[0217] 一周重点威胁情报|天际友盟情报站
热点情报
微软补丁日通告:2023年2月版
WIP26间谍组织入侵中东地区
针对利用垃圾邮件传播恶意木马的攻击活动分析
疑似DoNot组织借助Excel附件攻击巴基斯坦国防部门
东南亚新APT组织Saaiwc持续借多国外交之名进行窃密活动
APT攻击
黑客组织Dalbit详情披露
Group-IB近期遭遇Tonto Team团伙袭击
APT-C-56利用虚假诱饵简历投放CrimsonRAT
APT37组织通过Hangul EPS漏洞传播恶意代码
新APT组织NewsPenguin攻击巴基斯坦军事单位
技术洞察
Stealerium恶意软件技术分析
新信息窃取恶意软件Beep剖析
ESXiArgs勒索病毒已感染全球1800余台主机
攻击者通过私人家庭交易系统分发Quasar RAT
Enigma信息窃取程序通过虚假工作机会瞄准加密货币行业
情报详情
微软补丁日通告:2023年2月版
微软近期发布了2月安全更新。本次安全更新修复了包括3个0day漏洞在内的总计78个安全漏洞,其中有9个被评级为“严重”,69个漏洞被评级为“重要”。在漏洞类型方面,主要包括12个特权提升漏洞、38个远程执行代码漏洞、8个信息泄露漏洞、10个拒绝服务漏洞、2个安全功能绕过漏洞、8个欺骗漏洞。本次发布的安全更新涉及Microsoft Edge、Microsoft Exchange Server、SQL Server、Visual Studio等多个产品和组件。更多信息,可参考微软2023年2月安全更新说明:https://msrc.microsoft.com/update-guide/releaseNote/2023-Feb
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=b252ed873faf46e48e7ecd39c5c812a0
WIP26间谍组织入侵中东地区
近日,Sentinelone追踪发现新威胁组织WIP26针对中东的电信运营商开展了长期的间谍活动。WIP26组织的特点之一为严重依赖公共云基础设施实现恶意软件交付、数据泄露和C2目的,试图通过此方式使恶意C2网络流量看起来合法,从而躲避检测。
WIP26的活动感染链通常始于包含指向恶意软件加载程序的Dropbox链接的WhatsApp消息,攻击者通过精确定位员工,诱骗其下载和执行,最终在目标系统上部署利用Microsoft 365 Mail和Google Firebase作为C2服务器的后门:CMD365和CMDEmber。另外,CMD365和CMDEmber还会通过伪装成例如PDF编辑器或浏览器等实用软件进一步诱导用户下载以执行远程命令。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=f83257ea42f5499cb78f35b895021ae7
针对利用垃圾邮件传播恶意木马的攻击活动分析
近日,哈工大、安天联合CERT实验室监测到多起利用垃圾邮件传播恶意木马的攻击活动。垃圾邮件主要利用如“订单”、“发票”、“单据”等主题,构建邮件正文,然后将钓鱼链接嵌入其中,并以隐式方式存在。其中,钓鱼链接主要以文档共享平台(包括“金山文档”、“网易邮箱大师”、“蓝奏云存储”等)生成的链接为主。攻击者通过利用垃圾邮件将钓鱼链接不断发送至目标邮箱,从而诱使用户点击下载对应恶意压缩包。这种方式可以实现降低自身运营成本、规避溯源、白名单绕过的效果。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=7c2b1c5b9d3240038954e9f59ff9ecc5
疑似DoNot组织借助Excel附件攻击巴基斯坦国防部门
近期,研究人员发现DoNot组织疑似利用鱼叉式钓鱼邮件攻击巴基斯坦国防部门。攻击者使用社会工程学战术诱骗受害者下载并打开恶意Excel附件。Excel附件包含恶意宏代码,一旦激活,就会在受害者的设备上下载并安装具备实现窃取用户登录凭证、键盘记录,以及远程控制被感染设备等功能的恶意软件。在感染后,恶意软件首先会与远程服务器建立TCP连接以接收字节数据。此外,恶意软件的第二阶段是一个动态链接库(DLL),其中包含了 "webservice" 恶意导入函数。研究人员经进一步分析发现,恶意软件还具备通过PowerShell进程执行特定程序的能力。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=01c3e88353d549008d6fe5dd0ef3f913
东南亚新APT组织Saaiwc持续借多国外交之名进行窃密活动
