十九岁国语版免费观看完整高清,荒野大镖客大妈视频,公主殿下微臣馋了玉u驸马姓傅

北京天融信科技有限公司

免費會員

您現在的位置：首頁> 公司動態> APT組織攻擊活動及利用跟蹤情報2021年7月24日-7月30日

產品分類品牌

云安全

北京天融信科技有限公司

免費會員·4年

聯系人：: 李天昊

在線咨詢給我留言

掃一掃訪問手機商鋪

APT組織攻擊活動及利用跟蹤情報2021年7月24日-7月30日

2023-4-3　　閱讀(54)

本周簡報內容概述

時間區間

2021年7月24日-7月30日

APT攻擊事件情報

1）Kimsuky APT組織利用blogspot分發惡意載荷的攻擊活動分析

2）“幻鼠"組織針對我國的竊密攻擊活動分析

3）深入調查FIN8攻擊

APT組織活動情報

1）Kimsuky2021年上半年竊密活動總結

2）艾葉豹組織：針對巴基斯坦用戶的監控活動披露

3）TA456以誘人的社交媒體角色攻擊國防承包商

4）Praying Mantis威脅角色針對 Windows 面向互聯網的服務器與惡意軟件

APT泄露及利用情報

1）THOR:PKPLUG組織在微軟交換服務器被攻擊期間部署了前所未見的PlugX變體

01APT攻擊事件情報

1）Kimsuky APT組織利用blogspot分發惡意載荷的攻擊活動分析

情報來源

https://mp..qq.com/s/BvP00a-33OOmbcdwDkeqeg

披露時間

摘要

近期，國內安全廠商捕獲到多例疑似Kimsuky組織的攻擊樣本。此次發現的樣本都以案例費用支付委托書為誘餌，文檔使用惡意VBA代碼，當捕獲到文本輸入后才執行核心的惡意宏代碼。在此次活動中的樣本均采用多層下載鏈加載Payload，最終使用blogspot博客系統分發最終載荷，為溯源增加了難度。最終的載荷是用來收集用戶的系統信息，包括進程列表，Net版本信息，最近可執行的文件列表等，用來受感染的系統。

2）“幻鼠"組織針對我國的竊密攻擊活動分析

情報來源

https://mp..qq.com/s/JoohsUOJXbaEGaYZWv0pnw

披露時間

摘要

國內安全廠商檢測到一起針對國內某化學品生產企業的竊密行動。該起攻擊活動主要利用釣魚郵件進行傳播，成公司客戶需求，誘導受害者下載執行惡意程序。攻擊者利用Telegram、Internet Archive和blogger博客分發Raccoon Stealer竊取木馬，利用注冊表實現惡意載荷訪問等多種方式實現反溯源。攻擊者采用EXE注入的方式將Raccoon Stealer竊密木馬注入到MSBuild.exe白文件中避免殺軟檢測。

Raccoon Stealer運行后與C2建立連接，將一個名為“pY4zE3fX7h.zip"的文件下載到%USERPROFILE%\AppData\LocalLow\gC9tT2iQ3s\目錄下并解壓，解壓獲得的Mozilla DLL，從Mozilla產品中收集數據，收集系統信息、獲取用戶系統屏幕截圖。隨后將獲取到的信息文件壓縮上傳至C2服務器。

3）深入調查FIN8攻擊

情報來源

/deep-dive-into-a-fin8-attack-a-forensic-investigation?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+BusinessInsightsInVirtualizationAndCloudSecurity+%28Business+Insights+In+Virtualization+and+Cloud+Security%29

披露時間

摘要

FIN8以金融服務和POS（銷售點）系統為目標，主要使用內置工具和接口（如PowerShell或WMI）并濫用合法服務（如sslip.io）來掩蓋其活動。根據該組織先前的攻擊活動，猜測FIN8可能使用社會工程技術和魚叉式網絡釣魚活動來實現最初的入侵。

初始入侵成功后攻擊者會進行網絡，檢索受信任域列表和域控制器列表。在最初的偵察之后，惡意參與者通過網絡傳播，主要以域控制器為目標，擴大立足點，使用WMIC程序進行遠程代碼執行進行橫向移動。成功橫向移動之后，攻擊者會使用WMI對象在所有的域控制器上建立持久性。

02APT組織活動情報

1）Kimsuky2021年上半年竊密活動總結

情報來源

https://mp..qq.com/s/og8mfnqoKZsHlOJdIDKYgQ

披露時間

摘要

國內安全廠商對Kimsuky組織上半年的攻擊活動進行總結。該組織的攻擊目標仍以韓國的政府外交、工、大學教授為主。所采用的攻擊手法仍以利用社會熱點事件為誘餌向目標發送魚叉式郵件，投遞誘餌文檔為主。惡意宏會從遠程服務器上下載后續攻擊載荷，并調用導出函數執行，后續攻擊載荷會收集計算機系統信息并進行加密，登錄被盜的郵箱將加密后的數據發送到攻擊者的郵箱。

