执行摘要FBot 是一种基于 Python 的黑客工具,与其他云恶意软件系列不同,其目标是 Web 服务器、云服务和 SaaS 平台,例如 AWS、Office365、PayPal、Sendgrid 和 Twilio。FBot 没有使用广泛使用的 Androxgh0st 代码,但在功能和设计上与 L
2024-01-26
AhnLab 安全情报中心 (ASEC) 最近证实了 XMRig 硬币矿工通过 GameHack 流通。 这个过程类似于过去引入的使用 webhard 平台分发 XMRig 币矿工的方法。1. 扩散途径Coinminer的分发路线被确定为分发著名游戏游戏黑客的网站,并伪装成许多著名游戏黑客的压缩文件
2024-01-25
AhnLab 安全情报中心 (ASEC) 最近发现了一项新活动,其中 Trigona 勒索软件攻击者安装了 Mimic 勒索软件。这次确定的攻击案例针对 MS-SQL 服务器,与以前的案例类似,其特点是在安装恶意软件期间利用 MS-SQL 服务器的大容量复制程序 (BCP) 实用程序。Trigona
2024-01-25
概述奇安信威胁情报中心观察到一伙较为勤奋的勒索运营商,工作时间主要在周末,可以在物理上绕过安全人员对告警的发现。周六的时候使用一些Nday漏洞进行入侵,全天无休的进行内网信息收集,控制机器数量评估,并在周日晚上控制木马批量投递勒索软件,为了给第二天要上班的受害者一个“惊喜”,攻击者在横向移动所使用的
2024-01-24
概述多年来,TAG分析了一系列持续性威胁,包括COLDRIVER(也称为UNC4057,Star Blizzard和Callisto),这是一个俄罗斯威胁组织,专注于针对非政府组织,前情报和军官以及北约政府的知名人士的凭据网络钓鱼活动。多年来,TAG一直在反击和报道该组织进行符合俄罗斯政府利益的间谍
2024-01-23
概述AhnLab 安全情报中心 (ASEC) 最近观察到一个名为 Mimo 的 CoinMiner 威胁行为者利用各种漏洞安装恶意软件的情况。Mimo,也被称为 Hezb,是在 2022 年 3 月通过 Log4Shell 漏洞利用安装 CoinMiners 时首次被发现的。到目前为止,所有攻击案例
2024-01-23
1 概述近期,安天CERT发现一组利用非官方软件下载站进行投毒和攻击下游用户案例,并深入分析了攻击者在网管运维工具上捆绑植入macOS平台远控木马,利用国内非官方下载站发布,以此取得政企机构内部关键主机桥头堡,进行横向渗透的攻击活动。此下载站目前可下载数十个破解软件,其中五款运维工具包含恶意文件,这
2024-01-22
事件概述近期,360安全大脑接到用户反馈称自己在使用某款“注册机”软件时候,系统中文件被不行加密。通过对受害用户提供的线索和样本进行综合分析研判,发现了一款借助破解类工具进行传播的新型勒索软件,其会通过向桌面释放勒索信与收款码图片的方式向用户索要2000元人民币的赎金。根据360云平台的大数据分析发
2024-01-22
概述AhnLab 安全情报中心 (ASEC) 最近证实了 Zephyr 硬币矿工的流通。该文件由Autoit生成,并以包含coinminer的压缩文件的形式分发。正在流传的文件以“WINDOWS_PY_M3U_EXPLOIT_2024.7z”的名义流传,解压缩后会生成多个脚本和可执行文件。其中,“C
2024-01-19
概述Python 包索引 (PyPI) 是一个平台,它提供了广泛的包来简化和增强开发过程。恶意行为者定期在平台存储库中上传网络钓鱼包,旨在提供恶意软件以窃取受害者的信息,或者更频繁地破坏他们的环境。最近,据报道,来自 PyPI 的几个软件包是供应链攻击的一部分。作为我们提高互联网安全性的持续研究的一
2024-01-18
