Posted in威胁分析

2024年8月:Lazarus组织针对加密货币行业从业者的攻击事件报告

Tags: ,

概述

  瑞星威胁情报平台于近期捕获到一起Lazarus组织的攻击事件,攻击者发送伪装成FCCCall的安装包给从事加密货币行业的面试者,FCCCall的全称是FreeConferenceCall,是一款音频和视频会议服务的软件,当用户使用这个伪造的安装包安装FCCCall之后,同时会被植入一个恶意软件,该软件会窃取多个浏览器的信息,并下载一个Python程序包和下一阶段的恶意Python文件,使用Python程序执行恶意脚本文件后会下载窃取浏览器数据的Python脚本文件和NukeSped后门。此次攻击事件与Lazarus组织之前针对加密货币从业者攻击事件具有高度的相似性,因此将本次捕获到的攻击行动归属于Lazarus组织。

  Lazarus组织是一个自2007年就开始对目标进行网络攻击的威胁组织,该组织又被称为APT-C-26T-APT-15等,是现今最活跃的威胁组织之一。该组织疑似来自朝鲜,具有国家背景。其除了擅长信息盗取,间谍活动,还会蓄意破坏获取经济利益,攻击的国家包括中国,德国,澳大利亚,日本等,涉及的领域有航空航天、政府、医疗、金融和媒体等。

黑灰产借《黑神话:悟空》之名传播信息窃取木马
Posted in威胁分析

黑灰产借《黑神话:悟空》之名传播信息窃取木马

Tags: ,

概述

  近日瑞星威胁情报平台捕获到一起伪装《黑神话:悟空》安装包传播木马的攻击事件,企图诱骗用户下载安装,运行安装包后实际会运行攻击者部署的恶意代码而非游戏安装程序。经分析相关恶意文件为LummaC2信息窃取木马。LummaC2是一款使用C++开发的信息窃取木马,自2022年8月以来,它在俄语论坛上以恶意软件即服务(MaaS)的形式运营。该恶意软件由恶意软件开发者使用Lumma化名创建,目标是加密货币钱包、浏览器双重身份验证(2FA)扩展、登录凭据以及受害者机器上的其他敏感数据,我们可以在黑客论坛中找到其发布的广告。

2024年7月:Patchwork组织针对我国科研教育领域的攻击事件分析
Posted in威胁分析

2024年7月:Patchwork组织针对我国科研教育领域的攻击事件分析

Tags: ,

概述

  Patchwork别名摩诃草白象Dropping Elephant等,被普遍认为是一个来自于南亚地区的境外APT组织。该组织主要针对政府机构、军事、能源、金融、科研教育等领域进行攻击,其中以科研教育和政府机构为主。目标国家包括中国、巴基斯坦等亚洲地区国家。其最早攻击活动可以追溯到2009年11月,至今仍然活跃,该组织在近期的攻击活动中也在不断尝试新的加载方法以及多种组件的不同组合。

  瑞星威胁情报平台在日常的威胁狩猎过程中再次捕获到了Patchwork组织对与我国科教领域的攻击样本,并捕获到基于Rust的新载荷,攻击者使用伪装成pdf的lnk文件作为初始载荷,执行PowerShell代码下载诱饵文档和加载器并创建计划任务实现持久化。其中加载器由Rust语言编写,负责在内存中执行Donut生成的ShellCode,最终在内存中执行该组织自制的后门BADNEWS以实现远控和信息窃取。

2024年6月:Patchwork组织对国内高校的攻击事件报告
Posted in威胁分析

2024年6月:Patchwork组织对国内高校的攻击事件报告

Tags: ,

概述

  瑞星威胁情报平台于近期捕获到一起针对国内高校的攻击事件,攻击者使用伪装成pdf文档的快捷方式作为钓鱼文档,当用户双击钓鱼文档时,会执行内置的PowerShell命令,从远程的服务器下载诱饵文档和恶意程序,接着创建计划任务实现恶意程序的持久化,恶意程序会从服务器上下载并执行开源工具Donut生成的ShellCodeShellCode会解密出最终的NorthStarC2后门。此次攻击事件和我们在去年12月发布的Patchwork组织针对我国的新能源行业的攻击事件具有高度的相似性,因此将本次捕获到的攻击行动归属于Patchwork组织。