攻击团伙情报
-
多个俄 APT 组织滥用 Signal 秘密监视加密对话
-
APT-C-28(ScarCruft)组织利用无文件方式投递RokRat的攻击活动分析
-
Lazarus Group 在针对开发人员的攻击中部署 Marstech1 JavaScript 植入程序
-
Winnti Group针对日本展开新的攻击活动RevivalStone
-
Kimsuky利用可信平台攻击韩国
攻击行动或事件情报
-
新型恶意软件 FrigidStealer 通过虚假浏览器更新攻击 macOS 用户
-
“StaryDobry”攻击活动利用破解版游戏传播挖矿木马
-
NoName057(16) 袭击意大利银行和机场
-
REF7707活动使用新型恶意软件攻击南美外交部
-
新的“whoAMI”攻击利用 AWS AMI 名称混淆进行远程代码执行
恶意代码情报
漏洞情报
多个俄 APT 组织滥用 Signal 秘密监视加密对话
披露时间:
2025年2月20日
情报来源:
https://cloud.google.com/blog/topics/threat-intelligence/russia-targeting-signal-messenger
相关信息:
Mandiant的研究人员发现,多个与俄罗斯政府相关的APT组织正在利用Signal Messenger的“链接设备”功能进行实时监听。该功能允许用户在多个设备上同时使用Signal进行聊天和语音通话。然而,攻击者通过诱导用户扫描恶意二维码(这些二维码伪装成群组邀请链接或嵌入钓鱼页面中),将攻击者的设备添加为链接端点,从而实时获取用户发送的每条消息,绕过了Signal的端到端加密。
Signal因其隐私保护功能而受到军事人员、政治家、记者和活动家的广泛使用,这也使其成为攻击者获取敏感信息的高价值目标。此外,Mandiant还发现,俄罗斯黑客组织Sandworm利用战场缴获的设备,将Signal账户链接到攻击者控制的基础设施中,以便进行后续利用。
APT-C-28(ScarCruft)组织利用无文件方式投递RokRat的攻击活动分析
披露时间:
2025年2月19日
情报来源:
https://mp.weixin.qq.com/s/y3TOGCdDp9Eu3Zqz4QnKxQ
相关信息:
360研究人员近期捕获了APT-C-28针对韩国政府及企业人员的攻击活动。攻击者通过分发LNK恶意文件,采用无文件技术,向目标系统植入RokRat恶意软件。攻击流程包括收集目标用户信息制作钓鱼邮件、利用恶意LNK文件释放加密的RokRat Shellcode,并通过XOR算法解密执行。
此次攻击中,恶意LNK文件通过调用PowerShell从自身嵌入的数据中提取多个文件,包括诱饵文档、恶意BAT脚本、PowerShell脚本和加密的RokRat Shellcode。攻击者利用这些文件在内存中加载并执行RokRat恶意软件,从而实现对目标网络的渗透和信息窃取。
Lazarus Group 在针对开发人员的攻击中部署 Marstech1 JavaScript 植入程序
披露时间:
2025年2月14日
情报来源:
https://thehackernews.com/2025/02/lazarus-group-deploys-marstech1.html
相关信息:
Lazarus Group被发现利用名为Marstech1的JavaScript植入程序针对开发者发起攻击。此次行动被SecurityScorecard称为“Marstech Mayhem”。攻击者通过GitHub上的开源仓库(关联名为“SuccessFriend”的账户)和NPM包传播恶意软件,这些仓库和包主要与Web开发和区块链相关,符合Lazarus Group的兴趣。
Marstech1恶意软件的主要功能是收集系统信息,并可嵌入网站和NPM包中,带来供应链风险。它最早出现在2024年12月,目前已确认有233名受害者,分布在北美、欧洲和亚洲。该恶意软件能够修改基于Chromium浏览器的扩展程序设置,尤其是针对MetaMask加密货币钱包。此外,它还能从同一C2服务器下载额外有效载荷,并将捕获的数据发送到C2端点。
SecurityScorecard指出,Marstech1使用多层混淆技术,包括JavaScript的控制流扁平化和动态变量重命名,以及Python的多阶段XOR解密,显示出攻击者复杂且先进的技术手段。此次攻击还与Recorded Future追踪的“PurpleBravo”行动相关,该行动主要针对加密货币领域的组织,包括市场制造公司、在线赌场和软件开发公司。
