Posted in威胁分析
2021年11月:BlackTech组织疑似对中国企业的攻击活动分析报告
概述
瑞星威胁情报于11月捕获到一起针对中国企业的攻击事件,此次事件中瑞星捕获到一个XLSM格式的宏文档。通过对宏文档的分析,得知其主要是利用宏代码在Windows自启目录下释放恶意程序,再通过此程序上传用户数据和接收攻击者下发数据以便进行下一步操作。通过对行动中所使用的攻击技术,战术等分析,发现其疑似BlackTech组织所为。
Posted in威胁分析
2023年12月:蔓灵花组织针对中国军工企业的攻击事件分析报告
概述
瑞星于2023年12月20日接到国内某敏感单位反馈称设备上扫描到间谍软件,经专家分析相关文件为wmRAT后门,该后门由国外一个名为蔓灵花的攻击组织制作,即相关单位遭遇了APT攻击。蔓灵花组织,又称为BITTER,是一支据称有南亚背景的APT组织,疑似来自印度。至少自2013年起就开始对目标发动网络攻击,攻击目标包含中国、巴基斯坦等国家,涉及行业有政府、军事、能源等,其意图是窃取敏感资料
Posted in威胁分析
2024年4月:APT37组织针对中韩组织的攻击事件
概述
瑞星威胁情报平台于2024年4月捕获一起攻击事件,该事件中使用的诱饵文档名字是韩语,文档内容是中文,猜测目标可能与中韩相关。在攻击过程中,攻击者疑似通过钓鱼邮件向受害者投递恶意压缩包,该压缩包内含有一个恶意的快捷方式,这个快捷方式指向一段恶意的PowerShell代码。PowerShell会释放诱饵文档迷惑用户的同时还会释放三个文件(分别为price.bat、para.dat和panic.dat),最终利用这些文件在内存中隐秘执行RokRAT远控木马,从而实现对受害者机器的完全控制,例如窃取受害者计算机上指定文件或者其他敏感信息、下发其他恶意程序并执行、捕获屏幕截图等。
Posted in威胁分析
2024年3月:APT37组织针对韩国的攻击事件
概述
瑞星威胁情报平台于2024年3月捕获一起疑似针对韩国的攻击事件。攻击者疑似通过钓鱼邮件向受害者投递恶意压缩包,压缩包内含有恶意的快捷方式,该快捷方式指向恶意的PowerShell代码。PowerShell释放诱饵文档迷惑用户的同时还会通过和指定服务器通信来上传窃密数据以及下发恶意代码执行,这可能会导致受害者的系统被攻击者完全控制。