攻击团伙情报
-
Andariel攻击组织使用恶意文件执行RID劫持攻击
-
UAC-0063组织对中亚及欧洲国家进行网络间谍攻击活动
-
Lazarus发起“Phantom Circuit”攻击活动针对加密货币和技术开发者
-
俄罗斯GRU黑客对爱沙尼亚网络攻击遭欧盟制裁
攻击行动或事件情报
恶意代码情报
漏洞情报
Andariel攻击组织使用恶意文件执行RID劫持攻击
披露时间:
2025年1月23日
情报来源:
https://asec.ahnlab.com/en/85942/
相关信息:
AhnLab安全情报中心(ASEC)发现Andariel攻击组织在入侵过程中使用恶意文件进行RID劫持攻击。该攻击涉及修改具有受限权限的账户(如普通用户或访客账户)的相对标识符(RID)值,使其与具有更高权限的账户(如管理员账户)的RID值匹配。攻击者利用多种类型的账户进行RID劫持,包括使用系统中已存在的普通用户账户、激活访客账户以及创建新账户。攻击过程包括获取SYSTEM特权、创建本地用户账户、通过修改注册表值更改RID。Andariel攻击组织使用他们自己创建的恶意文件和开源工具CreateHiddenAccount来执行此攻击,这些恶意文件包含RID劫持攻击过程,但在某些功能上存在差异。
UAC-0063组织对中亚及欧洲国家进行网络间谍攻击活动
披露时间:
2025年1月30日
情报来源:
https://www.bitdefender.com/en-us/blog/businessinsights/uac-0063-cyber-espionage-operation-expanding-from-central-asia
相关信息:
自乌克兰战争开始以来,中亚地区的地缘政治格局发生了重大变化,为网络间谍活动创造了条件。UAC-0063 组织针对中亚和欧洲多个国家进行网络间谍活动,其攻击目标包括政府实体和外交使团等。UAC-0063组织利用复杂的战术,该组织的策略包括通过武器化文档进行初始访问、通过预定任务进行持久访问以及各种数据收集方法。其使用的恶意软件包括HATVIBE、PyPlunderPlug、DownExPyer等。该活动已从中亚扩展到德国、英国、荷兰、罗马尼亚和格鲁吉亚等欧洲国家。
Lazarus发起“Phantom Circuit”攻击活动针对加密货币和技术开发者
披露时间:
2025年1月29日
情报来源:
https://securityscorecard.com/blog/operation-phantom-circuit-north-koreas-global-data-exfiltration-campaign/
相关信息:
2024年12月,Lazarus Group利用软件更新的漏洞,发动了一场名为“Phantom Circuit”的全球性网络攻击活动。该活动通过在受信任的开发工具中嵌入恶意软件,成功渗透了全球数百名加密货币和科技开发者的系统,窃取了大量敏感信息,包括开发凭证、身份验证令牌、浏览器存储的密码和系统配置信息。
STRIKE团队的调查发现,Lazarus Group通过位于俄罗斯哈桑的代理服务器网络,将恶意流量伪装成合法连接,最终将数据回传至C2服务器,并存储在Dropbox中。该活动自2024年9月开始,分三个阶段展开,共影响了超过1500个系统,主要集中在印度和巴西的科技行业。
Lazarus Group在这次活动中使用了自定义的管理平台,用于精确管理和组织被盗数据。该平台基于React和Node.js构建,能够实时监控受感染系统、收集和筛选数据,并通过API接口进行操作。
披露时间:
2025年1月27日
情报来源
:
https://www.consilium.europa.eu/en/press/press-releases/2025/01/27/cyber-attacks-three-individuals-added-to-eu-sanctions-list-for-malicious-cyber-activities-against-estonia/
相关信息:
欧盟宣布对俄罗斯军事情报机构(GRU)第29155部队的三名黑客实施制裁,指控其参与2020年针对爱沙尼亚政府机构的网络攻击。被制裁的黑客包括尼古拉·科尔查金、维塔利·谢甫琴科和尤里·丹尼索夫,他们入侵了爱沙尼亚多个政府部门,窃取了数千份包含机密信息的敏感文件。这些文件涉及经济事务、通信、社会事务和外交事务等领域,包括商业机密、健康记录等关键数据。第29155部队还被指控对乌克兰及其他欧盟成员国实施网络攻击。自2020年以来,该部队还以“Cadet Blizzard”和“Ember Bear”为代号,对北约成员国及全球多国发起破坏性网络攻击。2022年以来,该组织转向针对援助乌克兰的机构。美国国务院已悬赏1000万美元,征集与该部队五名成员相关的信息。
J-magic恶意软件活动针对企业级Juniper路由器
披露时间:
2025年1月23日
情报来源:
https://blog.lumen.com/the-j-magic-show-magic-packets-and-where-to-find-them/
相关信息:
Black Lotus Labs团队发现针对企业级Juniper路由器的后门攻击活动J-magic。攻击者利用被动代理持续监测TCP流量中的“magic packet”来打开后门。该攻击最早的样本于2023年9月上传至VirusTotal,活动至少持续到2024年中期,涉及半导体、能源、制造和IT等行业。恶意软件一旦安装,会在设备上被动扫描五个预定义参数,若参数符合“magic packet”条件,代理会发送二次挑战,完成后在本地文件系统建立反向shell,使攻击者能控制设备、窃取数据或部署恶意软件。
披露时间:
2025年1月30日
情报来源:
