熱點情報
攻擊者針對Microsoft郵件服務用戶發起大規模AiTM攻擊
網絡罪犯利用Robin Banks釣魚服務平台發動大規模攻擊
新型工業間諜團體利用勒索軟件竊取數據信息
攻擊者利用國內代碼託管平台Gitee分發Cobalt Strike惡意軟件
新型惡意軟件Woody RAT利用魚叉式釣魚攻擊俄羅斯
APT攻擊
APT組織Gamaredon對烏克蘭政府發起多種網絡攻擊
Projector Libra利用惡意軟件Bumblebee開展勒索攻擊
Kimsuky通過word文檔發送釣魚鏈接
技術洞察
谷歌商店中出現新型HiddenAds惡意軟件
Raccoon Stealer v2木馬分析
SharpTonge利用惡意瀏覽器擴展SHARPEXT竊取郵件
LockBit勒索軟件通過Microsoft安全工具側加載Cobalt Strike
暗網上發現新的DawDroper銀行木馬及其DaaS
Manjusaka:類似Sliver和Cobalt Strike的新型攻擊框架
新型IoT惡意軟件家族RapperBot針對SSH服務發起攻擊
情報詳情
APT組織Gamaredon對烏克蘭政府發起多種網絡攻擊
近期,研究人員發現APT組織Gamaredon開始頻繁使用多種不同類型的攻擊方式對烏克蘭赫爾松州、頓涅茨克州等地區的軍方和警方目標進行網絡攻擊。在該攻擊周期中,Gamaredon主要使用了惡意office文檔、惡意html附件、惡意SFX文件等攻擊工具,配合精心設計的誘餌信息,組合成三類不同的攻擊流程。Gamaredon被烏克蘭軍方認為是來自俄羅斯的APT組織,該組織長期針對各東歐國家尤其是烏克蘭的政府部門開展釣魚攻擊活動,常用的工具包括偽裝成政府官方文件的各式誘餌、各類腳本程序以及多種自製的木馬程序。
詳情查詢:https://redqueen.tj-un.com/IntelDetails.html?id=289737ad901b4a909f61038b015c4896
網絡罪犯利用Robin Banks釣魚服務平台發動大規模攻擊
Robin Banks是一個網絡釣魚即服務(PhaaS)平台,於2022年3月首次出現,此平台針對的金融機構廣告包括:美國銀行、Capital One、花旗銀行、富國銀行等。他們還為釣魚谷歌、微軟、T-Mobile信息以及英國勞埃德銀行、加拿大Netflix和澳大利亞聯邦銀行等國際公司提供模板,向網絡罪犯出售現成的網絡釣魚工具包,釣魚工具包里含有預打包的文件集,其中包含創建釣魚網頁所需的所有代碼、圖形和配置文件,能夠竊取目標數據庫或電子郵件信息。
6月中旬,Ironet披露了一項利用Robin Banks平台的大規模釣魚活動,此活動通過短信和電子郵件瞄準受害者,目的是訪問與花旗銀行有關的憑據和財務信息,除此之外,該工具包在受害者訪問網絡釣魚登錄頁面後,也會要求他們提供谷歌和微軟的憑據,這表明一些高級攻擊者也會使用這類工具以獲得勒索公司網絡或其他入侵活動後的初始訪問權限。
詳情查詢:https://redqueen.tj-un.com/IntelDetails.html?id=1e4472682f454e72a116f5758428aa75
新型工業間諜團體利用勒索軟件竊取數據信息
Industrial Spy是一個相對較新的勒索軟件組織,於2022年4月出現。Industrial Spy最初是一個數據勒索市場,犯罪分子可以在其中購買大公司的內部數據;他們使用偽裝成破解軟件和廣告軟件的惡意軟件下載器下載的README.txt文件來推廣這個市場。在這些最初偽裝活動之後,威脅組織引入了他們自己的勒索軟件,以創建將數據盜竊與文件加密相結合的雙重勒索攻擊。相關勒索軟件利用RSA和3DES的組合來加密文件,但同時Industrial Spy缺乏現代勒索軟件系列中的許多常見功能,例如反分析和混淆功能。Industrial Spy勒索軟件主要有兩個與其相關的可執行文件。其一為一個二進制文件,不實現任何破壞性功能,主要使用破解、廣告軟件和其他惡意軟件加載程序進行分發。而第二個執行文件加密。研究人員觀察到這個二進制文件與其他加載程序和竊取程序一起在野外分發,包括SmokeLoader、GuLoader和Redline Stealer。
詳情查詢:https://redqueen.tj-un.com/IntelDetails.html?id=d9f817e66cc546099edc8947191b4843
新型IoT惡意軟件家族RapperBot針對SSH服務發起攻擊
