事件概述本次山石情报中心通过智源平台大数据捕获到了疑似与上海某高校安全事件相关的病毒样本,该样本基于.Net平台进行编写,使用多重loader以及多种检测手法规避安全检测。详细分析该程序的核心代码将会以反射加载的方式被调用,其中对于核心代码模块的数据,程序使用了异或算法进行加密,加密伪代码如下:解密
2024-01-10
概述众所周知Mirai于2016年首次被发现,它通过利用物联网设备的弱密码和漏洞来感染它们。一旦设备感染,它们将成为网络的一部分,由攻击者控制,用于大规模的分布式拒绝服务攻击。Mirai僵尸网络通常根据感染方式或者被感染设备不同将Bot分为不同的组,以便攻击者更有效地管理和控制庞大的僵尸网络。近期我
2024-01-04
概述2023 年12月5日,FortiGuard 的 AI 驱动的 OSS 恶意软件检测系统识别出三个有趣的 PyPI(Python 包索引)包。这些软件包在初次使用时会在 Linux 设备上部署 CoinMiner 可执行文件。利用我们的历史恶意软件数据库,我们注意到这些包的入侵指标 (IoC)
2024-01-04
概述在圣诞节前夕,Resecurity 的 HUNTER (HUMINT) 发现密码窃取者 Meduza 的作者发布了新版本 (2.2)。该产品在今年 6 月首次发布后已经引起了暗网的极大兴趣。其中一个关键的重大改进是支持更多的软件客户端(包括基于浏览器的加密货币钱包)、升级的信用卡 (CC) 抓取
2024-01-03
1. 概述近日,奇安信病毒响应中心移动安全团队监测到一批伪装成韩国新韩储蓄银行的恶意软件。移动端针对韩国的金融类诈骗由来已久,韩国相关金融安全机构也相当重视,但随着恶意软件的不断升级,其功能在不断增强,攻击变得精细而复杂,对用户造成的威胁也与日俱增。2. 软件分析在此次监控到的恶意软件中,经过技术分
2024-01-02
1. 概述近期,安天CERT捕获到一个Mirai僵尸网络新变种,针对MIPS、ARM和X86等多种架构,利用弱口令感染目标,并等待控制指令进行DDoS攻击。由于该僵尸网络文件名以“Aqua*”命名,我们将其命名为Aquabot。经分析,Aquabot僵尸网络至少迭代过2个版本。其中v1以Mirai开
2024-01-02
概述2023 年 9 月 29 日,QBit 勒索软件即服务 (RaaS) 组织推出了一种用 Go 构建的新开发的勒索软件。2023 年 10 月 9 日,QBit 团队推出了用 Go 语言开发的 qBit Stealer,强调了其无法被端点检测和响应解决方案 (EDR) 检测到的声明。这个窃取者精
2023-12-29
一、概述2023年8月份,绿盟科技伏影实验室全球威胁狩猎系统监测到一类未知的elf文件正在大范围传播,这引起了我们的警惕,经过进一步分析,我们确认了这批elf样本隶属于新的僵尸网络家族,伏影实验室将该僵尸网络木马命名为RDDoS。RDDoS僵尸网络家族的主要功能为DDoS攻击,并且具备命令执行的能力
2023-12-29
概述Bandook 恶意软件是一种远程访问木马,自 2007 年首次被发现以来一直在不断发展。多年来,它已被不同的威胁行为者用于各种活动。FortiGuard Labs 在去年 10 月发现了一种新的 Bandook 变体,该变体正在通过 PDF 文件分发。此 PDF 文件包含一个缩短的 URL,用
2023-12-28
摘要Menorah 恶意软件被 APT34 组织使用,该组织以中东的组织为目标,并于今年 8 月被趋势科技发现。该恶意软件会创建一个互斥锁,以确保一次只运行一个副本。它提取主机名和用户名,并计算标识受感染计算机的哈希值。实现以下命令:创建新进程、列出特定目录中的文件和子目录、泄露任意文件以及下载主机
2023-12-28
