奇安信威胁情报中心

科技

沙箱捕获!APT-Q-15利用地缘政治话题投递0day利用邮件

目前移动端杀毒软件的用户安装率呈下降趋势,针对该平台的高级威胁变得越来越难以检测。然而,与过去相比,针对移动端的攻击需求和攻击频率呈现上升趋势,这将不可避免地扩大攻防之间的差距。红雨滴沙箱介绍
7月19日 上午 8:03
其他

疑似Kimsuky(APT-Q-2)以军工招聘为饵攻击欧洲

II).scrDropper,EXE,Go编写537806c02659a12c5b21efa51b2322c12024-05-15
6月20日 上午 11:25
其他

针对区块链从业者的招聘陷阱:疑似Lazarus(APT-Q-1)窃密行动分析

团伙背景Lazarus是疑似具有东北亚背景的APT组织,奇安信内部跟踪编号APT-Q-1。该组织因2014年攻击索尼影业开始受到广泛关注,其攻击活动最早可追溯到2007年。Lazarus早期主要针对政府机构,以窃取敏感情报为目的,但自2014年后,开始攻击全球金融机构、虚拟货币交易场所等目标,从受害者处盗取金钱资产。Lazarus曾多次利用虚假的社交账号,以提供工作机会为伪装,向特定行业人员发起钓鱼攻击。事件概述近期多名安全研究人员发现一类携带恶意JS代码的ZIP压缩包[1-4],样本涉及的恶意软件与去年11月国外Unit
5月10日 下午 3:10
其他

海莲花(APT-Q-31)组织数字武器Rust加载器技术分析

团伙背景海莲花,又名OceanLotus、APT32,奇安信内部跟踪编号APT-Q-31,是由奇安信威胁情报中心最早披露并命名的一个APT组织。自2012年4月起,海莲花针对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。海莲花组织的攻击目标包括中国和东南亚地区多国,覆盖政府机构、科研院所、媒体、企业等诸多领域。该组织攻击手法多样,拥有完备的攻击武器库,常结合自研恶意软件、开源项目和商业工具实施攻击。概述奇安信威胁情报中心观察到海莲花在针对国内某目标的攻击活动中使用了一款由Rust编写的加载器,内存加载Cobalt
4月22日 上午 10:13
其他

Konni组织针对虚拟货币行业投递AutoIt恶意软件

BAT脚本CAB文件中的VBS和BAT脚本为Konni组织常用的恶意代码组合,各脚本的作用分别如下。脚本名称说明start.vbs启动09402649.bat09402649.bat(1)
3月25日 上午 10:26
社会

托福考试保过?解密国内线上考试作弊的黑色产业链

概述自奇安信威胁情报中心于2020年披露《第三方支付平台付款1元实付1000,这个新骗术坑了不少人!》[1]新型黑色产业链后,我们已经有很长一段时间没有对国内新兴黑色产业链进行研究,从社会发展的角度来看,新兴黑产的崛起必然依托于某一全球性事件。在过去四年中,新冠大流行给各行各业带来了翻天覆地的变化。大多数工作转移到了线上,其中包括在线考试。因此,如何规避线上考试的检测机制,确保考生能够顺利获取理想成绩,成为当下新兴黑产亟需解决的问题。本文主要的目的是要将奇安信政企终端中发现的作弊程序与我们亲身调查的情况相结合共同描绘出线上考试作弊这一新兴黑色产业链的背景、土壤和技术,技术流程如下:线上考试的发展和现状
3月21日 下午 6:12
其他

全球高级持续性威胁(APT)2023年度报告

近日,奇安信威胁情报中心发布《全球高级持续性威胁(APT)2023年度报告》,该报告通过分析奇安信威胁雷达对
2月2日 下午 12:09
其他

软件安装包伪装下的Kimsuky(APT-Q-2)窃密行动

C&Car.kostin.p-e.krai.kostin.p-e.krqi.limsjo.p-e.krai.limsjo.p-e.krol.negapa.p-e.krai.negapa.p-e.kr
1月30日 上午 9:28
科技

