熱點情報
攻擊者使用GoMet後門攻擊烏克蘭軟件開發公司
Candiru利用零日漏洞CVE-2022-2294攻擊中東地區
QBot濫用Windows Calculator側加載惡意負載感染Windows設備
攻擊者利用Follina漏洞分發多種惡意軟件
APT攻擊
疑似APT39組織利用Konni攻擊歐洲多國
黑客組織TA4563利用EvilNum惡意軟件攻擊歐洲金融和投資實體
黑客利用新型UEFI固件程序「CosmicStrand」攻擊多國用戶
技術洞察
攻擊者利用IIS惡意擴展威脅服務器安全
攻擊者利用SmokerLoader加載Amaday惡意軟件
黑客通過ISO文件分發惡意軟件IcedID
Knotweed利用惡意軟件Subzero攻擊歐美客戶
DUCKTAIL釣魚活動針對Facebook商業賬戶分發惡意軟件
攻擊者利用惡意npm包竊取Discord令牌和銀行卡數據
Gootkit惡意軟件更新作戰手段
研究人員發現Linux系統新惡意軟件Lightning Framework
情報詳情
攻擊者使用GoMet後門攻擊烏克蘭軟件開發公司
Cisco Talos發現了一個針對烏克蘭一家大型軟件開發公司的惡意軟件,由於該公司的軟件在烏克蘭的各個組織中被使用,攻擊者的意圖可能是引發供應鏈攻擊。Cisco Talos證實,該惡意軟件是名為「GoMet」的開源後門的修改版本。GoMet後門是使用Go編程語言編寫的一個相當簡單的軟件。它包含了攻擊者在遠程控制代理中需要的幾乎所有常見功能。代理可以部署在各種操作系統(OS)或體系結構(amd64、arm等)上。且支持作業調度(通過Cron或任務調度器,具體取決於操作系統)、單命令執行、文件下載、文件上載等功能。
詳情查詢:https://redqueen.tj-un.com/IntelDetails.html?id=425eb407059d4ab69de9fa0c2f822626
Candiru利用零日漏洞CVE-2022-2294攻擊中東地區
最近,Avast發現Google Chrome中存在一個零日漏洞,被間諜軟件供應商Candiru用來有針對性地對中東的Avast用戶進行水坑攻擊。該漏洞編號為CVE-2022-2294,是WebRTC中的堆緩衝區溢出導致的內存損壞,被Candiru用來實現渲染器進程內shellcode的執行。目前,谷歌團隊已經修復了該漏洞,並在Chrome版本103.0.5060.114中發布了補丁。由於根本原因位於WebRTC,該漏洞不僅影響了其他基於Chromium的瀏覽器(如Microsoft Edge),還影響了不同的瀏覽器,如蘋果的Safari。微軟於7月6日採用了Chromium修補程序,而蘋果於7月20日發布了Safari修補程序。
詳情查詢:https://redqueen.tj-un.com/IntelDetails.html?id=8bf8792a0a5945bd8e2322eda02edbe0
QBot濫用Windows Calculator側加載惡意負載感染Windows設備
QBot,也稱為Qakbot,是一種Windows惡意軟件,Qakbot至少從7月11日起一直利用Windows 7 Calculator應用程序進行DLL側加載攻擊。DLL側加載是一種常見的攻擊方法,它利用了Windows中處理動態鏈接庫(DLL)的方式。惡意軟件通過將自己偽裝成合法的DLL並放置在文件夾中,讓操作系統的加載它而不是同名的合法DLL。
Qbot最近的活動中部署的電子郵件中帶有一個HTML文件附件,該附件會下載一個有密碼保護的ZIP文件,解壓之後得到的ISO文件包含一個.LNK文件,即calc.exe(Windows calculator)和兩個DLL文件,他們分別是WindowsCodecs.dll和名為7533.dll的惡意負載。
詳情查詢:https://redqueen.tj-un.com/IntelDetails.html?id=1596e67babaa4d23b7db214e4c515268
黑客組織TA4563利用EvilNum惡意軟件攻擊歐洲金融和投資實體
Proofpoint研究人員最近發現名為TA4563的攻擊組織利用Evilnum惡意軟件攻擊歐洲金融和投資實體的惡意活動,尤其針對那些支持外匯、加密貨幣和去中心化金融的業務實體。相關研究表明,上述活動與稱為Evilnum的黑客組織存在關聯。
2022年初,該組織繼續以釣魚郵件進行攻擊,試圖提供包含ISO或 .LNK附件的多個OneDrive URL。在最近的一次活動中攻擊者方法再次改變,TA4563交付Microsoft Word文檔以嘗試下載遠程模板。模板主題為「緊急丟失文件」,並攜帶附件,附件最終下載相關EvilNum有效負載,開展相關攻擊。