SideCopy组织自2020年被披露以来长期处于活跃之中,并主要针对印度国防、外交等部门持续发动网络攻击。近期,360高级威胁研究院发现了该组织针对Windows和Linux系统进行无差别攻击,并且部分载荷是支持Windows和Linux双平台的远控工具。在Linux环境下,初始攻击样本为含有恶意
2023-12-27
FortiGuard Labs 最近发现了一个电子邮件网络钓鱼活动,该活动使用欺骗性的预订信息来诱使受害者点击恶意 PDF 文件。PDF 下载使用 PowerGUI 创建的 .NET 可执行文件,然后运行 PowerShell 脚本来获取最终恶意软件,称为 MrAnon Stealer。该恶意软件是
2023-12-26
概述SophosX-Ops警告酒店行业,针对全球酒店使用密码窃取恶意软件的活动正在使用电子邮件投诉服务问题或信息请求作为社会工程诱饵,以获得活动目标的信任,然后再向他们发送指向恶意负载的链接。攻击者使用的方法类似于SophosX-Ops在2023年4月美国联邦报税截止日期前几个月发现的方法:他们最初
2023-12-25
介绍2023年1月,ChameleonBanking木马成为重大威胁,采用各种分发方法渗透到Android生态系统中,特别关注澳大利亚和波兰的用户。该木马恰如其分地命名为“Chameleon”,通过多个新命令(包括检查应用程序包名称)来展示其适应性。它的主要目标是移动银行应用程序,通过网络钓鱼页面伪
2023-12-25
我们最近发现了一种针对 macOS 的新型恶意加载程序,可能与BlueNoroff APT 团伙及其正在进行的名为RustBucket的活动有关。众所周知,威胁行为者会攻击金融组织,特别是其活动与加密货币有任何关系的公司,以及持有加密资产或对该主题感兴趣的个人。有关新加载程序变体的信息首先出现在 X
2023-12-23
在过去的一年中,我们发现恶意广告的使用有所增加,特别是通过搜索引擎投放针对企业的恶意软件的广告。事实上,如果我们包括社会工程活动,基于浏览器的攻击总体上要常见得多。犯罪分子通过搜索广告成功获得了新的受害者;我们相信有专门的服务可以帮助恶意软件分发者和附属公司绕过谷歌的安全措施并帮助他们建立诱饵基础设
2023-12-23
概述据说得到朝鲜支持的Kimsuky威胁组织自2013年以来一直很活跃。对韩国与朝鲜相关的研究机构的最初攻击已经得到证实,随后是2014年对韩国能源机构的袭击,以及自2017年以来对韩国以外其他国家的袭击。鱼叉式网络钓鱼攻击主要旨在从国防、国防工业、媒体、外交、国家机构和学术界的组织窃取信息和技术。
2023-12-22
概述近期,火绒威胁情报系统监测到一款木马病毒正在网吧快速传播。该病毒被激活后,可接收并执行黑客下发的恶意模块,包括各种广告推广、DNS劫持、URL劫持、刷量控制、传奇登陆器劫持等。除此之外,该病毒还采用了多种对抗手段,隐蔽性极强。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行
2023-12-22
恶意文件描述在该起事件中,攻击者分别设计了三款以PDF与Word文档进行伪装的lnk文件,并使用特殊文件名以诱导用户点击,进而完成后续的感染链攻击。经分析,感染链的最终阶段都将释放一款由Gh0st改编而来的远控木马SugarGh0st,可以推断威胁行为者的最终目标是获取指定目标主机的访问及控制权限,
2023-12-21
一、攻击活动分析1.攻击流程分析攻击者通过发送钓鱼邮件的方式下发恶意文档,受害者打开文档时会下载恶意可执行文件,该文件通过内存加载的方式执行Powershell脚本,脚本接着从远端下载dll并进行无文件加载,恶意dll最终解密释放出VenomRAT,从而完成窃密行动。2.载荷投递分析 2.1.载荷
2023-12-21