Konni组织以邮件安全检查手册为诱饵的窃密行动分析

C&Cttzcloud.combgfile.comserviceset.netdownwarding.comcldservice.netfile.drives001.com
2023年12月18日
其他

大规模“断网”,乌克兰移动网络巨头Kyivstar遭黑客定向攻击

概述奇安信威胁情报中心关注到最近乌克兰最大的移动网络运营商Kyivstar遭受定向网络攻击,导致服务中断,影响到乌克兰境内多地用户。随后疑似亲俄罗斯黑客组织声称对此负责,目前相关方正对该攻击展开调查,背后攻击团伙可能与Sandworm
2023年12月14日
其他

UTG-Q-003:微软应用商店7ZIP供应链投毒事件始末

概述奇安信威胁情报中心在日常终端运营过程中发现了一个异常的行为,一个名为WindowsPackageManagerServer的进程经过复杂的操作最终启动了免杀的Lumma
2023年12月12日
其他

疑似Lazarus(APT-Q-1)涉及npm包供应链的攻击样本分析

团伙背景Lazarus是疑似具有东北亚背景的APT组织,奇安信内部跟踪编号APT-Q-1。该组织因2014年攻击索尼影业开始受到广泛关注,其攻击活动最早可追溯到2007年。Lazarus早期主要针对政府机构,以窃取敏感情报为目的,但自2014年后,开始以全球金融机构、虚拟货币交易场等为目标,进行敛财为目的的攻击活动。此外,该组织还针对安全研究人员展开攻击。近年来,Lazarus频繁发起软件供应链攻击,今年上半年披露的3CX供应链攻击事件被认为出自该组织之手。事件概述奇安信威胁情报中心近期发现一批较为复杂的下载器样本,这类样本经过多层嵌套的PE文件加载,最终从C2服务器下载后续载荷并执行。其中一个C2服务器IP地址在不久前被披露用于一起软件供应链攻击事件[1],攻击者通过伪装为与加密有关的npm包投递恶意软件。结合上述报告内容和下载器样本自身的信息,可以确认这些下载器恶意软件与此次npm包供应链攻击事件有关。根据下载器和其他相关样本的代码特征,我们关联到Lazarus组织的历史攻击样本,加上Lazarus常用供应链攻击手段,所以我们认为此次npm包投毒事件背后的攻击者很可能为Lazarus。详细分析下载器样本基本信息如下:MD5d8a8cc25bf5ef5b96ff7a64f663cbd29文件名称sql.tmp创建时间2023-09-12
2023年12月8日
其他

摩诃草组织(APT-Q-36)借Spyder下载器投递Remcos木马

version2与版本1相比,版本2将一些明文字符串(比如API名称和收集主机信息的格式化字符串)进行了异或加密。(1)
2023年11月28日
自由知乎 自由微博
其他

疑似响尾蛇组织利用Nim后门刺探南亚多国情报

团伙背景响尾蛇,又名Sidewinder,奇安信内部跟踪编号APT-Q-39。该组织被普遍认为具有南亚地区背景,由国内外安全厂商在2018年披露,而它的最早攻击活动可追溯到2012年。该组织攻击目标一般为中国和南亚多国的政府、军事部门,部分攻击活动还涉及高校和科研机构。事件概述近期,奇安信威胁情报中心在日常样本跟踪分析过程中,发现针对不丹的恶意样本。样本使用的诱饵内容直接来自不丹政府网站发布的通告。文档携带的宏代码通过一系列VBS和BAT脚本,最终执行Nim编写的后门。根据该Nim后门的代码特征,我们关联到针对尼泊尔和缅甸的攻击样本,其中针对缅甸的攻击时间可追溯到去年11月。该Nim后门实际上是2021年底国内安全厂商披露的“幼象”(别名BabyElephant)组织C++后门[1]的变种。2023年2月,Group-IB发布报告[2,
2023年11月8日
其他

