恶意软件加载程序(也称为植入程序或下载程序)是地下犯罪活动中的流行商品。他们的主要功能是成功危害一台机器并部署一个或多个额外的有效负载。好的加载程序可以在推送其他恶意软件之前避免检测并将受害者识别为合法(即不是沙箱)。这部分非常关键,因为装载机的价值直接与其“客户”的满意度相关。在这篇博文中,我们描
2024-03-27
执行摘要本文回顾了最近发现的 FalseFont 后门,该后门被疑似与伊朗有关联的威胁行为者使用,Unit 42 将其追踪为 Curious Serpens。Curious Serpens(又名Peach Sandstorm)是一个著名的间谍组织,此前曾以航空航天和能源领域为目标。FalseFont
2024-03-25
思科 Talos 提供了其最近两份报告的最新信息,该报告涉及俄罗斯间谍组织 Turla 部署的TinyTurla-NG (TTNG)植入程序。我们现在掌握了该攻击者使用的整个杀伤链的新信息,包括用于从受害者那里窃取有价值信息并通过受感染企业传播的策略、技术和程序 (TTP)。 Talos 与CERT
2024-03-22
概述Proofpoint 研究人员最近观察到与伊朗结盟的威胁组织 TA450(也称为 MuddyWater、Mango Sandstorm 和 Static Kitten)的新活动,该组织使用与薪酬相关的社会工程诱惑来针对大型跨国组织的以色列员工。 TA450 以针对以色列实体而闻名,特别是自202
2024-03-22
介绍针对移动设备的恶意软件是我们经常遇到的。2023 年我们的技术阻止了移动设备上的 3380 万次恶意软件、广告软件和危险软件攻击。2023 年最引起共鸣的攻击之一是针对 iOS 的三角测量行动,但这是一个相当独特的案例。在移动平台中,Android 仍然是网络犯罪分子最流行的目标操作系统。上个月
2024-03-21
概述Mirai家族作为botnet的常青树,存在众多变种,但极少出现使用DGA的Mirai变种,据我们观测,上一个使用DGA(Domain Generation Algorithm)的Mirai变种出现于2016年。2024年3月,我们捕获到了新的可疑ELF样本,通过分析得知是另一个使用DGA的Mi
2024-03-21
安实验室安全情报中心 (ASEC) 最近证实,Kimsuky 组织向国内公共机构分发了伪装成安装程序的恶意软件。所涉及的恶意软件是一个植入程序,它会创建Endoor ,这是在过去的文章“TrollAgent(Kimsuky 组织)在安全程序安装过程中感染”中讨论的攻击中使用的后门恶意软件。虽然实际攻
2024-03-20
Perception Point 安全研究人员最近发现了一项新出现的针对美国组织的活动。被称为“PhantomBlu”的新兴恶意软件活动采用新的 TTP 和行为来逃避检测并部署臭名昭著的 NetSupport RAT。此活动标志着恶意软件攻击方法的复杂性,利用远程管理工具的合法功能来达到邪恶目的。T
2024-03-20
间谍组织 Earth Kapre(又名 RedCurl 和 Red Wolf)一直在积极针对俄罗斯、德国、乌克兰、英国、斯洛文尼亚、加拿大、澳大利亚和美国的组织开展网络钓鱼活动。它使用包含恶意附件(.iso 和 .img)的网络钓鱼电子邮件,打开后就会成功感染。这会触发创建持久性计划任务,同时未经授
2024-03-19
执行摘要 2023 年 3 月,Lumen Black Lotus Labs 报告了一场名为“ HiatusRAT ”的复杂活动,该活动感染了全球 100 多个边缘网络设备。该活动利用边缘路由器或“生活在边缘”访问来被动收集流量,并充当指挥和控制 (C2) 基础设施的隐蔽网络。 在发布我们的
2024-03-19
已确认从Discord、GitHub、Dropbox等处下载,并考虑到之前以类似方式分发的案例,推测该恶意页面伪装成特定程序下载页面,会通过多个途径指向下载网址重定向。StealC恶意软件是一种信息窃取恶意软件,它窃取系统信息、浏览器、加密货币钱包、Discord、Telegram和邮件客户端等各种
2024-03-18
介绍Zscaler 的 ThreatLabz 最近发现了一项新活动,该活动针对 Roblox 用户分发名为 Tweaks(又名 Tweaker)的信息窃取程序。攻击者正在利用 YouTube 和 Discord 等流行平台向 Roblox 用户分发 Tweaks,利用合法平台的能力来逃避通常会阻止已
2024-03-18
AhnLab安全情报中心(ASEC)证实,基于开源创建并于2018年流行的CryptoWire勒索软件目前正在传播。[图1] CryptoWire GithubCryptoWire勒索软件主要通过钓鱼邮件传播,其特点是使用Autoit脚本创建。主功能勒索软件将自身复制到“CProgram Files
2024-03-13
事件描述近期,深信服深盾终端实验室在运营过程中发现,一款名为Mallox勒索病毒家族的新变种在客户侧传播,该变种使用复杂的控制流混淆技术修改二进制特征以突破安全软件的静态检测。此次事件中,攻击者以爆破SqlServer弱密码的方式进入客户系统,进行前期打点,搜集必要信息。随后安装anydesk等远控
2024-03-13
介绍2023 年 10 月,一家俄罗斯机械工程企业联系 Doctor Web,怀疑其一台计算机上存在恶意软件。我们的专家对这一事件进行了调查,确定受影响的公司遭遇了有针对性的攻击。在这次攻击中,恶意行为者发送了带有附件的网络钓鱼电子邮件,其中包含负责初始系统感染并在系统中安装其他恶意工具的恶意程序。
2024-03-12
AhnLab安全情报中心(ASEC)近日证实,Andariel组织正在对国内企业进行持续攻击。此次确认的攻击的一个特点是,确认了攻击过程中安装了MeshAgent的情况。MeshAgent是一款远程管理工具,提供多种远程控制功能,因此与其他远程管理工具一样,被攻击者滥用的案例也时有发生。与之前的案例
2024-03-12
Intel-Ops 正在积极跟踪经评估属于 8Base 勒索软件组织(Phobos 勒索软件运营商)的基础设施。我们的威胁英特尔客户将主动阻止这一威胁。Phobos 运营勒索软件即服务模式,利用该勒索软件的组织的目标是:“县政府、紧急服务、教育、公共医疗和其他关键基础设施实体成功赎回数百万美元。”据
2024-03-11
关键点Magnet Goblin 是一个出于经济动机的威胁行为者,它迅速采用并利用面向公众的服务中的 1 天漏洞作为初始感染媒介。至少在 Ivanti Connect Secure VPN (CVE-2024-21887) 的一个案例中,该漏洞在发布 POC 后 1 天内就进入了该组织的武器库。我们
2024-03-11
针对韩国的APT组织APT37组织又名Group123、InkySquid、Operation Daybreak、Operation Erebus、Reaper Group、Red Eyes、ScarCruft、Venus 121。该组织至少从2012年开始活跃,主要针对韩国的公共和私营部门。201
2024-03-08
执行摘要2023 年,账户接管 (ATO) 被确认为对网上银行客户危害最大的欺诈类型之一。在 Cleafy,我们发现90% 的欺诈企图仍然是通过账户接管进行的,我们预测这一数字到 2024 年将保持不变。银行和金融机构一直是 ATO 攻击的最优先目标,因为网络犯罪分子的目标是从他们的非法活动中立即获
2024-03-08