返回 TI 主页

2019-11-04 By 红雨滴团队 | 事件追踪

Lazarus APT组织是一个长期活跃的组织,因为2014年攻击索尼影业而开始受到广泛关注,该组织早期主要针对韩国,美国等国家的政府机构进行攻击活动,以窃取情报等信息为目的。自2014年后,该组织开始针对全球金融机构,加密交易机构等为目标,进行敛财活动。 近期,奇安信威胁情报中心红雨滴团队在日常的APT样本追踪中,捕获一例利用心理测验为诱饵的Lazarus攻击样本,该样本通过宏释放powershell脚本执行,从而控制受害者计算机。奇安信威胁情报中心通过溯源关联,捕获另一例针对Macos的攻击样本,并在发现此次攻击活动的第一时间通过社交媒体进行预警。
LAZARUS APT

2019-09-30 By 红雨滴团队 | 专题报告

2017年3月7日,维基解密首次在其网站对外曝光了美国中央情报局(CIA)相关资料,并且代号为Vault7[参考链接: 5],并且从当月直至9月7日每周都会对外披露其中一个项目的相关资料内容[4]。在这批泄露资料中,主要涉及其相关网络武器库和行动项目的代号和对应文档介绍,鲜有具体的涉及implant(植入物)的技术实现和利用细节。2017年4月,国外安全厂商赛门铁克和卡巴斯基分别发布了对相关网络武器库的研究报告,其分别命名为Longhorn[1]和The Lamberts[2]。在相关的研究报告中给出了涉及多种网络武器的命名和分类,以及其归属的关联性判断依据等,但涉及实际技术分析的内容依然很少。
CIA APT

2019-09-23 By 红雨滴团队 | 事件追踪

PhpStudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户。 近日,杭州公安报道了一起重大安全事件杭州警方通报打击涉网违法犯罪暨“净网2019”专项行动战果,其中详细说明了一起供应链攻击事件。
PHPSTUDYGHOST

2019-09-18 By 红雨滴团队 | 事件追踪

乌克兰,位于欧洲东部,东接俄罗斯,西欧洲诸国相连。从地缘政治角度来看,这个“桥梁国家”,不断受到俄罗斯与欧洲之间的权力争夺。从历史来看,显而易见,在经过两次大规模“颜 色革命”后,乌克兰经济元气大伤,沦为全欧最穷国。 纵观乌克兰的发展历史,在乌克兰境内发生的网络战争在世界范围内独树一帜,无论是国内反对派的网络攻击,或是邻国的网络攻击,均在不间断的进行中,据外媒报道,乌克兰已经沦为俄罗斯的网络战试验场。 其中,影响力最大的一次网络攻击事件,时至今日仍然活在各类文章引用中的经典攻击案例,莫属二次乌克兰断电事件。而本文将结合最新线索,回顾并分析该典型网络战役背后的真实目的。
乌克兰 网络战 二次断电

2019-09-10 By 红雨滴团队 | 事件追踪

Donot“肚脑虫”(APT-C-35)是疑似具有南亚背景的APT组织,由奇安信威胁情报中心红雨滴团队(@RedDrip7)持续跟踪发现并命名,其主要针对巴基斯坦等南亚地区国家进行网络间谍活动。 该APT组织主要针对政府机构等领域进行攻击,以窃取敏感信息为主要目的。该APT组织除了以携带Office漏洞或者恶意宏的鱼叉邮件进行恶意代码的传播之外,还格外擅长利用安卓APK进行恶意代码传播。
DONOT APT

2019-09-02 By 红雨滴团队 | 事件追踪

近日,奇安信威胁情报中心在发布《Gorgon黑客组织再显新招:通过在线网盘发起“三重奏”攻击》https://mp.weixin.qq.com/s/7PlBz6j8ATFsKUOUYhfyjw的分析报告后,在对该南亚组织的进一步追踪发现,该组织除了使用Blogspot+pastebin的在线网盘获取木马payload的模式进行攻击外,其还会使用DropBox下载Payload,从伪装的MP3或JPG文件获取最终木马的方式进行攻击。
GORGON APT

2019-08-26 By 红雨滴团队 | 事件追踪

Recently, an XLSM decoy document is captured by the RedDrip team of QiAnXin Threat Intelligence Center by utilizing public intelligence. After taking a deeper analysis, we figure out that the C2 configurations are located on Github and Feed43. Multiple Github spaces have been exposed through correlation analysis and the earliest one could trace back to July 2018. The relevant accounts were still in use when the report was completed.
APT-C-09

2019-08-26 By 红雨滴团队 | 事件追踪

近期,奇安信威胁情报中心红雨滴团队利用公开情报发现一个摩诃草团伙的XLSM诱饵文档样本,经过分析发现其载荷主要通过 Github 和 Feed43获取加密的 C&C 配置。通过关联分析我们找到了更多被摩诃草利用的 Github 地址,最早可以追溯到2018年7月,并且截至报告完成时,相关账号依然在使用。 本文主要对Github上配置文件的解密算法分析和通过解密的数据总结出攻击者的一些活动特征。
APT 摩诃草

2019-08-19 By 红雨滴团队 | 事件追踪

医疗卫生行业令人尊敬,它是患者寄托生死大任的职业,无论是医院,卫生院,医疗器械,药店等等,你都把自己的健康和生命交给了它。而一些恶魔,却将犯罪之手伸向了这片圣洁之地,殊不知其呱呱坠地之时,同样来自医院之劳,忘其恩也罢,却损其利,将成千上万病人病例、药方、学术报告等重要医疗卫生资料通过恶意计算机病毒加密成一个不可查看文件,并以此勒索医院,交赎金还原文件。 奇安信威胁情报中心一直对此类犯罪活动表示谴责,并持续与这类勒索软件攻击的黑产团伙进行对抗。今年以来,奇安信安全服务团队在全国各地执行了大量医疗卫生行业大大小小的勒索攻击应急响应案例统计发现, 90%均为黑产团伙针对医院、药业、医疗器械的定向攻击行为。鉴于许多医疗卫生行业的网络安全防护措施并未健全,人员的安全意识的有待加强,因此在被定向攻击的时候,往往造成不可挽回的损失。
医疗卫生 勒索攻击

2019-08-08 By 红雨滴团队 | 事件追踪

2019年7月10日,在微软7月补丁发放的第一天,eset发布文章“windows-zero-day-cve-2019-1132-exploit”披露了APT团伙buhtrap使用windows 0day CVE-2019-1132进行攻击的一次在野活动,之后SHIVAM TRIVEDI于7月25对外放出了该漏洞相关的exp利用,本文针对该漏洞及buhtrap攻击使用的样本进行分析,以便于大众了解buhtrap这个在国内鲜为人知的APT团伙。 Buhtrap是一个常年针对俄罗斯金融企业相关的攻击团伙,其2014年就开始了相关的活动,而这也是buhtrap的第一次0day攻击活动,但是实际上早在2016年3月GROUP IB就针对buhtrap发布了文章“BUTHRAP The evolution of targeted attacks against financial institutions”,如下图所示就是GROUP IB总结的Buhtrap在2014年,2015年两年内的战绩。
BUHTRAP CVE-2019-1132

关注我们

奇安信威胁情报中心

分享微信