越来越严峻,尤其网站的安全问题也越来越引起人们的关注,常常因为系统或者网站程序安全漏洞从而导致文件被篡改、网站被挂马等问题。因此对于网站管理员来说,安全加固就显得尤为重要。如果想让服务器及网站长期安全稳定的运行,那就一定要重视各种安全性,系统加固是其中必不可少的环节,在此我
2023-10-24
1.概述近日,安天CERT监测到PLAY勒索事件呈现活跃趋势。PLAY勒索软件又名PlayCrypt,由Balloonfly组织开发和运营[1],最早被发现于2022年6月。该勒索软件主要通过钓鱼邮件、漏洞利用等方式进行传播,采用“威胁曝光企业数据+加密数据”的双重勒索模式。自2022年11月3日起
2023-10-23
事件背景自 2022 年以来,各种以 Drainer 为名的钓鱼团伙逐渐冒出头,比如通过社工获取 Discord Token 并进行钓鱼的 Pink Drainer;比如通过 Permit 或 Approve 获得用户批准并盗取资产的钓鱼服务提供商 Venom Drainer;比如通过虚假 KOL
2023-10-23
10 月 20 日:发现了一个用于部署植入程序的额外漏洞 (CVE-2023-20273)。CVE-2023-20198 和 CVE-2023-20273 的修复预计将于 10 月 22 日提供。之前提到的 CVE-2021-1435 不再被评估为与此活动相关。10 月 19 日:添加了额外的攻击者
2023-10-21
近期,火绒威胁情报系统监测到一批盗版软件安装包正在通过伪造的官网进行传播,其中包含后门病毒,该病毒被激活后,黑客可以执行截取屏幕图像、远程控制等恶意行为。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。火绒查杀图此次披露的后门病毒为《恶意后门利用多种免杀手段,可远控用户电
2023-10-21
剖析以色列一家私人发电站涉嫌遭受黑客攻击的事件以色列和哈马斯之间持续的冲突也延伸到了数字领域。黑客的参与凸显了 21 世纪战争性质的演变,传统的军事行动得到了复杂的网络战术的补充,国家支持、黑客活动和独立行为者之间的界限变得模糊。到目前为止,已经观察到数字领域的各种网络活动,包括DDoS 攻击、信息
2023-10-20
1、事件概述Confucius是Palo Alto Networks于2016年披露的APT组织,该组织自2013年开始活跃,主要针对南亚及东亚地区政府、军事等进行攻击。此外,该组织还针对Android平台进行攻击。Confucius的部分攻击手法包括:使用InPage漏洞利用文档作为初始负载、使用
2023-10-20
1.概述近期,安天CERT捕获了一批活跃的WatchDog挖矿组织样本,该组织主要利用暴露的Docker Engine API端点和Redis服务器发起攻击,并且可以快速的从一台受感染的机器转向整个网络。WatchDog挖矿组织自2019年1月开始被发现,至今仍然活跃。2.攻击流程WatchDog挖
2023-10-19
一、事件背景10月7日,伴随着数千枚火箭弹的发射,巴勒斯坦伊斯兰抵抗运动(哈马斯)宣布对以色列发动军事行动。随着现实世界中的冲突爆发,多方势力的黑客行动主义(Hacktivism)组织开始在双方网络空间区域内进行持续的博弈。黑客组织来自多个国家,包括俄罗斯、印度、印度尼西亚、伊拉克等;攻击方式主要以
2023-10-19
事件概述近日,奇安信威胁情报中心注意到外国安全厂商humansecurity在外网揭露了一个名为BADBOX的事件,其报告称观察到至少观察到74000 部基于 Android 的手机、平板电脑、和全球联网电视盒有遭遇BADBOX 感染的迹象;而来自趋势科技的说法是该后门据信被植入了2000万数量级别
2023-10-18
1、事件概述2023年10月7日,在俄罗斯著名黑客论坛XSS上,一个名为kapuchin0的用户发布了HelloKitty勒索的源代码,并声称他们不再需要这个,打算开发出优于LockBit勒索的新产品。HelloKitty勒索家族由来已久,最早出现在2020年11月,因勒索程序中互斥锁的名称为“He
2023-10-18
ToddyCat 是我们在去年的一份出版物中描述的高级 APT 攻击者。该组织于 2020 年 12 月开始活动,负责对欧洲和亚洲知名实体进行多组攻击。我们的第一篇出版物重点介绍了他们的主要工具:Ninja Trojan 和 Samurai Backdoor,我们还描述了用于启动它们的加载程序集。我
2023-10-18
执行摘要Akamai 安全情报组检测到 Magecart 网络窃取活动,该活动针对大量网站,包括食品和零售行业的大型组织。该活动之所以脱颖而出,是因为它采用了三种先进的隐藏技术,其中一种技术是我们以前从未见过的,特别是操纵网站的默认 404 错误页面来隐藏恶意代码,这给检测和缓解带来了独特的挑战。另
2023-10-17