RedGoBot新变种近期活动分析

在发现之初已经是一个较为完善的僵尸网络家族,而作者时隔半年又开始对其样本进行了改善,同时与之前类似,该作者并未急着开始大规模传播,而是在完成新版本的样本后进行了一次扩散,之后恢复平静:下面为
2023年8月22日
其他

幽影长存:蔓灵花组织近期攻击活动分析

团伙背景蔓灵花组织,又称为BITTER,是一支据称有南亚背景的高级持久性威胁(APT)组织。自2013年11月起,该组织开始活跃,并主要专注于巴基斯坦和中国两国。其攻击目标主要包括政府部门、电力行业、军工业相关单位,其意图是窃取敏感资料。奇安信内部跟踪编号为APT-Q-37。直到2016年,国外安全厂商Forcepoint首次披露了蔓灵花组织的存在[1],之前一直未被发现。根据该组织所使用的远程访问工具(RAT)的网络通信标头,Forcepoint将其命名为“BITTER”。同年,奇安信威胁情报中心在国内发现了相关攻击,并将其命名为“蔓灵花”。自从被曝光后,该组织就修改了数据包结构,不再以“BITTER”作为数据包的标识。至此,蔓灵花正式浮出水面,随着其攻击活动不断被发现披露,蔓灵花组织的全貌越来越清晰。该组织具有强烈的政治背景,主要针对巴基斯坦、中国两国,2018年也发现了其针对沙特阿拉伯的活动[2],其攻击瞄准政府部门、电力、军工业相关单位,意图窃取敏感资料,2019年还加强了对我国进出口相关的攻击。有意思的是,在多份报告中均有指出,蔓灵花组织跟疑似南亚某国的多个攻击组织,包括摩诃草(Patchwork)、魔罗桫、肚脑虫(donot)等存在着千丝万缕的关系。这显示出蔓灵花组织在南亚地区的复杂网络关联。概述奇安信威胁情报中心红雨滴团队一直以来都在对全球各大APT组织进行追踪,在对南亚相关APT组织进行追踪时我们发现蔓灵花组织近期非常活跃,本文内容仅是对过去一段时间内蔓灵花组织的攻击手法做一个分享,揭示其攻击手段、目标和动机,为相关机构提供有效的安全建议。自2021年3月《“Operation
2023年8月2日
其他

云中谍影:Group123组织近期攻击活动分析

团伙背景Group123,也称ScarCruft,奇安信内部追踪编号为APT-Q-3,在2016年6月由卡巴斯基最先进行披露,被认为是来自朝鲜的攻击组织,最早活跃于2012年,该组织被认为与2016年的Operation
2023年7月11日
其他

针对安全研究人员的POC投毒事件

事件概述近日,奇安信威胁情报中心监测到一例以在github上发布CVE-2023-35829的POC为名,对安全研究人员进行钓鱼的代码投毒事件。攻击者在推特上分享了自己在代码仓库上传附带后门程序的POC(实际上并没有POC),当用户在本地对代码进行编译时则会附带执行后门程序。实际上,我们也发现该攻击者早在2017年就有过攻击记录,曾通过伪装成CCK(Content
2023年7月6日
科技

疑似摩诃草组织利用WarHawk后门变种Spyder窥伺多国

C&Cplainboardssixty.comgclouddrives.comalibababackupcloud.comcloudplatfromservice.one
其他

技嘉UEFI固件OEM潜在后门事件分析

(三)执行过程Eclypsium对受影响的UEFI固件初步分析确定了以下文件:文件名wpbbin.exeMD5015654475E4A6F923D9A7FB96F05EAC9文件大小1209656
网络安全

