背景信息Arid Viper组织很久以前就开始使用移动端恶意软件,其中涵盖至少四款Android间谍软件家族和一个针对iOS的植入程序Phenakite。SpyC23 Android恶意软件家族至少从2019年就已经存在,不过它跟Arid Viper间谍软件家族之间的共享代码可以追溯到2017年。E
2023-12-20
一、背景2023年11月初,绿盟科技全球威胁狩猎系统监测到一类elf文件正在大范围传播并伴随着产生了大量疑似加密的外联通信流量,但主流杀毒引擎对该文件检出率却趋近于零,这引起了我们的好奇。经过进一步人工的分析,我们确认了一个具备较强隐匿性的新型僵尸网络家族。鉴于该家族在加解密算法中使用了多轮xor运
2023-12-19
一、概述2022年5月,绿盟科技伏影实验室披露了一起名为DarkCasino的大型APT攻击事件,确认了一个活跃且具有较高对抗能力的攻击者并对其进行持续跟踪。随着对该攻击者活动的深入研究,伏影实验室逐步排除了该攻击者与已知黑客组织的联系,确认了其高级持续性威胁性质,并沿用行动名称,将该攻击者命名为D
2023-12-19
团伙背景Lazarus是疑似具有东北亚背景的APT组织,奇安信内部跟踪编号APT-Q-1。该组织因2014年攻击索尼影业开始受到广泛关注,其攻击活动最早可追溯到2007年。Lazarus早期主要针对政府机构,以窃取敏感情报为目的,但自2014年后,开始以全球金融机构、虚拟货币交易场等为目标,进行敛财
2023-12-11
01概述2023年下半年,安天CERT(安全研究与应急处理中心)在日常邮件监测中发现,境外APT攻击组织通过模仿我“慧眼行动”官方组织机构,向相关科研机构发送钓鱼邮件,以附件形式投放特洛伊木马,以实施后续攻击。邮件包含一个压缩包附件,压缩包内为一个构造的可执行文件。该文件基于文件名、图标和与正常文件
2023-12-11
要点 自 2023 年 3 月以来,Proofpoint 研究人员观察到定期的 TA422 (APT28) 网络钓鱼活动,其中威胁行为者利用修补后的漏洞有时向欧洲和北美的目标发送大量活动。 TA422 使用这些漏洞作为针对政府、航空航天、教育、金融、制造和技术部门目标的初始访问权限,可能会泄露用户凭
2023-12-08
概述近期一直在跟踪众多勒索软件的分发商,我们在今年四月份曾详细披露过Conti勒索软件和Quantum勒索软件的运营商Karakurt Group针对我国OT单位的攻击活动,报告发布后该团伙在国内的活动骤减,但仍然在使用exchange漏洞入侵一些金融公司并进行横向移动,我们已经给对应的客户发出了相
2023-12-06
1. 背景概述移动威胁情报团队在日常狩猎活动中发现伪装成MoviesWatch的恶意样本攻击活动,该样本基于DogRat开源间谍木马V3版本开发而来,并在DogRat木马的基础上削减了恶意功能模块且攻击者能够直接下达远控指令,以降低受害者的警惕性。一旦安装,样本会窃取受害设备的通讯录、短信、图片、录
2023-12-06
APT-C-28(ScarCruft)APT-C-28(ScarCruft)亦被称为APT37(Reaper)、Group123等,是一个来自朝鲜半岛的APT组织。该组织自被披露以来,其攻击活动一直持续至今,并维持着较高的活跃度。APT-C-28的主要目标是韩国等亚洲国家,且在多个领域开展网络间谍活
2023-12-06
1. 概述据称受到朝鲜支持的 Kimsuky 威胁组织自 2013 年以来一直活跃。最初是针对韩国涉朝研究机构进行的攻击,2014年确认了针对韩国能源机构的攻击,自2017年起也确认了针对韩国以外国家的攻击。主要通过鱼叉式网络钓鱼攻击攻击国防、军工、媒体、外交、政府机构、学术领域,旨在窃取组织内部信
2023-12-06
