2023年8月:疑似APT29组织针对中国的活动分析

概述

  2023年7月,瑞星威胁情报中心捕获到多个带有中文诱饵文档的恶意压缩包。这些攻击事件除压缩包名称以及诱饵文档不同之外,其他相关的攻击战术,过程等基本一致。通过分析发现,其攻击链中的最后一步是在受害者机器上部署CobaltStrikeCobaltStrike具有多种功能,包括远程控制、漏洞利用、命令和控制服务器等,可用于渗透测试和网络攻击。

2021年12月:APT-C-23组织疑似针对阿拉伯语国家的攻击事件分析报告

概述

  瑞星威胁情报平台于2021年12月捕获到一起疑似针对中东地区阿拉伯语国家的攻击事件。捕获到的样本是一个伪装成docx文档的可执行文件,根据其文件名可知攻击者以互联网盈利为噱头来诱骗用户主动打开捕获到的恶意程序。此恶意程序首先会打开内嵌于自身资源段中的诱饵文档,此文档显示为阿拉伯文,之后恶意程序会在后台进行一系列不被用户察觉的恶意行为,从而达到窃取机密信息的目的。其攻击模式极具诱惑性和隐蔽性,普通用户很容易中招。根据对此次行动的详细分析,判断疑似为APT-C-23组织所为。

FormBook钓鱼攻击事件分析

概述

  2023年7月末客户反馈收到可疑邮件,经确认最终执行的是FormBook 4.1版本窃密木马,FormBook是一款非常活跃的商业窃密木马,经常通过广撒网式投递钓鱼邮件,其主要由C#编写的加载器和C或汇编语言编写的核心PE程序组成,加载器采用套娃模式执行PE程序,PE程序无任何直接的API调用,无法静态分析,其代码包含各种反调试、反沙箱操作,对抗分析强度极大。

RoadSweep 2.0勒索软件分析

概述

2022年7月17日。阿尔巴尼亚新闻媒体报告了两起起具有针对性的大规模网络攻击,该攻击于此前另一版针对于阿尔巴尼亚的勒索攻击类型相同,极有可能是相同攻击者。威胁行为者同样使用了英伟达(Nvidia)和科威特电信公司(Kuwait Telecommunications Company)的有效证书来签署他们的恶意软件,目前该证书已被吊销。