詳情查詢:https://redqueen.tj-un.com/IntelDetails.html?id=32ee3c33657046d6aa6b9bf0e4b90cdd
攻擊者利用Follina漏洞分發多種惡意軟件
Follina漏洞攻擊是最近發現的最嚴重的遠程代碼執行(RCE)漏洞之一。該漏洞(CVE-2022-30190)於2021年5月首次被披露。它利用微軟支持診斷工具MSDT(該工具是微軟在Windows操作系統的標準組件)來提升訪問權限,增強了其在受害者計算機環境中的生存能力,同時避免被檢測。ReversingLabs表明Follina正被用於發放惡意負載,包括Cobalt Strike、Mimikatz和未知惡意軟件,用於從受害者網絡獲取持久訪問並獲取數據和憑據。此外,攻擊中還使用了新的方法,包括使用系統調用來混淆惡意有效負載並避免API監控技術;使用帶有用戶名和密碼的「net use」命令在裝載的網絡共享上執行有效負載;以及部署新的、尚未識別的惡意軟件。
詳情查詢:https://redqueen.tj-un.com/IntelDetails.html?id=1e1146c30b324d8ebb449f5b00a2dfe5
關於威脅情報應用解決方案
秉承着「應用安全情報,解決實際問題」的理念,天際友盟以豐富的情報數據種類、多樣的情報應用產品與強大的情報服務能力,為政府、行業管理機構和企業用戶提供了堅實的情報技術支撐,協助客戶構建情報驅動的主動防禦體系,抵禦網絡安全風險,展現了情報應用的價值。
RedQueen安全智能服務平台,是天際友盟情報應用的核心樞紐,不僅是國內首個雲端一體化安全智能綜合服務平台,也是國內最大的安全情報聚合、分析與交換平台。
更多詳情:https://www.tj-un.com/redQueen.html
通過與各類專業安全廠商的解決方案結合,將威脅情報落地應用在客戶實際業務場景中來解決安全問題,是威脅情報應用的一種特有方式,我們稱之為Threat Intelligence Inside,TI Inside模式。迄今,天際友盟的威脅情報能力,已實現與三十多家安全廠商的集成聯動。
SIC安全情報中心(Security Intelligence Center),是天際友盟情報解決方案體系的核心。作為安全情報落地應用的一種表現形式,SIC可以將雲端數據同步到本地,實現情報訂閱與威脅溯源,還可通過其他來源的API接口接收STIX標準格式的情報數據並聚合到SIC中,配合SIC內嵌的流量分析、防護設備、資產引擎等,實現實時精準告警。
更多詳情:https://www.tj-un.com/sic.html
Leon威脅情報網關,是基於海量威脅情報應用的高性能流量檢測防護類產品。Leon可以與天際友盟的威脅情報產品家族(RedQueen、SIC、Ada、Alice 等)協同聯動,構建全網立體縱深防禦體系。基於實時訂閱的惡意IP庫、惡意URL庫、惡意域名庫、惡意郵件庫等高價值威脅情報,實現對威脅的實時發現、實時阻斷、全網預警及溯源分析。
更多詳情:https://www.tj-un.com/leon.html
北京天際友盟信息技術有限公司,成立於2015年,總部設在北京。一直以來,天際友盟秉承「創造安全價值」的理念,以安全研究與能力出發,以產品與服務落地,致力於提供全生命周期的數字風險防護服務,為客戶的數字化業務保駕護航。
天際友盟在北京、石家莊兩地設有研發中心,技術骨幹均為國內安全行業的專家人才,有着超過10年的安全從業經驗,對安全情報、數字風險、大數據分析、人工智能等領域有着深入的了解和豐富的實踐經驗。
天際友盟目前在上海、深圳、香港、西安、瀋陽、長春、哈爾濱、長沙、石家莊、太原等多地設有分公司和辦事處,為全國各地的客戶及合作夥伴提供及時、高效、優質的服務。
了解更多內容請訪問:https://www.tj-un.com
客戶案例
CNCERT|上海網信辦| 國家信息中心 |國家電網
中國航信 |中國電子技術標準化研究院 |青島稅務局
河北省稅務局 |中國銀行 | 寧夏銀行
國家信息技術安全研究中心 |天津經開區| ASTRI
華為 |滴滴出行 |吉視傳媒 |OPPO |長安汽車
河南電力 | 北京電力 |浙江電力 | 中國移動
中國電信北京研究院 |湖南廣電 |Green Radar
北京電視台 |天懋信息 |核工業計算機應用研究所
上海觀安 |數夢工場 | 重慶銀行 |北京安態
留言列表