国产强伦姧在线观看无码,中文字幕99久久亚洲精品,国产精品乱码在线观看,色桃花亚洲天堂视频久久,日韩精品无码观看视频免费

    

    

      


      


      

  





      
  

      
    
      
            
      
        
      北京天融信科技有限公司
      免費會員·4年
      
    
      
	       
    
      
    
      


	
  
      您現(xiàn)在的位置: 首頁> 公司動態(tài)> APT組織攻擊活動及利用跟蹤情報2021年7月24日-7月30日
      
  
      
    
      
        
        
      
          
      
            
      APT組織攻擊活動及利用跟蹤情報2021年7月24日-7月30日
      2023-4-3  閱讀(51)
      
           
      
							
				
				分享:
				
				
						
                
      
          
      
          
      
                     
      本周簡報內容概述
       時間區(qū)間 
      2021年7月24日-7月30日

       APT攻擊事件情報 
      1)Kimsuky APT組織利用blogspot分發(fā)惡意載荷的攻擊活動分析
      2)“幻鼠"組織針對我國的竊密攻擊活動分析
      3)深入調查FIN8攻擊

       APT組織活動情報 
      1)Kimsuky2021年上半年竊密活動總結
      2)艾葉豹組織:針對巴基斯坦用戶的監(jiān)控活動披露
      3)TA456以誘人的社交媒體角色攻擊國防承包商
      4)Praying Mantis威脅角色針對 Windows 面向互聯(lián)網的服務器與惡意軟件

       APT泄露及利用情報
      1)THOR:PKPLUG組織在微軟交換服務器被攻擊期間部署了前所未見的PlugX變體

      01APT攻擊事件情報
      1)Kimsuky APT組織利用blogspot分發(fā)惡意載荷的攻擊活動分析
      情報來源
      https://mp..qq.com/s/BvP00a-33OOmbcdwDkeqeg
      披露時間
      摘要
      近期,國內安全廠商捕獲到多例疑似Kimsuky組織的攻擊樣本。此次發(fā)現(xiàn)的樣本都以案例費用支付委托書為誘餌,文檔使用惡意VBA代碼,當捕獲到文本輸入后才執(zhí)行核心的惡意宏代碼。在此次活動中的樣本均采用多層下載鏈加載Payload,最終使用blogspot博客系統(tǒng)分發(fā)最終載荷,為溯源增加了難度。最終的載荷是用來收集用戶的系統(tǒng)信息,包括進程列表,Net版本信息,最近可執(zhí)行的文件列表等,用來受感染的系統(tǒng)。

      2)“幻鼠"組織針對我國的竊密攻擊活動分析
      情報來源
      https://mp..qq.com/s/JoohsUOJXbaEGaYZWv0pnw
      披露時間
      摘要
      國內安全廠商檢測到一起針對國內某化學品生產企業(yè)的竊密行動。該起攻擊活動主要利用釣魚郵件進行傳播,成公司客戶需求,誘導受害者下載執(zhí)行惡意程序。攻擊者利用Telegram、Internet Archive和blogger博客分發(fā)Raccoon Stealer竊取木馬,利用注冊表實現(xiàn)惡意載荷訪問等多種方式實現(xiàn)反溯源。攻擊者采用EXE注入的方式將Raccoon Stealer竊密木馬注入到MSBuild.exe白文件中避免殺軟檢測。
      Raccoon Stealer運行后與C2建立連接,將一個名為“pY4zE3fX7h.zip"的文件下載到%USERPROFILE%\AppData\LocalLow\gC9tT2iQ3s\目錄下并解壓,解壓獲得的Mozilla DLL,從Mozilla產品中收集數(shù)據(jù),收集系統(tǒng)信息、獲取用戶系統(tǒng)屏幕截圖。隨后將獲取到的信息文件壓縮上傳至C2服務器。

      3)深入調查FIN8攻擊
      情報來源
      /deep-dive-into-a-fin8-attack-a-forensic-investigation?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+BusinessInsightsInVirtualizationAndCloudSecurity+%28Business+Insights+In+Virtualization+and+Cloud+Security%29
      披露時間
      摘要
      FIN8以金融服務和POS(銷售點)系統(tǒng)為目標,主要使用內置工具和接口(如PowerShell或WMI)并濫用合法服務(如sslip.io)來掩蓋其活動。根據(jù)該組織先前的攻擊活動,猜測FIN8可能使用社會工程技術和魚叉式網絡釣魚活動來實現(xiàn)最初的入侵。
      初始入侵成功后攻擊者會進行網絡,檢索受信任域列表和域控制器列表。在最初的偵察之后,惡意參與者通過網絡傳播,主要以域控制器為目標,擴大立足點,使用WMIC程序進行遠程代碼執(zhí)行進行橫向移動。成功橫向移動之后,攻擊者會使用WMI對象在所有的域控制器上建立持久性。

      02APT組織活動情報
      1)Kimsuky2021年上半年竊密活動總結
      情報來源
      https://mp..qq.com/s/og8mfnqoKZsHlOJdIDKYgQ
      披露時間
      摘要
      國內安全廠商對Kimsuky組織上半年的攻擊活動進行總結。該組織的攻擊目標仍以韓國的政府外交、工、大學教授為主。所采用的攻擊手法仍以利用社會熱點事件為誘餌向目標發(fā)送魚叉式郵件,投遞誘餌文檔為主。惡意宏會從遠程服務器上下載后續(xù)攻擊載荷,并調用導出函數(shù)執(zhí)行,后續(xù)攻擊載荷會收集計算機系統(tǒng)信息并進行加密,登錄被盜的郵箱將加密后的數(shù)據(jù)發(fā)送到攻擊者的郵箱。

