威胁情报推送

点击蓝字关注我们吧！

披露Promethium(StrongPity)组织的木马工具、工作时间和基础设施

发布时间：2020年6月30日

Bitdefender研究人员最近发现，APT组织Promethium(StrongPity)一直在攻击土耳其和叙利亚的受害者。该组织利用水坑攻击有选择性地感染受害者，并部署了三层C＆C基础设施以阻止威胁分析师调查，从而利用特洛伊木马化的流行工具（例如存档器，文件恢复应用程序，远程连接应用程序，实用程序甚至安全软件）来感染受害者。攻击者对库尔德社区特别感兴趣，将威胁置于该地区持续冲突的地缘政治背景下。

攻击者的其中一个活动中使用的样本似乎已从2019年10月1日开始加上时间戳，恰逢土耳其对叙利亚东北部发动进攻，代号为"Operation Peace Spring"。尽管没有直接的证据表明Promethium(StrongPity)组织是为支持土耳其的军事行动而行动的，但受害人的个人资料加上所分析样本的时间戳，这是一个有趣的巧合。

所有被调查的与受污染的应用程序有关的文件似乎都是从周一到周五（UTC + 2，9至6点的工作时间）内编译的。所以研究人员认为，Promethium(StrongPity)可能是一个被赞助并有组织、有偿的开发团队，以交付某些“项目”。

来源：https://www.bitdefender.com/files/News/CaseStudies/study/353/Bitdefender-Whitepaper-StrongPity-APT.pdf

疑似KONNI组织最新攻击活动

发布时间：2020年7月1日

Excel文档会诱使用户使用该宏，并且在执行该宏时，将再次执行包含与法院判决书有关的内容的Excel文档，该判决称``违反拜访销售法的罚款''，使用户难以识别感染。该恶意软件的行为类似于被称为KONNI组织的APT攻击组织。

来源：https://asec.ahnlab.com/1341

Kimsuky利用伪装成COVID-19病毒相关内容的文件进行攻击

发布时间：2020年6月30日

Kimsuky组织使用wsf类型的恶意脚本进行攻击。在脚本代码中，与常规COVID-19相关的hwp文档文件和恶意dll二进制文件均使用Base64代码进行编码。

当执行恶意脚本时，会在"ProgramData","AutoPatch"路径等中创建编码文件。
显示正常的hwp文档并开始感染活动时，会在'C： ProgramData Software Microsoft Windows AutoPatch'路径中创建恶意dll文件。

来源：https://blog.alyac.co.kr/3091

关注本号，分享更多网络威胁情报