盲眼鹰的子组?来自Hagga组织的近期攻击活动分析

Burbage指出,Hagga组织向尼日利亚威胁行为者出售或免费提供恶意软件,这与他们发现的数据相吻合[10]。这表明Hagga组织同样有可能向盲眼鹰组织出售其TTP和恶意软件。(3)
其他

高通GPS服务“隐蔽后门”事件分析

Base认为,如果对于某些服务来说数据交换是必须的,那么用未加密的连接是不合适的。高通对此的声明是,自2016年起就开始在所有设备上使用HTTPS连接。(四)The
其他

每周高级威胁情报解读(2023.04.27~05.04)

Octopus"间谍组织的塔吉克斯坦行动的运作环境:Paperbug。根据受害者的分析,该组织的目标是高级政府官员、电信服务和公共服务基础设施。被攻击的机器类型包括从个人电脑到OT设备。这些目标使
其他

再次夺金!奇安信荣膺中国安全分析和情报市场份额冠军

近日,IDC发布《2022年中国IT安全软件市场跟踪报告》,报告显示,奇安信以8.4%的市场份额,稳居中国安全分析和情报市场份额排名首位!自2020年上半年起,奇安信集团连续3年荣膺该细分领域市场份额冠军,成为IT安全软件市场的领跑者。在威胁情报领域,得益于威胁情报中心提供的专业威胁情报服务及安全系列产品,使得奇安信在中国安全分析和情报市场傲居群雄。为满足客户对于具有高灵活性和可扩展性的SaaS化安全产品的使用需求,降低用户的IT成本和使用风险,威胁情报中心发布了威胁情报分析平台ALPHA,提供威胁情报高级分析应用及数据订阅服务,以海量多维度的网络空间安全数据为基础,实现报警研判、攻击定性、黑客画像以及威胁持续跟踪,并提供多维度的威胁情报数据和分析应用服务和分析报告,帮助安全分析师、事件响应人员对事件报警进行确认和优先级排序,同时通过关联分析以挖掘攻击事件背后更深层的信息。奇安信威胁情报中心
其他

每周高级威胁情报解读(2023.04.13~04.20)

相关的第二阶段有效载荷恶意软件。它是一个通用后门,为攻击者提供了广泛的功能来劫持受感染的主机。它的功能包括记录击键、截屏、上传和下载文件,以及以各种方式远程管理系统。Poseidon
其他

Sidecopy组织使用新木马对印度展开攻击

https://ti.qianxin.com/blog/articles/Sidecopy-dual-platform-weapon/
2023年4月21日
其他