近期,火绒威胁情报系统监测到一种针对Linux系统的后门型病毒,经排查分析后,确定其与HelloBot家族有关。HelloBot是一个针对Linux系统的恶意软件家族,执行远程控制受害者计算机等恶意活动,因其配置测试中输出“hello world”而得名。该病毒自2019年被披露后,被多个犯罪团伙和
2023-12-01
受影响的平台:运行 5.15.16、5.16.7、5.17.6 和 5.18.3 之前版本的 Apache Active MQ 的任何操作系统受影响方:任何组织影响:远程攻击者获得对易受攻击的系统的控制严重级别:严重去年 10 月,Apache 发布了一份针对 CVE-2023-46604 的重要公
2023-12-01
针对 macOS 的与朝鲜结盟的威胁行为者在 2023 年度过了忙碌的一年,迄今为止发生了两项主要活动:RustBucket 和 KandyKorn。最初的RustBucket活动使用了名为“SwiftLoader”的第二阶段恶意软件,该恶意软件在外部充当 PDF 查看器,用于发送到目标的诱饵文档。
2023-11-30
主要发现Check Point Research 正在积极跟踪 SysJoker 的演变,这是一个先前未公开的多平台后门,我们评估它被哈马斯附属的 APT 用于针对以色列。其中最显着的变化是转向 Rust 语言,这表明恶意软件代码被完全重写,同时仍然保持类似的功能。此外,攻击者转而使用 OneDri
2023-11-30
团伙背景摩诃草,又名Patchwork、白象、Hangover、Dropping Elephant等,奇安信内部跟踪编号APT-Q-36。该组织被普遍认为具有南亚地区背景,其最早攻击活动可追溯到2009年11月,已持续活跃10余年。该组织主要针对亚洲地区的国家进行网络间谍活动,攻击目标包括政府、军事
2023-11-29
要点Cyble 研究与情报实验室 (CRIL) 最近发现了一个名为 Persian Remote World 的网站,该网站从事销售各种恶意工具。Persian Remote World 提供了广泛的恶意工具,包括远程访问木马 (RAT)、加载程序和加密程序。网站开发人员以不同的订阅模式以不同的价格
2023-11-29
作为一个加密货币挖矿软件,StripedFly常年隐藏在一个支持Linux和Windows的复杂模块化框架后面。它配备了一个内置的TOR网络隧道,用于与命令控制(C2)服务器通信,同时通过可信服务(如GitLab、GitHub和Bitbucket)运行更新和交付功能,所有这一切都使用自定义加密归档。
2023-11-28
摘要近日,奇安信病毒响应中心移动安全团队监测到一款伪装成叙利亚发展信托基金应用的恶意软件。其为针对叙利亚军人的钓鱼和木马复合式攻击,会窃取受害者隐私信息和社交账号信息。钓鱼页面宣称是叙利亚发展信托基金支持叙利亚军队中英雄的一个新项目,要求填写个人信息和家庭信息,如姓名、电话、军衔、服务地点及妻子姓名
2023-11-28
WordPress 真的安全吗?这可能是许多新用户心中的一个问题,尤其是当他们听说这是一个开源项目时。那么,有没有关于 WordPress 安全性的统计数据可以提供答案呢?事实上,是有的,在这篇文章中,我们试图就这个主题收集尽可能多的有意义的数字。下面,我们将检查有关 WordPress 核心、主题
2023-11-27
受影响的平台: Microsoft Windows受影响的用户: Microsoft Windows影响:远程攻击者获得受感染系统的控制权严重级别:严重FortiGuard 实验室最近发现,在正在进行的 Konni 活动中使用了带有恶意宏的俄语 Word 文档。尽管该文档的创建日期是 9 月,但内部
2023-11-27