热点情报
TeamTNT组织疑似卷土重来
APT组织海莲花近期攻击活动分析
新间谍组织WIP19瞄准电信及IT服务提供商
CuckooBees活动近期瞄准香港政府
新PowerShell后门伪装为Windows系统更新
APT攻击
Budworm间谍组织近6月活动跟踪
新型僵尸网络犯罪团伙L33T详情披露
APT-C-50组织利用FurBall间谍软件监视伊朗公民
DiceyF组织利用GamePlayerFramework攻击在线赌场
技术洞察
ERMAC银行木马感染Android用户
Ducktail新PHP变体攻击Facebook企业帐户
Magniber勒索软件通过JavaScript文件感染用户系统
新勒索软件Prestige攻击乌克兰、波兰组织
攻击者针对在线文件转换工具用户开展钓鱼攻击
新Clicker恶意软件借助Google Play下载量已达2000万次
情报详情
TeamTNT组织疑似卷土重来
Trendmicro近期捕获了针对云和容器的恶意加密货币挖矿样本,经分析发现,该样本攻击例程与网络犯罪组织TeamTNT使用的例程相似。TeamTNT组织自2019年以来一直活跃,并据说已于2021年11月退出。
此次活动例程主要利用Docker基础设施来实施感染、下载和运行各种shell脚本操作,然后通过ZGrab、massscan、pnscan和Redis等工具以类似蠕虫的方式传播并最终安装XMRig恶意软件。目前,活动使用的一个域与WatchDog组织关联。根据此次活动样本可推测,TeamTNT似乎已经回归,但更可能是由另一个名为WatchDog的加密货币挖矿组织部署。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=c8f1e3f645b54e03b56ce02ea85c5cc6
APT组织海莲花近期攻击活动分析
近日,研究人员在日常的威胁狩猎中捕获到了来自APT组织:海莲花(OceanLotus)的攻击活动样本。样本采用了白+黑的方式实现防御规避,白文件名为Office WINWORD.EXE,黑文件名为MSVCR100.dll。一旦用户打开白文件,便会加载恶意文件(MSVCR100.dll),该恶意文件将释放3个文件,分别执行持久化、下载下一阶段后门和信息收集及回传操作。此外,海莲花在本次攻击活动中还使用了不透明谓词、花指令等方案来对抗静态分析代码的混淆手段。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=351abc7819b24fa6bbeb36ae093315f8
新间谍组织WIP19瞄准电信及IT服务提供商
据SentinelLabs跟踪报道,一个名为WIP19的新威胁组织正持续针对中东和亚洲的电信及IT服务提供商。WIP19主要利用韩国公司DEEPSoft颁发的合法、被盗的数字证书来签署新恶意软件,包括SQLMaggie、ScreenCap和凭证转储程序。且该组织使用的部分恶意组件由著名的中文恶意软件作者WinEggDrop编写。基于该组织的攻击目标及WinEggDrop开发者与影子部队行动存在重叠这一事实,研究人员推测WIP19是一个说中文的间谍组织。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=74d3bb43db634efa8d051b93bb1bcf9f
CuckooBees活动近期瞄准香港政府
Cybereason于2022年5月首次记录了Operation CuckooBees活动,该活动至少从2019年以来一直在秘密进行情报收集,主要目的是从受害者那里窃取知识产权和其他敏感数据。近期研究人员观察到了CuckooBees的后续活动,活动攻击者利用了Spyder Loader恶意软件,且本次主要针对香港政府组织。Spyder Loader恶意软件于2021年3月首次公开讨论,常被用于对信息存储系统进行针对性的攻击、收集受感染设备的信息、执行恶意负载及脚本并与C2服务器通信。目前,CuckooBees活动已持续数年,其背后的攻击者极其顽固且擅于进行隐蔽操作。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=a77d0df7430f403bbeb59b0cf56b1e1f
新PowerShell后门伪装为Windows系统更新
SafeBreach研究人员近期发现了新型的完全不可检测(FUD)的PowerShell后门。该PowerShell后门主要通过伪装成Windows更新过程的一部分,最终成功在受害者系统中植入。
