安全研究 Safety research
盗版Ghost系统传播主页劫持木马 受害电脑已上万
盗版Ghost系统传播主页劫持木马 受害电脑已上万 旗舰店
1、  盗版Ghost系统传播主页劫持木马 受害电脑已上万近日,腾讯安全御见威胁情报中心发现一名为QQ_Protect.sys(文件名假冒QQ的保护模块)的主页劫持木马极其活跃,该木马的传播渠道主要是盗版带毒ghost系统,这些带毒ghost系统除了网上下载,在电脑城、XX网店安装的其它系统都有主页被锁定的情况。监测数据表明,已有上万台电脑中招。该系列木马在2018年首先开始出现,经过多次变种,近期又通过ghost系统进行传播,中毒电脑的多款主流浏览器主页会被锁定为某网址导航站,并且不同的浏览器会被劫持到不同的导航主页。相关链接:http://t.cn/EXaPDHE2、  新勒索软件RobbinHood声称'保护”您的隐私目前,一款名为RobbinHood的新勒索软件正在瞄准整个网络,他们可以加密访问的所有计算机。之后,他们会要求一定数量的比特币来解密单台计算机或更大的数量来解密整个网络。最有意思的是他们会强调受害者的隐私对他们很重要,他们不会透露任何已经付款的受害者信息。目前所知,当受害者的文件被加密时,它们会被重命名为类似于Encrypted_b0a6c73e3e434b63.enc_robbinhood的名字,同时会释放4个不同名字的赎金票据,这些票据包括有关受害者文件发生的事件,赎金金额以及TOR网站链接的信息。在勒索软件的Tor支付页面上,RobbinHood的开发人员表示他们关心受害者的隐私,并且付款后将删除加密密钥和IP地址。据消息称,该勒索软件已经袭击美国的北卡罗来纳州,使对方在确定损坏程度时不得不关闭他们的网络。相关链接:http://t.cn/EXahz2Z3、  门罗币(Monero)挖矿软件扩展攻击范围,利用EternalBlue漏洞和PowerShell进行广泛传播趋势科技最近检测到一种恶意软件,它使用多种传...
发布时间: 2019 - 04 - 16
查看详情 >>
GoBrut僵尸网络ELF新变体攻击Unix系统
GoBrut僵尸网络ELF新变体攻击Unix系统 旗舰店
1、  GoBrut僵尸网络ELF新变体攻击Unix系统目前,我们讨论的大部分关于GoBrut的攻击主要针对Windows系统,而这次,Alert Logic研究人员已经发现了该系列攻击的新ELF变体,它可以针对Unix系统。由于互联网上很大一部分服务器运行开源Linux系统,这显著增加了互联网传播此僵尸网络的风险。据报告称,目前已观察到大约1568个WordPress站点的约11,000个服务器受到感染和攻击。此次变体ELF样本与Windows样本有类似的C2服务器,但额外增加了cronjob的持久性停止功能。相关链接:http://t.cn/E6ReZWL 2、  Mirai新变种,针对多款IOT设备处理器进行攻击Unit 42近期发现的Mirai新样本,主要针对Altera Nios II, OpenRISC, Tensilica Xtensa, 和Xilinx MicroBlaze处理器进行编译的。这已经不是Mirai第一次针对新的处理器架构进行扩展,早在2018年1月份就发现了针对ARC CPU的样本。这一发现表明Mirai开发人员针对越来越多的物联网设备继续扩展新功能。 这次发现的样本除了针对那些新架构及处理器进行编译之外,研究人员还发现这些样本包含了更新的加密法,主要使用11个8字节密钥,所有这些密钥都按字节顺序进行XOR操作,以获得最终的结果密钥。同时使用包含参数的DDoS攻击选项,这些参数与原始Mirai源中的攻击方法'TCP SYN'完全相同。研究还发现,这次所有的样本都被托管在同一个IP目录下,并且这些样本包含了这次攻击使用的所有漏洞,比如ThinkPHP远程执行代码、D-Link DSL2750B OS命令注入、Netgear远程执行代码、CVE-2014-8361、CVE-2017-17215漏洞等。鉴于Mira...
