Posted in威胁分析
银狐木马近期攻击案例分析
概述
银狐木马作为数年前在国内开始流行的一类远控木马,时至今日活跃度只增不减。近期瑞星威胁情报平台在日常运营中捕获到多起攻击案例,现对相关案例分类进行详细分析
Posted in威胁分析
2025年4月:南亚APT组织SideWinder针对巴基斯坦的新一轮攻势
概述
瑞星威胁情报中心在4月时捕获到了具有南亚背景的APT组织SideWinder针对巴基斯坦的一次网络攻击,当时正值印巴间因恐袭事件关系紧张之时,此次捕获的载荷之一也曾借恐袭事件之名进行过投递。两国之间可谓积怨已久,军事对抗也时有发生,而网络层面的对抗更是时刻都在进行,此次便是其中一次,在本次攻击中SideWinder诱导用户下载带密码的压缩包,在压缩包中包含一个恶意chm文件与恶意载荷,诱导点击chm文件从而执行恶意载荷,此类直接通过chm文件执行恶意载荷的攻击手法在其历史攻击中也是比较少见的,类似手法只在同属于南亚APT的Mysterious Elephant中有过,其运行的载荷也均为接受服务器指令并执行,只是开发语言略有区别,南亚APT组织之间的技术手法、战术战略和武器库选择经常可以发现相似之处,有时连基础设施都会发现存在共用,本次攻击可能是SideWinder对该组织的一次借鉴。
Posted in威胁分析
针对使用有效数签掩护的恶意攻击分析
概述
近日瑞星威胁情报平台在日常运营中捕获到了一起使用有效数字签名进行伪装的恶意攻击,此次攻击中所使用的恶意文件在VirusTotal上的检出非常低,一度只有2家安全厂商检出。样本内部也进行了一定混淆,所使用的关键API与字符串均为解密后动态调用,且将解密C2的方法与文件名进行了绑定企图绕过沙箱分析和人工调试,最终回连C2获取后续的恶意载荷,接下来就对其进行详细分析剖析其使用的免杀方法。
Posted in威胁分析
黑灰产借《黑神话:悟空》之名传播信息窃取木马
概述
近日瑞星威胁情报平台捕获到一起伪装《黑神话:悟空》安装包传播木马的攻击事件,企图诱骗用户下载安装,运行安装包后实际会运行攻击者部署的恶意代码而非游戏安装程序。经分析相关恶意文件为LummaC2信息窃取木马。LummaC2是一款使用C++开发的信息窃取木马,自2022年8月以来,它在俄语论坛上以恶意软件即服务(MaaS)的形式运营。该恶意软件由恶意软件开发者使用Lumma化名创建,目标是加密货币钱包、浏览器双重身份验证(2FA)扩展、登录凭据以及受害者机器上的其他敏感数据,我们可以在黑客论坛中找到其发布的广告。