新一代威胁情报全生命周期管理产品解决方案——TIOS

随着国际网络安全形势的日趋复杂,包括网络钓鱼、勒索软件攻击、黑客攻击等网络犯罪活动高发,一些国家之间的网络空间战也引发了相关国家关键基础设施瘫痪,造成不可估量的损失。而由于人工智能的滥用,以及经济利益驱使,导致大规模的网络攻击,和信息数据泄露,也成为当今网络世界的一大隐患。奇安信威胁情报中心根据当前进行的威胁攻击分析预测:“2023年,受地缘政治冲突影响,APT攻击活动持续加剧;对受害国本土软件的漏洞利用愈加频繁;瞄准关键基础设施的破坏越发泛滥;各类新型钓鱼攻击活动将频繁出现。”红雨滴团队,公众号:奇安信威胁情报中心全球高级持续性威胁(APT)2022年度报告这使得企业不得不加强对网络安全的投入占比,以获得更为可靠的网络安全保障。针对以上问题,奇安信威胁情报中心凭借全面独有的数据视野及采集处理能力、成熟完备的情报生产流程、自有知识产权的创新检测分析技术,以及技术领先的专业安全分析团队,针对部分对数据安全和数据生产有特殊要求的大型政企、监管机构、运营商、能源行业等客户,推出了一站式威胁情报全生命周期管理产品解决方案---奇安信威胁情报运营系统(TIOS)。奇安信威胁情报运营系统(TIOS),包含威胁情报运营平台(TIM)、威胁情报平台(TIP)、邮件检测系统、样本同源分析系统、样本鉴定平台等安全组件,为用户提供威胁研判、攻击定性、黑客画像以及威胁持续跟踪等服务,同时提供多维度的威胁情报数据和分析应用。利用创新性的情报生态技术,实现威胁情报的导入、生产、处理、运营与消费的闭环建设。应用场景1.恶意样本鉴定:系统支持用户导入待判定分析的恶意程序样本,将该样本通过RAS、OWL、恶意样本判定引擎等几十种引擎的静态检测,以及高对抗沙箱的动态行为检测,提取相应的基因特征,最终输出精确的检测报告,并提供相应的统计、查询、管理等功能,可以满足多个场景下对恶意样本的检测、研判、分析需求。2.实时在线样本检测:系统通过静态、动态的多种分析引擎为用户及各类安全产品提供实时在线检测分析,是对企业纵深防御的有效补充,同时也是检测零日漏洞利用、恶意代码和勒索软件的有效方法。3.APT攻击邮件检测:系统的邮件检测分析模块可以对用户配置的内容对每封邮件进行多维度分析,全面检测收发件邮箱、标题、内容、嵌入的URL及附件文件,结合奇安信自研的RAS高级APT静态检测引擎和情报沙箱,可以自动化鉴别钓鱼邮件、垃圾邮件、伪造邮件、网络探针等常见威胁,输出相关恶意家族及攻击团伙详情等检测结果,并将提取的各维度元信息汇入情报数据库。4.威胁情报运营及管理:基于奇安信全面独有的数据视野及采集处理能力,和成熟完备的情报生产流程,系统可以汇聚多源、多类型的样本文件,实现对自有威胁情报的集中管理、数据富化与关联分析,同时也可以进行可视化、多维度的样本运营管理统计。结合“人+工具+流程”的独有研判机制,最终形成高精准的战术情报和战略情报。5.威胁情报共享及消费:用户通过建立私有情报中心,将包括机读情报、行业私有情报、APT攻击溯源分析报告等行业热点情报数据和用户自有情报数据进行整合,采用标准情报消费接口可将情报数据实时分发共享给用户的各类安全产品,构建包含海量数据源汇聚处理、情报运营与共享、威胁监测跟踪、攻击拦截与溯源的立体威胁情报网。6.提供漏洞情报和分析能力:系统的漏洞情报模块可以为用户实时推送最新的漏洞情报数据,其中包括奇安信CERT团队视野范围内的全量漏洞情报,以及经过分析师人工运营研判之后的重要漏洞情报。此模块支持点击查看每条漏洞的POC|EXP、补丁、CPE等详细信息,向客户提供丰富的漏洞分析、复测和防护信息,以便在生产环境中对受影响资产进行漏洞检测、排查和修复。优势、特点1.全面的威胁情报采集能力:通过自动化接入多源、多类型的威胁情报数据,包括开源情报、私有情报、商业情报等,进行威胁情报全面分析的输入处理。2.智能的威胁情报分析能力:通过机器学习、自然语言处理等技术,对收集到的威胁情报进行深度分析,在基于TIOS系统的情报生产运营流程中提取高价值的战略情报和战术情报。3.高效的威胁情报挖掘能力:通过分析海量的威胁情报,挖掘并关联出潜在的威胁,帮助企业用户及时发现和应对安全风险。4.精准的威胁情报推送能力:根据用户的需求和规则,向用户精准推送符合其业务和安全需求的威胁情报,帮助用户改善决策制定、更有效地分配资源。目前,奇安信威胁情报运营系统(TIOS)已经在北京移动、中国石油等大型政企、监管机构、能源行业、运营商等单位陆续落地。欢迎有任何项目需求及合作联系:ti_support@qianxin.com
其他

