Posted in威胁分析

2025年4月:APT37组织针对韩国用户的攻击事件分析报告

Tags: ,

概述

  瑞星威胁情报平台近期捕获到一起针对韩国用户的攻击事件。攻击者通过钓鱼邮件定向投递快捷方式文件作为初始攻击武器,并利用双扩展名技术将其伪装成合法文档(如HWPXLSDocx等)。其中,HWP是韩国特有的办公文件格式,在政企机构中尤为常见。与以往使用定制化PE后门不同,此次攻击采用混淆的轻量化脚本作为后门工具,实现文件下载、上传等功能,并通过DropboxGoogle Drive等公共服务投递恶意载荷及进行C2通信。通过对本次捕获到的多个恶意样本进行分析,发现部分样本的最早创建时间可追溯至2021年,表明攻击具有长期潜伏的特点。这些手法与APT37组织高度吻合,体现出针对性强、持续时间长、隐蔽性高等特征。

  APT37是一个活跃于朝鲜半岛的网络威胁组织,又名KonniScarCruftGroup123TEMP.Reaper等。其目标包括俄罗斯、韩国以及周边国家地区,以窃取敏感信息为主,涉及航空航天、汽车、化工、金融、政府、医疗保健、制造和运输等领域。该组织的攻击活动最早可追溯到2012年,该组织习惯于使用脚本作为攻击武器,在近年来活动频繁,被数个国内外安全团队持续追踪和披露。

Posted in威胁分析

2025年2月:SideCopy组织针对印度政府部门的攻击活动分析报告

Tags: ,

概述

  瑞星威胁情报平台近期捕获到SideCopy组织发起的一起攻击事件。该组织仍采用zip+lnk组合的方式,通过钓鱼邮件或其他社工手段向目标用户进行投递。事件中使用的恶意快捷方式Security-Guidelines.lnk.pdf被伪装成pdf文档,诱导用户点击执行,然后通过内嵌命令将远程服务器上的恶意载荷下载到本地执行,最终执行恶意行为。与以往使用自建或公共服务器不同,此次事件中的下载服务器nhp.mowr.gov.in为合法网站,隶属于印度水资源部。攻击者成功入侵该站点并利用其托管恶意载荷,可有效规避安全检测机制,提高攻击成功率。根据事件中发现的诱饵文档内容、恶意载荷下载地址等证据,可以判定这是一起以网络安全指导为主题、针对印度水利部门相关人员的攻击事件。

  SideCopy是一个具有南亚国家背景的APT组织,因其攻击手法模仿南亚地区另一组织SideWinder而得名。据披露,该组织至少从2019年就开始活跃,主要针对印度、阿富汗等南亚国家的政府、国防和军事机构。

Posted in威胁分析

2024年8月:Lazarus组织针对加密货币行业从业者的攻击事件报告

Tags: ,

概述

  瑞星威胁情报平台于近期捕获到一起Lazarus组织的攻击事件,攻击者发送伪装成FCCCall的安装包给从事加密货币行业的面试者,FCCCall的全称是FreeConferenceCall,是一款音频和视频会议服务的软件,当用户使用这个伪造的安装包安装FCCCall之后,同时会被植入一个恶意软件,该软件会窃取多个浏览器的信息,并下载一个Python程序包和下一阶段的恶意Python文件,使用Python程序执行恶意脚本文件后会下载窃取浏览器数据的Python脚本文件和NukeSped后门。此次攻击事件与Lazarus组织之前针对加密货币从业者攻击事件具有高度的相似性,因此将本次捕获到的攻击行动归属于Lazarus组织。

  Lazarus组织是一个自2007年就开始对目标进行网络攻击的威胁组织,该组织又被称为APT-C-26T-APT-15等,是现今最活跃的威胁组织之一。该组织疑似来自朝鲜,具有国家背景。其除了擅长信息盗取,间谍活动,还会蓄意破坏获取经济利益,攻击的国家包括中国,德国,澳大利亚,日本等,涉及的领域有航空航天、政府、医疗、金融和媒体等。

2024年7月:Patchwork组织针对我国科研教育领域的攻击事件分析
Posted in威胁分析

2024年7月:Patchwork组织针对我国科研教育领域的攻击事件分析

Tags: ,

概述

  Patchwork别名摩诃草白象Dropping Elephant等,被普遍认为是一个来自于南亚地区的境外APT组织。该组织主要针对政府机构、军事、能源、金融、科研教育等领域进行攻击,其中以科研教育和政府机构为主。目标国家包括中国、巴基斯坦等亚洲地区国家。其最早攻击活动可以追溯到2009年11月,至今仍然活跃,该组织在近期的攻击活动中也在不断尝试新的加载方法以及多种组件的不同组合。

  瑞星威胁情报平台在日常的威胁狩猎过程中再次捕获到了Patchwork组织对与我国科教领域的攻击样本,并捕获到基于Rust的新载荷,攻击者使用伪装成pdf的lnk文件作为初始载荷,执行PowerShell代码下载诱饵文档和加载器并创建计划任务实现持久化。其中加载器由Rust语言编写,负责在内存中执行Donut生成的ShellCode,最终在内存中执行该组织自制的后门BADNEWS以实现远控和信息窃取。