热点情报
lron Tiger组织2022年活动披露
Kaiji僵尸网络重现江湖,主导团伙曝光
Mustang Panda组织新后门MQsIIang剖析
攻击者利用AgentTesla木马攻击我国汽车行业
Telegram重打包样本入侵国内市场,受害者超2000人
APT攻击
腾云蛇组织2022年攻击活动追踪
Blackfly间谍组织瞄准亚洲材料技术领域
WinorDLL64后门疑似来自Lazarus组织武器库
盲眼鹰组织针对哥伦比亚关键行业发起钓鱼攻击
SideCopy组织向印度政府投递ReverseRAT后门
Lazarus组织再次借助某公证软件0-Day漏洞破坏韩国公司
技术洞察
活跃的hoze挖矿木马剖析
冒充航运公司的钓鱼邮件正在韩国传播
Parallax RAT正以复杂的注入技术攻击加密货币公司
PureCrypter恶意软件已影响亚太和北美地区的多个政府组织
情报详情
lron Tiger组织2022年活动披露
Trendmicro最近发现Iron Tiger组织在2022年的最新活动中对其自定义恶意软件系列“SysUpdate”做了更新:即该版本中存在能够危害Linux系统的组件,并且能够通过DNS TXT请求进行C2通信。
此外,Iron Tiger在此次活动中不仅使用窃取的证书签署了一些恶意可执行文件,还使用了VMProtect软件来实现混淆目的。同时,经研究人员分析发现,一款中文即时通讯应用程序“有度”似乎正被用作恶意文件下载诱饵。有度官网的客户均位于中国境内,这表明攻击者似乎对与中国相关的目标感兴趣,不过,目前受影响的用户主要是菲律宾的一家博彩公司,这也证实了该组织在2020年和2021年被披露对博彩业和东南亚地区感兴趣的特点。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=78a77ad796a7496fb2f3638c07a46f71
Kaiji僵尸网络重现江湖,主导团伙曝光
Kaiji僵尸网络于2020年首次由MalwareMustDie曝光,并于2022年7月开始重构。近期,奇安信监测到该僵尸网络重现江湖并进行了更新迭代。
Kaiji本次主要借助多个漏洞与密码爆破攻击方式进行传播。此外,经研究人员溯源关联发现,Kaiji和一个巨型僵尸网络租赁团伙"Ares"有关。Ares是一个来自中国的黑客团伙,该团伙在其资产的登陆页面中自称为 "Ares",并且还写上了 “三思而后行” 的英文标语。Ares除了拥有Kaiji僵尸网络以外,还拥有多个僵尸网络家族。Ares利用数量庞大的僵尸网络在多个平台上提供租赁服务,其使用者数量众多,曾发起过极高数量的DDoS攻击。同时,Ares还会进行挖矿作业,其在本次活动中除了进行DDoS攻击及远程命令执行操作外,还单独创建了线程以利用XMRig进行挖矿。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=7572838887e44699b7f3b779b882d0ec
Mustang Panda组织新后门MQsIIang剖析
ESET近日分析了Mustang Panda组织的一个新的自定义后门:MQsTTang。该后门最早出现在2023年1月初的恶意活动中,似乎并不基于现有恶意软件系列或任何开源项目。另外,Mustang Panda是一个以其定制的Korplug变体(也称为PlugX)和精心设计的加载链而闻名的APT组织。但与该组织经典的策略不同,MQsTTang则只有一个加载阶段并且未使用任何混淆技术。
MQsTTang以RAR诱饵文档形式进行分发,RAR中包含了伪装为具有与外交和护照相关名称的可执行文件。一旦成功执行,其将通过MQTT协议进行通信,并允许攻击者在受害者的机器上执行任意命令和输出。目前,根据ESET遥测数据,MQsTTang相关受影响目标包括:保加利亚和澳大利亚实体,台湾的一个政府机构,欧洲和亚洲的政府组织等。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=b1e08bd5ad5e48a69ae5ac6e0e81e724
攻击者利用AgentTesla木马攻击我国汽车行业
自2023年2月以来,安天监测到了利用GuLoader加载器投递AgentTesla窃密木马的多起钓鱼活动。攻击者以产品报价为主题,向欧洲、亚洲多个国家的制造、能源、互联网等领域的企业发送钓鱼邮件。此外,研究人员还在其中发现了一起针对我国汽车行业某企业的攻击活动。
