返回 TI 主页

2018-12-05 By 360威胁情报中心 | 事件追踪

360威胁情报中心在2018年11月29日捕获到两例使用Flash 0day漏洞配合微软Office Word文档发起的APT攻击案例,攻击目标疑似乌克兰。这是360威胁情报中心本年度第二次发现在野0day漏洞攻击。攻击者将包含Flash 0day漏洞的Word诱饵文档发送给目标,一旦用户打开该Word文档便会触发漏洞并执行后续的木马程序,从而导致电脑被控制。360威胁情报中心在确认漏洞以后第一时间通知了厂商Adobe,Adobe在今日发布的安全通告中致谢了360威胁情报中心。
HACKING TEAM FLASH 0DAY 0DAY APT CVE-2018-15982

2018-12-05 By 360威胁情报中心 | 事件追踪

On November 29, 2018, 360 Threat Intelligence Center observed two APT attacks by exploiting one Flash 0day vulnerability which is embedded in Microsoft Office Word documents. The attacks are likely targeting Ukraine entity. This is the second time this year that we found APT attack equipped with 0-day vulnerability. The attacker sends the decoy Word document with Flash 0day vulnerability to target. Once the Word document is open, the vulnerability can execute one RAT by which attacker can gain access to compromised computer. We notified Adobe at the first time after confirming the vulnerability. Adobe gives acknowledgement to us in latest security notice released today.
APT FLASH 0DAY 0DAY HACKING TEAM CVE-2018-15982

2018-11-29 By 360威胁情报中心 | 事件追踪

Recently, 360 Threat Intelligence Center found a series of targeted attacks against Pakistan targets. Attacker exploited one vulnerability (CVE-2017-12824) of InPage to craft bait documents (.inp). InPage is a word processing software designed specifically for Urdu speakers (official language in Pakistan). In addition, Office documents with CVE-2018-0798 vulnerability were also used in the attack. Kaspersky disclosed one target attack in which InPage vulnerability was exploited in November 2016[6] . However, first attack by using such software vulnerability can be traced back to June 2016[14]
蔓灵花 BITTER APT INPAGE 摩诃草 CONFUCIUS BAHAMUT

2018-11-29 By 360威胁情报中心 | 事件追踪

近期,360威胁情报中心监控到一系列针对巴基斯坦地区的定向攻击活动,而相关的恶意程序主要利用包含了InPage文字处理软件漏洞CVE-2017-12824的诱饵文档(.inp)进行投递,除此之外,攻击活动中还使用了Office CVE-2018-0798漏洞利用文档。InPage是一个专门针对乌尔都语使用者(巴基斯坦国语)设计的文字处理软件,卡巴斯基曾在2016年11月首次曝光了利用该软件漏洞进行定向攻击的案例[6],而利用该文字处理软件漏洞的野外攻击最早可以追溯到2016年6月。
蔓灵花 BITTER APT INPAGE 摩诃草 CONFUCIUS BAHAMUT

2018-11-28 By 360企业安全华南基地 | 事件追踪

lucky是一款具备超强传播能力的勒索者,360威胁情报中心最早监测到该样本于2018-11-03开始在互联网络活动,通过多种漏洞利用组合进行攻击传播,同时支持 Windows和Linux两种操作系统平台,加密算法采用高强度的RAS+AES算法。同时该样本还会进行挖矿木马的种植。仅在2018年11月内,已监测到受影响的机构和个人约1000例左右。
LUCKY RANSOMWARE

2018-11-19 By 360威胁情报中心 | 事件追踪

自从2018年10月25日起,360威胁情报中心连续捕获了多个专门盗窃俄罗斯语用户银行卡资金的定向攻击样本。这批定向攻击样本主要利用微软Office CVE-2017-11882漏洞配合钓鱼文档进行定向投递:漏洞文档最终释放的木马程序会不断监控用户的系统剪切板,如果发现具有银行账号或者yandex账号的特征,就会把剪切板里的银行账号替换为攻击者的MasterCard(万事达)银行卡账号。一旦用户通过拷贝的方式输入目标银行账号,则会把钱转向攻击者账户。并且木马程序还会下载一个俄罗斯著名的yandex.ru门户网站提供的键盘管理工具Punto Switcher 3.1,以用于窃取用户的键盘记录,借以躲避杀毒软件的查杀。
CVE-2017-11882 PUNTO SWITCHER 鱼叉邮件 键盘记录

2018-11-15 By 360威胁情报中心 | 专题报告

对于企业机构和广大网民来说,除了面对勒索病毒这一类威胁以外,其往往面临的另一类广泛的网络威胁类型就是感染恶意挖矿程序。恶意挖矿,就是在用户不知情或未经允许的情况下,占用用户终端设备的系统资源和网络资源进行挖矿,从而获取虚拟币牟利。其通常可以发生在用户的个人电脑,企业网站或服务器,个人手机,网络路由器。随着近年来虚拟货币交易市场的发展,以及虚拟货币的金钱价值,恶意挖矿攻击已经成为影响最为广泛的一类威胁攻击,并且影响着企业机构和广大个人网民。
挖矿 CRYPTOCURRENCY

2018-11-08 By 360威胁情报中心 | 事件追踪

2018年9月20日,360威胁情报中心在日常样本分析与跟踪过程中发现了一例针对韩国文字处理软件Hancom Office设计的漏洞攻击样本。通过详细分析发现,该样本疑似与APT组织“Group 123”相关,且该HWP样本利用了一个从未公开披露的Hancom Office漏洞来执行恶意代码。360威胁情报中心通过对该漏洞进行详细分析后发现,这是Hancom Office在使用开源Ghostscript(下称GS)引擎时未正确使用GS提供的沙盒保护功能而导致的任意文件写漏洞。
GROUP 123 APT HWP 漏洞利用

2018-10-31 By 汪列军 | 安全观点

之前的文章《威胁情报的层次》中,我们讨论了根据自身实践所理解的威胁情报分层,明确了每一层所包含的信息类型及使用场景。在本文里我们还是从Gartner对威胁情报的定义出发,进一步探讨其中涉及到的几个组成要素:上下文、标示、能够执行的建议。
威胁情报

2018-10-30 By 360威胁情报中心 | 技术研究

2018年10月18日,360威胁情报中心首次捕获到一例利用Excel 4.0宏传播Imminent Monitor远控木马的在野攻击样本。而这离2018年10月6日国外安全厂商Outflank的安全研究人员首次公开使用Excel 4.0宏执行ShellCode的利用代码仅仅过去了10余天。虽然Excel 4.0宏技术已经发布超过20年,并且在该技术出现早期就被经常用于制作宏病毒,但事实上,由于Microsoft很早就使用VBA宏(Visual Basic for Applications)来代替Excel 4.0宏技术,这导致Excel 4.0宏并不为大众所熟知。并且由于Excel 4.0宏存放在Excel 97 - 2003格式(.xls,复合二进制文件格式)的Workbook OLE流中,这使得杀毒软件解析并检测Excel 4.0宏变得非常困难。
EXCEL MACRO

关注我们

360威胁情报中心

分享微信