返回 TI 主页

2021-09-07 By 红雨滴团队 | 事件追踪

近日,奇安信红雨滴团队使用内部高价值样本狩猎流程捕获多个Lazarus组织新的攻击样本,相关攻击活动具有以下特征: 1. 本次鱼叉式网络攻击活动中,攻击目标包括区块链与石油天然气等行业,使用了zip打包Lnk后缀文件或和诱饵文件。 2. Lnk文件使用了的伪装后缀包括txt、pdf、docx等,运行后打开谷歌云盘的诱饵文件或自释放诱饵文件,并同时加载具有后门功能的恶意js代码,将恶意Lnk文件写入到%startup%文件夹中。 3. 近期捕获的诱饵样本标题包括Security Bugs in rigs.zip(钻机安全漏洞),SALT Lending Opportunities.zip (SALT Lenging工作机会),New Development Guidelines.zip (新发展指南),Blockchain Intelligence Group Opportunities.docx.lnk(区块链智囊团工作机会),JP Morgan Chase Job Opportunities.pdf.lnk(摩根大通工作机会)。涉及的企业包括J.P.摩根大通、SALT Lenging等。
东亚地区 APT LAZARUS

2021-09-06 By 红雨滴团队 | 事件追踪

近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了该组织多起攻击样本,捕获的样本包括伪装成政治热点、教育相关的可执行文件诱饵,以及伪装成微软图像处理设备控制面板程序\(ImagingDevices\.exe\),此类样本运行后,将会释放展示正常的诱饵以迷惑受害者,同时后门将继续在后台运行以窃取受害者计算机敏感信息。
中东地区 APT APT-Q-63

2021-09-02 By 红雨滴团队 | 安全观点

Qi An Xin is excited to partner with PolySwarm to continue to innovate.
RAS POLYSWARM

2021-08-31 By 红雨滴团队 | 事件追踪

近日,奇安信威胁情报中心在日常威胁狩猎中已检测到多起以新冠疫苗为主题的攻击活动。攻击者大多使用投递邮件的方式,向用户发送恶意构造的诱饵文件欺骗用户点击,恶意文件类型多种多样,其中包括但不限于EXE、MS Office 宏文档、漏洞文档、LNK文件、VBS 脚本、PowerShell 脚本等。本文将对其中一起疑似具有俄语背景的未知团伙以<COVID-19疫苗副作用>为诱饵针对沙特地区的攻击活动进行分析,并详细阐述此次攻击的加载流程和代码细节。
东欧地区 APT COVID-19

2021-08-30 By 红雨滴团队 | 事件追踪

海莲花(OceanLotus)是一个据称东南亚背景的APT组织。该组织最早于2015年5月被天眼实验室披露并命名,其攻击活动最早可追溯到2012 年4月,攻击目标包括人权代表、异见人士、媒体、银行、海事机构、海域建设部门、科研院所和航运企业,后扩展到几乎所有重要的组织机构,受害区域涉及东亚、东南亚、欧洲等地区,持续活跃至今。 本文内容是对海莲花组织在过去一段时间内攻击手法做一个粗略的回顾,不讨论受害单位,报告中涉及的恶意域名和跳板均已无法访问。
东南亚地区 APT 海莲花 OCEANLOTUS

2021-08-25 By 红雨滴团队 | 事件追踪

印度和巴基斯坦同属于南亚地区,由于历史原因,半个多世纪以来,两国关系一直较为紧张。双方武装冲突几乎从未中断,而网络被认为是政治的延伸领域,两国之间的网络冲突也异常激烈。 近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎发现了一起以“CSD hire 八月购买清单”为诱饵主题针对南亚地区的攻击活动。
南亚地区 APT

2021-08-23 By 红雨滴团队 | 专题报告

2021年上半年以来,被曝光的APT组织使用的在野0day漏洞数量陡然剧增,出现的频次之高历年罕见,且受影响的平台均为具有垄断地位市场份额的系统和产品。包括微软公司操作系统、Windows Defender反病毒套件、微软Exchange,主流浏览器产品Chrome、Firefox,主流手机操作系统Android、IOS,以及PDF阅读器Adobe Reader等等。 除却在野0day漏洞在网络世界中大放异彩外,国际上的冲突也导致网络世界战争不断,如乌克兰东部顿巴斯地区冲突加剧导致幕后势力双方通过网络攻击窃取情报,中东地区就核问题爆发激烈网络战争等等。
2021 年度报告 APT

2021-08-23 By 移动安全团队 | 事件追踪

黄金鼠组织(APT-C-27)属于中东某国家电子军的其中一个分支,自2014年起,其对叙利亚地区展开了有组织、有计划、有针对性的长期不间断攻击。其攻击涵盖Android和Windows两大平台,通常利用社交网络和钓鱼网址等方式进行开展攻击。 2021年8月,奇安信病毒响应中心移动安全团队在高级威胁追踪中发现来自中东地区的黄金鼠APT组织在今年4月进行的一场攻击活动中,利用VPN相关钓鱼网站投入了移动端新型RAT,由于该RAT是首款被发现到的使用Flutter开发的高级威胁样本,研究人员将其命名为FlutterSpy家族。
APT-C-27 APT

2021-08-05 By 红雨滴团队 | 事件追踪

Transparent Tribe组织为Proofpoint于2016年2月被披露并命名的组织,也称为C\-Major、ProjectM,是一个具有南亚背景的APT组织。该组织的主要攻击目标为印度政府、军队或相关组织,其利用社会工程学进行鱼叉攻击,向目标投递带有VBA的doc、xls文档,执行诱饵文档中的宏代码释放执行CrimsonRAT、PeppyRAT,窃取相关敏感资料信息。 近日,奇安信威胁情报中心红雨滴在日常的威胁狩猎发现,Transparent Tribe针对南亚地区的攻击活动近期主要以国防部会议、军事材料等为主题。
TRANSPARENT TRIBE APT 南亚地区

2021-07-27 By 移动安全团队 | 事件追踪

2021年7月,奇安信病毒响应中心移动安全团队关注到自2020年11月起至今,一个未知的APT组织针对巴基斯坦用户展开了有组织、有计划、针对性的长期监控活动。该组织一般利用钓鱼网站进行载荷投递。其攻击平台主要为Android,攻击目标主要锁定为巴基斯坦用户及巴基斯坦TLP政党。截止目前我们一共捕获到Android平台攻击样本15个,涉及的C&C有2个。
APT 艾叶豹

关注我们

奇安信威胁情报中心

分享微信