瑞星威胁情报中心捕获到一批恶意程序样本,经分析确定这些样本出自于MuddyWater组织常用的恶意软件:PowGoop,SmallSieve后门。PowGoop是一种恶意的DLL加载程序,其包括合法命名的DLL,包含加密的ShellCode的.dat文件,以及包含加密的PowerShell代码的config.txt三个组件;SmallSieve是一个由Python写的恶意后门程序。
瑞星威胁情报平台于2022年3月捕获到一起疑似针对军工领域相关从业人员的攻击事件。捕获到的样本伪装成知名企业洛克希德马丁公司的招聘文件,以工作机会为主题诱骗军工领域的相关用户。该文件内容被设置为乱码,以此欺骗用户通过启动文件的宏程序解码文件内容,从而释放出恶意程序。其行为具有高隐蔽性,难以被用户发现。根据详细分析,判定此次攻击活动是由Lazarus组织所为,同时通过关联分析,发现此次事件是该组织自2021年以来一系列攻击活动的延续。
瑞星威胁情报于2021年10月12日捕获到一起疑似威胁组织Lazarus发起的攻击事件,攻击者可能利用钓鱼邮件等方式向目标投递名为New Profits Distributions_MATT.zip压缩包,在New Profits Distributions_MATT.zip压缩包内有两个文件:New Profits Distributions.docx和Password.txt.lnk。因为文档New Profits Distributions.docx被攻击者加密,所以需要用户点击Password.txt.lnk获取密码进行解密操作。又因为Password.txt.lnk快捷方式文件指向的目标为一段恶意JS代码,所以用户获取密码的同时也会被该JS代码所释放的恶意程序远程控制。
近日,瑞星威胁情报中心捕获到一起针对中国政府或企业发起的APT攻击事件,通过分析发现,攻击者利用钓鱼邮件等方式投递名为安全状态检查.zip的压缩包文件,其主题为:信息安全技术 信息系统安全等级保护实施指南,以此来诱使与中国信息安全相关的政府部门或企业上钩,一旦中招,电脑将被攻击者远程控制,执行任意代码并盗取重要数据信息。