发布时间: 2019 - 04 - 11
查看详情 >>
APT组织FIN6攻击工程行业并投放LockerGoga和Ryuk勒索软件
APT组织FIN6攻击工程行业并投放LockerGoga和Ryuk勒索软件 旗舰店
1、  APT组织FIN6攻击工程行业并投放LockerGoga和Ryuk勒索软件        检测到金融APT组织FIN 6入侵了工程行业的一个客户,这似乎与FIN 6只针对窃取信用卡数据的历史定位不同。虽然入侵的意图并不清楚,但可以确定FIN 6已扩大其犯罪行业,部署赎金,从而进一步使其接触到损害的实体的机会货币化。此次攻击FIN 6为了最初获得对环境的访问,破坏了一个面向互联网的系统。经过分析该系统日志,分析人员发现了FIN 6窃取数据的凭证,利用Windows的远程桌面协议(RDP)在环境中横向移动。在RDP连接到系统之后,FIN 6使用了两种不同的技术来建立立足点,第一种是使用PowerShell执行编码的命令以下载有效载荷,第二种是创建Windows服务(使用随机的16个字符串命名,如IxiCDtPbtGWnrAGQ)来执行编码的PowerShell命令,最终下载有效恶意文件,部署Ryuk或LockerGoga Ransomware。 相关链接:http://t.cn/E6XLFS7 2、  利用永恒之蓝(EternalBlue)漏洞的木马下载器采用“无文件挖矿”新模式        近日检测到利用永恒之蓝漏洞的下载器木马再次更新,此次更新改变了原有的挖矿木马执行方式,通过在Powershell中嵌入PE文件加载的形式,达到执行“无文件”形式挖矿攻击。新的挖矿木马执行方式没有文件落地,直接在Powershell.exe进程中运行,可能造成难以检测和清除。相关链接:http://t.cn/E6XyyZN 3、  英特尔芯片新漏洞暴露计算机上所有数据        安全研究人员报告称,透过流经某些...
发布时间: 2019 - 04 - 09
查看详情 >>
海莲花组织针对中国APT攻击的最新样本,利用恶意宏文档运行后门程序
海莲花组织针对中国APT攻击的最新样本,利用恶意宏文档运行后门程序 旗舰店
1、  海莲花组织针对中国APT攻击的最新样本,利用恶意宏文档运行后门程序      从2018年12月至今,捕获多例针对中国用户的恶意宏文档攻击样本。这些恶意文档通过在模糊的文字背景上伪装出杀毒软件的安全检测结果,诱导受害者启用恶意宏代码,向Word进程自身注入Shellcode,最终在内存中解密和运行后门程序。根据对该后门的深入分析,发现该样本来自海莲花组织。 相关链接:http://t.cn/EiNEt772、“贪吃蛇”挖矿木马团伙针对SQL Server进行弱密码攻击,植入多个木马程序     相关威胁情报中心监测到“贪吃蛇”挖矿木马团伙针对MS SQL服务器进行暴破攻击,攻击成功后利用多个提权工具进行提权,随后植入门罗币挖矿木马、大灰狼远程控制木马、以及键盘记录程序。本次传播的“大灰狼”远控采用更隐秘的DNS隧道通信技术,可绕过大部分软件防火墙,多次利用大厂商白文件进行攻击。 相关链接:http://t.cn/EiNESQH3、“2345导航站”弹窗广告携带病毒,盗取QQ和多款热门游戏账号      部分“2345导航站”首页的弹窗广告携带盗号木马,该病毒会偷取QQ、游戏平台(steam、WeGame)、知名游戏(地下城与勇士、英雄联盟、穿越火线)的账号。这是一次设计精巧、组织周密的大规模盗号行动,利用周末时间突然发起攻击,主要目标是网吧游戏用户。相关链接:http://t.cn/EiKbUlq4、  因配置失误 超1.3万iSCSI存储集群已在线上暴露        iSCSI 是一种将工作站和服务器与数据存储设备相连的协议,通常可在大型企业 / 数据中心的磁盘存储阵列、以及消费级的网...
