攻击团伙情报
-
Operation(Giỗ Tổ Hùng Vương)hurricane:浅谈新海莲花组织在内存中的技战术
-
Lazarus 利用Electron程序瞄准加密货币行业
-
疑似APT29利用Sliver恶意软件攻击德国实体
-
DONOT利用Android恶意软件收集情报
-
Silent Lynx针对吉尔吉斯斯坦及邻国攻击活动披露
攻击行动或事件情报
恶意代码情报
漏洞情报
Operation(Giỗ Tổ Hùng Vương)hurricane:浅谈新海莲花组织在内存中的技战术
披露时间:
2025年1月20日
情报来源:
https://mp.weixin.qq.com/s/e4BxBrj_Zzvc53K-eNlldw
相关信息:
新海莲花组织最早出现于2022年中,2023年底转入不活跃状态,2024年11月重新活跃并被快速制止。跟踪分析发现2024年3月老海莲花继承了其攻击资源又发起了两波 0day 供应链事件,并最终确认攻击者位于 UTC +7 时区。
新海莲花组织通过终端软件0day漏洞向内网特定终端下发恶意更新,实现供应链攻击。该组织使用Cobalt Strike工具,注入系统进程后加载Rust木马并回连新的C2服务器,通过Process Hollowing方式将文件目录收集插件注入系统进程。
文章介绍了新海莲花组织内存态的几个攻击武器,包括文件名收集插件、管道特马、SSH登录插件、双平台特马等。此外,研究人员发现新海莲花组织能够区分360安全卫士和天擎EDR,并使用特定方法对抗这两种安全产品。
Lazarus 利用Electron程序瞄准加密货币行业
披露时间:
2025年1月20日
情报来源:
https://mp.weixin.qq.com/s/NUHVDgO6eHgCs7J4m4R3tQ
相关信息:
近日,360研究人员发现 Lazarus 组织通过毒化 uniswap-sniper-bot 项目来对加密货币行业相关人员进行攻击。该开源项目是一个用于类似交易所(DEX)平台的自动化交易工具,通常是为了帮助用户自动化购买新上线的代币或快速抢购热门代币。毒化后的恶意程序使用 Electron 打包,一旦受害者点击Electron打包的恶意程序,首先会显示正常的安装过程,但是在后台会运行恶意功能,然后通过层层加载,最终完成攻击行为。
疑似APT29利用Sliver恶意软件攻击德国实体
披露时间:
2025年1月17日
情报来源:
https://cyble.com/blog/sliver-implant-targets-german-entities-with-dll-sideloading-and-proxying-techniques/
相关信息:
Cyble研究与情报实验室(CRIL)发现一起针对德国组织的网络攻击。攻击通过包含欺骗性LNK文件的存档文件发起,该文件在用户执行时触发一系列操作,包括执行合法可执行文件、进行DLL侧载和代理、读取并解密恶意数据,最终执行Sliver恶意软件,使攻击者能与受感染系统建立通信并进行进一步恶意操作。攻击采用多种先进的规避技术,如DLL侧载、代理、壳代码注入等,绕过传统安全措施。Sliver的功能包括动态代码生成、编译时混淆以及对分阶段和非分阶段有效负载的支持。这种多功能性使攻击者可以进行各种恶意活动,包括数据泄露和进一步的系统破坏。
DLL 侧载的使用、Sliver 的部署以及攻击的复杂性质等多个迹象表明,这可能是 APT29 所为。然而,DLL 代理的引入是一种新技术,在 APT29 之前的行动中从未见过。
披露时间:
2025年1月17日
情报来源:
https://www.cyfirma.com/research/android-malware-in-donot-apt-operations/
相关信息:
CYFIRMA的研究团队发现了一个与APT组织“DONOT”相关的安卓恶意软件样本,恶意软件名为“Tanzeem”和“Tanzeem Update”,名称表明,攻击针对的是国内外的特定个人或群体。恶意软件伪装成聊天应用,但实际上在安装后无法正常运行,而是通过获取用户权限(如通话记录、短信、联系人、存储和位置信息)来窃取敏感数据。该应用还利用OneSignal平台推送包含钓鱼链接的通知,以诱导用户安装更多恶意软件。
Silent Lynx针对吉尔吉斯斯坦及邻国攻击活动披露
披露时间:
2025年1月20日
情报来源:
https://www.seqrite.com/blog/silent-lynx-apt-targeting-central-asian-entities/
相关信息:
Seqrite Labs 研究人员披露了威胁组织Silent Lynx的两次攻击活动。最近一次攻击活动主要针对吉尔吉斯斯坦,目标分别是吉尔吉斯斯坦国家银行的政府实体和吉尔吉斯斯坦财政部。第一次活动,攻击者发送了一个包含恶意RAR压缩文件的钓鱼邮件至吉尔吉斯斯坦国家银行员工的邮箱,第二次活动,他们发送了受密码保护的RAR文件以及以员工奖金的名义诱骗员工的紧急消息。Silent Lynx的攻击活动展示了一种复杂的多阶段攻击策略,包括使用ISO文件、C++加载程序、PowerShell脚本和Golang植入工具。他们依赖Telegram Bot进行命令执行和数据窃取,并通过修改注册表实现持久化,同时结合诱饵文档和区域性目标,重点针对中亚地区及SPECA成员国进行间谍活动,且Silent Lynx与YoroTrooper存在显著的相似和重叠信息,有极大的可能来自哈萨克斯坦。
