TLDR:Securonix 威胁研究最近发现,一场攻击活动似乎源自威胁组织 UAC-0154,其目标是使用指挥员 (PIC) 无人机手动文档诱饵来传播恶意软件。随着俄罗斯和乌克兰之间的战争愈演愈烈,两国之间的网络战格局也没有任何放缓的迹象。随着冲突进入一年半的时间,新的策略和恶意软件变种不断出现。
2023-09-26
一、概述近年来,僵尸网络发起的攻击活动日益猖獗,越来越多僵尸网络攻击团伙浮出水面,这些团伙的背后也透漏着更高级势力的参与的痕迹,已对国家安全造成严重威胁,加强对僵尸网络的治理迫在眉睫。绿盟科技伏影实验室依托全球威胁狩猎系统对全网僵尸网络家族进行了长期的监测,积累了大量的情报数据。我们拟发布系列文章对
2023-09-26
据观察,一名身份不明的威胁行为者来自越南,据观察参与了不晚于 6 月 4 日开始的勒索软件活动,并使用 Yashma 勒索软件的变体,与臭名昭著的 WannaCry 勒索软件有相似之处。根据思科 Talos 周一发布的一份新公告,此次行动的与众不同之处在于提供赎金的新颖方法。 攻击者不是在恶意软件二
2023-09-26
近期,多起利用异常证书的恶意软件被传播。恶意代码经常将自己伪装成正常的证书,但恶意软件随机输入证书信息,并且Subject Name和Issuer Name项的字符串长度异常长。因此,证书信息在Windows操作系统上是不可见的,只能通过特定的工具或基础设施来确认证书结构。当然,因为证书不正确,导致
2023-09-26
一、受影响情况 通过对受害者的地理位置进行分析我们发现,攻击活动受影响的地区主要是孟加拉国和斯里兰卡,受影响的时间范围从2022年6月至2023年2月。 二、攻击活动分析 1.载荷投递分析 1.1.载荷投递方式 我们在该组织近期的攻击活动中观察到两种载荷投递方式:1)通过社交应用直接传播2)通
2023-09-26
近日,国家计算机病毒应急处理中心和360公司对名为“二次约会”(SecondDate)的“间谍”软件进行了技术分析,该“间谍”软件针对基于FreeBSD、Linux、Sun Solaris、Juniper JunOS等平台的路由器等网关设备平台,可实现网络流量窃听劫持、中间人攻击、插入恶意代码等恶意
2023-09-26
最近,Telekom Security CTI 通过我们参与的信任小组获悉了通过网络钓鱼电子邮件分发的新恶意软件活动。恶意垃圾邮件活动使用窃取的电子邮件线程来引诱受害者用户单击其中包含的超链接,从而下载恶意软件。其中一个恶意软件样本被错误归因于 Emotet,也加剧了人们对这一恶意软件活动的关注。尽
2023-09-25
概括Secureworks® Counter Threat Unit™ (CTU) 分析表明,GOLD MELODY威胁组织充当初始访问代理 (IAB),向受感染组织出售访问权限,供其他网络犯罪分子利用。这个出于经济动机的组织至少自 2017 年以来一直活跃,通过利用未修补的面向互联网的服务器中的漏
2023-09-25
FortiGuard 实验室每两周收集有关勒索软件变体的数据,这些变体在我们的数据集和 OSINT 社区中越来越受到关注。勒索软件综述报告旨在为读者提供有关不断演变的勒索软件格局以及防范这些变体的 Fortinet 解决方案的简要见解。本版勒索软件综述涵盖了 Retch 和 SHO 勒索软件。受影响
2023-09-25
多年来,中东一直享有高级持续威胁(APT)沃土的声誉。在对知名客户(其中一些位于该地区)系统上的可疑活动进行例行监控时,ESET Research 偶然发现了一个非常复杂且未知的后门,我们将其命名为 Deadglyph。我们从后门中发现的工件(例如0x DEAD B001,也显示在表1中)中得出了这
2023-09-25