发布时间: 2019 - 04 - 03
查看详情 >>
GandCrab勒索软件最新活动,采取多种规避技术完善传递机制
GandCrab勒索软件最新活动,采取多种规避技术完善传递机制 旗舰店
1、沙特政府从亚马逊CEO贝索斯手机获取到个人数据美国亚马逊公司首席执行官杰夫·贝索斯的安全顾问3月30日指认沙特阿拉伯政府“入侵”贝索斯的手机,获取他的私人信息。作为贝索斯的长期安全顾问,加文·德贝克尔在美国野兽日报网站发表文章,披露“调查人员和多名专家对所作结论高度自信,即沙特政府访问贝索斯的手机,获取私人信息。”相关链接:http://t.cn/Eiq19C22、芬兰两所监狱内服刑人员尝试新型劳役:训练AI算法狱中劳役”通常与体力活动相关,但是芬兰两所监狱内的服刑人员却在尝试一种新型劳役:归类数据,从而训练一家初创企业的人工智能算法。尽管这家初创企业Vainu认为这种合作形式是一种传授有价值技能的劳役改革,但是不少专家认为这种做法剥削了服刑人员的劳动力,因为囚犯的薪资待遇都非常低。相关链接:http://t.cn/EiPSVYQ3、加拿大域名注册机构的员工车库被勒索软件攻击  加拿大域名网注册机构(CIRA)的员工停车场遭受到勒索软件攻击,导致任何人都可在此免费停车。CIRA是一个非营利组织,负责管理.CA这一加拿大的国家顶级域名(ccTLD)。攻击发生在星期二,但目前勒索情况仍未改善。在被攻击的第二天,本应刷卡进出的停车场已可随意出入。目前该机构已采用临时快速通行证来解决这个问题。而造成如此大影响的是Dharma勒索软件的变种。相关链接:http://t.cn/Ei5YAPY1、【高】海纳企业网站管理系统 V2.1存在代码执行漏洞(CNVD-2019-06370)相关链接:http://t.cn/Ei5Ojs12、【高】UsualToolCMS 8.0 Release前台se***.php存在SQL注入漏洞(CNVD-2019-06374)相关链接:http://t.cn/Ei5O39Z3、【高】合优网络建站系统存在SQL注入...
发布时间: 2019 - 04 - 01
查看详情 >>
疑似APT-C-27组织利用WinRAR漏洞,对中东地区发起定向攻击
疑似APT-C-27组织利用WinRAR漏洞,对中东地区发起定向攻击 旗舰店
1、疑似APT-C-27组织利用WinRAR漏洞,对中东地区发起定向攻击2019年3月17日,360威胁情报中心截获了一例疑似“黄金鼠”APT组织(APT-C-27)利用WinRAR漏洞(CVE-2018-20250)针对中东地区的定向攻击样本。该恶意ACE压缩包内包含一个以恐怖袭击事件为诱饵的Office Word文档,诱使受害者解压文件,当受害者在本地计算机上通过WinRAR解压该文件后便会触发漏洞,漏洞利用成功后将内置的后门程序(Telegram Desktop.exe)释放到用户计算机启动项目录中,当用户重启或登录系统都会执行该远控木马,从而控制受害者计算机。并且从本次捕获到的相关木马样本(Windows和Android平台)的功能模块、代码逻辑、内置信息语言、目标人群、网络资产等信息都和早前曝光的APT-C-27使用的木马样本信息高度相似。相关链接:http://t.cn/ExTfW6k2、Buhtrap木马家族新攻击活动揭露,针对俄罗斯、白俄罗斯金融机构在2018年底至2019年初,Buhtrap木马家族被发现多次针对俄罗斯、白俄罗斯的攻击活动。该家族的木马主要针对俄罗斯、乌克兰等地的金融目标进行攻击活动,根据Group-IB和ESET的研究结果来看,该恶意文件至少从2014年就开始活跃。攻击使用鱼叉攻击方式,针对特定的目标发送钓鱼邮件,诱饵形式主要有三种,分别是doc文档、js脚本、可执行文件。后续有效荷载主要功能有键盘记录、信息收集、下载执行pe等。虽然我们发现的攻击细节跟之前曝光的Buhtrap恶意软件非常的相似,但是由于Buhtrap的源代码在2016年被泄露,因此暂时无更多的证据证明最近的几次攻击为之前的组织所为。相关链接:http://t.cn/ExTfnk33、Cardinal RAT恶意软件家族新版本被发现,持续攻击金融技术行业Cardinal ...
