Posted in威胁分析
2021年5月:Lazarus组织针对中国进行的攻击事件
概述
近日,瑞星威胁情报中心捕获到一起针对中国政府或企业发起的APT攻击事件,通过分析发现,攻击者利用钓鱼邮件等方式投递名为安全状态检查.zip的压缩包文件,其主题为:信息安全技术 信息系统安全等级保护实施指南,以此来诱使与中国信息安全相关的政府部门或企业上钩,一旦中招,电脑将被攻击者远程控制,执行任意代码并盗取重要数据信息。
Posted in威胁分析
2023年3月:Kimsuky组织针对韩国用户攻击活动的分析报告
概述
瑞星威胁情报平台于2023年3月捕获到一起疑似针对韩国用户的攻击事件。攻击者使用DOCM格式的诱饵文档,将其伪装成韩国法院电子信访中心提供的离婚确认申请书,并在其内部嵌入了恶意的宏代码。猜测攻击者大概率是通过使用网络钓鱼、垃圾邮件等社工方式进行投递,诱骗用户启用宏代码,从而启动攻击行动。此次事件的感染链中,攻击者将不同阶段使用到的恶意载荷托管在合法的网络云盘中,以此躲避本地安全检测机制,而最后阶段使用到的恶意载荷是名xRAT的开源远控工具,该工具是以知名的QuasarRAT开源工具为基础改进而来的,可帮助攻击者实现对于入侵主机的信息窃取及长期控制等目的。
Posted in威胁分析
2023年1月:疑似Kasablanka组织针对澳大利亚的攻击
概述
瑞星威胁情报平台捕获到一起疑似针对澳大利亚的攻击事件。攻击者将诱饵文档伪装成商业发票,通过邮件发送给受害者。当受害者运行快捷方式文件后,会访问远程上的hta脚本,解码出一段PowerShell的脚本来执行,该脚本会下载诱饵文档到受害主机上,并且打开它迷惑用户;同时会下载使用Autoit编写的LodaRAT后门。据国内外多家安全厂商披露,该后门疑似是由Kasablanka组织所开发,是其特有的攻击武器,通过将本次攻击行动感染链与Kasablanka组织过往感染链的对比分析,将本次捕获到的攻击行动归属于Kasablanka组织具有高可信度。
Posted in威胁分析
2023年8月:BlindEagle组织近期针对哥伦比亚的攻击事件
概述
瑞星威胁情报平台捕获到BlindEagle组织近期的一个攻击事件。攻击者通过邮件发送给受害者一个加密的压缩包。压缩包解压之后是一个与压缩包同名的JS文件,当用户双击JS文件后会从远程服务器上下载第一阶段DLL,启动PowerShell反射加载第一阶段DLL,该DLL会下载解码得到第二阶段的DLL(注射器),同时根据传入的参数中的地址下载AsyncRAT后门,接着使用第二阶段的DLL把后门注入到aspnet_compiler.exe中执行,根据国内外多家安全厂商披露,通过将本次攻击行动感染链与BlindEagle组织过往感染链的对比分析,将本次捕获到的攻击行动归属于BlindEagle组织具有高可信度。