返回 TI 主页

2021-06-09 By 红雨滴团队 | 事件追踪

奇安信威胁情报中心红雨滴安全研究团队多年来持续对南亚次大陆方向的攻击活动进行追踪。我们对魔罗桫组织均做过大量的分析和总结。上述组织长期针对东亚和南亚地区进行了长达数年的网络间谍攻击活动,主要攻击领域为政府机构、军工企业、核能行业、商贸会议、通信运营商、智库期刊、广播电台、新闻媒体等。 本文内容是对魔罗桫组织在2020年的攻击活动做一个总结,并对南亚地区有争议的组织进行梳理,正本清源。在此过程中我们发现了魔罗桫组织使用的新型攻击手法和恶意软件。所涉及的恶意域名和IP均已无法访问。
魔罗桫 APT 南亚

2021-06-08 By 红雨滴团队 | 事件追踪

今年3月,奇安信威胁情报中心捕获到几例利用相关国家外交政策为诱饵的恶意样本。此类样本伪装成大使馆向巴基斯坦委员会的投资回信、建立港口防疫能力等热点信息开展攻击。一旦受害者执行此类恶意样本,初始LNK文件将从远程服务器下载恶意脚本执行,恶意脚本将释放展示正常的诱饵文档以迷惑受害者,并继续从远程服务器获取第二阶段恶意脚本执行。第二阶段恶意脚本中更新了在受害者计算机上部署相关恶意软件的流程,最后通过白加黑的方式加载最终的远程木马,控制受害者机器,从而窃取敏感信息。
SIDEWINDER APT 南亚地区

2021-05-11 By 红雨滴团队 | 事件追踪

Lazarus APT组织是疑似具有东北亚背景的APT团伙,该组织攻击活动最早可追溯到2007年,其早期主要针对韩国、美国等政府机构,以窃取敏感情报为目的。自2014年后,该组织开始针对全球金融机构 、虚拟货币交易所等为目标,进行以敛财为目的的攻击活动。 近日,奇安信红雨滴团队使用内部高价值样本狩猎流程捕获多个Lazarus组织新攻击样本,此类样本以东亚某知名造船厂(大宇造船:Daewoo Shipbuilding)、居民登记表等信息为诱饵,采用bmp文件隐藏RAT的方式进行载荷隐藏。
LAZARUS APT 东亚地区

2021-05-10 By 红雨滴团队 | 事件通告

2021年5月7日,美国最大的燃油管道商Colonial Pipeline遭到勒索软件攻击,由于Colonial Pipeline负责美国东岸多达45%的燃料供应,因此该攻击事件导致该公司暂停了所有的管道作业网络,并于晚间关闭一条主要的燃料传输管道。 2021年5月9日,美国交通部下属的联邦汽车运输安全管理局发布了一份区域紧急状态声明。根据美国交通运输部称,临时给予受影响的 17 个州和华盛顿特区的汽油、柴油、航空燃料和其他成品油的临时运输豁免,以使有关燃料可以通过公路运输,从而减轻Colonial Pipeline输油管道持续关闭的影响。
RANSOM MALWARE DARKSIDE

2021-05-06 By 红雨滴团队 | 事件追踪

Kimsuky,别名Mystery Baby,Baby Coin,Smoke Screen,Black Banshe。是疑似具有东亚国家背景的APT组织,该团伙长期针对韩国政府、新闻机构等目标发起攻击活动。与Konni APT组织存在基础设施重叠等关联性。 近日,奇安信红雨滴团队在日常高价值样本狩猎过程中,捕获多例疑似Kimsuky组织的攻击样本,此次捕获的样本以伪装成文档的恶意脚本文件为主,并以2021外交部驻外公馆服役相关情况调查问卷等为诱饵名,诱导受害者打开查看,一旦脚本被打开执行后,将释放展示正常的文档信息迷惑受害者,同时将释放执行远控木马到计算机执行。
APT KIMSUKY 东亚地区

2021-04-26 By 红雨滴团队 | 专题报告

HW2021实战攻防演练落下帷幕,基于红雨滴云沙箱部署的实战攻击狩猎流程不仅捕获了数百例攻击样本,更首发对内披露了多个顶尖APT级别的攻击行动:“XX核武级别0day、微软二级、四级域名劫持攻击、多个红队人员真实身份溯源分析”等。(对上述内部分析报告感兴趣的用户可联系威胁情报中心获取相关文档,联系邮箱:ti_support@qianxin.com)
SANDBOX HW

2021-03-15 By 红雨滴团队 | 事件追踪

蔓灵花(BITTER)是疑似具有南亚背景的APT组织,该组织长期针对中国,巴基斯坦等国家进行攻击活动,主要针对政府、军工业、电力、核能等单位进行定向攻击,窃取敏感资料。 近日,奇安信威胁情报中心在日常监控过程中发现蔓灵花APT组织开始通过邮箱投递包含有恶意脚本Chm文件的RAR压缩包,对国内外相关单位发起定向攻击,经过遥测此类的攻击行动已经持续两年,我们将其成为operation magichm。 经过溯源,本次攻击活动中蔓灵花采用了与以往截然不同的攻击链,使用.net远控作为节点执行命令或者下发插件,并下发了一个之前从未被披露过的新模块。
BITTER 蔓灵花 APT

2021-03-13 By 红雨滴团队 | 事件追踪

近期,奇安信威胁情报中心红雨滴团队在日常的高级威胁样本挖掘过程中,注意到一起长期针对中东地区的持续性攻击活动:至少从2016年2月活跃至今,该攻击活动背后的组织主要针对Windows端开展攻击。截止目前我们一共捕获到Windows平台攻击样本18个,涉及C&C域名3个。攻击活动具有以下特点:1.主要以带有恶意宏的Word文档,伪装成视频、浏览器等软件的可执行文件为攻击载荷开展攻击活动。2.C&C域名均伪装成microsoft相关,具有较强的迷惑性,其中microsoft[.]updatei[.]com自2016年开始一直沿用至今。3.自2016年2月开始,恶意软件中PDB路径中几乎均带有“mklg”。4.此次攻击活动的针对目标疑似为__以波斯语为主要语言的中东国家__。攻击者所处地理位置大概于东三区东四区附近。5.键盘记录相关功能会将记录的信息转化为波斯语,可见该行动具有较强的针对性。
中东地区 APT

2021-03-11 By 红雨滴团队 | 事件追踪

Donot“肚脑虫”(APT-C-35)是疑似具有南亚背景的APT组织,其主要以周边国家的政府机构为目标进行网络攻击活动,通常以窃取敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力。 近日,奇安信威胁情报中心红雨滴在日常的威胁狩猎发现,Donot APT组织近期攻击频繁。其利用恶意RTF模板注入以及公式编辑漏洞利用样本对周边国家地区开展了多次攻击活动。
DONOT

2021-03-11 By 红雨滴团队 | 技术研究

2021年03月10日,奇安信威胁情报中心监测发现CVE-2021-1732漏洞利用细节及POC已经被公开,故发布该漏洞分析报告。 2021年2月,微软在例行补丁日中修复了一枚在野的Windows 内核提权漏洞:CVE-2021-1732。与此同时,奇安信红雨滴团队在高级威胁狩猎中通过自研的红雨滴沙箱也自动捕获到该在野攻击样本,样本在红雨滴云沙箱上通过选择Windows 10 x64分析环境进行检测,可以准确识别到样本在运行过程中进行了提权攻击,从而最终进入了我们的分析视野。
CVE-2021-1732 SANDBOX

关注我们

奇安信威胁情报中心

分享微信