2025年2月:SideCopy组织针对印度政府部门的攻击活动分析报告

概述

  瑞星威胁情报平台近期捕获到SideCopy组织发起的一起攻击事件。该组织仍采用zip+lnk组合的方式,通过钓鱼邮件或其他社工手段向目标用户进行投递。事件中使用的恶意快捷方式Security-Guidelines.lnk.pdf被伪装成pdf文档,诱导用户点击执行,然后通过内嵌命令将远程服务器上的恶意载荷下载到本地执行,最终执行恶意行为。与以往使用自建或公共服务器不同,此次事件中的下载服务器nhp.mowr.gov.in为合法网站,隶属于印度水资源部。攻击者成功入侵该站点并利用其托管恶意载荷,可有效规避安全检测机制,提高攻击成功率。根据事件中发现的诱饵文档内容、恶意载荷下载地址等证据,可以判定这是一起以网络安全指导为主题、针对印度水利部门相关人员的攻击事件。

  SideCopy是一个具有南亚国家背景的APT组织,因其攻击手法模仿南亚地区另一组织SideWinder而得名。据披露,该组织至少从2019年就开始活跃,主要针对印度、阿富汗等南亚国家的政府、国防和军事机构。

银狐木马服务端探索及近期在野样本分析

概述

银狐木马,又名毒鼠谷堕游蛇,是近年来国内非常流行的一个远控木马。主要针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击。攻击团伙通过投递远控木马,获得受害者的计算机控制权限,在系统内长期驻留,监控用户日常操作,窃取敏感信息,利用受害者的即时通信软件来发送具有针对性的钓鱼、欺诈类信息,实施钓鱼攻击和诈骗等违法行为

银狐木马在2024年仍保持着高度活跃且不断尝试使用新的技术来躲避安全软件检测甚至是直接攻击安全软件,如利用PoolParty技术注入恶意代码至系统进程以及利用包含漏洞的正常驱动结束安全软件进程。瑞星在近段时间的威胁狩猎中意外获得了多个银狐木马的服务端程序,虽然捕获到的服务端版本相对较老,但也能让我们从另一个角度来了解银狐木马。本文除了大致介绍服务端之外,还会对近期的在野样本进行较为深入的分析

TargetCompany勒索软件新变种分析

概述

  TargetCompany是一种于2021年6月首次被发现的勒索病毒,2024年5月,发现了针对Linux平台的TargetCompany勒索病毒变种。TargetCompany因加密文件的扩展名又被命名为Mallox勒索软件,使用的其他扩展名包括.mallox.xollam,最近出现了.wexor扩展名的变种。这些后期变种使用Curve25519Chacha20AES-128算法的组合来加密受害者的文件。

2024年8月:Lazarus组织针对加密货币行业从业者的攻击事件报告

概述

  瑞星威胁情报平台于近期捕获到一起Lazarus组织的攻击事件,攻击者发送伪装成FCCCall的安装包给从事加密货币行业的面试者,FCCCall的全称是FreeConferenceCall,是一款音频和视频会议服务的软件,当用户使用这个伪造的安装包安装FCCCall之后,同时会被植入一个恶意软件,该软件会窃取多个浏览器的信息,并下载一个Python程序包和下一阶段的恶意Python文件,使用Python程序执行恶意脚本文件后会下载窃取浏览器数据的Python脚本文件和NukeSped后门。此次攻击事件与Lazarus组织之前针对加密货币从业者攻击事件具有高度的相似性,因此将本次捕获到的攻击行动归属于Lazarus组织。

  Lazarus组织是一个自2007年就开始对目标进行网络攻击的威胁组织,该组织又被称为APT-C-26T-APT-15等,是现今最活跃的威胁组织之一。该组织疑似来自朝鲜,具有国家背景。其除了擅长信息盗取,间谍活动,还会蓄意破坏获取经济利益,攻击的国家包括中国,德国,澳大利亚,日本等,涉及的领域有航空航天、政府、医疗、金融和媒体等。