Operation $mercenary$:弥漫在东欧平原的战争迷雾

https://thedfirreport.com/2023/04/03/malicious-iso-file-leads-to-domain-wide-ransomware/[3]
其他

黑客组织木马化Navicat等多个工具针对运维网管人员的攻击活动分析

概述近日,奇安信威胁情报中心及奇安信网络安全部通过日常监测发现Navicat.exe仿冒恶意安装包样本,通过天擎大网数据发现多个该样本下载链接,该样本下载链接的主页伪造了netsarang的官网,并且后续根据恶意样本证书溯源拓线多个仿冒运维工具,如xshell、LNMP、宝塔Linux面板等。根据奇安信天擎大网数据该恶意样本安装包访问数据统计表明该样本已存在主机被控制情况,于是我们第一时间针对该攻击事件进行了详细分析。上述多个伪造运维工具是国内运营人员和网管用户日常使用频次较高的软件工具,攻击者利用该用户群体需求,搭建伪造的官网站点,诱使下载伪造的运维工具,实现对受害主机远程控制等窃密行为。事件详情国内各行各业软件信息化日益完善,运营人员和网管用户日常工作会使用便捷的运维工具提升工作效率,从而使得攻击者有机可乘。通过奇安信天擎大网数据,我们找到了一个该安装包的下载来源:hxxps://linhunq.com/zh/navicat/,并在该站点下载了Navicat
其他

每周高级威胁情报解读(2023.03.16~03.23)

月,研究人员确定了位于顿涅茨克、卢甘斯克和克里米亚地区的政府、农业和运输组织的活跃感染。尽管最初的攻击途径尚不清楚,但下一阶段的细节暗示会使用鱼叉式网络钓鱼或类似方法。受害者导航到指向托管在恶意
其他

暗影重重:肚脑虫(Donot)组织近期攻击手法总结

概述肚脑虫组织,又名Donot,奇安信内部编号APT-Q-38,被认为具有南亚某国政府背景。该组织主要针对政府机构、国防军事部门以及商务领域重要人士实施网络间谍活动,受害者包括中国以及巴基斯坦、斯里兰卡等南亚地区国家。奇安信威胁情报中心红雨滴团队在日常的威胁狩猎过程中发现,Donot组织的攻击活动从去年年末就保持着较高的频率,这个趋势一直延续到今年。在今年1月底,我们还捕获到该组织以克什米尔地区相关文档为诱饵的攻击样本[1]。
其他

SideCopy组织近期以印度国防部相关文档为诱饵的攻击活动分析

访问的IP地址为185.229.119.60,端口为9134,其主要包含以下几种功能:键盘记录器截图列出文件夹和文件上传/下载文件窃取剪贴板数据更改壁纸远程控制
2023年3月21日
其他

全球高级持续性威胁(APT)2022年度报告

近日,奇安信威胁情报中心发布《全球高级持续性威胁(APT)2022年度报告》。该报告通过分析奇安信威胁雷达对2022年境内的APT攻击活动的全方位遥感测绘数据,展示了我国境内APT攻击活动及高级持续性威胁发展趋势,并结合开源情报分析了全球范围内高级持续性威胁发展变化,发现政府部门仍是APT组织的首要攻击目标,其次是国防军事行业,与之相关的攻击活动非常活跃。此外,金融贸易、能源、科技、新闻媒体等行业也成为2022年APT活动关注的热点。漏洞方面,奇安信威胁情报中心独家捕获6个针对国产软件的在野0day漏洞,这些漏洞被境外APT组织在针对国内目标的攻击活动中使用。2022年全球范围内0day漏洞的使用趋于缓和,比之2021年有大幅下降,但同比2020年的0day在野漏洞攻击依然有所增加,在野攻击涉及重要漏洞数量超35个。以浏览器为核心的漏洞攻击向量仍然是主流趋势,其中不少新增在野0day漏洞是因之前的漏洞没有完全修复或修复机制存在被绕过的问题导致。按照以往惯例,本报告最后从地域空间的角度详细介绍了各地区的活跃APT组织及热点APT攻击事件。摘要2022年,奇安信威胁情报中心使用奇安信威胁雷达对境内的APT攻击活动进行了全方位遥感测绘。监测到我国范围内大量IP地址与数十个境外APT组织产生过高危通信,疑似被攻击。作为政治中心的北京和沿海省份广东、上海、浙江、江苏等地是境外APT组织攻击的主要目标地区,福建、安徽等东部地区也有较多受害目标。基于奇安信威胁雷达的测绘分析,2022年,APT-Q-27、海莲花、毒云藤、蔓灵花、APT-Q-22、Lazarus等组织,是对我国攻击频率最高、危害最大的APT组织。我国境内受其控制的IP地址比例分别为:APT-Q-27
其他

