热点情报
Lazarus组织与3CX供应链事件存在关联
Evasive Panda组织针对国内用户投递恶意软件
盲眼鹰组织针对哥伦比亚政府开展网络钓鱼活动
南亚APT组织Patchwork攻击国内高校和科研单位
APT-LY-1007组织针对俄罗斯军队的攻击活动分析
大量黑客组织利用PaperCut RCE漏洞对全球互联网进行攻击
APT攻击
APT组织Tomiris详情披露
Sidecopy组织新木马行为披露
黑客组织FIN7利用VBR漏洞攻击服务器
Alloy Taurus间谍组织构建PingPull Linux变体
BlueNoroff黑客组织使用RustBucket攻击macos
Charming Kitten组织近期BellaCia恶意软件活动分析
Educated Manticore组织通过部署PowerLess后门瞄准以色列
技术洞察
窃密程序ViperSoftX更新加密方法
RTM Locker勒索软件瞄准Linux系统
基于GoLang的CrossLock勒索软件追踪
攻击者利用Microsoft XLL文件投递Qbot银行木马
Bumblebee恶意软件通过木马化安装程序进行分发
Mirai恶意软件利用TP-Link Archer WiFi路由器漏洞感染用户设备
情报详情
Lazarus组织与3CX供应链事件存在关联
近日,ESET研究人员发现Lazarus存在一个新的针对Linux用户的Operation DreamJob活动。Operation
DreamJob活动中攻击者使用社工技术,伪造新的工作机会来诱骗用户下载恶意软件。此次攻击中,攻击者利用zip文件传递一份虚假的汇丰银行工作机会,以该文件作为诱饵,诱骗用户下载打开,最终利用OpenDrive
云存储账户下发SimplexTea(Linux后门)。研究人员表示,这是Lazarus第一次使用Linux恶意软件。此外,研究人员在进行归因分析时,发现此次恶意软件存在与3CX供应链攻击事件相同的特征,证实Lazarus与3CX供应链攻击事件存在关联。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=aa655de9907647ae874833e1b71ef47d
Evasive Panda组织针对国内用户投递恶意软件
ESET监测到黑客组织Evasive Panda对国内用户投递恶意软件,Evasive
Panda通过未知方法劫持国内正规软件的正规更新渠道,投递MgBot恶意软件。此次攻击的主要目标为甘肃、江苏、广东的用户,据ESET调查发现,主要受害用户为某NGO组织成员。Evasive Panda,别名BRONZE HIGHLAND或者Daggerfly,是一个使用中文的APT组织,自2012年开始活跃,主要针对中国的个人用户实施网络间谍活动,也对东亚国家和东南亚国家的政府实体、组织发起攻击,包含中国、缅甸、越南、菲律宾等国家。该组织使用模块化架构实施自己的自定义恶意软件框架,允许其后门(MgBot)接收模块以监视受害者并增强其功能。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=1e70ad0a9c4b4ddf8dc16e5edca4c4b2
盲眼鹰组织针对哥伦比亚政府开展网络钓鱼活动
近期,360捕获到盲眼鹰(又名APT-C-36)组织针对哥伦比亚的政府机构及实体公司开展了网络钓鱼活动。该组织一如既往地采用鱼叉攻击策略,以PDF文件作为入口点,并通过伪装成哥伦比亚海关局、援助局、国家司法部门,诱导用户点击并下载含有恶意样本的RAR压缩包文件。
其中,压缩包文件名称、诱饵文档名称、伪装信息都是西班牙语(哥伦比亚官方语言),压缩包文件解压后则是伪装成PDF文件图标的VBS脚本。一旦用户点击执行,便将开启一段复杂多阶段的无文件攻击链。即恶意脚本首先会内存加载远端下载的第一阶段DLL,该DLL接着继续内存加载第二阶段DLL。为了隐藏最终恶意代码,第二阶段DLL还会将下载的LimeRAT木马注入到傀儡进程InstallUtil.exe中执行。最后,加载的木马程序与C2服务器建立通信,以实现窃密功能。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=cc321bb539744a4892071003a2d05dc1
