概括Google 搜索的恶意广告以 Mac 用户为目标。网络钓鱼网站诱骗受害者下载他们认为是他们想要的应用程序。该恶意软件捆绑在一个临时签名的应用程序中,因此 Apple 无法撤销它。有效负载是 OSX 最新 Atomic Stealer 的新版本。介绍我们过去几个月跟踪的大多数恶意广告活动都针对
2023-09-21
关键点Silent Push 分析师使用专有扫描来发现与破产加密平台相关的消费者网络钓鱼域。威胁行为者积极针对 Voyager 和摄氏度网络的前客户,通过提供全额退款的资产追回电子邮件。恶意重定向用于通过欺骗合法域来窃取资产并从本地加密钱包获取凭证。背景威胁行为者经常关注热门新闻主题来构建冒充特定组
2023-09-21
在当今的酒店业中,度假租赁软件已从奢侈品转变为酒店、度假村和小型企业的必备软件,简化了预订、宾客互动和物业管理。虽然度假租赁软件似乎专注于预订,但它包含信用卡信息、客人偏好和通信等有价值的数据。这些数据是网络犯罪分子寻求经济利益或未经授权访问的主要目标。特别有吸引力的是信用卡信息,它吸引了出于经济动
2023-09-21
勒索软件格局的演变已经从涉及 Windows 有效负载的传统方法转变为针对其他平台(尤其是 Linux)的方法。在这种转变中,勒索软件运营商正在缩短不同有效负载发布之间的时间间隔,并在不同平台上实现功能对等。勒索软件运营商战略性地利用Conti、Babuk或Lockbit等知名勒索软件系列的代码,重
2023-09-21
8 月 28 日,AhnLab 安全应急响应中心 (ASEC) 确认,伪装成侵犯版权的下载器恶意软件已分发给韩国境内不明人数的人。分布式恶意软件包含检测虚拟环境的代码,以避免基于沙箱的安全解决方案检测到,并且是一种下载名为 MainBot 的恶意软件的 .NET 恶意软件。根据该公司的 AhnLab
2023-09-21
网络犯罪分子正在滥用高级安装程序(一种用于创建软件包的合法 Windows 工具),在受感染的计算机上投放加密货币挖掘恶意软件。这项活动至少自 2021 年 11 月以来一直在持续进行。攻击者利用Advanced Installer将其他合法软件安装程序(例如Adobe Illustrator、Au
2023-09-21
最近,在日常的网络狩猎中捕获了Lone Wolf组织针对俄罗斯实体的多个攻击样本,据进一步了解发现该组织针对俄罗斯的攻击已长达三年。隐蔽而复杂的Lone Wolf组织安恒研究院猎影实验室捕获该组织攻击后,对攻击样本进行了仔细的分析和追溯,不仅发现了更多具有相似攻击流程的样本,并且还发现这一系列攻击的
2023-09-21
恶意软件分析最令人兴奋的方面之一是遇到一个对于逆向社区来说是新的或罕见的家族。确定恶意软件的功能、谁创建了它以及其背后的原因成为了一个需要解决的谜团。我们最近发现的前所未见的 dropper 变种名为 MidgeDropper,它具有复杂的感染链,其中包括代码混淆和侧面加载,这使其成为一个有趣的用例
2023-09-21
严重性高的分析总结APT-17,也被称为“Bitter APT”或“DeputyDog”,是一个国家支持的网络间谍组织,据信在中国境外开展活动。它们至少自 2012 年起就一直活跃,主要针对航空航天、国防和技术行业的组织。他们以中国、巴基斯坦和沙特阿拉伯为目标而闻名,并已将目光扩大到孟加拉国政府机构
2023-09-21
Facebook 的 Messenger 平台在过去一个月遭到严重滥用,大量虚假和被劫持的个人账户不断传播带有恶意附件的消息。这些威胁行为者以 Facebook 平台上的数百万个企业帐户为目标——从高评价的市场卖家到大公司,通过虚假的商业查询,实现了惊人的“成功率”,大约每70 个人中就有1人被感染
2023-09-21