2）艾葉豹組織：針對巴基斯坦用戶的監控活動披露

情報來源

https://mp..qq.com/s/K_UVSBdY6xZwJOz_mP2lNw

披露時間

摘要

國內安全廠商，發現一個未知的APT組織針對巴基斯坦用戶開展有計劃、針對性的長期監控活動。該組織的攻擊平臺主要是Android，利用釣魚網站進行載荷投遞，攻擊目標主要是巴基斯坦用戶和TLP政黨。該組織采用的攻擊載荷是常見的Android　RAT（SpyMax和AndroSpy）。

AndroSpy是個功能完善的開源類RAT類程序。該RAT采用C#編寫，通過控制端界面操作可以對受害用戶進行位置定位、屏幕錄制及錄音、竊取通訊錄和短信信息等。SpyMax是新開發一款移動端商業RAT，通過控制端界面操作可以對受害用戶進行位置定位、屏幕錄制及錄音、竊取通訊錄和短信信息等。其支持惡意模塊動態配置，方便用戶自定義。

3）TA456以誘人的社交媒體角色攻擊國防承包商

情報來源

/us/blog/threat-insight/i-knew-you-were-trouble-ta456-targets-defense-contractor-alluring-social-media

披露時間

摘要

TA456是一個與伊朗國家結盟的演員試圖用惡意軟件感染航空航天國防承包商雇員的機器。TA456通過采用發送魚叉式郵件，誘導用戶執行，惡意宏運行之后會創建并隱藏目錄，然后將一個Visual Basic腳本程序寫入該目錄，完成后宏將添加一個自啟動注冊表項，確保用戶登錄時運行惡意程序。

惡意程序運行后會以多種方式枚舉主機信息，使用Microsoft的協作數據對象到處受害者的電子郵件賬戶，將收集到的數據記錄到%temp%\Logs.txt。在進行網絡通信之前，會通過ping和curl等方式測試網絡的連通性，隨后壓縮收集文件通過電子郵件發送到攻擊者賬戶。

4）Praying Mantis威脅角色針對 Windows 面向互聯網的服務器與惡意軟件

情報來源

/article/praying-mantis-threat-actor-targeting-windows-internet-facing-servers-with-malware/

披露時間

摘要

TG1021使用一個定制的惡意軟件框架，通過反序列化攻擊加載到受影響機器的內存中，在受感染的機器上幾乎沒有留下痕跡。惡意程序通過利用IIS提供的訪問權限執行附加行為，包括憑證獲取、偵察和橫向移動。并且使用的惡意軟件通過干擾日志機制，成功規避商業EDR，以及靜默等待傳入連接，而非連接到C2通道并持續生成流量。

03APT泄露及利用情報

1）THOR:PKPLUG組織在微軟交換服務器被攻擊期間部署了前所未見的PlugX變體

情報來源

/thor-plugx-variant/

披露時間

摘要

在監測Microsoft交換服務器攻擊時，unit42研究人員發現了一個PlugX變種作為攻擊后的遠程訪問工具。與以前的PlugX一樣，通過DLL側加載技術執行代碼。

運行后解密嵌入PlugX硬編碼的配置信息，解密算法和異或密鑰與之前的惡意程序一致，PlugX允許包含多個C2地址的硬編碼配置信息，這為后門提供了后備選項，以防止某些遠程服務在受損時不可用，運行后會從的Github存儲庫中下載后續攻擊載荷。

上一篇：天融信數通小百科：喜迎千兆光網的S512

下一篇：融信譯站 | 數據分類分級實踐促進以數

APT組織攻擊活動及利用跟蹤情報2021年7月24日-7月30日

1）Kimsuky APT組織利用blogspot分發惡意載荷的攻擊活動分析

情報來源

披露時間

摘要

情報來源

披露時間

摘要

3）深入調查FIN8攻擊

情報來源

披露時間

摘要

1）Kimsuky2021年上半年竊密活動總結

情報來源

披露時間

摘要

2）艾葉豹組織：針對巴基斯坦用戶的監控活動披露

情報來源

披露時間

摘要

3）TA456以誘人的社交媒體角色攻擊國防承包商

情報來源

披露時間

摘要

4）Praying Mantis威脅角色針對 Windows 面向互聯網的服務器與惡意軟件

情報來源

披露時間

摘要

1）THOR:PKPLUG組織在微軟交換服務器被攻擊期間部署了前所未見的PlugX變體

情報來源

披露時間

摘要

會員登錄

收藏該商鋪

提示