返回 TI 主页

2019-09-18 By 红雨滴团队 | 事件追踪

乌克兰,位于欧洲东部,东接俄罗斯,西欧洲诸国相连。从地缘政治角度来看,这个“桥梁国家”,不断受到俄罗斯与欧洲之间的权力争夺。从历史来看,显而易见,在经过两次大规模“颜 色革命”后,乌克兰经济元气大伤,沦为全欧最穷国。 纵观乌克兰的发展历史,在乌克兰境内发生的网络战争在世界范围内独树一帜,无论是国内反对派的网络攻击,或是邻国的网络攻击,均在不间断的进行中,据外媒报道,乌克兰已经沦为俄罗斯的网络战试验场。 其中,影响力最大的一次网络攻击事件,时至今日仍然活在各类文章引用中的经典攻击案例,莫属二次乌克兰断电事件。而本文将结合最新线索,回顾并分析该典型网络战役背后的真实目的。
乌克兰 网络战 二次断电

2019-09-10 By 红雨滴团队 | 事件追踪

Donot“肚脑虫”(APT-C-35)是疑似具有南亚背景的APT组织,由奇安信威胁情报中心红雨滴团队(@RedDrip7)持续跟踪发现并命名,其主要针对巴基斯坦等南亚地区国家进行网络间谍活动。 该APT组织主要针对政府机构等领域进行攻击,以窃取敏感信息为主要目的。该APT组织除了以携带Office漏洞或者恶意宏的鱼叉邮件进行恶意代码的传播之外,还格外擅长利用安卓APK进行恶意代码传播。
DONOT APT

2019-09-02 By 红雨滴团队 | 事件追踪

近日,奇安信威胁情报中心在发布《Gorgon黑客组织再显新招:通过在线网盘发起“三重奏”攻击》https://mp.weixin.qq.com/s/7PlBz6j8ATFsKUOUYhfyjw的分析报告后,在对该南亚组织的进一步追踪发现,该组织除了使用Blogspot+pastebin的在线网盘获取木马payload的模式进行攻击外,其还会使用DropBox下载Payload,从伪装的MP3或JPG文件获取最终木马的方式进行攻击。
GORGON APT

2019-08-26 By 红雨滴团队 | 事件追踪

Recently, an XLSM decoy document is captured by the RedDrip team of QiAnXin Threat Intelligence Center by utilizing public intelligence. After taking a deeper analysis, we figure out that the C2 configurations are located on Github and Feed43. Multiple Github spaces have been exposed through correlation analysis and the earliest one could trace back to July 2018. The relevant accounts were still in use when the report was completed.
APT-C-09

2019-08-26 By 红雨滴团队 | 事件追踪

近期,奇安信威胁情报中心红雨滴团队利用公开情报发现一个摩诃草团伙的XLSM诱饵文档样本,经过分析发现其载荷主要通过 Github 和 Feed43获取加密的 C&C 配置。通过关联分析我们找到了更多被摩诃草利用的 Github 地址,最早可以追溯到2018年7月,并且截至报告完成时,相关账号依然在使用。 本文主要对Github上配置文件的解密算法分析和通过解密的数据总结出攻击者的一些活动特征。
APT 摩诃草

2019-08-19 By 红雨滴团队 | 事件追踪

医疗卫生行业令人尊敬,它是患者寄托生死大任的职业,无论是医院,卫生院,医疗器械,药店等等,你都把自己的健康和生命交给了它。而一些恶魔,却将犯罪之手伸向了这片圣洁之地,殊不知其呱呱坠地之时,同样来自医院之劳,忘其恩也罢,却损其利,将成千上万病人病例、药方、学术报告等重要医疗卫生资料通过恶意计算机病毒加密成一个不可查看文件,并以此勒索医院,交赎金还原文件。 奇安信威胁情报中心一直对此类犯罪活动表示谴责,并持续与这类勒索软件攻击的黑产团伙进行对抗。今年以来,奇安信安全服务团队在全国各地执行了大量医疗卫生行业大大小小的勒索攻击应急响应案例统计发现, 90%均为黑产团伙针对医院、药业、医疗器械的定向攻击行为。鉴于许多医疗卫生行业的网络安全防护措施并未健全,人员的安全意识的有待加强,因此在被定向攻击的时候,往往造成不可挽回的损失。
医疗卫生 勒索攻击

2019-08-08 By 红雨滴团队 | 事件追踪

2019年7月10日,在微软7月补丁发放的第一天,eset发布文章“windows-zero-day-cve-2019-1132-exploit”披露了APT团伙buhtrap使用windows 0day CVE-2019-1132进行攻击的一次在野活动,之后SHIVAM TRIVEDI于7月25对外放出了该漏洞相关的exp利用,本文针对该漏洞及buhtrap攻击使用的样本进行分析,以便于大众了解buhtrap这个在国内鲜为人知的APT团伙。 Buhtrap是一个常年针对俄罗斯金融企业相关的攻击团伙,其2014年就开始了相关的活动,而这也是buhtrap的第一次0day攻击活动,但是实际上早在2016年3月GROUP IB就针对buhtrap发布了文章“BUTHRAP The evolution of targeted attacks against financial institutions”,如下图所示就是GROUP IB总结的Buhtrap在2014年,2015年两年内的战绩。
BUHTRAP CVE-2019-1132

2019-07-31 By 红雨滴团队 | 事件追踪

近日,奇安信威胁情报中心红雨滴团队在日常的样本监测过程中,捕获一例针对乌克兰国家边防卫队伊斯梅尔支队的攻击样本,该样本伪装成乌克兰国家财政局进行鱼叉邮件投递,诱导受害者启用带有恶意宏代码的附件文档。一旦恶意宏代码得以执行,便会在受害者机器上运行PoshAdvisor恶意软件,从而控制受害者计算机。
POSHADVISOR TA555

2019-07-25 By 红雨滴团队 | 事件追踪

近日,奇安信威胁情报中心红雨滴团队在日常的样本监控过程中,发现了一个以微软名称命名的攻击文档,并在随后的关联分析中发现,此次攻击活动疑似来自一个名为Gorgon的攻击组织,而Gorgon是一个被认为来自南亚某国家的攻击组织,PAN公司的Unit42团队将该攻击活动命名为Aggah。 本次活动中涉及的样本,除了使用该活动的招牌手段:Blogspot博客页面隐藏恶意载荷之外,还使用了三层Pastbin嵌套的方式获取最终的载荷。
GORGON AGGAH

2019-07-04 By 红雨滴团队 | 专题报告

奇安信威胁情报中心在 2018 年曾公开发布了两篇全球高级持续性威胁研究总结报告[参考链接: 2 3],其中总结了高级持续性威胁背后的攻击组织在过去一年中的攻击活动和战术技术特点。 如今, 2019 年已经过去一半,我们在对历史活跃 APT 组织近半年的攻击活动情况的持续跟踪过程中,呈现地缘政治特征的国家背景黑客组织作为观察的重点,其实施的网络威胁活动始终穿插在现实的大国政治和军事博弈过程中,网络空间威胁或已成为各国情报机构和军事行动达到其情报获取或破坏目的所依赖的重要手段之一。
APT 2019年中报告

关注我们

奇安信威胁情报中心

分享微信