活动感染链始于某网络钓鱼活动中恶意的Word文档:Apply Form.docm,该Word文档伪装为LinkedIn的工作机会以诱使受害者打开。文档包含一个启动PowerShell脚本的宏,该恶意宏释放updater.vbs,然后创建一个伪装成Windows更新一部分的计划任务。在执行计划任务之前,updater.vbs还会创建两个PowerShell脚本:Script.ps1和Temp.ps1。其中cript1.ps1与C2服务器进行通信,Temp.ps1脚本则解析和执行相关命令。目前,PowerShell后门可绕过VT下的所有安全供应商的扫描程序。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=9a9a7cac31194aa6b16292e348517607
新型僵尸网络犯罪团伙L33T详情披露
在日常威胁监测过程中,研究人员关注到一个基于Gafgyt源代码开发并存在签名信息“daddyL33T's back”的僵尸网络木马。新型僵尸网络犯罪团伙L33T的命名便源于该签名信息。
L33T团伙自2021年9月份开始就大规模布局,其基础设施在荷兰、美国、越南等地均有分布,攻击范围涵盖了中国、德国、英国在内78个国家和地区,攻击目标包含了游戏、私服、教育网站等行业。其中,国内的广东、香港、四川、台湾等地均有受到影响。
此外,L33T运营的Mirai_L33T僵尸网络在2022年7月29日至8月22期间下发了近5000条DDoS攻击指令,涉及攻击目标3000多个,其单日下发指令数最高达到1000条以上。从其布局可以判定其进入黑产行业的野心不小。
详情查询:https://redqueen.tj-un.com/IntelDetails.html?id=3b4d64ed423c4d7c985d9e8009cac785
欢迎登陆天际友盟RedQueen平台,获取更多威胁情报。
关于威胁情报应用解决方案
秉承着“应用安全情报,解决实际问题”的理念,天际友盟以丰富的情报数据种类、多样的情报应用产品与强大的情报服务能力,为政府、行业管理机构和企业用户提供了坚实的情报技术支撑,协助客户构建情报驱动的主动防御体系,抵御网络安全风险,展现了情报应用的价值。
RedQueen安全智能服务平台,是天际友盟情报应用的核心枢纽,不仅是国内首个云端一体化安全智能综合服务平台,也是国内最大的安全情报聚合、分析与交换平台。
更多详情:https://www.tj-un.com/redQueen.html
通过与各类专业安全厂商的解决方案结合,将威胁情报落地应用在客户实际业务场景中来解决安全问题,是威胁情报应用的一种特有方式,我们称之为Threat Intelligence Inside,TI Inside模式。迄今,天际友盟的威胁情报能力,已实现与三十多家安全厂商的集成联动。
SIC安全情报中心(Security Intelligence Center),是天际友盟情报解决方案体系的核心。作为安全情报落地应用的一种表现形式,SIC可以将云端数据同步到本地,实现情报订阅与威胁溯源,还可通过其他来源的API接口接收STIX标准格式的情报数据并聚合到SIC中,配合SIC内嵌的流量分析、防护设备、资产引擎等,实现实时精准告警。
更多详情:https://www.tj-un.com/sic.html
Leon威胁情报网关,是基于海量威胁情报应用的高性能流量检测防护类产品。Leon可以与天际友盟的威胁情报产品家族(RedQueen、SIC、Ada、Alice 等)协同联动,构建全网立体纵深防御体系。基于实时订阅的恶意IP库、恶意URL库、恶意域名库、恶意邮件库等高价值威胁情报,实现对威胁的实时发现、实时阻断、全网预警及溯源分析。
更多详情:https://www.tj-un.com/leon.html
客户案例
CNCERT | 上海网信办 | 国家信息中心 | 国家电网
中国航信 | 中国电子技术标准化研究院 | 青岛税务局
河北省税务局 |中国银行 | 宁夏银行
国家信息技术安全研究中心 | 天津经开区 | ASTRI
华为 | 滴滴出行 | 吉视传媒 | OPPO | 长安汽车
河南电力 | 北京电力 | 浙江电力 | 中国移动
中国电信北京研究院 | 湖南广电 | Green Radar
北京电视台 | 天懋信息 | 核工业计算机应用研究所
上海观安 | 数梦工场 | 重庆银行 | 北京安态