南亚APT组织Patchwork攻击国内高校和科研单位
近期,深信服监测到了南亚APT组织Patchwork(又名APT-Q-36)针对国内高校和科研单位的最新攻击动态。其中,Patchwork组织常使用鱼叉攻击对目标进行打点攻击,并且主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,旨在窃取敏感信息,其相关攻击活动最早可以追溯到2009年11月,至今还非常活跃。在针对中国地区的攻击中,该组织主要瞄准政府机构、科研教育领域,并以科研教育领域为主。
在本次攻击活动中,Patchwork组织依旧利用了包含恶意附件的鱼叉式网络钓鱼邮件,邮件内容以职场中的性骚扰事件或项目申报通知为由,引诱用户打开带有密码的压缩包文件。压缩文件中则包含一个恶意lnk文件,用户双击后会执行文件中的powershell命令,主要用于下载名为“OneDrive.exe”的第二阶段远控程序:BADNEWS。该远控将首先获取受感染机器的时区名称,并且只有当时区名称为“China Standard Time”,才会执行后续的恶意操作。此外,经调查分析,Patchwork还加强了BADNEWS的窃密、反分析及反取证能力。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=7344164c8e5a4f2ebb785e706379420a
APT-LY-1007组织针对俄罗斯军队的攻击活动分析
近日,安恒观察到了一起针对俄罗斯军事部队的攻击活动,经研究人员溯源分析发现,该活动由一个未曾被披露的新威胁组织“APT-LY-1007”发起。该组织的攻击样本最早活跃于2022年8月,其目标除俄罗斯国防部外,还包括俄罗斯铁路部门。
本次活动,攻击者首先使用了以俄罗斯联邦武装部队电子部队的专业假期——“电子战专家日”、“推迟征召俄罗斯联邦武装部队的命令”、
“俄罗斯铁路股份公司免除义务征召通知”等主题的诱饵文档以诱导用户点击运行。一旦成功运行,诱饵文档便会通过远程模板注入并执行恶意宏代码,宏代码接着再通过JS代码释放后续的Cyrillic
RAT远控木马。其中,Cyrillic
RAT木马使用了自定义加密算法,具有反沙箱、反分析的特性,且该木马中日志打印功能的代码页被攻击者设置为东欧地区字符集。基于以上攻击特点,研究人员目前推测,APT-LY-1007组织诞生于俄乌网络战时期,主要攻击目的为窃取俄罗斯军事机密,且在半年时间内对攻击武器进行了升级。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=108c492b10714b24a708df7247a006d9
大量黑客组织利用PaperCut RCE漏洞对全球互联网进行攻击
Sophos监测到大量黑客组织利用PaperCut RCE漏洞(CVE-2023-27350)投递远控软件甚至勒索病毒。2023年4月19日,PaperCut发布通告,表示存在该RCE漏洞的在野利用。PaperCut是一个多平台可用的打印管理软件,多为教育行业使用。此次PaperCut RCE漏洞影响全平台的PaperCut MF和NG应用程序,用户需要将软件更新至新版本以免遭受攻击。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=6e4d8c58acb7467f9b8862754d4be3c8
客户案例
CNCERT | 上海网信办 | 国家信息中心 | 国家电网
中国航信 | 中国电子技术标准化研究院 | 青岛税务局
河北省税务局 |中国银行 | 宁夏银行
国家信息技术安全研究中心 | 天津经开区 | ASTRI
华为 | 滴滴出行 | 吉视传媒 | OPPO | 长安汽车
河南电力 | 北京电力 | 浙江电力 | 中国移动
中国电信北京研究院 | 湖南广电 | Green Radar
北京电视台 | 天懋信息 | 核工业计算机应用研究所
上海观安 | 数梦工场 | 重庆银行 | 北京安态