Wolf Haldenstein 数据泄露影响 340 万人
披露时间:
2025年1月17日
情报来源:
https://www.securityweek.com/wolf-haldenstein-data-breach-impacts-3-4-million-people/
相关信息:
律师事务所 Wolf Haldenstein Adler Freeman & Herz LLP 在其通知中表示:“2024 年 12 月 3 日,沃尔夫·哈尔登斯坦 (Wolf Haldenstein) 确定了一部分可能受影响的人,但沃尔夫·哈尔登斯坦 (Wolf Haldenstein) 无法找到地址信息,无法直接通知这部分可能受影响的个人。”
可能泄露的信息包括姓名、社会保险号、员工身份证号码以及诊断和医疗索赔详情等医疗信息。该律师事务所向缅因州总检察长办公室表示,超过 340 万人的个人信息在此次事件中遭到泄露。沃尔夫·哈尔登斯坦正在为受影响的个人提供免费的信用监控服务。
披露时间:
2025年1月21日
情报来源:
https://www.bleepingcomputer.com/news/security/fake-homebrew-google-ads-target-mac-users-with-malware/
相关信息:
研究人员发现,黑客通过Google广告传播恶意软件,利用假冒的Homebrew网站(一个流行的macOS和Linux开源包管理器)诱导用户安装名为AmosStealer(又称“Atomic”)的信息窃取器。该恶意软件以订阅形式出售给网络犯罪分子,月费为1000美元。AmosStealer能够窃取超过50种加密货币扩展程序、桌面钱包以及浏览器中存储的数据。此次攻击通过恶意广告将用户重定向到假冒的“brewe.sh”网站,而不是真正的“brew.sh”网站,从而诱导用户在终端中运行恶意命令。Homebrew项目负责人Mike McQuaid批评Google未能有效阻止此类恶意广告的传播。尽管此次恶意广告已被移除,但用户仍需警惕类似的重定向攻击。
黑客冒充 IT 支持人员发起 Microsoft Teams 网络钓鱼攻击
披露时间:
2025年1月21日
情报来源:
https://news.sophos.com/en-us/2025/01/21/sophos-mdr-tracks-two-ransomware-campaigns-using-email-bombing-microsoft-teams-vishing/
相关信息:
2024年11月和12月,Sophos MDR开始调查两起分别由STAC5143和STAC5777黑客组织发起的活动。这些攻击者利用Microsoft Office 365平台的功能,通过电子邮件轰炸和Microsoft Teams语音钓鱼等手段,对目标组织进行攻击,旨在窃取数据和部署勒索软件。攻击过程中使用了多种恶意软件和技术,如Java Archive (JAR)、Python-based backdoors、ProtonVPN可执行文件等。Sophos MDR在过去三个月中观察到超过15起涉及这些战术的事件,其中一半发生在过去两周内。STAC5143的攻击与FIN7的攻击有一些相似之处,但也存在差异;STAC5777与Microsoft先前确定为Storm-1811的威胁组织存在重叠,攻击过程更依赖于手动操作和脚本命令。
披露时间:
2025年1月20日
情报来源:
https://paper.seebug.org/3269/
相关信息:
近期,知道创宇404团队在威胁狩猎过程中,发现了针对俄语区目标的攻击样本。通过对样本的分析和关联,本次样本具备以下特点:(1)利用军事设施相关内容为诱饵发起攻击;(2)使用7z自解压程序(SFX)释放和加载后续载荷;(3)利用开源工具UltraVNC进行后续的攻击行为;(4)该组织的TTP模仿针对乌克兰进行攻击的Gamaredon组织,并依此将其命名为GamaCopy。该组织于 2023 年 6 月首次被发现,并通过模仿Gamaredon的TTPs多次发动针对俄罗斯国防和关键基础设施部门的网络攻击。据信该组织至少自 2021 年 8 月起就一直活跃。
披露时间:
2025年1月17日
情报来源:
https://www.trendmicro.com/en_us/research/25/a/iot-botnet-linked-to-ddos-attacks.html
相关信息:
自2024年底以来,一个利用易受攻击的IoT设备(如无线路由器和IP摄像头)的IoT僵尸网络持续发动大规模DDoS攻击。该僵尸网络的恶意软件源自Mirai和Bashlite,通过利用远程代码执行(RCE)漏洞和弱凭据感染物联网设备。感染过程包括下载和执行恶意软件负载,连接到C&C服务器以接收攻击命令。攻击命令包括多种DDoS攻击方法、恶意软件更新和代理服务启用等。攻击目标地域分布广泛,涵盖亚洲、北美洲、南美洲、欧洲等地区,主要集中在北美和欧洲,针对日本和国际目标的攻击命令存在差异,对不同行业也有不同影响。
