返回 TI 主页

2018-09-20 By 360追日团队、360威胁情报中心 | 事件追踪

从2007年开始至今,360追日团队发现毒云藤组织对中国国防、政府、科技、教育以及海事机构等重点单位和部门进行了长达11年的网络间谍活动。该组织主要关注军工、中美关系、两岸关系和海洋相关领域,其关注的领域与我们之前发布的海莲花(OceanLotus)APT组织有一定相似的地方。 360追日团队捕获毒云藤的首个木马出现在2007年12月。在之后的11年中我们先后捕获到了13个版本的恶意代码,涉及样本数量73个。该组织在初始攻击环节主要采用鱼叉式钓鱼邮件攻击,攻击之前对目标进行了深入调研和精心挑选,选用与目标所属行业或领域密切相关的内容构造诱饵文件和邮件,主要是采用相应具体领域相关会议材料、研究成果或通知公告等主题。期间漏洞文档样本数量10个,其中包含1个0day漏洞。这些木马的感染者遍布国内31个省级行政区。C&C域名数量为59个,回传的地址位于4个不同国家或地区。
APT-C-01 毒云藤 APT

2018-09-11 By 360威胁情报中心 | 事件追踪

360威胁情报中心近期发现了“海莲花”组织使用的新的CVE-2017-11882漏洞文档,通过对该漏洞文档及相关攻击活动的分析,我们关联到该组织近期针对南亚国家的攻击活动。并且发现了疑似“海莲花”组织在2017年5月初针对国内实施的一次集中式的攻击活动,结合内部的威胁情报数据,我们认为这是该组织利用“永恒之蓝”漏洞实施的一轮重点针对国内高校的攻击活动。
OCEANLOTUS 海莲花 APT

2018-09-07 By 360威胁情报中心 | 事件追踪

2018年8月24日,360威胁情报中心捕获到一个专门为乌克兰语使用者设计的钓鱼文档:该文档为RTF文件格式,且有详细的文档内容。360威胁情报中心经过分析确认这是首次发现的针对Office公式编辑器特殊处理逻辑而专门设计的用于绕过杀毒软件查杀的漏洞利用样本,涉及的漏洞正是CVE-2017-11882。 由于漏洞触发后的Payload已失效,360威胁情报中心在本文中专门针对样本使用的特殊免杀技术进行详细分析,并提醒各杀毒软件厂商做好针对该利用方式的检测。由于该免杀技术已经出现在在野利用的样本中,后续可能会有大量实际攻击样本使用该免杀手段逃过杀软检测,形成新的威胁。
CVE-2017-11882

2018-09-05 By 360威胁情报中心 | 专题报告

360威胁情报中心在CNCERT 2018中国网络安全年会演讲《他山之石可以攻玉-基于公开情报的APT组织跟踪》
APT

2018-08-27 By 张玉兵 | 专题报告

KCon2018演讲《BGP安全之殇》
BGP

2018-08-23 By 360威胁情报中心 | 技术研究

2018年6月,国外安全研究人员公开了利用Windows 10下才被引入的新文件类型“.SettingContent-ms”执行任意命令的攻击技巧,并公开了POC(详见参考[1])。而该新型攻击方式被公开后就立刻被黑客和APT组织纳入攻击武器库用于针对性攻击,并衍生出各种利用方式:诱导执行、利用Office文档执行、利用PDF文档执行。 2018年8月14日,微软发布了针对该缺陷的系统补丁,对应的漏洞编号为:CVE-2018-8414。360威胁情报中心在该攻击技术公开的第一时间便密切跟踪相关的在野攻击样本,由于漏洞相关的技术细节和验证程序已经公开,且漏洞已被微软修复。因此,360威胁情报中心发布针对该漏洞的分析以及跟踪到的在野攻击分析,提醒用户采取应对措施。
SETTINGCONTENT-MS CVE-2018-8414

2018-08-17 By 360威胁情报中心 | 事件追踪

2018年8月15日,网络安全公司趋势科技公开了其在今年7月捕获到的一例在野0day漏洞攻击,该攻击利用了Windows VBScript Engine的代码执行漏洞,经过分析对比发现该0day漏洞和2018年4月360公司首次发现影响IE浏览器并通过Office文档进行攻击的“双杀”漏洞(详见参考[1])使用了多个相同的攻击技术,极有可能是同一团伙所为。 360威胁情报中心第一时间对该0day漏洞进行了分析确认,并通过大数据关联分析确认本次的0day在野攻击与DarkHotel APT组织存在关联。
CVE-2018-8373 APT DARKHOTEL

2018-08-14 By 360烽火实验室 | 事件追踪

传统的APT攻击主要是针对PC端进行,而随着智能手机和移动网络在世界范围内的普及发展,越来越多黑客组织的攻击目标也迅速蔓延到移动端,甚至出现出和PC端结合的趋势。近几年被国内外安全厂商陆续披露的Fancy Bear、Lazarus、Operation Manul、摩诃草、黄金鼠等多个攻击组织无疑印证了这点。近期,360烽火实验室发现肚脑虫组织(APT-C-35)最新的攻击已把移动端也加入到其攻击目标中。
APT-C-35 DONOT 肚脑虫

2018-08-07 By 360威胁情报中心 | 事件追踪

当今互联网的高速发展,孕育出了一批高新产业,如人工智能、分布式计算、区块链、无人驾驶等。这些高新技术为人们生活带来便利的同时,引发的安全问题也日益凸显。随着区块链技术的普及,其涉及的虚拟数字货币也创造了巨大的财富。这些虚拟货币可以通过“挖矿”的形式获取,“矿工”越多,利益越大。因此,近年来有越来越多的黑客团伙通过非法入侵控制互联网上的计算机并植入木马程序偷偷进行挖矿活动,为自己谋取暴利。
挖矿 CRYPTOMINER 8220

2018-08-01 By | 专题报告

近半年来,全球APT攻击活动呈现出较高的活跃程度。360威胁情报中心在近半年中监测到的APT相关公开报告(从2017.12月至2018.6月)也多达227篇。本次研究主要以2017年底至2018年上半年,全球各研究机构公开披露的APT报告或研究成果为基础,对当前的APT攻击形势进行综合分析。 2018年上半年,APT攻击活动呈现出明显的地缘政治特征,当前主要活跃的APT攻击活动可以划分为如下几块:中东地区、东欧和中亚、亚太地区、美国和欧洲。  2018年上半年,至少存在8个不同来源的APT组织针对境内实施APT攻击行动。它们分别是:海莲花、摩诃草、蔓灵花、Darkhotel、APT-C-01、蓝宝菇,以及另外两个已被360威胁情报中心监测到,但尚未被任何组织机构披露的APT组织。
APT APT28 APT34 欧美 中亚 中东 亚太 海莲花 摩诃草 蓝宝菇 DARKHOTEL OFFICE

关注我们

360威胁情报中心

分享微信