热点情报
XDSpy间谍组织对俄罗斯IT公司发动新网络攻击
BloodyWolf使用商业恶意软件STRRAT攻击哈萨克斯坦
Proofpoint电子邮件保护服务遭利用,致大规模钓鱼活动
Donot组织分发“第七届COMAC国际科技创新周”相关钓鱼文件
ShadowCat行动:利用图片隐写传递远控木马攻击印度政府官员
APT攻击
西班牙网络犯罪团伙GXC Team详情披露
Hive0137组织开始利用AI技术辅助钓鱼攻击
SideWinder组织瞄准地中海和印度洋海事设施
UNC4393组织近期运营策略及其恶意软件使用情况披露
技术洞察
SnakeKeylogger近期活动分析
Cloudflare被用于传播RAT木马
仿Sora钓鱼网站被用于传播恶意软件
ModiLoader钓鱼攻击瞄准波兰中小企业
SEXi、Key Group、Mallox勒索软件信息公开
针对Microsoft OneDrive用户的网络钓鱼活动追踪
Android恶意软件Mandrake持续两年隐藏在谷歌商店应用中
DEV#POPPER活动继续对软件开发人员开展社会工程学活动
情报详情
XDSpy间谍组织对俄罗斯IT公司发动新网络攻击
F.A.C.C.T近期报道称,XDSpy间谍组织于2024年7月针对一家开发收银机软件的俄罗斯IT公司发起了新网络攻击活动。据悉,活动始于内嵌下载RAR压缩文档链接的钓鱼邮件,邮件发件人利用真实地址进行欺骗,主题为《获取文件》或《代表老板的协议》,压缩文档包含扩展名为.exe的伪装为PDF文件的合法可执行文件和恶意动态链接库msi.dll。期间,攻击者将采用DLL侧加载技术启动恶意链接库,该库则负责下载并运行payload文件的下载器,即XDSpy.DSDownloader。XDSpy.DSDownloader的主要功能是从RCDATA资源中检索诱饵文档并将其存储在用户目录(%USERPROFILE%)中,然后打开诱饵文档来分散受害者的注意力,并进一步将msi.dll和合法的EXE文件复制到"C:\Users\Public"目录。最终,再通过特定链接从攻击者的服务器下载有效负载文件,并将其保存为"C:\Users\Public[a-z]\{8}.exe",例如:"C:\Users\Public\zwrdntjl.exe"。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=64069881437747b8bb2700a96fb46d40
BloodyWolf使用商业恶意软件STRRAT攻击哈萨克斯坦
近期,安全人员发现BloodyWolf组织使用商业恶意软件STRRAT(也称为StrigoiMaster)攻击哈萨克斯坦。攻击者发送携带PDF附件的钓鱼邮件,PDF为修复违规行为的通知文档,包含恶意JAR文件和Java编译器的下载链接。攻击者构造了一个仿造哈萨克斯坦政府的网站,网站托管了STRRAT恶意软件的样本。当用户下载运行STRRAT后,程序会从Github下载依赖项,复制自身到指定路径,创建计划任务以建立持久性,通过WMI查询磁盘、操作系统架构、防病毒软件的信息。STRRAT支持多种命令,如从指定网址下载并运行其他文件、使用PowerShell执行命令、运控受害者的浏览器、对文件进行加密与解密等。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=9609f6504f6e4ea3884464d123d46de7
Proofpoint电子邮件保护服务遭利用,致大规模钓鱼活动
近期,安全人员发现了Proofpoint电子邮件保护服务的一个关键漏洞,该服务负责保护87家Fortune100强公司,漏洞被称为EchoSpoofing,允许攻击者发送数百万封伪造的网络钓鱼电子邮件,邮件利用Proofpoint的客户群,这些客户群包括迪士尼、IBM、耐克、百思买和可口可乐等知名公司和品牌。电子邮件从Proofpoint官方电子邮件中继中发出,带有经过身份验证的SPF和DKIM签名,从而绕过主要的安全保护措施,最终窃取资金和信用卡详细信息。经过分析,这些钓鱼电子邮件都有相同的特征,都从虚拟服务器上的SMTP服务器开始,经过Office365在线Exchange服务器,然后进入特定域的Proofpoint服务器,并通过该服务器将电子邮件发送给目标。漏洞源于Proofpoint对微软账户的限制过于宽松,导致任何Office365帐户都可以与Proofpoint中继服务器进行交互。该攻击活动始于2024年1月,据安全人员估算,每天平均有300万封伪造的电子邮件被发送到各个目标。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=8f7a9971d2ab478596e9309dc0e44b30
Donot组织分发“第七届COMAC国际科技创新周”相关钓鱼文件
近期,安全人员捕获到Donot组织对国内民众发起钓鱼活动。样本以“第七届COMAC国际科技创新周”为主题构造诱饵内容,内容显示该活动由中国商用飞机有限责任公司、重庆大学等主办。样本为伪装为pdf的lnk文件,当用户打开文件后,文件将执行Powershell代码,从远程服务器下载文件、执行文件、创建计划任务等。代码通过Invoke-WebRequest下载用于迷惑用户的中文主题PDF文件。此外,恶意文件被下载至特定目录,并且被重命名为Update.exe。update.exe中包含大段base64编码shellcode,程序经过多重解码、解密后调用内核函数将shellcode写入内存,并且通过异步过程调用执行shellcode。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=1b1275ea6c2148bdafe1756908ef1226
ShadowCat行动:利用图片隐写传递远控木马攻击印度政府官员
近期,安全人员发现攻击者利用伪装为Office文档的LNK文件发起攻击。当用户执行LNK文件后,文件会加载其携带的Powershell脚本,脚本分为四个部分,分别为地理位置限制、通过字符操作消除字符串混淆、自行删除 LNK 文件并创建并打开诱饵文档、创建并执行恶意 DLL 文件。诱饵文档与印度议会议员提交的某项问题有关。脚本最终会在内存中加载恶意dll,dll会通过远程url获取PNG文件,文件通过隐写技术隐藏了一个由Donut生成的shellcode,shellcode使用APC注入方法执行,最终下发一个基于Go的文件,文件可提供目录遍历、C2通信、AD枚举、Kerberos凭证提取等功能。目前安全人员尚无法将此活动归因于任何特定组织。但是,根据其攻击的性质及其操作模式,安全人员认为攻击者可能是一个以经济利益为目的的黑客组织。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=44f4d0169ba240a4a5718ae47e22ba2b
客户案例
CNCERT | 上海网信办 | 国家信息中心 | 国家电网
中国航信 | 中国电子技术标准化研究院 | 青岛税务局
河北省税务局 |中国银行 | 宁夏银行
国家信息技术安全研究中心 | 天津经开区 | ASTRI
华为 | 滴滴出行 | 吉视传媒 | OPPO | 长安汽车
河南电力 | 北京电力 | 浙江电力 | 中国移动
中国电信北京研究院 | 湖南广电 | Green Radar
北京电视台 | 天懋信息 | 核工业计算机应用研究所
上海观安 | 数梦工场 | 重庆银行 | 北京安态