发布时间: 2019 - 03 - 22
查看详情 >>
刚说想吃“日料”马上首位推荐 外卖App在“偷听”你说话吗?
刚说想吃“日料”马上首位推荐 外卖App在“偷听”你说话吗? 旗舰店
1、刚说想吃“日料”马上首位推荐 外卖App在“偷听”你说话吗?“我的命,我自己操盘”,这是《窃听风云2》中的经典台词,但现实生活中,我们可能连自己手机的麦克风都操盘不了。你遇到过这样的情况吗?刚说了想吃什么,手机里就蹦出了它的推荐;刚说了要买什么,就出现了广告。饿了么、美团等外卖平台身陷“窃听”风波。相关链接:http://t.cn/ExcDvLv2、外媒:一家健康科技公司正在泄露大量医疗记录和处方一家健康科技公司在安全证书失效导致服务器没有密码后,每天泄漏数千张医生药方、医疗记录和处方。这家名不见经传的软件公司来自加利福尼亚州的Meditab,自称是医院、医生办公室和药房领先的电子医疗记录软件制造商之一。该公司为医疗保健提供商处理电子传真,仍然是将患者文件共享给其他提供商和药房的主要方法。相关链接:http://t.cn/Ex5xhJq3、以色列总理候选人遭伊朗网络间谍攻击,个人数据泄露据色列媒体报道,以色列辛贝特国家安全局(Shin Bet internalsecurity service)称,伊朗网络间谍侵入了总理候选人Benny Gantz的手机,暴露了他的个人数据。伊朗黑客干扰了以色列前军事部长Benny Gantz的竞选活动,Benny Gantz是以色列总理Netanyahu下届选举中的主要竞争者。相关链接:http://t.cn/ExxFuGs4、Play Store发现SimBad恶意软件,1.5亿Android用户成受害者3月17日消息,Check Point的IT安全研究人员发现了一个复杂的恶意软件攻击行动,该行动通过谷歌Play Store在全球范围内针对Android用户进行攻击。到目前为止,已有超过1.5亿用户成为该软件的受害者。相关链接:http://t.cn/ExL5vUN1、【高】Microsoft Edge Chakra脚本引擎内存损坏...