在针对我国的活动中,攻击者以项目报价邀请函为主题向目标用户分发钓鱼邮件,邮件存在两个附件:一个html文件和一个压缩包文件。该html文件为一个钓鱼网页,伪装成在线表单,用于窃取用户的邮箱密码;压缩包文件则含有一个VBS脚本,主要用于执行GuLoader加载器,以最终向目标系统投递AgentTesla窃密木马。研究人员经分析推测,攻击者疑似使用相似的钓鱼手法首先窃取了目标公司员工的邮箱,然后利用所窃取的邮箱再次针对其他员工实施了进一步的攻击。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=a5c5e5cf220b441fb1e9d14a21cccd62
Telegram重打包样本入侵国内市场,受害者超2000人
近期,安天捕获到了一批Telegram重打包样本,其最早活跃时间为2022年7月,并持续活跃至今。此批Telegram应用不仅可篡改受害者钱包,还会窃取设备和用户信息。经分析,样本曾尝试上架国内应用市场,分发面广,国内受害者已超2200人,受影响地区主要分布在广东、河南、山东、江苏等省份。
本次捕获到的样本为telegram 8.6.1版本的二次打包应用,为求长期存活,其初始样本并未嵌入太多恶意功能。攻击者通过将用户接发信息中的虚拟钱包地址替换为自己的地址,从而达到窃取用户转账金额的目的。更新后的样本,在原有基础上还增加了窃取设备信息和用户信息的恶意功能。研究人员推测,攻击者可能会针对钱包转账额度大的人,打上标记,以进行针对性的社工钓鱼攻击。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=7edd3ab82c854d119aee6c4bcfe4a101
欢迎登陆天际友盟RedQueen平台,获取更多威胁情报。
关于威胁情报应用解决方案
秉承着“应用安全情报,解决实际问题”的理念,天际友盟以丰富的情报数据种类、多样的情报应用产品与强大的情报服务能力,为政府、行业管理机构和企业用户提供了坚实的情报技术支撑,协助客户构建情报驱动的主动防御体系,抵御网络安全风险,展现了情报应用的价值。
RedQueen安全智能服务平台,是天际友盟情报应用的核心枢纽,不仅是国内首个云端一体化安全智能综合服务平台,也是国内最大的安全情报聚合、分析与交换平台。
更多详情:https://www.tj-un.com/redQueen.html
通过与各类专业安全厂商的解决方案结合,将威胁情报落地应用在客户实际业务场景中来解决安全问题,是威胁情报应用的一种特有方式,我们称之为Threat Intelligence Inside,TI Inside模式。迄今,天际友盟的威胁情报能力,已实现与三十多家安全厂商的集成联动。
SIC安全情报中心(Security Intelligence Center),是天际友盟情报解决方案体系的核心。作为安全情报落地应用的一种表现形式,SIC可以将云端数据同步到本地,实现情报订阅与威胁溯源,还可通过其他来源的API接口接收STIX标准格式的情报数据并聚合到SIC中,配合SIC内嵌的流量分析、防护设备、资产引擎等,实现实时精准告警。
更多详情:https://www.tj-un.com/sic.html
Leon威胁情报网关,是基于海量威胁情报应用的高性能流量检测防护类产品。Leon可以与天际友盟的威胁情报产品家族(RedQueen、SIC、Ada、Alice 等)协同联动,构建全网立体纵深防御体系。基于实时订阅的恶意IP库、恶意URL库、恶意域名库、恶意邮件库等高价值威胁情报,实现对威胁的实时发现、实时阻断、全网预警及溯源分析。
更多详情:https://www.tj-un.com/leon.html
客户案例
CNCERT | 上海网信办 | 国家信息中心 | 国家电网
中国航信 | 中国电子技术标准化研究院 | 青岛税务局
河北省税务局 |中国银行 | 宁夏银行
国家信息技术安全研究中心 | 天津经开区 | ASTRI
华为 | 滴滴出行 | 吉视传媒 | OPPO | 长安汽车
河南电力 | 北京电力 | 浙江电力 | 中国移动
中国电信北京研究院 | 湖南广电 | Green Radar
北京电视台 | 天懋信息 | 核工业计算机应用研究所
上海观安 | 数梦工场 | 重庆银行 | 北京安态