正文

APT高级威胁七月热点跟踪

admin
admin V管理员 /0 评论 /190 阅读
0805
此篇文章发布距今已超过476天,您需要注意文章的内容或图片是否可用!


01

深瞻情报实验室发布近期南亚APT活动报告以及响尾蛇组织汇总分析报告

近三个月以来,深信服深瞻情报实验室监测到了大量疑似南亚印度地区APT组织的相关攻击活动,活跃组织包括CNC、BITTER(蔓灵花)、Patchwork(白象)、Conficius(摩罗桫)、SideWinder(响尾蛇)、Donot(肚脑虫)等,其中CNC、BITTER、Patchwork组织活动尤为频繁猖獗,对我国境内多个行业发起多次攻击,这些攻击活动最早可以追溯到2022年。这几个APT组织很多方面信息存在着交叉,包括但不限于基础设施、攻击手法与战术、相似样本等,不排除这些组织背后存在一定关联性。


据深信服深瞻情报实验室监测,近期印度APT组织目标行业主要集中在教育、航空工业、科研单位、军工、政府等行业,各个活跃组织侧重目标稍有不同。


在攻击手法上,南亚APT组织在初始入侵阶段采用改良的高度定制化钓鱼邮件攻击,通过暗网渠道获取内部邮箱权限、劫持邮件会话记录、针对不同人群发送定制主题的邮件,甚至与目标进行互动,以提高欺骗性和信任度。在横向和持久化阶段,APT组织不断更新和改进攻击工具,采用多种技术、手法伪装、混淆和隐藏,以规避检测。例如Patchwork组织使用签名伪装、加密算法更新、API调用监控绕过安全产品检测,而CNC组织则伪造安全厂商和翻译软件证书来绕过检测。


深瞻情报实验室对近期南亚高度活跃的APT组织活动趋势进行了研判,并对持续的APT活动进行了预测。预计南亚APT组织仍将大量使用鱼叉式钓鱼攻击,但迷惑性将大幅提升。并且利用开源软件修改的攻击工具将成为南亚APT组织主流,APT组织对于开源软件的二次开发和改进更新很快,主要体现在反调试、反分析,以及目标识别等等。这些快速迭代的对抗技巧也使得APT组织和安全企业之间的攻防较量更为复杂和激烈,溯源归因难度也越来越高。


获取报告全文:

《关于近期南亚APT组织在境内高度活跃报告》:

《响尾蛇组织近一年攻击组件汇总分析报告》:

02

BlackByte 2.0勒索软件可以在短短5天内完成渗透、加密和勒索  

 勒索软件攻击对全球组织构成了严重威胁,而这一问题的威胁程度仍在不断升级。最近,微软的事件响应团队调查了BlackByte 2.0勒索软件攻击,并揭示了这些网络攻击的可怕速度和破坏性。调查结果显示,黑客仅需五天就能完成整个攻击过程,从获取初始访问权限到造成重大破坏,包括迅速侵入系统,加密重要数据,并要求赎金以释放数据等等。

调查揭示,他们利用未修补的Microsoft Exchange服务器的漏洞,此方法被证明非常成功,通过利用这个漏洞,他们获得对目标网络的初始访问权限,并为他们的恶意活动做好准备,随后BlackByte勒索软件使用8位数密钥对数据进行加密。


勒索软件还采用傀儡进程和反病毒软件规避等策略,以确保成功加密数据并避免被安全软件检测。此外,Webshell工具为黑客提供远程访问和控制,使他们能够在受感染的系统中进行持久化控制。


相关链接:https://www.microsoft.com/en-us/security/blog/2023/07/06/the-five-day-job-a-blackbyte-ransomware-intrusion-case-study/

03

苹果持续修复在“三角测量行动”中被利用的零日漏洞

苹果在7月24日再次发布了安全更新,以解决针对iPhone、Mac和iPad的攻击中利用的零日漏洞,该漏洞被追踪为CVE-2023-38606。据卡巴斯基GReAT首席安全研究员Boris Larin称,CVE-2023-38606是用于通过iMessage漏洞在iPhone上部署三角测量行动间谍软件的零点击漏洞链的一部分。此次修复的漏洞影响的设备列表相当广泛,包括各种iPhone和iPad机型,以及运行macOS Big Sur、Monterey和Ventura的Mac。


在早些时间6月1日,卡巴斯基发布了一篇报告表示,公司高层和中层管理人员的iPhone数据被盗,这是代号为“三角测量行动”的APT攻击的一部分。三角测量行动的第一批痕迹可以追溯到2019年,此次攻击行动利用的是零点击漏洞,因此不需要用户进行任何交互,通过iMessage收到受感染的消息后,设备将被感染,并在受感染的iPhone中部署APT工具包。


自年初以来,这已经是苹果修复的第11个零日漏洞,受影响系统包括iOS、macOS和iPadOS。此前的漏洞分别是:

7月10日修复的CVE-2023-37450

6月:CVE-2023-32434、CVE-2023-32435、CVE-2023-32439

5月:CVE-2023-32409、CVE-2023-28204、CVE-2023-32373

4月CVE-2023-28206、CVE-2023-28205

2月、CVE-2023-23529



相关链接:

https://www.bleepingcomputer.com/news/apple/apple-fixes-new-zero-day-used-in-attacks-against-iphones-macs/

04

联系我们

深信服深瞻情报实验室专注全球高级威胁事件的跟踪与分析,拥有一套完善的自动化分析溯源系统以及外部威胁监控系统,能够快速精准的对APT组织使用的攻击样本进行自动化分析和关联,同时积累并完善了几十个APT以及网络犯罪威胁组织的详细画像,成功帮助客户应急响应处置过多起APT及网络犯罪威胁组织攻击事件。

如何在不断升级的APT威胁对抗中保持先机?知己知彼方能百战不殆。全面了解APT组织,一整个拿捏住!深信服深瞻情报实验室正式推出APT组织画像平台(戳此体验https://sec.sangfor.com.cn/apt)!



推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下