APT-C-35 肚脑虫APT-C-35(肚脑虫)组织,又称Donot,是一个针对巴基斯坦、斯里兰卡等印度周边国家政府机构等领域进行网络间谍活动,以窃取敏感信息为主的攻击组织。在对该组织追踪溯源的过程中,我们通过360安全卫士检测到有一批针对巴基斯坦地区的攻击活动,通过对其的跟踪、分析和研判,初步将
2023-11-27
攻击描述山石网科情报中心近期获取了一批挖矿恶意样本。其在受害主机上执行后除了挖矿还会进行漏洞利用、清除其他挖矿进程等活动。分析对比发现这些样本疑似Watchdog挖矿活动脚本。Watchdog攻击团伙最早于2019年被披露,目前仍在活跃中。其常用攻击方式是利用redis漏洞入侵受害主机,随后进行挖矿
2023-11-24
执行摘要过去几个月,中国和菲律宾之间的紧张局势急剧升级。8月初,一艘中国海警船向一艘正在南沙群岛有争议的仁爱礁执行补给任务的菲律宾船只发射水炮。此后,菲律宾宣布与美国联合巡逻,与澳大利亚举行海军演习。据报道,菲律宾海岸警卫队已终止与中国海岸警卫队建立的热线电话,并采取行动拆除中国在有争议的黄岩岛附近
2023-11-24
AhnLab 安全应急响应中心 (ASEC) 在监控 Andariel 威胁组织最近的攻击时,发现了一个攻击案例,其中 Andariel 组织被认为利用 Apache ActiveMQ 远程代码执行漏洞 (CVE-2023-46604) 安装恶意软件。据了解,Andariel 威胁组织主要针对国内公
2023-11-23
Cisco Talos 最近观察到 8Base 进行的活动有所增加,该勒索软件组织使用Phobos 勒索软件的变体和其他公开可用的工具来促进其操作。 该组织的大多数 Phobos 变体都是由后门木马SmokeLoader分发的。这种商品加载器通常在部署时丢弃或下载额外的有效负载。然而,在 8Base
2023-11-23
APT-C-52(焰魔蛇)组织是一个来自南亚的APT组织,主要针对巴基斯坦进行有组织、有计划、针对性的网络攻击行动。该组织攻击活动开始于2021年初,至今仍处于活跃状态。我们获取攻击者服务器泄露的部分数据,受害者主要为巴基斯坦军事人员。APT-C-52(焰魔蛇)组织主要通过Google Play应用
2023-11-22
仅2023年10月28日至11月1日这5天时间,受到攻击的企业达到了数十家,触发告警近万次。1、概述近期,微步情报局监测发现一个针对政府、能源和教育等行业发起 “爆发式”攻击的黑产团伙:仅2023年10月28日至11月1日这5天时间,受到攻击的企业达到了数十家,触发告警近万次。经过对该团伙历史攻击行
2023-11-22
恶意文件名称:AsyncRAT威胁类型:远控木马简单描述:AsyncRAT是一款由C#编写的远控工具,拥有反虚拟化、文件/进程管理、持久化、信息窃取、横向移动等威胁性极高的功能,达到任意操控目标主机的目的。恶意文件描述近期,深盾实验室在运营工作中发现一批通过邮件劫持进行传播的JS恶意样本,该类样本中
2023-11-21
介绍Gamaredon,又称为 Primitive Bear、ACTINIUM 和 Shuckworm,主要目标是乌克兰地区。一般情况下,研究人员很难发现俄罗斯间谍活动的证据,但近期的Gamaredon却明显可疑,其在以乌克兰地区为主要目标进行了大规模的攻击活动。乌克兰安全局 (SSU) 确认 Ga
2023-11-21
ASEC(AhnLab 安全紧急响应中心)最近确认 Phobos 勒索软件正在积极传播。Phobos 勒索软件是一种已知的勒索软件变种,与 Dharma 和 CrySis 勒索软件在技术和操作上有相似之处。它们普遍具有利用暴露在外部作为攻击媒介的安全性较弱的RDP服务进行分发的特点,因此,利用安全性
2023-11-15
