概括网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI) 正在发布此联合网络安全咨询 (CSA),以传播截至 2023 年 8 月通过 FBI 调查确定的 QakBot 基础设施受损指标 (IOC)。 8 月 25 日,FBI和国际合作伙伴执行了协调行动,以破坏全球 QakBot 基础设
2023-09-21
AhnLab 安全紧急响应中心 (ASEC)确认,该恶意软件以前以 CHM 格式传播,现在以 LNK 格式传播。恶意代码通过mshta进程执行特定url中存在的附加脚本,从攻击者的服务器接收命令,并执行附加的恶意操作。经确认,已确认的 LNK 文件是由攻击者将包含恶意代码的压缩文件上传到正常站点来分
2023-09-21
BlueShell是一款用Go语言开发的后门恶意软件,发布在GitHub上,支持Windows、Linux和Mac操作系统。目前,原始的 GitHub 存储库据信已被删除,但 BlueShell 的源代码仍然可以从其他存储库获取。包含说明的ReadMe文件是中文的,这表明创建者可能是中国用户。图 1
2023-09-21
tl;dr作为 DB#JAMMER 攻击活动一部分的威胁参与者正在使用暴力攻击破坏暴露的 MSSQL 数据库,并且似乎拥有良好的工具并准备好提供勒索软件和 Cobalt Strike 有效负载。在一次有趣的攻击活动中,Securonix 威胁研究团队发现了威胁参与者使用暴力攻击来针对暴露的 Micr
2023-09-21
分析总结Patchwork 是一个高级持续威胁 (APT) 组织,至少自 2014 年以来一直活跃。Patchwork 主要针对南亚和东南亚(包括印度、巴基斯坦和孟加拉国)的政府、国防和外交组织以及学术机构。然而,该组织也以其他地区的组织为目标,包括欧洲和北美。据信该组织起源于印度,并与数起网络间谍
2023-09-21
McAfee 实验室观察到 Remcos RAT 活动,其中恶意 VBS 文件通过网络钓鱼电子邮件传递。网络钓鱼电子邮件包含 ZIP/RAR 附件。在这个 ZIP 中,有一个严重混淆的 VBS 文件。 Remcos 是一种复杂的 RAT,它为攻击者提供对受感染系统的后门访问并收集各种敏感信息。Rem
2023-09-21
AhnLab安全紧急响应中心(ASEC)最近确认,存在大量伪装成 PDF 文档查看器屏幕的网络钓鱼脚本文件通过电子邮件附件传播的情况。部分已确认的文件名如下,使用了采购订单(PO)/订单/收据/订单等关键字。New order_20230831.html Salbo_PO_20230823.pdf.
2023-09-21
最近,Rapid7 观察到假浏览器更新诱骗用户执行恶意二进制文件。在分析丢失的二进制文件时,Rapid7 确定使用了一个新的加载程序,以便在包括 StealC 和 Lumma 在内的受感染系统上执行信息窃取程序。IDAT 加载程序是 Rapid7 于 2023 年 7 月首次发现的一种新型、复杂的加
2023-09-21
AhnLab安全紧急响应中心(ASEC)分析团队捕捉到了被认为是由RedEyes攻击组织创建的CHM恶意软件最近重新传播的情况。最近传播的CHM恶意软件的运行方式与3月份推出的“冒充国内金融公司安全邮件的CHM恶意软件”类似 。经确认, “持久化”过程中使用的命令是相同的。在这次攻击中,利用了福岛污
2023-09-21
恶意文件名称:银狐威胁类型:后门木马简单描述:“银狐”木马是一类针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的木马。攻击团伙通过投递远控木马,在获得受害者的计算机控制权限后会在其系统内长期驻留,并监控用户日常操作。待时机成熟时,攻击者会利用受感染设备中已登录的聊天工具软件(如微信
2023-09-21
执行摘要2023 年 8 月 28 日,Interlab 收到了发送给一名记者的样本,其中包含高度针对性的内容,诱使收件人打开该文档。记者收到了一封来自一名活动人士的电子邮件,该活动人士通过一个冒充该组织成员的地址与恶意文件联系。该文档采用 .LNK 格式,执行后会加载恶意 powershell 命
2023-09-21
五月份, 我们对 PYTA31 发出了警报,PYTA31 是一种传播“WhiteSnake”恶意软件的高级持续威胁行为者。从那时起,我们一直在严格监控该组织,该组织从 4 月到 8 月中旬一直活跃,分发带有“WhiteSnake 恶意软件”的恶意 PyPI 软件包。 WhiteSnake Malwa
2023-09-21
Doctor Web 发现了一系列 Android.Pandora 木马,这些木马会在固件更新期间或安装用于查看盗版视频内容的应用程序时危害 Android 设备。该后门继承了其祖先著名的Linux.Mirai木马的先进 DDoS 攻击能力。Doctor Web 收到了一些用户的报告,称 /syst
2023-09-21
关键点1. 在正在进行的活动中,威胁参与者正在利用 npm 包来瞄准开发人员窃取源代码和机密。2. 该活动背后的攻击者疑似与早在 2021 年就已被发现的恶意活动有关。3. 在本报告中,我们将分享与此攻击相关的新软件包和 IOC。介绍随着又一个威胁行为者的曝光,加密货币领域的开发人员再次成为攻击目标
2023-09-21
一、组织信息APT34,又名OilRig或Helix Kitten,是一个疑似来自伊朗的APT组织。该组织自2014年以来保持活跃,主要针对中东各国开展网络间谍和网络破坏行动,主要目标包括金融、政府、能源、化工和电信等多个行业。APT34具备较高的攻击技术水平,能够针对不同类型的目标设计不同的入侵方
2023-09-21
“Boat”僵尸网络家族于2022年6月由绿盟安全实验室首次发现,因其早期版本的恶意样本以“boat”文件名传播而得名。同时,由于该家族后期版本的部分恶意样本保留了符号信息,且存在大量以“ripper_*”命名的函数,因此也被称为僵尸网络家族“Ripper”。2023年8月,绿盟科技全球威胁追踪系统
2023-09-21
近期,捕获了一次传播新 Agent Tesla 变种的网络钓鱼活动。这个著名的恶意软件家族使用基于 .Net 的远程访问木马 (RAT) 和数据窃取程序来获得初始访问权限。它通常用于恶意软件即服务 (MaaS)。我对该活动进行了深入分析,从最初的网络钓鱼电子邮件到安装在受害者计算机上的 Agent
2023-09-21
背景Gamaredon(也称为 Primitive Bear、Actinium 或 Shuckworm)是一个俄罗斯高级持续威胁 (APT) 组织,至少自 2013 年以来一直活跃,历史上遍及美国和印度次大陆,最近又在乌克兰,包括据报道对乌克兰发动的攻击西方政府实体:资料来源:Talos,2021
2023-09-21
一、概述近日检测到,一个兼具DDoS和挖矿功能的新型僵尸网络家族KmsdBot再次活跃。攻击者不断更换C&C基础设施并更新木马版本。与传统的类僵尸网络家族相比,KmsdBot采用了全新的架构,并采用Go编程语言开发。Go的简单、高效和良好的跨平台性大大降低了恶意代码的开发成本。同时,Go语言
2023-09-21
2023 年 9 月 11 日更新。Google 已通知我们所有应用程序均已从 Google Play 商店中删除。不久前,我们在 Google Play 上发现了一堆带有繁体中文、简体中文和维吾尔文描述的 Telegram 模组。该供应商表示,这些是最快的应用程序,使用世界各地的分布式数据处理中心
2023-09-21