      2)艾葉豹組織:針對巴基斯坦用戶的監(jiān)控活動披露
      情報來源
      https://mp..qq.com/s/K_UVSBdY6xZwJOz_mP2lNw
      披露時間
      摘要
      國內安全廠商,發(fā)現(xiàn)一個未知的APT組織針對巴基斯坦用戶開展有計劃、針對性的長期監(jiān)控活動。該組織的攻擊平臺主要是Android,利用釣魚網站進行載荷投遞,攻擊目標主要是巴基斯坦用戶和TLP政黨。該組織采用的攻擊載荷是常見的Android RAT(SpyMax和AndroSpy)。
      AndroSpy是個功能完善的開源類RAT類程序。該RAT采用C#編寫,通過控制端界面操作可以對受害用戶進行位置定位、屏幕錄制及錄音、竊取通訊錄和短信信息等。SpyMax是新開發(fā)一款移動端商業(yè)RAT,通過控制端界面操作可以對受害用戶進行位置定位、屏幕錄制及錄音、竊取通訊錄和短信信息等。其支持惡意模塊動態(tài)配置,方便用戶自定義。
      3)TA456以誘人的社交媒體角色攻擊國防承包商
      情報來源
      /us/blog/threat-insight/i-knew-you-were-trouble-ta456-targets-defense-contractor-alluring-social-media
      披露時間
      摘要
      TA456是一個與伊朗國家結盟的演員試圖用惡意軟件感染航空航天國防承包商雇員的機器。TA456通過采用發(fā)送魚叉式郵件,誘導用戶執(zhí)行,惡意宏運行之后會創(chuàng)建并隱藏目錄,然后將一個Visual Basic腳本程序寫入該目錄,完成后宏將添加一個自啟動注冊表項,確保用戶登錄時運行惡意程序。
      惡意程序運行后會以多種方式枚舉主機信息,使用Microsoft的協(xié)作數(shù)據(jù)對象到處受害者的電子郵件賬戶,將收集到的數(shù)據(jù)記錄到%temp%\Logs.txt。在進行網絡通信之前,會通過ping和curl等方式測試網絡的連通性,隨后壓縮收集文件通過電子郵件發(fā)送到攻擊者賬戶。

      4)Praying Mantis威脅角色針對 Windows 面向互聯(lián)網的服務器與惡意軟件
      情報來源
      /article/praying-mantis-threat-actor-targeting-windows-internet-facing-servers-with-malware/
      披露時間
      摘要
      TG1021使用一個定制的惡意軟件框架,通過反序列化攻擊加載到受影響機器的內存中,在受感染的機器上幾乎沒有留下痕跡。惡意程序通過利用IIS提供的訪問權限執(zhí)行附加行為,包括憑證獲取、偵察和橫向移動。并且使用的惡意軟件通過干擾日志機制,成功規(guī)避商業(yè)EDR,以及靜默等待傳入連接,而非連接到C2通道并持續(xù)生成流量。

      03APT泄露及利用情報
      1)THOR:PKPLUG組織在微軟交換服務器被攻擊期間部署了前所未見的PlugX變體
      情報來源
      /thor-plugx-variant/
      披露時間
      摘要
      在監(jiān)測Microsoft交換服務器攻擊時,unit42研究人員發(fā)現(xiàn)了一個PlugX變種作為攻擊后的遠程訪問工具。與以前的PlugX一樣,通過DLL側加載技術執(zhí)行代碼。
      運行后解密嵌入PlugX硬編碼的配置信息,解密算法和異或密鑰與之前的惡意程序一致,PlugX允許包含多個C2地址的硬編碼配置信息,這為后門提供了后備選項,以防止某些遠程服務在受損時不可用,運行后會從的Github存儲庫中下載后續(xù)攻擊載荷。

      
          
      
          
          
      
        
      
    
      
  
      

      

		 







  
    
    				
			 
    
    

    

     
      
     
	 

 	
	
	


      
	
      
		
      
			
      會員登錄
      
			×
		
      
		
      
				
      
					
      
						
						
      請輸入賬號
      
					
      
				
      
				
      
					
      
						
						
      請輸入密碼
      
					
      
				
      
				
      
					
      =
                       
      請輸驗證碼
      
                    
      
				
      
				
      
		
      
	
      

      


      
	
      
		
      
			
      收藏該商鋪
      
			X
		
      
		
      
			
			
      該信息已收藏!
      
			
			
      
                
      
                    
      標簽:
      
                    
      保存成功
      (空格分隔,最多3個,單個標簽最多10個字符)
      
                
      
                
      
                    
      常用:
      
                    
      
                
      
            
      
		
      
	
      

      


      
	
      
		
      
			
      提示
      
			X
		
      
		
      
			
      您的留言已提交成功!我們將在第一時間回復您~
      
		
      
	
      

      






      
        
                
    產品對比
             
                
            
            二維碼
        
                
        

      掃一掃訪問手機商鋪
      
    
      
         
      
			
      對比框 
      
			
		
      
        

    

	
      
		在線留言