正文

Hvv 日记 威胁情报 8.16 (IP、样本、画像)

admin
admin V管理员 /0 评论 /101 阅读
0817
此篇文章发布距今已超过98天,您需要注意文章的内容或图片是否可用!

恶意IP

47.102.146.246

恶意文件

cc951eebac64bd5ac383d34511f18a5a**大学财务审计_张华简历.exe24eaa32dbd301f403ac7aea2245a3be0揭榜申报-中国**大学.zipd767aacb7cc552f241166d042be196197月份核实工资报表&g.xlxs_.exea20611c98162846184a82273230b0bd**院-博士后申请-李海波-**大学-水利工程.zipb506060bce024d81e45a4ab10e065722****集团招聘高级人力资源类JD信息****GroupOperationalRecruitmentJDInformation.docx.lnkcf9c11d866d994ed241b33f430c238b8**证券企业用餐订购计划.zip

恶意攻击者

攻击者的 IP 地址涵盖了 113.2.160.155、113.2.160.90、113.2.160.52、113.2.160.37 等多个。威胁等级被评定为 “中”。其活跃态势在最近一段时间尤为明显,具体活跃时段从 2024 年 8 月 5 日起始,一直持续至 2024 年 8 月 15 日。该攻击者所处的地理位置精准定位在中国的陕西省咸阳市。其活跃涉足的行业极为广泛,不仅涵盖了对信息安全要求极高的银行领域,还包括能源这种国家关键基础设施行业,以及政府这类掌握大量重要政务信息的部门。在能力评价方面,于专项期间,此攻击者精心策划,新启用了多个具备复杂功能的基础设施。通过这些设施,其针对众多关键目标有条不紊地展开了信息收集工作。截至目前,已经明确发现攻击者运用 113.2.160.0/24 网段下的多达 11 个 IP 发起了攻击。鉴于这种情况,我们务必高度警惕该网段下其余 IP 发起新攻击的潜在可能。这些攻击可能会采取更为隐蔽和复杂的手段,试图突破现有的安全防线,获取更多的敏感信息。在近期的攻击行为当中,主要集中表现为对备份文件的深度扫描。这种扫描行为并非偶然,极有可能是攻击者企图挖掘备份文件中所潜藏的重要数据和机密信息,从而为后续可能实施的更具破坏性的攻击或者其他非法活动奠定基础,造成难以估量的损失。
攻击者的 IP 地址明确为 39.100.183.14威胁等级同样被划定为 “中”。其活跃的时间窗口相对集中,始于 2024 年 8 月 12 日,截至 2024 年 8 月 14 日。其地理位置确定位于中国的北京市。活跃的行业重点聚焦在机场和政府这两个关键领域。能力评价方面指出,在专项期间,经过严密监测,发现该攻击者对航空行业展开了细致且有针对性的信息搜集工作,并且发动了具有一定规模的扫描攻击。近期还敏锐地察觉到 2 个特定的 IP(121.40.234.56、101.133.162.69)使用 inp5ix.ceye.io 这一极为隐蔽的链路进行攻击。由于这几个 IP 在攻击手法以及攻击目标方面呈现出高度的相似性,因此被强烈怀疑具有同源关系。攻击利用的显著特征包括 ci4tm4.dnslog.cninp5ix.ceye.io 等特定的域名和链路。在近期的攻击行为中,主要突出表现为漏洞扫描。这种扫描绝非简单的试探,而是攻击者精心策划的行动,其目的或许在于精准地寻找系统或网络中存在的潜在安全漏洞,为后续可能实施的更具危害性和破坏性的攻击行为开辟道路。
攻击者的 IP 地址精准定位为 110.230.235.238威胁等级判定为 “中”。其活跃的时间段集中在 2024 年 8 月 12 日至 2024 年 8 月 14 日。地理位置确切处于中国的河北省保定市。活跃行业主要精准集中在能源这一关键领域。在使用的工具层面,明确包括了 AWVSNmap 等专业工具。能力评价清晰表明,在专项期间,该攻击者新启用了具备特定功能的基础设施,并且针对能源行业展现出了极为强烈且具有针对性的攻击态势。近期的攻击行为主要聚焦于漏洞扫描。这一行为清晰地表明攻击者正试图在能源行业相关的系统或网络中寻觅可能存在的薄弱环节和安全漏洞,以此为可能的后续攻击行为精心筹备,意图对能源行业的信息安全造成严重威胁。
攻击者的 IP 地址确切为 192.166.244.58威胁等级处于较高水平。活跃时间范围精准划定在 2024 年 8 月 12 日至 2024 年 8 月 14 日。地理位置位于中国的香港特别行政区。活跃的行业主要指向安徽省的事业单位。能力评价明确显示,在专项期间,该攻击者发动了具有一定深度和复杂性的渗透测试。尽管攻击的规模和频率相对不大,但在攻击过程中巧妙地加入了绕过 waf 检测的先进技术手段,这充分彰显了攻击者具备相当的技术水准和精心策划的攻击策略。攻击利用的显著特征在于其在攻击全程中成功运用了绕过 waf 检测的前沿技术手段。近期的攻击行为涵盖了上传 webshellwebshell 利用、反序列化漏洞等一系列高风险操作。这些行为具有极其严重的危害性,极有可能导致目标系统被全面掌控或者关键数据被肆意窃取,从而引发不可预估的重大损失。
攻击者的 IP 地址确切为 218.69.242.216威胁等级被划定为 “中”。其活跃的时间段精准锁定在 2024 年 8 月 9 日至 2024 年 8 月 15 日。地理位置确定在中国的天津市。活跃行业主要包括银行、能源以及政府等关键领域。使用的工具主要包含 AWVSNmap 等专业工具。能力评价清晰指出,在专项期间新启用了具备特定功能的基础设施,并针对多个关键目标展开了全面的 Nmap 扫描和 web 敏感信息扫描。近期的攻击行为主要集中在信息收集这一关键环节。这一行为或许是在为后续更具针对性和破坏性的攻击行为精心筹备,通过收集大量的敏感信息,为可能实施的更具威胁性的攻击铺平道路。














































推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com