每周高级威胁情报解读(2023.02.23~03.02)

二进制文件的加载器,与其他此类加载器不同,它作为服务器运行并在内存中执行接收到的模块。正如措辞所暗示的那样,加载程序用作将有效负载或实际恶意软件加载到已经受损的系统上的工具。尚未确定最初的
其他

近期俄乌DDoS攻击事件汇总

概述美国总统拜登最近突访乌克兰基辅,与乌克兰领导人会谈并发表公开演说,表达对乌方的支持,并增加对乌方的战争援助。给当前胶着的俄乌局势带来了新的变数,使未来俄乌局势的走向更加扑朔迷离。
其他

Andoryu Botnet—基于Socks协议通信的新型僵尸网络

DDoS方法AndoryuBot支持多种DDoS方法,具体如下:NameDescriptionicmp-echoICMP
其他

每周高级威胁情报解读(2023.02.09~02.16)

Stealer(TrojanSpy.MSIL.ENGIMASTEALER.YXDBC)感染那些参与加密货币行业的人,即一个改良版的Stealerium信息窃取器。除了这些加载程序之外,攻击者还利用
其他

每周高级威胁情报解读(2023.02.02~02.09)

服务器没有启用身份验证,旨在运行在安全、封闭的网络上,而不是暴露在互联网上。这使得可以从互联网上访问的默认Redis服务器容易受到未经授权的访问和命令执行的影响。这始于对蜜罐的攻击,当时威胁行为者以
其他

GooberBot—Scar租赁僵尸网络新成员样本演进分析

就可以获取长达一个月的DDoS攻击权限。该新型僵尸网络家族初始样本于2022年8月份开始传播,按照初始样本的落地名称我们将本次发现的家族命名为GooberBot。2.
其他

奇安信威胁情报平台TIP完成国产化适配,加速产品信创生态体系建设

信创产业,即信息技术应用创新产业,在党的二十大报告中,多次提到了坚持“科技自立自强”,将国家安全和科技自立自强提升到了新高度。而作为国家“十四五”发展目标的重要抓手,信创产业以信息技术产业为根基,通过科技创新,构建国内信息技术产业生态体系。奇安信威胁情报中心紧跟国家信创体系建设的步伐,积极推进多产品的国产化进程,旗下的TIP威胁情报平台更是已完成多个国产化平台的适配工作,为全行业客户提供更专业、更便捷、更优质的服务,在技术创新和工程化方面持续领先。截至目前,奇安信威胁情报平台TIP已适配统信UOS、麒麟等国产化操作系统,同时也通过了兆芯、龙芯、海光等国产化CPU的兼容性测试并取得了互认证明。部分认证证书展示奇安信威胁情报平台TIP威胁情报平台(TIP)是一款面向企业用户提供的软件化部署系统,提供本地化、全方位的威胁情报能力,包括及时发现关键威胁、对已有报警进行误报筛除或分级、为事件响应提供决策需要的上下文、提供安全预警能力、提供自有情报运营能力等,为企业建设安全运营中心提供平台支撑,帮助企业在安全运营中,利用威胁情报快速检测、响应、分析和预防各类网络攻击威胁,并分析产生行业威胁情报。同时,TIP也支持多种数据源的威胁情报信息的导入,包括各种开源和商业的结构化或非结构的数据解析和自动化去重、消除冲突和质量评估,可以通过开发定制接口与特定的情报数据源进行对接。目前已经实现了Splunk、QRadar等国内外主流SIEM平台的情报输出和对接。目前威胁情报平台TIP已实现与EDR、XDR、TDP、NGSOC、SOAR、防火墙、云安全、邮件检测类、态势感知等安全设备的联动,全面提高企业的整体安全防护能力。自发布以来,已在政府、金融、能源、运营商等行业多家知名企业部署落地,欢迎各行业单位联系使用。更多合作与洽谈请联系:ti_support@qianxin.com
其他