2023年1月,东南亚新晋势力Saaiwc Group针对菲律宾军事部门以及柬埔寨政府部门开展了攻击活动。近期,安恒发现该组织除上述攻击目标外,还针对马来西亚以及印度尼西亚外交部开展了网络钓鱼活动。从攻击者使用的诱饵文件来看,Saaiwc组织针对印度尼西亚外交部的攻击较多,其次是针对菲律宾军事的活动。
此外,Saaiwc组织还在该恶意活动中使用了一条.NET负载的攻击链:Saaiwc首先以ISO文件作为初始阶段攻击样本,其次利用白加黑(WINWORD.EXE+MSVCR100.dll)的手法加载.NET可执行文件恶意负载,最后使用Telegram-API作为C2通信通道。该攻击链旨在实现持久化驻留目标主机,收集目标浏览器凭据并执行任意指令。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=4a50922cac074e888aebc211aec9e048
欢迎登陆天际友盟RedQueen平台,获取更多威胁情报。
联系方式RedQueen平台:redqueen.tj-un.com官网:www.tj-un.com邮箱:mkt@tj-un.com电话:400-0810-700
关于威胁情报应用解决方案
秉承着“应用安全情报,解决实际问题”的理念,天际友盟以丰富的情报数据种类、多样的情报应用产品与强大的情报服务能力,为政府、行业管理机构和企业用户提供了坚实的情报技术支撑,协助客户构建情报驱动的主动防御体系,抵御网络安全风险,展现了情报应用的价值。
RedQueen安全智能服务平台,是天际友盟情报应用的核心枢纽,不仅是国内首个云端一体化安全智能综合服务平台,也是国内最大的安全情报聚合、分析与交换平台。
更多详情:https://www.tj-un.com/redQueen.html
通过与各类专业安全厂商的解决方案结合,将威胁情报落地应用在客户实际业务场景中来解决安全问题,是威胁情报应用的一种特有方式,我们称之为Threat Intelligence Inside,TI Inside模式。迄今,天际友盟的威胁情报能力,已实现与三十多家安全厂商的集成联动。
SIC安全情报中心(Security Intelligence Center),是天际友盟情报解决方案体系的核心。作为安全情报落地应用的一种表现形式,SIC可以将云端数据同步到本地,实现情报订阅与威胁溯源,还可通过其他来源的API接口接收STIX标准格式的情报数据并聚合到SIC中,配合SIC内嵌的流量分析、防护设备、资产引擎等,实现实时精准告警。
更多详情:https://www.tj-un.com/sic.html
Leon威胁情报网关,是基于海量威胁情报应用的高性能流量检测防护类产品。Leon可以与天际友盟的威胁情报产品家族(RedQueen、SIC、Ada、Alice 等)协同联动,构建全网立体纵深防御体系。基于实时订阅的恶意IP库、恶意URL库、恶意域名库、恶意邮件库等高价值威胁情报,实现对威胁的实时发现、实时阻断、全网预警及溯源分析。
更多详情:https://www.tj-un.com/leon.html
天际友盟目前在北京、上海、深圳、广州、珠海、西安、沈阳、长春、哈尔滨、长沙、石家庄、太原、香港、澳门等多地设有分支机构,为全国各地的客户及合作伙伴提供及时、高效、优质的服务。了解更多内容请访问:https://www.tj-un.com
客户案例
威胁情报
CNCERT | 上海网信办 | 国家信息中心 | 国家电网
中国航信 | 中国电子技术标准化研究院 | 青岛税务局
河北省税务局 |中国银行 | 宁夏银行
国家信息技术安全研究中心 | 天津经开区 | ASTRI
华为 | 滴滴出行 | 吉视传媒 | OPPO | 长安汽车
河南电力 | 北京电力 | 浙江电力 | 中国移动
中国电信北京研究院 | 湖南广电 | Green Radar
北京电视台 | 天懋信息 | 核工业计算机应用研究所
上海观安 | 数梦工场 | 重庆银行 | 北京安态
数字风险防护中国银行 | 交通银行 | 厦门国际银行深圳农村商业银行 | 泉州银行 | 立桥银行 | 秦皇岛银行黄河农村银行 | 乌鲁木齐银行 | 中国银联 | 泸州银行
昆仑银行 | 绵阳市商业银行 | 中泰证券 | 辉腾金控安信证券 | 中国航信 | 大业信托 | 国信证券 | 国信期货国家电网 | 核工业计算机应用研究所 | 顺丰速递
青岛市税务局 | 河北省税务局 | 中国密码学会一图一数 | 抖音 | Tiktok | 懂车帝 | 字节跳动火山小视频 | Musical.ly | 火币网 | OKCoin | Bit-Z西瓜视频 | 京东 | 今日头条 | TANDL