发布时间: 2019 - 03 - 19
查看详情 >>
GandCrab勒索软件冒充公安机关进行鱼叉邮件攻击
GandCrab勒索软件冒充公安机关进行鱼叉邮件攻击 旗舰店
1、GandCrab勒索软件冒充公安机关进行鱼叉邮件攻击不法分子正在使用GandCrab5.2勒索病毒对我国政府部分政府部门工作人员进行鱼叉邮件攻击。攻击邮件主题为“你必须在3月11日下午3点向警察局报到!”。GandCrab勒索病毒是国内目前活跃的勒索病毒之一,在短时间内进行了多个版本的更新迭代。该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件传播,该病毒由于使用了RSA+Salsa20的加密方式。无法拿到病毒作者手中私钥常规情况下无法解密。在本次针对我国政府部门的攻击附件中直接包含了exe文件,通过包含空格的超长文件名进行伪装。因此用户对邮件附件应该仔细分辨。相关链接:http://t.cn/EMBmMpQ 2、新POS恶意软件GlitchPOS商业化运作,在犯罪论坛上公开销售Cisco Talos最近发现了一个新的POS恶意软件,攻击者在犯罪软件论坛上销售这些恶意软件。这种恶意软件被称为“GlitchPOS”,据分析该恶意软件的作者Edbitss还开发过DiamondFox L!NK僵尸网络。VisualBasic开发的打包程序可以保护这种恶意软件。从表面上看,它是一款虚假游戏。解码后,可以访问GlitchPOS,这是一个用VisualBasic开发的内存抓取器。恶意软件通过C2服务器接受任务,命令通过C2服务器直接发送的shellcode执行。窃取的数据通过与购买恶意软件用户的控制面板显示。相关链接:http://t.cn/EMBmCct 3、DMSniff恶意软件包含域生成算法,主要攻击中小餐饮娱乐企业最近,Flashpoint的研究人员发现攻击者利用DMSniff恶意软件攻击餐饮娱乐行业的中小型企业。DMSniff还使用域生成算法(DGA)来动态创建命令和控制域列表,这样即使域名被执法部门,技术公司或托管服务提供商删除,恶意软件仍然可以通信和接收命令或共享被盗数据...
发布时间: 2019 - 03 - 15
查看详情 >>
WinRAR 压缩软件存在高危漏洞
WinRAR 压缩软件存在高危漏洞 旗舰店
WinRAR是Windows平台上最为知名的解压缩软件,它能解压缩RAR、ZIP、7z、ACE等多种压缩格式的软件。目前该软件官网称其在全球有超过5亿用户。2019年2月21日,互联网爆出了一个关于WinRAR存在19年的漏洞,利用该漏洞可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件,当受害者使用WinRAR解压该恶意文件时便会触发漏洞。 【漏 洞 综 述】   该漏洞源于对文件的“filename”字段未进行充分的过滤,攻击者可利用该漏洞制作恶意ACE格式文件,当该文件被WinRAR解压缩的时候,能利用UNACEV2.dll文件中的路径遍历漏洞欺骗WinRAR将文件解压缩到攻击者指定的路径。甚至可以将恶意文件写入至开机启动项,导致代码执行。目前,部分漏洞的验证工具已经公开,推测此后漏洞很有可能会被勒索软件或者恶意挖矿软件利用。此外WinRAR官方已经发布更新修复了该漏洞,为防止用户受到攻击,建议受该漏洞影响的WinRAR用户尽快采取修补措施。危险等级:高危CVE编号:CVE-2018-20250CNNVD编号:CNNVD-201902-077受影响版本: WinRAR 【解 决 建 议】检测与修复:搜索安装的解压软件安装目录下的UNACEV2.dll,如果存在则存在漏洞Windows下用户立即下载最新版:https://www.rarlab.com/download.htm;    32位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe    64位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe若用户无法立即升级版本,临时缓...
