瑞星威胁情报平台捕获到一起疑似针对澳大利亚的攻击事件。攻击者将诱饵文档伪装成商业发票,通过邮件发送给受害者。当受害者运行快捷方式文件后,会访问远程上的hta脚本,解码出一段PowerShell的脚本来执行,该脚本会下载诱饵文档到受害主机上,并且打开它迷惑用户;同时会下载使用Autoit编写的LodaRAT后门。据国内外多家安全厂商披露,该后门疑似是由Kasablanka组织所开发,是其特有的攻击武器,通过将本次攻击行动感染链与Kasablanka组织过往感染链的对比分析,将本次捕获到的攻击行动归属于Kasablanka组织具有高可信度。
瑞星威胁情报平台捕获到BlindEagle组织近期的一个攻击事件。攻击者通过邮件发送给受害者一个加密的压缩包。压缩包解压之后是一个与压缩包同名的JS文件,当用户双击JS文件后会从远程服务器上下载第一阶段DLL,启动PowerShell反射加载第一阶段DLL,该DLL会下载解码得到第二阶段的DLL(注射器),同时根据传入的参数中的地址下载AsyncRAT后门,接着使用第二阶段的DLL把后门注入到aspnet_compiler.exe中执行,根据国内外多家安全厂商披露,通过将本次攻击行动感染链与BlindEagle组织过往感染链的对比分析,将本次捕获到的攻击行动归属于BlindEagle组织具有高可信度。
瑞星威胁情报于11月捕获到一起针对中国企业的攻击事件,此次事件中瑞星捕获到一个XLSM格式的宏文档。通过对宏文档的分析,得知其主要是利用宏代码在Windows自启目录下释放恶意程序,再通过此程序上传用户数据和接收攻击者下发数据以便进行下一步操作。通过对行动中所使用的攻击技术,战术等分析,发现其疑似BlackTech组织所为。
瑞星于2023年12月20日接到国内某敏感单位反馈称设备上扫描到间谍软件,经专家分析相关文件为wmRAT后门,该后门由国外一个名为蔓灵花的攻击组织制作,即相关单位遭遇了APT攻击。蔓灵花组织,又称为BITTER,是一支据称有南亚背景的APT组织,疑似来自印度。至少自2013年起就开始对目标发动网络攻击,攻击目标包含中国、巴基斯坦等国家,涉及行业有政府、军事、能源等,其意图是窃取敏感资料