1. 概述摩诃草(360安全),别名白象(安天)、Patchwork(Cymmetria)、Dropping Elephant(Kaspersky)、Chinastrats(Kaspersky)、APT-C-09(360)、Monsoon(Forcepoint)、Quilted Tiger(Crow
2023-09-21
一、攻击活动分析 1.攻击流程分析 在我们的观察中,疑似攻击者通过Skype发送诱饵文件下载链接,之后用户通过谷歌浏览器下载了含有恶意文档的压缩文件。一旦用户被诱导打开该文件,攻击者则利用伪装成Microsoft信息的技巧,诱使用户启用宏功能。一旦用户上钩,宏将被激活并释放EarlyRat,然后
2023-09-21
背景威胁行为者经常关注热门新闻主题来构建冒充特定组织及其当前或以前客户的定制活动,其后果包括货币欺诈、大规模凭证和身份盗窃。今年早些时候,我们发布了一篇博客,详细介绍了威胁行为者如何利用硅谷银行的倒闭,部署一系列使用退款诱饵的域来传播凭证盗窃行为。我们的威胁分析师跟踪了一项活动,该活动试图欺骗两家破
2023-09-21
介绍Zscaler ThreatLabz 最近发现了一种新的窃取活动,称为“Steal-It”活动。在此活动中,威胁行为者使用 Nishang 的 Start-CaptureServer PowerShell 脚本的自定义版本窃取和泄露 NTLMv2 哈希值,执行各种系统命令,并通过 Mockbin
2023-09-21
最近,我们观察到了一种名为"Fake Browser Update"的诱骗策略,让用户执行恶意二进制文件。在分析这些二进制文件时,我们确定使用了一个新的加载程序,用于在受感染的系统上执行信息窃取程序,其中包括StealC和Lumma。IDAT 加载程序是我们于2023 年 7 月首次发现的一种新型、
2023-09-21
1.朝方APT组织攻击综述2023年8月,知道创宇404高级威胁情报团队在日常高级威胁狩猎中发现朝方APT组织针对韩方攻击活动有明显的增长,相较于以往的常态化热点攻击来看,本次8月份攻击活动更偏向于大范围批量攻击活动。朝方组织此异常引发我们格外关注,随即我们加强对朝方组织的跟踪强度,根据我们对朝方组
2023-09-21
1. 攻击活动综述近期知道创宇404 高级威胁情报团队的研究报告《韩美大规模联合军演挑衅升级?朝方 APT 组织近期攻击活动分析》中分享了APT37 & Konni组织近期针对韩方的攻击活动,其中Konni组织所使用的新技战术、程序(TTP)更偏向于针对韩方的惯用TTP,我们在狩猎过程也发现
2023-09-21
介绍2023 年 7 月,Zscaler ThreatLabz 发现巴基斯坦高级持续威胁组织 (APT36) 持续进行的新恶意活动。APT36 是一个复杂的网络威胁组织,有在南亚开展有针对性的间谍活动的历史。我们观察到 APT36 针对印度政府部门使用了以前未记录的 Windows RAT、新的 L
2023-09-21
AhnLab实验室安全紧急响应中心 (ASEC) 确认,冒充国税厅的恶意 LNK 文件正在国内传播。过去已经使用过使用LNK的分发方法,并且最近已经确认了许多针对国内用户的分发。最近确认的恶意 LNK 文件据信是通过电子邮件中附加的 URL 进行分发的。通过我们的基础设施确认的URL如下,下载名为“
2023-09-21
8 月,FortiGuard Labs 获得了一份包含恶意 URL 的 Word 文档,旨在诱骗受害者下载恶意软件加载程序。该加载程序采用二进制填充规避策略,添加空字节以将文件大小增加到 400 MB。该加载程序的有效负载包括用于键盘记录和密码恢复的 OriginBotnet、用于加密货币盗窃的 R
2023-09-21