发布时间: 2019 - 03 - 15
查看详情 >>
VRVNAC桌面监控携带恶意程序,影响用户包括公安等单位
VRVNAC桌面监控携带恶意程序,影响用户包括公安等单位 旗舰店
1、VRVNAC桌面监控携带恶意程序,影响用户包括公安等单位近期,发现VRVNAC“桌面监控”软件携带恶意程序,这款被病毒污染的VRVNAC软件广泛应用于公安、气象等行业单位。经分析该恶意代码早在2015年就被该组件携带,至今仍未修正该问题。被感染的网页文件,执行条件比较苛刻(需要IE6浏览器内核渲染,并设置浏览器安全等级为低),所以在实际用户环境中不容易被激活。在构造了上述环境并通过IE浏览器加载该页面激活改病毒后,病毒代码会尝试释放并执行恶意代码,进而感染EXE、DLL、HTML、HTM文件,用于传播自身。相关链接:http://t.cn/EM8UIaR2、挖矿木马病毒PsMiner利用多个高危漏洞进行传播最近,360 Total Security团队截获了一个用Go编写的新蠕虫PsMiner,它使用CVE-2018-1273,CVE-2017-10271,CVE-2015-1427,CVE-2014-3120等高风险漏洞,还有系统弱密码传播,利用漏洞入侵设置ElasticSearch,Hadoop,Redis,Spring,Weblogic,ThinkPHP和SqlServer服务器机器,入侵后使用受害机器挖掘加密货币。在利用漏洞入侵用户设备后,会下载并执行后续病毒模块,并扩散PsMiner漏洞,使用开源挖掘工具Xmrig CPU Miner来挖掘Monroe币。相关链接:http://t.cn/EM8UN443、Ursnif木马新变种,使用新隐身机制并完善其他功能模块自2019年初以来,Cybereason的研究人员一直在观察一个针对日本用户的活动。与之前的活动一样,此次最新攻击始于电子邮件的武器化Office文档附件,恶意文档要求用户启用宏。在检测完目标环境后,会加载Bebloh有效负载,并从C2服务器下载Ursnif木马程序。此次的Ursnif木马新变种使用了新...
发布时间: 2019 - 03 - 14
查看详情 >>
“匿影”挖矿病毒挖取新兴货币,利用网盘作为C2服务器
“匿影”挖矿病毒挖取新兴货币,利用网盘作为C2服务器 旗舰店
1、“匿影”挖矿病毒挖取新兴货币,利用网盘作为C2服务器近期,有一个挖门罗币和BEAM币的“匿影”挖矿病毒,该病毒打包了方程式攻击工具包,在内网中利用永恒之蓝(Eternalblue)和双脉冲星(DoublePulsar)进行横向传播。不同于以往的僵尸网络,该病毒的C&C服务器,需要通过EmerDNS、Namecoin这类基于区块链的加密货币进行转换,进而得到真实的地址信息,由于这类区块链去中心化、匿名等特点,导致它们无法被某个机构统一关停,危害较大。该病毒关键部分的代码使用了Themida和VMP保护,提高了研究人员逆向分析的难度,所涉及到的域名和服务器均由第三方服务商提供。相关链接:http://t.cn/EMajJXF2、BuleHero病毒又现新变种,增加thinkphp5漏洞利用近期,BuleHero蠕虫病毒最新变种攻击被发现,该变种延续了以往版本的多个漏洞利用攻击方式,新增加了thinkphp5漏洞(CNVD-2018-24942)利用攻击,木马在攻陷的电脑植入挖矿木马挖矿门罗币,同时下载扫描攻击模块对针对局域网以及外网IP进行扩散攻击。同时该木马还利用了永恒之蓝漏洞(MS-17-010)、Apache Struts2远程代码执行漏洞(CVE-2017-5638)、WebLogic WLS组件远程代码执行漏洞(CVE-2017-10271)、Tomcat PUT方式任意文件上传漏洞(CVE-2017-12615)。在攻击过程中还使用了mimikatz搜集登录密码,并利用字典进行远程爆破。相关链接:http://t.cn/EMaYjeu3、委内瑞拉部长宣布该国大规模停电可能由美国网络攻击造成上周,委内瑞拉遭遇了一场灾难大停电,停电袭击了该国23个州中的22个州以及首都加拉加斯。星期六,委内瑞拉通信和信息部长豪尔赫罗德里格斯宣布停电的原因是古里水力发电厂遭受...
