返回 TI 主页

2022-06-01 By 红雨滴团队 | 事件追踪

摩诃草组织一直以来都是我们的重点关注对象。近期,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了该组织多个攻击样本。在此攻击活动中,攻击者使用带漏洞的RTF文件进行鱼叉攻击,当受害者点击执行诱饵文件之后,将会通过漏洞执行变种BADNEWS木马。
南亚地区 APT 摩诃草

2022-05-16 By 红雨滴团队 | 事件追踪

攻守双方经过多年的对抗后,渐渐催生出了数个高水平的黑客团伙。从2015年至今奇安信威胁情报中心捕获了多个针对博彩行业的RCE 0day攻击活动,国外友商avast在最近发布的龙堡行动一文[4]中捕获了利用wps 0day漏洞针对博彩公司的攻击事件,这表明针对博彩行业的攻击水平不亚于目前主流的APT团伙,但目前每年全球安全类报告涉及博彩的数量少之又少,仍未被友商重视。 金眼狗(奇安信内部跟踪编号APT-Q-27)是一个针对在东南亚从事博彩、狗推相关人员以及海外华人群体的黑客团伙,其业务范围涵盖远控、挖矿、DDOS和流量相关。样本主要在Telegram群组中进行传播,样本免杀效果好,有些诱饵针对性强,且极具诱惑性。 本文我们依然从金眼狗的新活动入手,文末会披露金眼狗团伙所在的Miuuti Group组织。
黑产团伙 金眼狗

2022-05-10 By 红雨滴团队 | 事件追踪

奇安信威胁情报中心在日常威胁发现过程中发现一个专门针对游戏公司、制药行业、区块链、互联网金融、企业财务、运维人员等目标的团伙,盗用了多个公司的白证书,样本大部分使用了VMP壳进行了保护,执行过程中会将带有签名的驱动样本加载入内核对三环的样本提供保护,攻击手法极为高超,具备0day/Nday攻击能力,样本由于带有白签名,全程免杀,较难发现。我们将该团伙对应的编号命名为APT-Q-29。
APT

2022-05-06 By 红雨滴团队 | 事件追踪

近期,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了该组织多个Crimson RAT攻击样本。在此攻击活动中,攻击者使用恶意宏文件进行鱼叉攻击,当受害者点击执行诱饵文件之后,将会在本地释放并执行一个恶意程序,恶意程序就是Transparent Tribe组织自有的远控软件Crimson RAT,在后续关联中,我们还发现了Transparent Tribe组织的USBWorm组件。
南亚地区 APT 透明部落

2022-05-06 By 红雨滴团队 | 事件追踪

Andariel 团伙被韩国金融安全研究所(Korean Financial Security Institute)归属为Lazarus APT组织的下属团体。 该团体主要攻击韩国的组织机构,尤其是金融机构,以获取经济利益和开展网络间谍活动。 近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获到一批与Andariel相关的攻击样本,均为PE可执行文件。根据这批样本上传VT的时间可知相关攻击活动至少从今年2月份开始发起。
东亚地区 APT LAZARUS

2022-05-06 By 红雨滴团队 | 事件追踪

近期,我们观察到一股未知团伙正在利用受Log4j影响的Vmware漏洞在内网中进行漫游,使用GO Simple Tunnel工具建立隧道,使用Psexec尝试投递SystemBC 轻量级后门。经分析,确认与REvil有关。
勒索软件 REVIL

2022-05-06 By 红雨滴团队 | 事件追踪

近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获到了大量针对韩国企业的鱼叉式网络钓鱼攻击样本。其通过带漏洞的文档或chm文件进行感染,并区分当前操作系统位数,执行对应系统位数的宏代码,以达到最佳的攻击效果。经研判,本次攻击活动的特点如下: 1. 初始感染文档均使用CVE-2017-0199远程执行代码漏洞下载后续执行; 2. 后续攻击利用本地RPC接口的UAC Bypass技术进行权限提升; 3. 后续载荷加壳干扰分析,并使用简单手段来检测是否在沙箱中;
东亚地区 APT LAZARUS

2022-05-05 By 红雨滴团队 | 事件追踪

近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获到了盲眼鹰的攻击活动样本。在此攻击活动中,盲眼鹰组织的感染链与之前的攻击活动保持相对一致,使用诱饵PDF作为入口点,诱导受害者点击短链接下载压缩包,解压后点击执行伪装为pdf的VBS脚本,从而开启一个复杂的多阶段无文件感染链。
南美地区 APT 盲眼鹰

2022-03-25 By 红雨滴团队 | 专题报告

2021年,奇安信威胁情报中心首次使用奇安信威胁雷达对境内的APT攻击活动进行了全方位遥感测绘。监测到我国范围内大量IP地址与数十个境外APT组织产生过高危通信,北京地区以及广东、福建、浙江、江苏等沿海省份作为我国政治中心、经济发达地区,是境外APT组织进行网络攻击的主要目标地区。
2021 年度报告 APT

2022-03-23 By 红雨滴团队 | 事件追踪

近日,我们在日常的威胁狩猎中捕获了PROMETHIUM组织伪装成常用压缩软件WinRAR.exe安装包进行情报刺探的攻击活动样本。经研判,本次攻击活动的特点如下: 1. 使用水坑进行攻击,此次攻击样本内嵌WinRAR.exe签名的软件安装包,并使用WinRAR.exe图标伪装自身; 2. 硬编码字符串‘v28_kt32p0’,疑似版本更迭至v28; 3. 收集指定类型文件压缩加密后回传C2服务器;
APT PROMETHIUM

关注我们

奇安信威胁情报中心

分享微信