Turla 简介总部位于俄罗斯的 Turla 被视为高度复杂的高级持续威胁 (APT) 组织,至少从 2004 年起就被怀疑在运作。Turla 的组织名称因其顶级 Rootkit 而臭名昭著,例如 Snake、Venomous Bear、WhiteBear、Uroburos、Group 88 和 W
2023-09-25
执行摘要一个高级持续威胁 (APT) 组织被怀疑为 Stately Taurus,参与了针对东南亚政府的多起网络间谍入侵活动。这些入侵至少发生在 2021 年第二季度至 2023 年第三季度。根据我们的观察和分析,攻击者从受感染的网络中收集并窃取了敏感文档和其他类型的文件。我们发现这一活动是对东南亚
2023-09-25
概述近期我们注意到一个新兴的DDoS僵尸网络,该家族移植了部分Mirai代码,但是修改了上线方式与载荷结构,同时加入了OpenNIC域名作为C2。根据初始版本的C2字符串特征,我们将此家族称为CatDDoS 。CatDDoS处在“创业初期”阶段,活跃度并不稳定,其每天的指令从几百到几千不等。不过自9
2023-09-25
概括注意:此联合网络安全咨询 (CSA) 是 #StopRansomware 持续努力的一部分,旨在为网络防御者发布咨询,详细介绍各种勒索软件变体和勒索软件威胁行为者。这些#StopRansomware 公告包括最近和历史上观察到的策略、技术和程序 (TTP) 以及妥协指标 (IOC),以帮助组织防
2023-09-23
执行摘要Unit 42 观察到的一组攻击东南亚政府目标的威胁行为者活动可以让我们深入了解一个罕见的隐秘 APT 组织——Gelsemium。我们发现这一活动是对东南亚政府内部受损环境进行调查的一部分。我们将该簇识别为 CL-STA-0046。这个独特的集群在 2022 年至 2023 年间的活动持续
2023-09-23
一、概述近期,绿盟科技伏影实验室在日常威胁狩猎过程中发现了一种依托钓鱼文档的新型攻击流程,并通过深入研究确认了两种新型木马程序以及多种少见的攻击技战术。伏影实验室认为该新型攻击流程来自一个新型攻击者,该攻击者具备较高技术水平与谨慎的攻击态度,而本次捕获到的钓鱼攻击活动是该攻击者对特定目标进行定向打击
2023-09-23
一、背景8月,绿盟科技伏影实验室全球威胁狩猎系统监测到针对利比亚的DDoS攻击趋势异常,伏影实验室整理了本轮DDoS攻击的流量变化,通过与利比亚在8月发生的重点事件进行对照,研判此次攻击或与8月利比亚局势动荡有关,具体攻击走势如下:伏影实验室观测发现,8月6日,利比亚新任高级国务委员会主席当选,而在
2023-09-23
摘 要奇安信病毒响应中心移动安全团队监测到一批伪装成伊朗股权交易平台的复合型恶意软件,其在使用钓鱼页面进行金融诈骗的同时,会远程控制受害者设备并窃取隐私信息。木马家族起于2022年7月,于2023年5月份呈现爆发式增长趋势,收录样本量达148个。欺骗受害者若要领取账户股利,需先缴纳50000里亚尔的
2023-09-23
执行摘要SentinelLabs 观察到由未知威胁行为者发起的新威胁活动集群,我们将其称为“Sandman”。Sandman 主要针对中东、西欧和南亚次大陆的电信提供商。这些活动的特点是战略性横向移动和最少的接触,可能最大限度地降低被发现的风险。Sandman 利用 LuaJIT 平台部署了一种新颖
2023-09-22
要点1. Proofpoint 观察到针对中文使用者的特定恶意软件系列的活动有所增加。2. 活动包括通常与中国网络犯罪活动相关的中文诱饵和恶意软件。3. 新观察到的 ValleyRAT 正在成为以中国为主题的网络犯罪活动中的一种新恶意软件,而 Sainbox RAT 和相关变体最近也很活跃。4. 中
2023-09-22