发布时间: 2019 - 03 - 12
查看详情 >>
Globelmposter 3.0勒索病毒再次席卷全国各医院
Globelmposter 3.0勒索病毒再次席卷全国各医院 旗舰店
2019年3月9日至10日,捷普安全实验室发现Globelmposter 3.0变种再次活跃,西北地区已经有用户中招,病毒将加密后的文件重命名为xxx.*4444扩展名,其中之一为*.snake4444,并要求用户通过邮件沟通赎金跟解密密钥等。目前此次变种有呈现爆发的趋势,其中以医院居多,交大捷普紧急预警,提醒广大用户做好安全防护,警惕Globelmposter 勒索。各企业用户如需相关技术支持可联系交大捷普区域技术人员获取服务支撑。   【 病 毒 描述 】 Globelmposter家族首次发现于2017年5月份。Globelmposter1.0版本的勒索软件由于其加密方式存在代码缺陷,导致被勒索的文件是可以被解密。2017年至2018年直至2019年初,Globelmposter开始从1.0版本更新到2.0版本到3.0版本,最终,开始采用RSA+AES加密方式对受害者的文件进行加密,这导致在没有解密密钥的情况下很难还原被加密的文件。传播行为从早期主要以钓鱼邮件为主要传播手法,而后逐渐演变为利用RDP爆破服务器进行人工投毒的传播。与此同时,其变种也开始逐渐增多。本次爆发的病毒为其变种之一,初步分析为RDP爆破服务器,进入主机之后,进行人工投毒,而后进行内感染攻击。由于Globelmposter 3.0变种采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具,被加密的计算机会生成一个“HOW_TO_BACK_FILES”的文件,描述了相关信息。【解 决 方 案  】对于易感染的主机迅速下线中毒主机,可直接切断网络连接,例如拔掉网线。 对于尚未感染的主机I、推荐使用捷普网络脆弱性智能评估系统(NVAS),进行漏洞扫描,基线检查,排查安全问题,打补丁,加固。II、Globelmposter的变种利用RDP...
发布时间: 2019 - 03 - 09
查看详情 >>
APT组织TransparentTribe多次针对印度政府、军事机构开展鱼叉攻击
APT组织TransparentTribe多次针对印度政府、军事机构开展鱼叉攻击 旗舰店
1、APT组织TransparentTribe多次针对印度政府、军事机构开展鱼叉攻击2019年初,有安全公司检测到了多起针对印度政府部门、军事目标等的攻击活动,诱饵内容包括'印度空袭分裂主义组织'、'联合国军事观察员'等。经过分析关联确认,攻击组织为TransparentTribe APT组织。该组织的攻击采用鱼叉攻击的方式,诱饵主要有两种类型,xls和doc,诱饵内容跟印度相关,攻击基本都是利用office的宏命令来加载恶意程序。恶意软件启动后,会上传本地机器信息并修改注册表加入自启动。随后接受远程指令进行下一步操作,该rat支持超过20多个指令功能,包括截屏,键盘记录,木马跟新,上传文件等功能。doc文件的RAT最终被确认的RAT家族为CrimsonRAT,xls加载的为PeppyRAT。根据关联分析,该组织可能与Gorgon Group有关。相关链接:http://t.cn/EImG3V82、PINCHY SPIDER利用GandCrab勒索病毒瞄准大型企业近日,CrowdStrike 观察到SPIDER分支机构在企业环境中部署GandCrab勒索病毒,GandCrab是由PINCHY SPIDER所开发的勒索软件,他们通过合作计划将勒索软件卖给客户再与之分成。在2月份PINCHY SPIDER发布了GandCrab的5.2版本,它不受早期版本GandCrab开发的解密工具的影响。最近的攻击者通过最初感染主机的被盗凭证,在受害者网络中横向传播,并部署勒索软件。与其他勒索事件不同的是,PINCHY SPIDER通常要求企业单笔支付一定数额的赎金来解锁整个企业。因此可以分析他们通常是有目的性,针对性的选择攻击目标。相关链接:http://t.cn/EImGFFF3、IBM研究团队在多个访客管理系统中发现19个安全漏洞IBM X-Force研...
发布时间: 2018 - 12 - 24
查看详情 >>
友情连接:
免费服务热线 ree service hotline 400-613-1868 手机端
法律声明 Copyright  西安交大捷普网络科技有限公司  陕ICP备18022218号-1

陕公网安备 61019002000857号
犀牛云提供云计算服务