近期,瑞星威胁情报平台在日常安全监测中发现,开源托管平台 GitHub 上存在针对多个知名开源项目的恶意投毒行为。其中,由用户 windiow-2048 发布的 Windows 平台知名工具 The Fastest Mouse Clicker for Windows(鼠标连点器)项目首当其冲。攻击者将恶意程序经由 Advanced Installer 打包后藏匿于 MSI 安装包中,用户一旦下载并执行安装,便会在暗中触发恶意模块分发、植入并运行挖矿程序,导致严重的终端安全风险。
瑞星威胁情报平台在日常威胁监测中发现一起针对性网络攻击事件,攻击手法呈现高度精准的社会工程学特征。攻击者通过钓鱼邮件等社会工程学手段,向特定目标投递包含恶意宏代码的DOC文档。该恶意文档采用双重诱饵机制:当受害者执行宏代码后,系统首先释放名为EDGE_Group_Interview_NDA.docx的诱饵文档以降低用户警觉性,同时在后台静默执行恶意负载(包括多个恶意DLL组件),建立与远程C&C服务器的通信信道并接收后续攻击指令。整个攻击过程通过文档替换的方式实现无感知入侵,使受害者误认为仅打开了一个普通的商务文档。
基于攻击技术特征分析和威胁情报关联,本次事件与知名APT组织Lazarus(又称APT-C-26、T-APT-15)存在高度关联性。Lazarus组织是自2007年以来持续活跃的国家级威胁行为体,被广泛认为具有朝鲜国家背景。该组织以其多样化的攻击目标和复杂的攻击技术著称,攻击动机涵盖情报收集、经济利益获取和破坏性活动。其攻击范围遍及全球,重点目标包括中国、德国、澳大利亚、日本等国家的航空航天、政府机构、医疗卫生、金融服务和媒体等关键基础设施领域。
银狐木马作为数年前在国内开始流行的一类远控木马,时至今日活跃度只增不减。近期瑞星威胁情报平台在日常运营中捕获到多起攻击案例,现对相关案例分类进行详细分析
近日瑞星威胁情报平台在日常运营中捕获到了一起使用有效数字签名进行伪装的恶意攻击,此次攻击中所使用的恶意文件在VirusTotal上的检出非常低,一度只有2家安全厂商检出。样本内部也进行了一定混淆,所使用的关键API与字符串均为解密后动态调用,且将解密C2的方法与文件名进行了绑定企图绕过沙箱分析和人工调试,最终回连C2获取后续的恶意载荷,接下来就对其进行详细分析剖析其使用的免杀方法。