自2022年6月中旬以來,相關研究人員一直在跟蹤一個快速發展的IoT惡意軟件家族,稱為「RapperBot」。該家族大量借鑑了原始Mirai源代碼,但是其內置了暴力破解模塊以獲得對SSH服務器的訪問權限,而不是在Mirai中實現Telnet。相關研究人員還發現了帶有SSH相關字符串的物聯網惡意軟件樣本,經過進一步分析,發現這個被稱為「RapperBot」的惡意軟件系列包括有限DDoS功能的SSH暴力破解程序。與大多數物聯網惡意軟件一樣,它針對ARM、MIPS、SPARC和x86架構。自7月中旬以來,RapperBot已從自我傳播轉向維護對暴力破解SSH服務器的遠程訪問。
詳情查詢:https://redqueen.tj-un.com/IntelDetails.html?id=6f3d76d4d6014622bf85f82f0251505c
新型惡意軟件Woody RAT利用魚叉式釣魚攻擊俄羅斯
Malwarebytes發現未知攻擊者以俄羅斯實體為目標,使用惡意軟件Woody RAT遠程控制和竊取受感染設備的信息。基於攻擊者註冊的虛假域名發現他們試圖針對一個名為OAK的俄羅斯航空航天和國防實體,此惡意軟件的最早版本假裝成俄羅斯特有的zip文件,這些存檔文件使用魚叉式網絡釣魚電子郵件的形式發放,利用Follina(CVE-2022-30190)漏洞分發惡意軟件,一旦在感染的設備啟動惡意軟件,它會使用RSA-4096和AES-CBC的組合對其C2通信通道進行加密,以躲避基於網絡的監控;創建命令線程後,會將shellcode寫入掛起的記事本進程從而在磁盤中刪除自身。
詳情查詢:https://redqueen.tj-un.com/IntelDetails.html?id=08fb0c38a35643958d5904d0e93b5bd0
關於威脅情報應用解決方案
秉承着「應用安全情報,解決實際問題」的理念,天際友盟以豐富的情報數據種類、多樣的情報應用產品與強大的情報服務能力,為政府、行業管理機構和企業用戶提供了堅實的情報技術支撐,協助客戶構建情報驅動的主動防禦體系,抵禦網絡安全風險,展現了情報應用的價值。
RedQueen安全智能服務平台,是天際友盟情報應用的核心樞紐,不僅是國內首個雲端一體化安全智能綜合服務平台,也是國內最大的安全情報聚合、分析與交換平台。
更多詳情:https://www.tj-un.com/redQueen.html
通過與各類專業安全廠商的解決方案結合,將威脅情報落地應用在客戶實際業務場景中來解決安全問題,是威脅情報應用的一種特有方式,我們稱之為Threat Intelligence Inside,TI Inside模式。迄今,天際友盟的威脅情報能力,已實現與三十多家安全廠商的集成聯動。
SIC安全情報中心(Security Intelligence Center),是天際友盟情報解決方案體系的核心。作為安全情報落地應用的一種表現形式,SIC可以將雲端數據同步到本地,實現情報訂閱與威脅溯源,還可通過其他來源的API接口接收STIX標準格式的情報數據並聚合到SIC中,配合SIC內嵌的流量分析、防護設備、資產引擎等,實現實時精準告警。
更多詳情:https://www.tj-un.com/sic.html
Leon威脅情報網關,是基於海量威脅情報應用的高性能流量檢測防護類產品。Leon可以與天際友盟的威脅情報產品家族(RedQueen、SIC、Ada、Alice 等)協同聯動,構建全網立體縱深防禦體系。基於實時訂閱的惡意IP庫、惡意URL庫、惡意域名庫、惡意郵件庫等高價值威脅情報,實現對威脅的實時發現、實時阻斷、全網預警及溯源分析。
更多詳情:https://www.tj-un.com/leon.html
北京天際友盟信息技術有限公司,成立於2015年,總部設在北京。一直以來,天際友盟秉承「創造安全價值」的理念,以安全研究與能力出發,以產品與服務落地,致力於提供全生命周期的數字風險防護服務,為客戶的數字化業務保駕護航。
天際友盟在北京、石家莊兩地設有研發中心,技術骨幹均為國內安全行業的專家人才,有着超過10年的安全從業經驗,對安全情報、數字風險、大數據分析、人工智能等領域有着深入的了解和豐富的實踐經驗。
天際友盟目前在上海、深圳、香港、西安、瀋陽、長春、哈爾濱、長沙、石家莊、太原等多地設有分公司和辦事處,為全國各地的客戶及合作夥伴提供及時、高效、優質的服務。
了解更多內容請訪問:https://www.tj-un.com
客戶案例
CNCERT|上海網信辦| 國家信息中心 |國家電網
中國航信 |中國電子技術標準化研究院 |青島稅務局
河北省稅務局 |中國銀行 | 寧夏銀行
國家信息技術安全研究中心 |天津經開區| ASTRI
華為 |滴滴出行 |吉視傳媒 |OPPO |長安汽車
河南電力 | 北京電力 |浙江電力 | 中國移動
中國電信北京研究院 |湖南廣電 |Green Radar
北京電視台 |天懋信息 |核工業計算機應用研究所
上海觀安 |數夢工場 | 重慶銀行 |北京安態
留言列表