热点情报
冒充多个品牌的新ClearFake恶意活动分析
新型Android银行木马伪装成基本服务瞄准印度用户
僵尸网络持续攻击老化的D-Link漏洞
Chrome扩展被劫持用来窃取用户数据
APT攻击
Horns&Hooves攻击活动传播NetSupport和BurnsRAT
技术洞察
Four Faith路由器新漏洞CVE-2024-12856影响多个行业
基于Mirai的新型僵尸网络Hail Cock揭秘
攻击者利用谷歌域名请求执行恶意代码
针对俄罗斯安卓用户的Mamont木马披露
Remcos RAT恶意软件变体分析
针对银行业的钓鱼攻击活动追踪
DarkComet远程访问木马近期活动
解密LegionLoader威胁
情报详情
新型恶意软件GOSAR针对中文地区开展攻击活动
Elastic Security最近观察到一个新的攻击入侵活动,这次攻击活动被命名为REF3864,目标是中文语言的使用者。恶意安装程序伪装成Telegram和Opera网络浏览器等合法软件进行传播。攻击感染链采用注入和DLL侧加载技术,使用自定义加载器SADBRIDGE。攻击者通过SADBRIDGE部署了一种新发现的、用Golang重新编写的QUASAR后门变种GOSAR。GOSAR是一个正在积极开发中的多功能后门程序,其功能还不完整,但是随着时间的推移观察到了功能改进的迭代版本。
详情查询:https://redqueen.tj-un.com/home/infoDetail/17614a36f1df4aa98a984de96cda446f
冒充多个品牌的新ClearFake恶意活动分析
Malwarebytes近期观察到了一个新ClearFake恶意活动。调查显示,感染链始于用户进行相关软件的搜索,如搜索Notepad时出现的可疑广告。具体来说,攻击者利用社交工程手段,创建了多个冒充知名软件品牌(如Notepad、Microsoft Teams、FileZilla、UltraViewer、CutePDF、Advanced IP Scanner等)的钓鱼页面,通过恶意广告和诱饵页面引导用户,随后显示虚假的Cloudflare通知,诱使用户手动执行一系列操作,从而执行恶意PowerShell命令,下载并安装恶意软件,最终窃取用户信息。
详情查询:https://redqueen.tj-un.com/home/infoDetail/a2aa52943888409ca76dabf2c6f9907a
新型Android银行木马伪装成基本服务瞄准印度用户
近期,McAfee发现了一种针对印度用户的新型Android银行木马。据悉,该木马通常会伪装成基本服务,例如公用事业(如天然气、电力)或银行应用程序,旨在获取用户敏感信息。数据显示,此恶意软件已感染419台设备,拦截4918条短信,并窃取了623条与卡或银行相关的个人信息,考虑到新变种的不断发展和传播,预计这一数字将稳步增加。研究人员表示,初始样本的软件包名称为"gs_5.customer",通过调查其数据库,确定了8个独特的包前缀,代表了不同的诈骗主题,它们疑似借助WhatsApp等消息平台进行传播,通过诱导用户安装恶意APK,从而窃取用户财务数据。值得注意的是,恶意软件还会利用Supabase(一种开源后端及服务,类似于Firebase)存储窃取的数据,并通过Firebase管理C2基础设施。
详情查询:https://redqueen.tj-un.com/home/infoDetail/7612fb3de41143acb64492c0c64a0ee3
僵尸网络持续攻击老化的D-Link漏洞
FortiGuard Labs观察到两种不同的僵尸网络活动激增,分别是Mirai变体"FICORA"和Kaiten变体"CAPSAICIN"。调查显示,这些僵尸网络常通过D-Link设备的已知漏洞传播,这些漏洞允许远程攻击者通过HNAP(家庭网络管理协议)接口上的GetDeviceSettings操作执行恶意命令,远程控制脆弱系统。具体来说。FICORA僵尸网络针对全球多个国家,它首先会下载并执行名为"multi"的shell脚本,后者将使用多种策略(如wget、ftpget、curl和tftp)下载恶意软件"FICORA"。CAPSAICIN则与FICOR不同,仅在10月21日和22日活跃,主要瞄准东亚国家,似乎是基于Keksec组织的僵尸网络恶意软件17.0.0版本变种开发而来。其下载器从特定IP地址提供。该恶意软件会杀死已知的僵尸网络进程,以确保自身在受害主机上的唯一执行,并能够与C2服务器建立连接,进而执行多种功能,包括发送受害者主机的操作系统信息等,同时也具有DDoS攻击功能。
详情查询:https://redqueen.tj-un.com/home/infoDetail/a9e554e2fbc54f7badcc64679ebdc51b
Chrome扩展被劫持用来窃取用户数据
近日,Cyberhaven的管理员账户在谷歌Chrome商店遭遇成功的钓鱼攻击,导致至少五个Chrome扩展被劫持。黑客利用被劫持的员工账户发布了恶意版本的Cyberhaven扩展,其中包含可将用户认证会话和Cookie窃取到攻击者域名的代码。Cyberhaven内部安全团队在一小时内移除了恶意软件包,并于12月26日发布了干净版本。此外,Nudge Security研究员也发现了其他一些Chrome扩展同样被注入了相同的恶意代码片段。
详情查询:https://redqueen.tj-un.com/home/infoDetail/87ec552be24849298c8a07fd2bbfd871
客户案例
CNCERT | 上海网信办 | 国家信息中心 | 国家电网
中国航信 | 中国电子技术标准化研究院 | 青岛税务局
河北省税务局 |中国银行 | 宁夏银行
国家信息技术安全研究中心 | 天津经开区 | ASTRI
华为 | 滴滴出行 | 吉视传媒 | OPPO | 长安汽车
河南电力 | 北京电力 | 浙江电力 | 中国移动
中国电信北京研究院 | 湖南广电 | Green Radar
北京电视台 | 天懋信息 | 核工业计算机应用研究所
上海观安 | 数梦工场 | 重庆银行 | 北京安态
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...