AhnLab 安全紧急响应中心 (ASEC) 确认存在包含恶意 URL 的 PDF 文件的分发。当我们检查与 PDF 文件相关的域时,我们可以看到类似的 PDF 文件以 PDF 的形式分发,伪装成特定游戏或程序的破解文件下载。已确认流通的 PDF 文件的部分列表如下。Far-Cry-3-Multip
2023-11-15
攻击描述近期国外攻击者在出售一款名为“BunnyLoader”的恶意软件即服务(Malware-as-a-Service, MaaS)。山石网科情报中心获取了一批恶意样本,分析发现BunnyLoader可窃取包括加密货币钱包地址在内的敏感信息,以及下载执行其他恶意负载,并且攻击者在不断更新提供新的恶
2023-11-15
一、攻击活动分析 在日常的狩猎活动中我们发现APT-C-36组织近期活动中尝试在其惯用的PDF鱼叉钓鱼攻击流中添加Amadey僵尸网络木马。Amadey僵尸网络木马是一个2018年10月左右出现的在俄语黑客论坛上出售的模块化僵尸网络木马,具备内网横移、信息窃取、远程指令执行、脚本执行、DDos攻击
2023-11-15
近期,火绒安全团队发现黑客正通过 MSSQL 暴破进行大规模网络攻击。一旦黑客攻击成功,其不仅可以远控用户电脑进行任意操作,还可以下发 Mallox 勒索和挖矿软件,并且这些软件都经过了多层混淆加密,进一步增加了杀毒软件的检测难度,对用户构成较大的威胁。目前,火绒安全产品可对上述病毒进行拦截查杀,请
2023-11-15
一、概 述近期,启明星辰ADLab捕获到一起以某摄像头公司为目标的攻击活动,该攻击活动所使用的攻击载荷异常复杂,远超寻常攻击。为了查明该攻击来源及其载荷的技术实现,我们对其进行了深入的技术分析和溯源追踪分析。通过分析,我们发现该攻击在多个维度上都采用了高强度的对抗手段以防止被逆向工程,同时采用了多模
2023-11-15
严重性高的分析总结Lazarus APT 是朝鲜最老练的威胁组织之一,至少从 2009 年开始运作。最初,他们主要针对韩国。它最近将重点转向全球目标,并开始发起攻击以获取金钱利益。该攻击者与韩国、美国、日本和其他一些国家的袭击事件有关。Lazarus APT 被怀疑是许多不同活动的幕后黑手,包括网络
2023-11-15
1、简述近期,接到大量Linux系统用户反馈,电脑中的文件被勒索软件加密,被加密后的文件后缀均为.L0CK3D。经分析,这些用户感染的均是隶属于Cerber家族的勒索软件。本轮攻击主要是通过Confluence 数据中心和服务器中的不当授权漏洞进行传播(漏洞编号为CVE-2023-22518)。受该
2023-11-15
近期,火绒威胁情报系统检测到一种新型后门病毒伪装成常用软件,通过Google搜索引擎传播,主要针对中文用户。该病毒利用多种方式对抗杀软查杀,被运行后,黑客会立即控制受害者终端并进行任意恶意行为。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。 以假冒"QQ音乐"为例,在G
2023-10-31
一、概 述近期,启明星辰ADLab捕获到一起以某摄像头公司为目标的攻击活动,该攻击活动所使用的攻击载荷异常复杂,远超寻常攻击。为了查明该攻击来源及其载荷的技术实现,我们对其进行了深入的技术分析和溯源追踪分析。通过分析,我们发现该攻击在多个维度上都采用了高强度的对抗手段以防止被逆向工程,同时采用了多模
2023-10-31
背景近期,深信服深瞻情报实验室在日常的威胁狩猎活动中,发现多个来源为白俄罗斯,俄罗斯的压缩包文件。经过分析发现这些压缩包文件均为精心构造的,利用WinRAR漏洞(CVE-2023-38831)进行恶意攻击的样本。分析攻击者向目标发送钓鱼邮件,邮件带有漏洞利用的压缩包附件,当目标用户使用存在漏洞的Wi
2023-10-30