Winnti Group 针对日本展开新的攻击活动 RevivalStone
披露时间:
2025年2月13日
情报来源:
https://www.lac.co.jp/lacwatch/report/20250213_004283.html
相关信息:
LAC WATCH报告了Winnti Group发起的RevivalStone攻击活动,该活动主要针对日本制造、材料和能源领域的企业。攻击者利用目标组织Web服务器上的ERP系统SQL注入漏洞,植入WebShell,进而横向移动并收集凭据信息。通过获取运维管理者的共通账户,攻击者进一步扩大攻击范围,甚至入侵提供基础设施的组织网络,导致多个组织的服务器受到攻击。
本次活动中使用了新型Winnti恶意软件(Winnti v5.0),具备更复杂的加密和难读化技术。Winnti v5.0支持AES和ChaCha20加密算法,并结合终端固有信息(如IP地址、MAC地址等)生成解密密钥。恶意软件通过DLL劫持、API解钩等技术规避检测,并利用Winnti RAT和Winnti Rootkit实现持久化和通信隐蔽。
披露时间:
2025年2月13日
情报来源:
https://www.securonix.com/blog/analyzing-deepdrive-north-korean-threat-actors-observed-exploiting-trusted-platforms-for-targeted-attacks/
相关信息:
Securonix研究团队分析了朝鲜威胁组织Kimsuky发起的DEEP#DRIVE攻击活动,揭示了其针对韩国商业和政府部门的复杂多阶段攻击。攻击者利用伪装成合法文档的.lnk文件诱导用户执行恶意代码,并通过创建计划任务确保恶意脚本的定期执行。攻击过程中,攻击者使用PowerShell脚本收集系统信息并将其上传至Dropbox,同时利用混淆技术逃避检测。此次攻击活动高度依赖Dropbox托管恶意载荷,且攻击基础设施具有短暂性和动态性。
新型恶意软件 FrigidStealer 通过虚假浏览器更新攻击 macOS 用户
披露时间:
2025年2月18日
情报来源:
https://www.proofpoint.com/us/blog/threat-insight/update-fake-updates-two-new-actors-and-new-mac-malware
相关信息:
Proofpoint的研究人员发现了两个新的网络犯罪团伙TA2726和TA2727,它们通过Web注入攻击分发恶意软件。这些攻击通常涉及三个部分:恶意注入(通常是恶意JavaScript脚本)、流量分发服务(TDS)以及最终下载的恶意软件。
TA2726是一个流量分发服务提供商,为其他攻击者提供恶意软件分发支持。TA2727则是一个以经济利益为动机的网络犯罪团伙,使用虚假更新主题的诱饵分发多种恶意软件,包括针对Windows的Lumma Stealer、针对Android的Marcher银行木马,以及针对Mac的新信息窃取器FrigidStealer。
FrigidStealer是Proofpoint研究人员发现的一种新型Mac恶意软件,通过Web注入攻击分发。该恶意软件通过伪装成浏览器更新页面,诱导用户下载并安装DMG文件,从而绕过MacOS的安全机制Gatekeeper。安装后,FrigidStealer会窃取用户的浏览器Cookie、密码相关文件以及加密货币文件,并将数据发送到C2服务器。
“StaryDobry”攻击活动利用破解版游戏传播挖矿木马
披露时间:
2025年2月8日
情报来源:
https://securelist.com/starydobry-campaign-spreads-xmrig-miner-via-torrents/115509/
相关信息:
一项名为“StaryDobry”的大规模恶意软件活动针对全球游戏玩家,通过破解版游戏(如Garry’s Mod、BeamNG.drive和Dyson Sphere Program)传播恶意软件。这些游戏在Steam上拥有数十万条“压倒性好评”,因此成为恶意活动的理想目标。
根据卡巴斯基的研究,StaryDobry活动始于2024年12月底,持续到2025年1月27日,主要影响德国、俄罗斯、巴西、白俄罗斯和哈萨克斯坦的用户。攻击者在2024年9月将感染恶意软件的游戏安装程序上传到种子网站,并在节假日期间触发恶意载荷,以降低被检测的可能性。
