热点情报
App Miner挖矿木马活动追踪
Ngioweb僵尸网络代理7年后依旧活跃
台湾地区Facebook商业账户遭到信息窃取攻击
SteelFox木马伪装成软件激活器进行窃密和挖矿活动
Atlassian Confluence漏洞遭攻击者利用以进行加密货币挖矿
APT攻击
蔓灵花组织多元攻击载体揭秘
APT36组织ElizaRAT恶意软件演变分析
朝鲜APT37组织近期对韩网络侦察活动分析
海莲花组织首度利用MST文件投递RUST特马
Lazarus组织不断更新Contagious Interview活动策略
技术洞察
新型勒索软件Interlock分析
新LightSpy lOS软件版本分析
恶意软件利用以太坊智能合约实现C2操作
Strela Stealer恶意软件瞄准中欧和西南欧
CopyRh(ight)adamantys活动以侵权为由部署Rhadamantys窃取程序
情报详情
App Miner挖矿木马活动追踪
近期,安天监测到一起挖矿木马攻击事件。据悉,该木马从2024年3月开始出现,持续更新攻击脚本,脚本可针对操作系统类型下载对应的挖矿程序,检查系统环境是否有curl、Python、Perl等工具,若有则使用这些工具下载挖矿程序,反之则会进行下载适配,对CPU进行一个合理的功率限制,以确保不会影响正常操作和业务。总之,该挖矿木马会尽可能的独占资源进行挖矿,且不影响受害操作系统稳定性。因其在脚本中多次出现"app"字符串,研究人员将其命名为"App Miner"。
详情查询:https://redqueen.tj-un.com/home/infoDetail/c69d708d76a64a13b48cc6b8dd0cddc4
Ngioweb僵尸网络代理7年后依旧活跃
Cybersecurity近期报道称,新型多功能僵尸网络代理Ngioweb自2017年首次出现以来,仍然活跃并对网络安全构成威胁。研究人员表示,该僵尸网络由银行恶意软件家族Ramnit加载,其原始代码几乎没有任何相关变化,积极广泛地扫描易受攻击的设备(如Linear eMerge、Zyxel路由器和Neato吸尘器),以将其转化为住宅代理,随后通过Nsocks平台将这些住宅代理在黑市上以几美分的价格进行出售。数据显示,Nsocks在全球范围内提供30,000个IP,并以低于1.50美元的价格出售24小时访问权,主要目标是住宅ISP用户,占感染用户的75%以上。此外,攻击者还会采用针对特定漏洞的扫描策略,以避免暴露他们的整个武器库。同时还会利用域名生成算法(DGA)和加密的TXT响应来保护其C2基础设施,确保持续的恶意活动。
详情查询:https://redqueen.tj-un.com/home/infoDetail/4451aeef4eab4ddd90553ce610cd4501
台湾地区Facebook商业账户遭到信息窃取攻击
Cisco Talos近期观察到未知攻击者至少自2024年7月以来便在中国台湾地区针对被用于商业或广告目的的Facebook账户进行网络钓鱼活动。据悉,活动涉及利用谷歌的Appspot[.]com域名、短URL和Dropbox服务,旨在部署信息窃取恶意软件(包括LummaC2、Rhadamanthys)。具体来说,感染链始于一封包含恶意软件下载链接的钓鱼邮件,邮件诱饵在诱饵模板和假PDF文件中使用了繁体中文,通过冒充公司的法律部门,试图诱使受害者下载并执行恶意软件,且攻击者使用了多种技术来逃避反病毒检测和沙盒分析,例如代码混淆、外壳代码加密、在资源数据中隐藏恶意代码以将文件大小扩展到700MB以上,以及将信息窃取器嵌入合法二进制文件等。
详情查询:https://redqueen.tj-un.com/home/infoDetail/3419579dac614c85a30e543684571d81
SteelFox木马伪装成软件激活器进行窃密和挖矿活动
2024年8月,Securelist发现一种由矿工和窃密恶意软件组成的未知捆绑包引起了大规模的感染,并将其命名为"SteelFox"。据悉,此次活动始于2023年2月,活动涉及的恶意软件具有复杂的执行链,主要通过论坛帖子、恶意的Torren跟踪器、博客和模仿流行的软件(如福昕PDF编辑器、JetBrains和AutoCAD等)实现传播。此外,SteelFox还会使用窃密恶意软件提取受害者的信用卡数据和受感染设备的详细信息,随后利用受感染设备的计算资源进行加密货币挖矿,通过易受攻击的驱动程序提升权限,以便更深入地控制系统,最后再利用SSL pinning和TLSv1.3与C2服务器通信,确保通信的安全性和隐蔽性。目前,研究人员已经检测到这种威胁11000多次,受害者遍布全球,其中大多数受影响的用户在巴西、中国、俄罗斯、墨西哥、阿联酋、埃及、阿尔及利亚、越南、印度和斯里兰卡。
详情查询:https://redqueen.tj-un.com/home/infoDetail/59aad1410c224731af2389260baa977a
Atlassian Confluence漏洞遭攻击者利用以进行加密货币挖矿
趋势科技近期发现,攻击者正利用Atlassian Confluence漏洞(CVE-2023-22527,未经身份验证的模板注入漏洞)通过Titan Network进行加密货币挖矿活动。据悉,Titan Network基于去中心化物理基础设施网络(DePIN),是一个开源平台,允许用户共享和部署硬件资源,将其转化为有价值的数字资产,如计算能力、存储和带宽。此次活动,攻击者主要使用公共IP查找服务和各种系统命令来收集有关受感染机器的详细信息,还涉及下载和执行多个shell脚本来安装Titan二进制文件并以攻击者的身份连接到Titan网络。最终,通过执行一系列侦察、有效载荷部署和持久性机制,攻击者能够有效地利用服务器资源,将受感染的系统整合到Titan网络中,以获取经济利益。
详情查询:https://redqueen.tj-un.com/home/infoDetail/9c5710b822e14b6a8d0673682483b403
客户案例
CNCERT | 上海网信办 | 国家信息中心 | 国家电网
中国航信 | 中国电子技术标准化研究院 | 青岛税务局
河北省税务局 |中国银行 | 宁夏银行
国家信息技术安全研究中心 | 天津经开区 | ASTRI
华为 | 滴滴出行 | 吉视传媒 | OPPO | 长安汽车
河南电力 | 北京电力 | 浙江电力 | 中国移动
中国电信北京研究院 | 湖南广电 | Green Radar
北京电视台 | 天懋信息 | 核工业计算机应用研究所
上海观安 | 数梦工场 | 重庆银行 | 北京安态
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...