概述在 2023 年 12 月的第二周,Volexity 在其网络安全监控服务客户之一的网络上检测到可疑的横向移动。经过仔细检查,Volexity 发现攻击者在多个面向内部和外部的 Web 服务器上放置了 Webshell。这些检测启动了跨多个系统的事件响应调查,Volexity 最终将其追溯到该组
2024-01-17
概述据Doctor Web公司报道,在Telegram和一些网站上发现的盗版软件中隐藏着加密货币挖矿木马的案例有所增加。2023年12月,Doctor Web公司的病毒分析人员注意到Trojan.BtcMine.3767及其配套恶意软件Trojan.BtcMine.2742的检出率有所提高,事实证明
2024-01-16
概述AhnLab 安全情报中心 (ASEC) 证实,大量 SmokeLoader 恶意软件正在针对乌克兰政府和公司进行分发,最近针对乌克兰的攻击似乎有所增加。到目前为止,确定的目标包括乌克兰的司法部、公共机构、保险、医疗、建筑和制造公司。电子邮件的格式与图 1 所示相同,电子邮件的内容是用乌克兰语编
2024-01-16
介绍Zscaler 的 ThreatLabz 研究团队一直在跟踪基于 Linux 的恶意软件家族,称为 DreamBus。在过去的几年里,除了一些小的错误修复,以及为了逃避安全软件的检测而进行的轻微修改外,没有太大的变化。然而,在过去的 6 个月里,操作 DreamBus 的威胁行为者引入了两个新模
2024-01-15
近日,瑞星威胁情报中心捕获到“蔓灵花”APT组织针对我国军工行业发起的APT攻击事件。通过分析发现,攻击者试图通过鱼叉式钓鱼攻击来投递wmRAT后门程序,以达到窃取我国军事机密的目的。在此,瑞星公司提醒相关政府部门及企业应提高警惕,加强防范。APT组织介绍“蔓灵花”组织又称为“BITTER”,是一支
2024-01-15
摘要FBot 是一种基于 Python 的黑客工具,与其他云恶意软件系列不同,针对 Web 服务器、云服务和 SaaS 平台,如 AWS、Office365、PayPal、Sendgrid 和 Twilio。FBot 没有使用广泛使用的 Androxgh0st 代码,但在功能和设计上与 Legion
2024-01-12
概述近期,火绒威胁情报系统监测到Shiz病毒的新变种正在快速传播。Shiz病毒主要针对国外用户群体,在被激活后能够窃取用户电脑上的敏感信息,并可以执行其他恶意操作。不仅如此,当受害者访问杀毒软件网址时,还会被劫持到google的网址,对用户构成较大干扰。病毒运行后,首先,会使用对抗手段检测虚拟机环境
2024-01-12
在过去的一年里,亨特和哈克特观察到荷兰的网络攻击,据信这些攻击是由符合土耳其利益的网络威胁行为者策划的,这表明土耳其在西方国家追求目标的升级。Hunt & Hackett 已经开始追踪这个以 Sea Turtle、Teal Kurma、Marbled Dust、SILICON 和 Cosmi
2024-01-10
概述加沙网络团伙至少自2012年以来一直活跃,是一个疑似与哈马斯结盟的集群,其行动主要针对巴勒斯坦实体和以色列,专注于情报收集和间谍活动。作为以色列-哈马斯战争背景下感兴趣的威胁行为者,我们将加沙网络团伙作为一个由几个相邻的子团体组成的团体进行跟踪,据观察,自 2018 年以来,这些子团体共享受害者
2024-01-10
概述AhnLab 安全情报中心 (ASEC) 最近发现,Remcos Rat 恶意软件正在通过伪装成成人游戏的 webhard 进行分发,同时监控在韩国收集的恶意软件的分发情况。Webhard 和 torrent 是代表性平台,主要用于在家庭环境中分发恶意软件。通常,攻击者使用现成的恶意软件(如 n
2024-01-10