披露时间:
2025年2月17日
情报来源:
https://www.infosecurity-magazine.com/news/noname05716-hit-italian-banks/
相关信息:
亲俄黑客组织NoName057(16)对意大利的关键组织发动了DDoS攻击,目标包括米兰的主要机场(利纳特和马尔彭萨)、交通管理局、Intesa San Paolo银行以及塔兰托和的里雅斯特港口。这些攻击被意大利国家网络安全局(ACN)迅速缓解,未对运营造成重大影响。
NoName057(16)声称,此次攻击是对意大利总统塞尔吉奥·马塔雷拉在马赛演讲中将俄罗斯在乌克兰的行为比作“第三帝国”的回应。该组织在Telegram上批评马塔雷拉为“恐俄症患者”,并誓言报复。俄罗斯外交部也警告称此类言论将“不会没有后果”。
NoName057(16)自2022年3月起活跃,以攻击支持乌克兰的国家为目标,并在地缘政治紧张期间频繁升级攻击。2025年1月,该组织曾在乌克兰总统泽连斯基访问罗马期间攻击意大利政府和关键基础设施网站。
披露时间:
2025年2月13日
情报来源:
https://www.elastic.co/security-labs/fragile-web-ref7707
相关信息:
Elastic Security Labs对名为REF7707的网络攻击活动进行了深入分析。该活动主要针对南美洲某国外交部,同时与东南亚的其他攻击事件存在关联。REF7707攻击者利用了多种新型恶意软件家族,包括FINALDRAFT、GUIDLOADER和PATHLOADER,这些恶意软件具有复杂的逃避检测能力和多平台支持功能。
攻击活动的执行链从通过Windows Remote Management的横向移动开始,攻击者利用了合法工具和系统文件进行恶意操作。在攻击过程中,攻击者使用了多种技术,如利用CDB调试器执行恶意代码、通过Microsoft Graph API进行命令与控制通信,以及借助第三方云服务存储加密负载。此外,攻击者还进行了系统侦察、凭据收集和持久化操作。
新的“whoAMI”攻击利用 AWS AMI 名称混淆进行远程代码执行
披露时间:
2025年2月12日
情报来源:
https://securitylabs.datadoghq.com/articles/whoami-a-cloud-image-name-confusion-attack/
相关信息:
Datadog Security Labs的研究人员发现了一种针对AWS的名称混淆攻击(whoAMI),攻击者利用该漏洞可获取代码执行权限,通过创建恶意AMI(Amazon Machine Image)并利用名称混淆,使目标AWS账户在检索AMI时错误地使用恶意AMI,从而在目标账户中执行代码。该漏洞主要影响使用AWS的组织,尤其是那些在检索AMI时未指定所有者(owners)属性的组织。攻击者只需创建一个名称符合特定模式且比其他AMI更新的恶意AMI,然后将其公开或与目标AWS账户共享,即可执行攻击。研究人员估计,约1%的AWS用户可能受到此漏洞的影响。
研究人员还发现,AWS自身的内部非生产系统也存在此漏洞,这可能导致攻击者在AWS内部系统中执行代码。不过,研究人员通过AWS的漏洞披露计划(VDP)将此问题报告给AWS,AWS已及时修复了该漏洞。
DeepSeek引发全球关注,恶意软件鱼目混珠趁机传播
披露时间:
2025年2月17日
情报来源:
https://mp.weixin.qq.com/s/Cdckuh9KOczBxbkojiJr7w
相关信息:
近年来,人工智能技术的迅猛发展推动了社会和产业变革,DeepSeek作为一款领先的智能搜索与应用平台,凭借其强大的AI驱动搜索能力迅速积累了大量用户。然而,DeepSeek的热度也吸引了网络犯罪分子的注意,他们利用其知名度传播伪装成DeepSeek的恶意软件。奇安信威胁情报中心和病毒响应中心发现,大量仿冒DeepSeek的钓鱼站点和恶意软件样本,包括Android和Windows平台的应用。
Android恶意程序伪装成DeepSeek,采用嵌套结构,通过DropperAPP诱导用户安装CoreAPP,后者是一个Banker类木马,具有短信监听、窃取电话号码等功能。Windows恶意程序则伪装成DeepSeek安装包,运行后展示虚假界面,利用Google Calendar传递恶意载荷,窃取加密钱包数据。这些恶意软件通过钓鱼站点传播,如“deepsek.icu”等。