https://www.malwarebytes.com/blog/news/2025/01/microsoft-advertisers-phished-via-malicious-google-ads
相关信息:
近期,研究人员发现了一起针对Microsoft广告商的网络钓鱼攻击活动。攻击者利用Google搜索结果中的恶意广告链接,伪装成Microsoft Ads(原Bing Ads)的官方广告,诱骗用户点击并输入其Microsoft广告平台的登录信息。这些恶意广告通过多种技术手段(如重定向、伪装和使用Cloudflare验证)来规避检测,并最终将用户引导至一个伪装成Microsoft广告平台登录页面的钓鱼网站。该钓鱼网站试图绕过用户的两步验证(2FA),并诱骗用户重置密码,从而窃取其账户凭证。
研究人员通过分析发现,这一攻击活动可能已经持续了数年,涉及多个域名,部分域名与巴西有关。此外,类似的网络钓鱼攻击可能不仅限于Google和Microsoft广告账户,还可能扩展到Facebook等其他平台。
PureCrypter利用Agent Tesla和TorNet后门发起网络攻击
披露时间:
2025年1月28日
情报来源:
https://blog.talosintelligence.com/new-tornet-backdoor-campaign/
相关信息:
近日,研究人员发现一起针对波兰和德国用户的持续性网络钓鱼攻击活动,攻击者通过PureCrypter恶意软件分发Agent Tesla、Snake Keylogger以及一种新型后门程序TorNet。TorNet因其通过TOR匿名网络与受害者设备通信而得名,具备在受害者内存中运行任意.NET程序的能力,进一步扩大了攻击面。攻击者通过伪造的转账确认邮件或订单收据诱骗用户打开附带的“.tgz”压缩文件,触发.NET加载器下载并运行PureCrypter。PureCrypter在执行前会进行反调试、反分析和反虚拟机检测,以避免被发现。此外,攻击者还通过创建计划任务、断开网络连接等方式规避云端反恶意软件检测。
披露时间:
2025年1月30日
情报来源:
https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
相关信息:
Wiz Research在对DeepSeek的外部安全态势进行评估时,发现了一个公开可访问的ClickHouse数据库,该数据库未设置任何身份验证机制,导致大量敏感信息泄露。DeepSeek是一家AI初创公司,因其高效的AI模型(如DeepSeek-R1推理模型)而受到广泛关注。然而,Wiz Research在评估过程中发现,DeepSeek的数据库暴露了超过100万行日志数据,包括聊天记录、API密钥、后端细节等敏感信息。
该数据库托管在oauth2callback.deepseek.com:9000和dev.deepseek.com:9000,通过ClickHouse的HTTP接口,研究人员能够直接通过浏览器执行任意SQL查询。其中,log_stream表包含超过100万条日志记录,涉及DeepSeek内部API端点、聊天历史、API密钥等敏感信息。
此次暴露不仅对DeepSeek自身的安全构成严重威胁,还可能影响其最终用户的数据安全。攻击者可能利用该漏洞检索敏感日志、明文聊天消息,甚至通过特定查询直接从服务器中提取明文密码和本地文件。
Tria Stealer利用婚礼邀请函作为诱饵进行攻击
披露时间:
2025年1月30日
情报来源:
https://securelist.com/tria-stealer-collects-sms-data-from-android-devices/115295/
相关信息:
Tria Stealer是一个自2024年中期以来活跃的恶意Android应用,主要通过伪装成婚礼邀请的链接或文件诱骗用户安装。该恶意软件主要针对马来西亚和文莱的用户,能够窃取用户的短信、通话记录、WhatsApp和Gmail等即时通讯和邮件应用的数据,并通过Telegram API将数据发送给攻击者控制的Telegram机器人。攻击者利用这些数据劫持受害者的WhatsApp和Telegram账户,进而向受害者的联系人发送恶意链接,扩大攻击范围,甚至冒充受害者请求转账,实施诈骗。
技术分析显示,Tria Stealer在首次安装时会请求接收短信的权限,并通过伪装成系统设置应用的界面诱骗用户授权。它还通过后台服务监控短信和通话记录,并利用通知监听功能窃取其他应用的消息内容。
研究人员推测,攻击者可能来自印尼,因为恶意软件中包含印尼语字符串。此外,Tria Stealer与2023年和2024年初出现的UdangaSteal恶意软件存在相似之处,但两者在代码、Telegram机器人命名模式和攻击目标上存在明显差异,因此被认为是由不同的攻击者发起的。
披露时间:
2025年1月30日
情报来源:
https://www.trendmicro.com/en_us/research/25/a/lumma-stealers-github-based-delivery-via-mdr.html
相关信息:
Trend Micro发现了一个复杂的恶意软件分发活动,该活动涉及多个恶意软件家族,包括SectopRAT、Vidar和Cobeacon。攻击者通过GitHub的发布功能将恶意软件传递给受害者,利用预签名的URL下载恶意文件,并在执行过程中生成多个临时目录和工具。Lumma Stealer通过创建和执行额外的工具(如SectopRAT和Vidar)来扩大攻击范围,这些工具能够窃取浏览器数据、云存储信息,并通过C2服务器回传数据。
此外,攻击者还利用了受感染的网站和GitHub仓库进行恶意负载的分发,这与Stargazer Goblin组织的攻击手法高度相似。攻击者通过创建随机命名的文件夹和脚本,以及利用PowerShell和Shell命令进行持久化和数据泄露,进一步增强了攻击的隐蔽性。
Banshee:一款针对 macOS 用户的窃取软件
