正文

本周APT组织动态(7.18-7.24)

admin
admin V管理员 /0 评论 /267 阅读
0108
此篇文章发布距今已超过686天,您需要注意文章的内容或图片是否可用!

APT29攻击英国、美国和加拿大的疫苗开发组织

发布时间:2020年7月16日

APT29也称为“the Dukes”或“Cozy Bear”。据称是俄罗斯情报机构的一部分。该组织使用各种工具和技术针对政府、外交、智库、医疗和能源等获取情报。

在2020年,APT29的目标是加拿大、美国和英国参与COVID-19疫苗开发的组织,其意图可能是窃取与COVID-19疫苗的研制和测试相关的信息和知识产权。APT29使用定制的恶意软件WellMess和WellMail来攻击大量的全球组织,包括那些参与COVID-19疫苗开发的组织。而此前,没有公开表明WellMess和WellMail与APT29相关。

来源:

https://www.ncsc.gov.uk/files/Advisory-APT29-targets-COVID-19-vaccine-development-V1-1.pdf

https://www.pwc.co.uk/issues/cyber-security-services/insights/cleaning-up-after-wellmess.html

360威胁情报中心判定WellMess为一个新的APT组织

来源:

https://mp.weixin.qq.com/s/WmzryWNNJVV7mXABQ1Yu8g


研究人员曝光伊朗APT35组织的40G数据

发布时间:2020年7月16日

IBM X-Force事件响应情报服务(IRIS)已发现有关可疑的伊朗威胁组织APT35的罕见操作细节,该组织与Charming Kitten和Phosphorus有关联。在过去的几周中,其与针对制药公司和美国总统竞选的攻击活动有关。现在,由于APT35组织的操作错误(一种基本的错误配置),X-Force IRIS分析师对一台服务器上超过40GB的数据进行了分析。

在2020年5月,IBM X-Force IRIS发现了被上传到服务器的40GB视频和数据文件,该服务器托管着该组织2020年初活动中使用的多个域名。一些视频显示了操作员管理对手创建的帐户,而其他一些视频则显示了操作员测试访问权限并从以前被破坏的帐户中窃取数据。

来源:

https://securityintelligence.com/posts/new-research-exposes-Iranian-threat-group-operations/


Lazarus组织在MacOS平台的攻击活动

发布时间:2020年7月20日

近期,通过对相关攻击活动的分析跟进,微步情报局近期通过威胁狩猎系统捕获到Lazarus组织在MacOS平台上使用的多种类型的后门木马。经分析有如下发现:

Lazarus组织在MacOS平台上攻击活跃,开发并使用了多种类型的后门木马,且处于在持续更新的过程中。

Lazarus组织不仅会跨平台(WindowsLinux)复用已有的后门木马,也使用Objective-C开发适用于MacOS平台的后门木马。

Lazarus组织使用的后门木马的加密流量特征,包括JA3 特征和证书。

来源:

https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=2794


Konni组织利用核问题、疫情为诱饵发起攻击

发布时间:2020年7月21日

近期,红雨滴团队在日常的威胁狩猎中捕获了多例该组织的攻击样本:包括韩国文字处理软件HWP类型的样本以及Office Word宏利用样本。此类样本采用热点新闻为诱饵,如核问题相关信息、COVID-19相关信息等,诱导受害者执行其恶意文档,并通过宏等手段释放执行恶意程序,控制受害者计算机,窃取敏感信息。

来源:

https://mp.weixin.qq.com/s/lgmuMbgJKVSddMopapXeQQ


Gamaredon针对乌克兰发起攻击

发布时间:2020年7月22日

6月初,微步情报局在监控Gamaredon针对乌克兰的攻击中,发现其在攻击手法上有新变化,并关联发现该团伙大量相关网络资产,具体情况如下:

- 关联监控采集到多个地区社会热点话题为诱饵的恶意lnk文件,涉及到的主题主要分为司法、官僚腐败、民生疫情、国际反恐等方向。相较该团伙此前专注于国家安全通知、军事行动、法律草案等主题范围有明显拓展,但亦具有较强针对性。

- 在关联的恶意lnk中提取的C&C域名中,部分与此前Gamaredon团伙的网络资产存在重叠,证明Gamaredon团伙在原有基础设施上进行攻击手法的迭代优化。

- 经过对Gamaredon团伙新攻击手法的关联资产分析判断,该团伙于2月24日前后开始研究测试恶意lnk攻击手法,并于6月开始投入使用并对乌克兰目标展开攻击。

来源:

https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=2800


OilRig攻击中东电信组织

发布时间:2020年7月22日

PaloAltoNetworks在分析针对中东电信组织的攻击时,发现了一种与OilRig相关的工具的变体,使用一种新颖的基于电子邮件的命令和控制(C2)通道。

2020年5月,赛门铁克发布了针对Greenbug小组的研究,该小组针对东南亚的电信组织进行攻击,最近一次发生在2020年4月。本次攻击活动使用了与2020年4月针对中东电信组织的攻击相似的战术和工具,特别是使用了定制的Mimikatz工具、Bitvise、PowerShell下载程序以及定制后门RDAT。

来源:

https://unit42.paloaltonetworks.com/oilrig-novel-c2-channel-steganography/



本周APT组织动态(7.18-7.24)


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网