返回 TI 主页

2023-01-18 By 红雨滴团队 | 事件追踪

In early January 2023, QiAnXin's Threat Intelligence Center threat monitoring system monitored a botnet activity incident. After analyzing the botnet, which belongs to the previously disclosed botnet family Rapper, the structure of the new version of the sample found in this incident was significantly different from the previously disclosed sample, and analysts found that attackers behind this incident started to use xmrig for mining activities.
BOTNET RAPPE MINING

2023-01-18 By 红雨滴团队 | 事件追踪

2023年1月初,奇安信威胁情报中心威胁监控系统监测到一起僵尸网络活动事件,经过分析该僵尸网络属于曾被披露过的僵尸网络家族 Rapper ,此次事件中所发现的新版样本的结构与此前披露的样本有较大区别,同时分析人员发现该团伙开始利用 xmrig 进行挖矿活动。
僵尸网络 RAPPER 挖矿

2023-01-17 By 红雨滴团队 | 事件追踪

When combing through the recently uploaded vhdx files we found that from September to December 2022, Kasablanka group is suspected of attacking Russia, and its targets include the Russian Federal Government Cooperation Agency, the Ministry of Foreign Communications of the Astrakhan Region of Russia, etc., and the detection rate of some samples is always 0. Analyzing and organizing the captured samples, the Kasablanka group used a socially engineered phishing email as the entry point for the attack, with a virtual disk image file attached, which nested a variety of next-stage payload executions including lnk files, zip packages, and executables. In the early stages of the attack the final execution was the commercial Trojan Warzone RAT, in the later stages of the attack we observed that the executed Trojan changed to Loda RAT.
KASABLANKA APT THE MIDDLE EAST

2023-01-17 By 红雨滴团队 | 事件追踪

在2022年9月至12月,疑似Kasablanka组织一直对俄罗斯进行攻击,其攻击对象包括俄罗斯联邦政府合作署、俄罗斯阿斯特拉罕州对外通信部等,并且部分样本查杀率一直为0。 对捕获的样本进行分析整理,Kasablanka组织通过社会工程学处理后的鱼叉邮件为入口进行攻击,附件为虚拟磁盘映像文件,里面嵌套了包括lnk文件、压缩包、可执行文件等多种下阶段载荷的执行文件。在攻击初期最终执行的是商业木马Warzone RAT,在攻击后期研究人员观察到执行的木马变成了Loda RAT。
KASABLANKA APT 中东地区

2023-01-16 By 红雨滴团队 | 技术研究

QiAnXin Threat Intelligence Center has also conducted long-term monitoring of DDoS attack activities around the world. This article sorts out the attack activities of the Russian and Ukrainian camps targeting important targets in the fourth quarter of 2022, and conducts in-depth analysis of individual cases.
DDOS RUSSIA-UKRAINE WAR

2022-12-28 By 奇安信威胁情报中心 | 事件追踪

RedGoBot 核心样本由 Go 语言编写,当前样本由 Go 1.18.8 编译,目前支持 11 种 DDoS 攻击方式,并且样本内部集成了暴破 Telnet 服务来传播的能力。根据我们的回溯分析,ReGoBot 历史上有过 3 波传播,样本层面也有过两次明显的变动。虽然目前为止 RedGoBot 的传播量还不是很大,但我们已经看到它在尝试下发 DDoS 攻击指令来测试攻击效果。
僵尸网络 REDGOBOT

2022-12-28 By 奇安信威胁情报中心 | 事件追踪

2022 年 11 月初,奇安信威胁情报中心威胁监控系统监测到一起未知家族恶意样本传播事件。经过我们分析,捕获的恶意样本借鉴了 Mirai 和 Gafgyt 家族的恶意代码,支持多种自己命名的 DDoS 攻击方式,可以通过 Telnet 服务弱口令暴破传播,同时还集成了与 Omni 家族相似的多个漏洞 Exp ,目前正在网上快速传播。根据攻击者创建的特殊文件夹名称,我们把这个家族命名为 RobinBot。
僵尸网络 ROBINBOT

2022-12-28 By 红雨滴团队 | 事件追踪

Miuuti Group是一个针对博彩行业的攻击组,人员组成复杂,具有很强的流动性,可能与已知组织存在重叠,从2015年至今使用了多个通讯软件0day漏洞。最近几年,我们捕获到两个相同类型的0day漏洞。 其中,一个漏洞出现在远端客服软件网页版的访客姓名栏中,由于其未对“<>”进行过滤,这导致了跨站漏洞的产生。该软件使用Electron一个基于 Chrominum 和 Node.js 的跨平台桌面应用框架来进行开发,一旦出现上述xss的问题则会导致Native层的js代码执行漏洞。另一款聊天软件也是基于Electron框架来实现前后端交互,第二个漏洞则主要是通过聊天的方式触发的,攻击者通过给受害者发送精心构造的payload,受害者收到攻击者发送的聊天内容后,该软件会在前台加载攻击者构造的js代码,调用和native交互的API从而在本地执行任意命令。
黑产 MIUUTI GROUP

2022-12-28 By 红雨滴团队 | 事件追踪

近期,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了响尾蛇组织多个攻击样本。该类样本使用与巴基斯坦相关的学校或者军队为诱饵进行鱼叉攻击,其攻击技战法(TTP)均使用了DotNetToJScript工具生成JS代码来加载.net程序。在近期的攻击活动中,我们总结了响尾蛇组织的攻击手段特点: (1)擅用社会工程学,使用更贴切的诱饵,诱饵甚至来自真实文件; (2)多阶段下载,并对后续载荷进行混淆处理; (3)使用轻量级远程Shell后门,甚至被曝光后仍继续使用相关C2。
南亚地区 APT 响尾蛇

2022-12-23 By 红雨滴团队 | 事件追踪

近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中便发现Lazarus组织最新的0杀软查杀攻击样本,样本为VHD(虚拟磁盘映像)文件,以日本瑞穗银行(Mizuho Bank)的招聘信息为诱饵进行攻击。
东亚地区 APT LAZARUS

关注我们

奇安信威胁情报中心

分享微信