返回 TI 主页

2022-07-25 By 红雨滴团队 | 事件追踪

近期,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了Kimsuky组织多个鱼叉式钓鱼攻击样本。攻击使用多个诱饵话题进行攻击,例如“第20届脱北者咨询委员会意见收集“、”文化体育观光部韩国政策广播院节目邀请“等话题。在此攻击活动中,攻击者使用带恶意ole对象的hwp文件进行鱼叉攻击,当受害者点击执行诱饵文件之后,将会展示一个提示内容,诱导用户进行交互,以达到执行恶意载荷的目的。从此次Kimsuky的攻击活动中,我们总结出该组织的攻击手段具有以下特点: 1. 通过执行hwp文档中的OLE对象,将shellcode注入正常程序来执行后续操作; 2. Kimsuky组织拓宽武器库,使用MSF生成Shellcode; 3. 后续载荷均未落地,以无文件运行方式躲避杀软查杀;
东亚地区 APT KIMSUKY

2022-07-22 By 红雨滴团队 | 事件追踪

奇安信威胁情报中心曾在2021年曾经发表过《Operation Magichm:浅谈蔓灵花组织的CHM文件投放与后续操作》一文,时隔一年我们发现蔓灵花团伙(APT-Q-37)在四月份最新的攻击活动中使用了新的攻击手法和样本,除此之外文末还会对摩耶象(APT-Q-41)近期的钓鱼活动和响尾蛇(APT-Q-39)今年以来的基础设施进行分享。 从南亚方向近两年的攻击活动来看,各个组织仍然处于“吃老本”的状态,没有推陈出新的倾向,存在针对11882和8570等古董漏洞的路径依赖,在木马免杀方向也非常不理想,往往被天擎查杀四五次后还未到达免杀状态。这令我们感到失望。我们推测产生这种现象的原因可能与南亚地区的安全环境有关。 与之前的文章类似,本文内容也仅仅是对在过去一段时间内攻击手法做一个分享。文末会分享相关组织历史或未启用的基础设施。
南亚地区 APT 蔓灵花 摩耶象 响尾蛇

2022-07-20 By 红雨滴团队 | 技术研究

近期,安全社区通过VirusTotal发现一个通过Office远程加载特性访问HTML页面进而利用ms-msdt协议在Word文档中执行恶意PowerShell的0day漏洞利用文档。其实该漏洞早在4月12日就已经被相关安全人员通过VT发现并提交给微软,其利用上和去年的CVE-2021-40444有很多相似之处,通过OLE的方式远程拉取一个恶意HTML,该HTML中通过msdt协议绕过了Office自带的保护视图。后续通过分析发现微软实际上之前已经尝试修复该问题,但是依旧存在rtf文件格式的绕过,最后通过msdt协议中的一处powershell注入导致最终的代码执行。
CVE-2022-30190

2022-07-20 By 红雨滴团队 | 事件追踪

近日,奇安信红雨滴团队在日常高价值样本狩猎过程中,捕获到疑似一批SideWinder组织Android端攻击样本。根据红雨滴研究人员跟踪分析,此次的攻击活动有如下特点: 1. 样本托管在Google Play商店,伪装成Secure VPN(VPN加密通信软件)、Supereme Allah、Z Cleaner(手机清理软件)、Secure browser(浏览器软件),安装人数超过1K+。 2. C2地址隐蔽性增强,包括硬编码在样本中、加密保存在google play安装链接参数中、通过firebase后台下发C2。
南亚地区 APT 响尾蛇

2022-06-01 By 红雨滴团队 | 事件追踪

摩诃草组织一直以来都是我们的重点关注对象。近期,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了该组织多个攻击样本。在此攻击活动中,攻击者使用带漏洞的RTF文件进行鱼叉攻击,当受害者点击执行诱饵文件之后,将会通过漏洞执行变种BADNEWS木马。
南亚地区 APT 摩诃草

2022-05-16 By 红雨滴团队 | 事件追踪

攻守双方经过多年的对抗后,渐渐催生出了数个高水平的黑客团伙。从2015年至今奇安信威胁情报中心捕获了多个针对博彩行业的RCE 0day攻击活动,国外友商avast在最近发布的龙堡行动一文[4]中捕获了利用wps 0day漏洞针对博彩公司的攻击事件,这表明针对博彩行业的攻击水平不亚于目前主流的APT团伙,但目前每年全球安全类报告涉及博彩的数量少之又少,仍未被友商重视。 金眼狗(奇安信内部跟踪编号APT-Q-27)是一个针对在东南亚从事博彩、狗推相关人员以及海外华人群体的黑客团伙,其业务范围涵盖远控、挖矿、DDOS和流量相关。样本主要在Telegram群组中进行传播,样本免杀效果好,有些诱饵针对性强,且极具诱惑性。 本文我们依然从金眼狗的新活动入手,文末会披露金眼狗团伙所在的Miuuti Group组织。
黑产团伙 金眼狗

2022-05-10 By 红雨滴团队 | 事件追踪

奇安信威胁情报中心在日常威胁发现过程中发现一个专门针对游戏公司、制药行业、区块链、互联网金融、企业财务、运维人员等目标的团伙,盗用了多个公司的白证书,样本大部分使用了VMP壳进行了保护,执行过程中会将带有签名的驱动样本加载入内核对三环的样本提供保护,攻击手法极为高超,具备0day/Nday攻击能力,样本由于带有白签名,全程免杀,较难发现。我们将该团伙对应的编号命名为APT-Q-29。
APT

2022-05-06 By 红雨滴团队 | 事件追踪

近期,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了该组织多个Crimson RAT攻击样本。在此攻击活动中,攻击者使用恶意宏文件进行鱼叉攻击,当受害者点击执行诱饵文件之后,将会在本地释放并执行一个恶意程序,恶意程序就是Transparent Tribe组织自有的远控软件Crimson RAT,在后续关联中,我们还发现了Transparent Tribe组织的USBWorm组件。
南亚地区 APT 透明部落

2022-05-06 By 红雨滴团队 | 事件追踪

Andariel 团伙被韩国金融安全研究所(Korean Financial Security Institute)归属为Lazarus APT组织的下属团体。 该团体主要攻击韩国的组织机构,尤其是金融机构,以获取经济利益和开展网络间谍活动。 近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获到一批与Andariel相关的攻击样本,均为PE可执行文件。根据这批样本上传VT的时间可知相关攻击活动至少从今年2月份开始发起。
东亚地区 APT LAZARUS

2022-05-06 By 红雨滴团队 | 事件追踪

近期,我们观察到一股未知团伙正在利用受Log4j影响的Vmware漏洞在内网中进行漫游,使用GO Simple Tunnel工具建立隧道,使用Psexec尝试投递SystemBC 轻量级后门。经分析,确认与REvil有关。
勒索软件 REVIL

关注我们

奇安信威胁情报中心

分享微信