返回 TI 主页

2022-01-18 By 红雨滴团队 | 事件追踪

近日,红雨滴团队研究人员在日常威胁狩猎中再次捕获到一例针对Linux平台的攻击样本。与上次不同的是,此次捕获样本由Go语言编写而不是Python,该样本功能较为单一,仅实现了对目标受害者主机目录的扫描和窃取。遗憾的是,由于C2失效,我们没有获取到完整的攻击链,以及更深入的研究分析。
南亚地区 APT SIDECOPY

2022-01-17 By 红雨滴团队 | 事件追踪

奇安信威胁情报中心红雨滴团队一直致力于追踪全球各大APT组织的攻击活动,其中MuddyWater也是我们的重点关注对象。该组织于2017年2月被Unit42披露并命名,现业界普遍认为MuddyWater 是中东地区某国家情报和安全部 (MOIS) 的下属部门,其主要针对中东国家,也针对欧洲和北美国家。 MuddyWater组织的攻击通常始于向组织发送有针对性的电子邮件,然后从该组织内受感染的系统中窃取合法文件,然后将其武器化并分发给其他受害者。其攻击特点是善于使用高度混淆的PowerShell后门POWERSTATS。MuddyWater自被披露以来一直活跃,不断有安全公司披露相关新样本及其后门新变种,其攻击TTP也在不断更新。 本文将对近期MuddyWater的攻击战术进行分析,并还原MuddyWater在全球范围内使用的PowGoop变种木马攻击链。
中东地区 APT MUDDYWATER

2021-12-23 By 红雨滴团队 | 事件追踪

近日,奇安信威胁情报中心红雨滴在日常的威胁狩猎捕获一起 Donot APT 组织近期疑似针对孟加拉国攻击活动,在此攻击活动中,攻击者主要以”孟加拉国职业大学2021年电子工程专业演示文稿”为主题,将PPT诱饵文件通过钓鱼邮件发送给受害者。当受害者打开诱饵文件并执行宏后,会上传计算机和用户基本信息到远程服务器,并下载后续攻击模块到本地执行。
南亚地区 APT DONOT

2021-12-21 By 红雨滴团队 | 事件追踪

双尾蝎组织具有Windows和Android双平台攻击武器,且仅Windows平台恶意代码就丰富多变,具有多种语言编译的后门。近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了该组织以Python构建的攻击样本,该类样本最早由国外厂商发现并命名为PyMICROPSIA。
中东地区 APT 双尾蝎

2021-12-20 By 红雨滴团队 | 事件追踪

近日,奇安信威胁情报中心在日常样本分析研判中捕获到多个以印度国防参谋长坠机相关事件为诱饵的攻击文档。当地时间12月8日,印度国防参谋长乘坐一架军用直升机在南部泰米尔纳德邦坠机身亡。此事件也迅速在网络上发酵传播,攻击者利用此类相关事件作为诱饵文档并在文档里利用远程模板注入功能,将含有恶意DDE域代码的文档文件进行远程加载并执行恶意代码下载后续。
南亚地区 APT SIDECOPY

2021-12-16 By 红雨滴团队 | 事件追踪

近日,奇安信红雨滴团队在日常样本狩猎过程中捕获到一批使用了与海莲花(OceanLotus)APT组织相似代码混淆方法的攻击样本。此类样本借助Word程序的DLL侧加载执行恶意代码,代码混淆也采用了海莲花组织曾使用过的方法。基于上述相似性,一些安全研究者在这些样本上传到VT后将其归属于海莲花组织。经过红雨滴团队研究人员的研判分析,这些样本具体的攻击流程与海莲花过往活动使用的攻击手法存在明显差异,与海莲花的关联性较弱,暂不能归属到任何APT攻击团伙。
APT

2021-11-30 By 红雨滴团队 | 事件追踪

近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了该组织伪装成常用文本编辑器Notepad++安装包进行情报刺探的攻击活样本,本次攻击活动的特点如下: 1. 此次攻击活动的初始阶段仍为水坑攻击,攻击样本内嵌Notepad++签名的最新软件安装包,并使用Notepad++安装包图标伪装自身; 2. 本次捕获到的样本将注册为服务实现持久化; 3. 使用突破会话隔离的技术创建进程; 4. 通过隐藏窗口实现键盘记录器,提高隐蔽性。
APT

2021-11-29 By 红雨滴团队 | 事件追踪

奇安信威胁情报中心在日常威胁发现过程中发现一个专门针对贸易行业进行攻击的团伙,主要目的为获取情报,攻击手段较为单一,发送带有恶意lnk文件的钓鱼邮件进行传播,今年以来较为活跃,我们将其命名为APT-Q-12。
APT APT-Q-12

2021-11-26 By 红雨滴团队 | 事件追踪

近日,奇安信威胁情报中心红雨滴团队在日常的威胁狩猎中捕获了该组织以巴勒斯坦地区选举话题为诱饵的攻击样本,本次攻击活动的特点如下: 1. 此次攻击样本使用Delphi语言编写,并以WORD文档图标伪装自身; 2. 此次攻击活动针对巴勒斯坦地区,以该地区热点事件为诱饵进行攻击; 3. 经研究人员分析发现,该组织已将此类样本工具化,只需简单修改配置即可发起批量攻击。
中东地区 APT APT-Q-63

2021-11-25 By 红雨滴团队 | 事件追踪

近日,奇安信威胁情报中心红雨滴团队捕获到一例样本,经分析为MuddyWater早期的样本,属于老样本新上传,鉴于POWERSTATS后门一直保持着较好的免杀效果,本文将对MuddyWater早期的攻击武器及攻击手法做一个剖析。
中东地区 APT MUDDYWATER

关注我们

奇安信威胁情报中心

分享微信