返回 TI 主页

2019-08-08 By 红雨滴团队 | 事件追踪

2019年7月10日,在微软7月补丁发放的第一天,eset发布文章“windows-zero-day-cve-2019-1132-exploit”披露了APT团伙buhtrap使用windows 0day CVE-2019-1132进行攻击的一次在野活动,之后SHIVAM TRIVEDI于7月25对外放出了该漏洞相关的exp利用,本文针对该漏洞及buhtrap攻击使用的样本进行分析,以便于大众了解buhtrap这个在国内鲜为人知的APT团伙。 Buhtrap是一个常年针对俄罗斯金融企业相关的攻击团伙,其2014年就开始了相关的活动,而这也是buhtrap的第一次0day攻击活动,但是实际上早在2016年3月GROUP IB就针对buhtrap发布了文章“BUTHRAP The evolution of targeted attacks against financial institutions”,如下图所示就是GROUP IB总结的Buhtrap在2014年,2015年两年内的战绩。
BUHTRAP CVE-2019-1132

2019-07-31 By 红雨滴团队 | 事件追踪

近日,奇安信威胁情报中心红雨滴团队在日常的样本监测过程中,捕获一例针对乌克兰国家边防卫队伊斯梅尔支队的攻击样本,该样本伪装成乌克兰国家财政局进行鱼叉邮件投递,诱导受害者启用带有恶意宏代码的附件文档。一旦恶意宏代码得以执行,便会在受害者机器上运行PoshAdvisor恶意软件,从而控制受害者计算机。
POSHADVISOR TA555

2019-07-25 By 红雨滴团队 | 事件追踪

近日,奇安信威胁情报中心红雨滴团队在日常的样本监控过程中,发现了一个以微软名称命名的攻击文档,并在随后的关联分析中发现,此次攻击活动疑似来自一个名为Gorgon的攻击组织,而Gorgon是一个被认为来自南亚某国家的攻击组织,PAN公司的Unit42团队将该攻击活动命名为Aggah。 本次活动中涉及的样本,除了使用该活动的招牌手段:Blogspot博客页面隐藏恶意载荷之外,还使用了三层Pastbin嵌套的方式获取最终的载荷。
GORGON AGGAH

2019-07-04 By 红雨滴团队 | 专题报告

奇安信威胁情报中心在 2018 年曾公开发布了两篇全球高级持续性威胁研究总结报告[参考链接: 2 3],其中总结了高级持续性威胁背后的攻击组织在过去一年中的攻击活动和战术技术特点。 如今, 2019 年已经过去一半,我们在对历史活跃 APT 组织近半年的攻击活动情况的持续跟踪过程中,呈现地缘政治特征的国家背景黑客组织作为观察的重点,其实施的网络威胁活动始终穿插在现实的大国政治和军事博弈过程中,网络空间威胁或已成为各国情报机构和军事行动达到其情报获取或破坏目的所依赖的重要手段之一。
APT 2019年中报告

2019-07-03 By 红雨滴团队 | 事件追踪

肚脑虫(APT-C-35),由奇安信高级威胁研究团队持续跟踪发现并命名,其主要针对巴基斯坦等南亚地区国家进行网络间谍活动的组织。该组织主要针对政府机构等领域进行攻击,其中以窃取敏感信息为主。 自第一次发现该组织的攻击活动以来,奇安信威胁情报中心对该组织一直保持着持续跟踪,近期发现了其包名为com.tencent.mm(微信包名)最新的移动样本,相比于之前发现的Donot(肚脑虫)移动端程序,此次发现的程序对其代码结构进行了调整,但其C&C和功能方面依然保持了之前Donot(肚脑虫)的风格。
APT DONOT

2019-07-02 By 红雨滴团队 | 事件追踪

2017年5月12日,WannaCry蠕虫在全球大爆发,引爆了互联网行业的“生化危机”。借助“永恒之蓝”高危漏洞传播的WannaCry,在数小时内横扫了近150个国家的政府机关、高校、医院等。红色的背景“桌面”席卷全球,致使多个国家的政府、教育、医院、能源、通信、交通、制造等关键信息基础设施遭受到了前所未有的破坏。 而随着WannaCry的爆发,许多勒索软件也借着WannaCry的热度与余威,通过各种仿冒WannaCry对用户进行勒索,其中也不乏移动端WannaCry仿冒软件。移动端仿冒WannaCry的勒索软件2017年就已出现,其通过仿冒“王者荣耀辅助”诱骗用户安装,勒索软件通过仿冒WannaCry勒索界面,对用户手机进行锁屏,加密用户手机文件,并通过二维码对用户进行勒索。
WANNACRY 银行木马

2019-06-27 By 红雨滴团队 | 事件追踪

裸条(裸贷)是在进行借款时,以借款人手持身份证的裸体照片替代借条。“裸条”借贷值得关注——女大学生用裸照获得贷款,当发生违约不还款时,放贷人以公开裸体照片和与借款人父母联系的手段作为要挟逼迫借款人还款。 近日,奇安信威胁情报中心红雨滴团队捕获了一起严重侵犯公民隐私的攻击,其通过使用极具诱惑性语言命名的压缩包进行传播,并使用了涉及__裸贷__等黄赌毒方面的图片和文档作为压缩包内容,并将木马混于其中,手段恶劣。
裸贷 狗推 黑吃黑

2019-06-25 By 红雨滴团队 | 事件追踪

In early May of this year, hackers claimed in the Telegram channel (Channel: GreenLeakers) that they possess attack evidence and information regarding the MuddyWater APT group for sale. MuddyWater is widely regarded as a long-lived APT group in the Middle East. From February to April 2019, it launched a series of spear-phishing attacks against governments, educational institutions, financial, telecommunications and defense companies in Turkey, Iran, Afghanistan, Iraq, Tajikistan and Azerbaijan.
MUDDYWATER MUDDYC3

2019-06-25 By 红雨滴团队 | 事件追踪

今年5月初,有黑客成员在Telegram渠道(Channel:GreenLeakers)披露其拥有据称APT组织MuddyWater网络攻击的证据和资料,并进行售卖。 MuddyWater被普遍认为是一个来自中东地区的,长期活跃的APT组织。从2019年2月到4月,该组织发起了一系列针对土耳其、伊朗、阿富汗、伊拉克、塔吉克斯坦和阿塞拜疆的政府、教育机构、金融、电信和国防公司的网络钓鱼电子邮件攻击。
MUDDYWATER MUDDYC3

2019-06-20 By 红雨滴团队 | 事件追踪

The OceanLotus, an APT group said to have a Vietnamese background, was first exposed and named by SkyEye Labs (the predecessor of the RedDrip team of QiAnXin Threat Intelligence Center) in May 2015. Its attack activities can be traced back to April 2012 with initial targets including Chinese maritime institutions, maritime construction, scientific research institutes and shipping enterprises. Their targets expanded to almost all important organizations afterwards and related activities are still active now. The RedDrip Team (@RedDrip7) keeps a close eye on activities made by OceanLotus. Last month we released an in-depth analysis report: OceanLotus’ Attacks to Indochinese Peninsula: Evolution of Targets, Techniques and Procedure. Currently we capture another attack incident targeting a Vietnamese environmentalist with new malware payload and hope the revealed details could lead to more findings in the future.
APT OCEANLOTUS APT32

关注我们

奇安信威胁情报中心

分享微信