概况2024年3月,乌克兰CERT-UA政府计算机应急响应小组披露了Sandworm组织的恶意计划,旨在破坏能源、水和热力领域约20家企业信息和通信系统(ICS)的稳定运行乌克兰十个地区的供应工业(OKI)。除了自 2022 年以来已知的 QUEUESEED(KNUCKLETOUCH、ICYWELL
2024-04-23
关键点Avast 发现了一项通过捏造工作机会针对特定个人的新活动。 “FudModule 2.0”Avast 发现了从感染媒介到利用0day漏洞部署 rootkit 的完整攻击链Admin -> Kernel。 Avast 发现了一种以前未记录的KaolinRAT,除了标准 RAT 功能之外,
2024-04-23
执行摘要Palo Alto Networks 和 Unit 42 致力于跟踪与 CVE-2024-3400 相关的活动,并与外部研究人员、合作伙伴和客户合作,透明、快速地共享信息。Palo Alto Networks PAN-OS 软件中的一个关键命令注入漏洞使未经身份验证的攻击者能够在防火墙上以
2024-04-15
Raspberry Robin于 2021 年底首次发现,是一种 Windows 蠕虫,最初针对技术和制造组织。此后,它已发展成为企业面临的最普遍的威胁之一。今年 3 月,惠普威胁研究团队发现网络犯罪分子传播 Raspberry Robin 的方式发生了变化。该恶意软件现在通过Windows 脚本文
2024-04-15
Pupy是一种RAT恶意软件,其特点是跨平台支持。由于它是在 GitHub 上发布的开源代码,因此不断被包括 APT 组织在内的各种攻击者使用。例如,已知它过去曾被 APT35 组织使用过,该组织已知与伊朗有关,并且还被用于针对在线赌博网站的地球 Berberoka 行动 。最近,人们发现了一种名为
2024-04-12
在最近的一次攻击活动中,网络犯罪分子被发现巧妙地操纵 GitHub 的搜索功能,并使用精心设计的存储库来分发恶意软件。关键点GitHub 搜索操纵:攻击者使用流行的名称和主题创建恶意存储库,使用自动更新和假星等技术来提高搜索排名并欺骗用户。恶意代码通常隐藏在 Visual Studio 项目文件(.
2024-04-12
概述Proofpoint 发现 TA547 以德国组织为目标,通过电子邮件活动传播了 Rhadamanthys 恶意软件。这是研究人员首次观察到 TA547 使用 Rhadamanthys,这是一种被多个网络犯罪威胁行为者使用的信息窃取程序。 此外,该演员似乎使用了 PowerShell 脚本,研
2024-04-11
威胁行为者不再墨守成规。如今,他们使用短信、电子邮件、虚假网页和受损的云帐户等多种渠道。他们利用这些不同的渠道来建立持久性和妥协的身份,以便他们可以提升特权并横向移动。 Proofpoint Threat Research 最近观察到威胁行为者使用多渠道攻击来针对零售行业的活动。攻击链和时间线显示了
2024-04-11
在针对哈马斯恐怖分子的“Swords of Iron War”期间,伊朗威胁行为者加大了针对以色列私营企业的“黑客和泄密”假黑客活动的强度。这篇博文重点介绍了最近进行的一些攻击,并对 MuddyWater 武器库中最新的 C2 框架“DarkBeatC2”进行了分析。执行摘要伊朗威胁行为者继续合作,
2024-04-09
我们看到的大多数恶意搜索广告都源自谷歌,但威胁行为者也在滥用其他搜索引擎。由于 Microsoft Bing 与 Windows 生态系统和 Edge 浏览器的密切联系,它可能是第二个最佳目标。在这篇博文中,我们研究了最近一次冒充流行 VPN 软件 NordVPN 的恶意广告活动。恶意广告商正在捕获
2024-04-09
要点 Proofpoint 发现多个 YouTube 频道通过推广破解和盗版视频游戏及相关内容来传播恶意软件。 视频描述包含可下载信息窃取程序的链接。 该活动可能针对的是家庭计算机上无法享受企业级安全优势的消费者用户。 概述 威胁行为者通常以家庭用户为目标,因为与企业相比,他们没有相同的资源或知识来
2024-04-08
Cisco Talos 发现了一个新的威胁行为者,我们将其称为“CoralRaider”,我们认为该威胁行为者源自越南并具有经济动机。 CoralRaider 至少自 2023 年以来一直在运营,目标是多个亚洲和东南亚国家的受害者。 该组织专注于窃取受害者的凭据、财务数据和社交媒体帐户,包括商业和广
2024-04-08
在过去的一个月里,我们调查了一次网络间谍攻击,我们将其归因于 Earth Freybug(也称为APT41的子集)。 Earth Freybug 是一个网络威胁组织,至少自 2012 年以来一直活跃,专注于间谍活动和经济动机活动。据观察,该攻击针对的是不同国家不同部门的组织。 Earth Freyb
2024-04-03
Remcos RAT 通常通过恶意附件、偷渡式下载或社交工程进行传播,自 2016 年以来一直活跃。最初由欧洲公司BreakingSecurity提出,作为合法的远程控制工具,此后被威胁行为者用于邪恶目的,尽管声称限制合法使用的访问。在分析 VirusTotal 中的一些样本时,我们得到了一个有趣的
2024-04-01
最近,Morphisec Labs 发现与 Mispadu(也称为 URSA)相关的活动显着增加,Mispadu 是 ESET 于 2019 年首次标记的银行木马。Mispadu 最初主要集中在拉丁美洲国家和讲西班牙语的个人,但在最新的活动中扩大了其范围。 介绍Mispadu 是一种高度活跃的银行
2024-04-01
执行摘要在过去 90 天里,Unit 42 研究人员发现了两个中国高级持续威胁 (APT) 组织对东南亚国家联盟 (ASEAN) 附属实体和成员国进行网络间谍活动:第一个 APT 组织 Stately Taurus 创建了两个恶意软件软件包,我们认为其目标是缅甸、菲律宾、日本和新加坡的实体。这些活动
2024-03-29
几个小时前,Python 包索引 (PyPi) 暂停了新项目创建和新用户注册,以缓解正在进行的恶意软件上传活动。Checkmarx 研究团队同时调查了由多个恶意软件包组成的活动,这些软件包似乎与同一威胁参与者有关。威胁行为者使用 CLI 安装 Python 包,通过域名仿冒攻击技术瞄准受害者。 这是
2024-03-29
恶意软件加载程序对于部署恶意软件至关重要,它使威胁行为者能够传递和执行恶意负载,从而促进数据盗窃和勒索软件等犯罪活动。利用先进的规避技术,加载程序绕过安全措施并利用各种分发渠道产生广泛的影响,威胁组织增强了下载和执行各种恶意软件类型的能力,如 Smoke Loader 和 GuLoader 所示,突
2024-03-28
执行摘要StrelaStealer 恶意软件从知名电子邮件客户端窃取电子邮件登录数据,并将其发送回攻击者的 C2 服务器。攻击成功后,威胁行为者将获得受害者的电子邮件登录信息,然后他们可以使用这些信息来执行进一步的攻击。自 2022 年该恶意软件首次出现以来,StrelaStealer 背后的威胁发
2024-03-28
0x01 攻击概况近日,360反勒索服务接到大量受害者反馈其设备中被植入了勒索软件。而这波勒索攻击的受害者都有着两个显著的共同特征:1. 中招设备未安装360安全产品2. 中招设备均为运行财务管理服务的计算机经360安全智脑的分析研判,成功锁定了这一波攻击的来源为TellYouThePass勒索
2024-03-27