俄乌网络DDOS混战祸及Akamai

官方网站被攻击是受到了来自亲俄组织的报复。IoCsC&C:shetoldmeshewas12.uno:3824147.87.230.236:6666点击阅读原文至ALPHA
其他

每周高级威胁情报解读(2023.01.19~02.02)

编码有效载荷,然后将自身注入名为“AppLaunch.exe”的合法目标进程。第二阶段:在成功注入后从“AppLaunch.exe”进程的内存区域开始运行另一个32位可执行文件,同时提供Golang
其他

每周高级威胁情报解读(2023.01.12~01.19)

存在远程代码执行漏洞披露时间:2023年1月19日情报来源:https://mp.weixin.qq.com/s/MgO_KJQiEXK_GpVACI2pJg相关信息:Oracle
其他

警惕Rapper僵尸网络新变种及挖矿活动

僵尸网络新型样本还处于开发阶段,当前所包含功能较少,在分析过程中也未检测到攻击者下发任何攻击指令,所以很可能还处于构建阶段。3.
其他

疑似Kasablanka组织近期针对俄罗斯的攻击活动分析

概述APT组织通常会使用一些不常见的文件类型来承载恶意代码,以提高针对杀毒软件的免杀概率,比如近年来我们监测到被滥用的光盘映像文件(.iso)和虚拟硬盘文件(.vhd)。并且使用这两种格式的文件可以有效的规避MOTW机制(这是一种安全措施,当用户试图打开从互联网下载的文件时,Windows会显示一条警告消息)。早在22年11月我们披露Lazarus组织的攻击活动时,其使用vhdx格式的攻击组件在VirusTotal上查杀率就为0,其效果可见一斑。在对近期上传的vhdx文件进行梳理时我们发现,在2022年9月至12月,疑似Kasablanka组织一直对俄罗斯进行攻击,其攻击对象包括俄罗斯联邦政府合作署、俄罗斯阿斯特拉罕州对外通信部等,并且部分样本查杀率一直为0。对捕获的样本进行分析整理,Kasablanka组织通过社会工程学处理后的鱼叉邮件为入口进行攻击,附件为虚拟磁盘映像文件,里面嵌套了包括lnk文件、压缩包、可执行文件等多种下阶段载荷的执行文件。在攻击初期最终执行的是商业木马Warzone
其他

2022 Q4 季度俄乌双方 DDoS 攻击分析报告

概述俄乌冲突开始以来,物理战争如火如荼,目前虽已陷入僵持状态,但网络世界的对抗持续进行。其中以乌方组织
其他

每周高级威胁情报解读(2023.01.05~2023.01.12)

Hive项目的变种木马,主要目的是收集敏感信息,为后续的入侵提供立足点。从网络通信来看,xdr33使用XTEA或AES算法对原始流量进行加密,并采用开启了Client-Certificate
其他

鹅鸭杀停服DDoS攻击事件见证

stomp、syn_flood、tcp_ack_flood、udp_plain_flood,以此来提高攻击成功率。而在2022年11月份针对鹅鸭杀的DDoS攻击事件中,攻击指令在北京时间