安天持续对“游蛇”黑产团伙进行跟踪,发布多篇报告。近期,两类较为活跃的恶意样本持续传播:第一类是伪装成文档的恶意程序,此类恶意程序多使用Qt库进行开发,也存在部分恶意程序是在开源软件代码的基础上添加恶意代码形成的,通过释放“白加黑”组件最终执行后门文件。第二类是伪装成应用软件的恶意MSI安装程序,包含正常应用软件安装程序以及其他数十个正常文件,攻击者将“白加黑”组件隐藏在其中,最终执行上线模块及登录模块。
安天持续对“游蛇”黑产团伙进行跟踪,发布多篇报告。近期,两类较为活跃的恶意样本持续传播:第一类是伪装成文档的恶意程序,此类恶意程序多使用Qt库进行开发,也存在部分恶意程序是在开源软件代码的基础上添加恶意代码形成的,通过释放“白加黑”组件最终执行后门文件。第二类是伪装成应用软件的恶意MSI安装程序,包含正常应用软件安装程序以及其他数十个正常文件,攻击者将“白加黑”组件隐藏在其中,最终执行上线模块及登录模块。
2024年底以来,安天CERT持续跟踪监测到利用开源生态的信任在GitHub伪装开源项目进行恶意代码“投毒”的攻击活动。攻击者通过伪装漏洞利用工具、游戏外挂等,将恶意代码植入开源代码的Visual Studio项目配置中,安天智甲已实现对该类攻击的全流程检测与拦截。
DBatLoader能够从公共代码托管网站上下载并解密待投递的恶意代码家族,而后通过多种手法将其注入到其他程序内以实现隐蔽运行,并实现持久化。安天智甲可有效查杀该加载器。
安天CERT发布储备报告,揭露台湾省当局“绿斑”APT组织2024年针对我国特定行业的攻击活动及使用的远控木马。攻击组织通过钓鱼邮件投递恶意载荷,向目标植入木马,企图长期潜伏窃取敏感信息。
安天CERT对2024年内的勒索攻击事件进行梳理,针对较为活跃的勒索攻击组织进行盘点。在2024年中,安天CERT发现至少有90个不同名称的组织曾发布过受害者信息,涉及约5300个来自全球不同国家或地区的组织机构,覆盖多个行业。
安天CERT继续跟进分析DeepSeek遭遇攻击事件,针对Hailbot三个主要变种,基于上线包、暴力破解密码档、攻击指令等进行了对比分析。
感染挖矿木马会导致主机系统资源严重占用、电力成本上升、硬件寿命缩短,严重干扰政企机构安全和运营。2024年,安天CERT继续跟踪挖矿组织投放木马等攻击活动,本报告对本年度较为活跃的相关组织进行了梳理和分析。
XLoader加载器能够窃取多种浏览器、邮件客户端和Windows凭证管理器中保存的凭证信息,并能够获取桌面截图,记录剪贴板内容以及键盘按键。安天智甲可有效查杀该加载器。
XLoader加载器能够窃取多种浏览器、邮件客户端和Windows凭证管理器中保存的凭证信息,并能够获取桌面截图,记录剪贴板内容以及键盘按键。安天智甲可有效查杀该加载器。
近期,安天CERT监测到多起Outlaw挖矿僵尸网络攻击事件,该挖矿僵尸网络最早于2018年被发现,主要针对云服务器从事挖矿活动,持续活跃。安天智甲可实现对该挖矿僵尸网络的有效查杀。
近期,安天CERT监测到“游蛇”黑产团伙利用仿冒成远程控制软件下载站点的钓鱼网站传播恶意MSI安装程序。安天智甲可有效查杀该远控木马。
InterLock勒索攻击组织被发现于2024年9月,该组织通过多种手段渗透受害者网络,并在加密数据之前窃取敏感信息,实施双重勒索。InterLock组织与2023年5月发现的Rhysida组织可能存在联系。
近期,安天CERT监测到一起挖矿木马攻击事件,该挖矿木马持续更新攻击脚本,针对操作系统类型下载对应的挖矿程序、检查系统环境是否有curl、Python、Perl等工具,如果没有会进行下载适配、对CPU进行合理的功率限制,确保不影响正常操作和业务。安天智甲终端防御系统可实现该挖矿木马的有效查杀。
本篇是安天安全响应行动回顾总结的收官篇目,也是最重要的一篇。APT分析溯源,这是是安天分析响应团队在过去14年最重要和关键的工作,也是我们支撑国家安全斗争中的极为重要的能力输出。
国庆75周年之际,安天CERT将安全事件处置、重大事件研判、高级威胁分析等方面的工作轨迹进行总结梳理,本日发布第四篇——移动安全威胁分析响应处置篇。
国庆75周年之际,安天CERT将安全事件处置、重大事件研判、高级威胁分析等方面的工作轨迹进行总结梳理,本日发布第三篇——重大事件分析研判与高危漏洞响应篇。
国庆75周年之际,安天CERT将安全事件处置、重大事件研判、高级威胁分析等方面的工作轨迹进行总结梳理,本日发布第二篇——勒索攻击等黑产活动分析响应处置篇。
国庆75周年之际,安天CERT将安全事件处置、重大事件研判、高级威胁分析等方面的工作轨迹进行总结梳理,本日发布第一篇——安天响应处置重大蠕虫传播、僵尸网络感染的工作历史轨迹。
活跃的RansomHub勒索攻击组织通过“窃取文件+加密数据”双重勒索模式实施攻击,安天建议企业用户部署专业的终端安全防护产品,安天智甲具备内核级防护能力,对发现的勒索攻击可在第一时间进行阻断。
《黑神话:悟空》作为国产首款3A游戏大作,千万玩家在线狂欢,尽享盛宴。但玩家尽情在痛殴游戏中的BOSS(或被BOSS痛殴)的时候,也要小心网络中的妖魔鬼怪、恶意代码。祝玩家在游戏中都成为齐天大圣,在上网时也擦亮火眼金睛,穿上金甲战衣。
为提升用户响应效率,安天在垂直响应平台发布了一个GUI小工具,快速关闭RDL服务,使用后远程桌面服务依然可用,但由于RDL关闭,将只能并发2个会话同时登录。
8月1日,网传发现某第三方输入法存在绕过windows10、windows11登录系统权限执行任意命令的漏洞。安天智甲产品升级至最新版本可有效防御该漏洞行为。
安天CERT针对2024年上半年较活跃的勒索攻击组织进行盘点,发现至少有62个不同名称的组织曾发布过受害方信息,这些攻击组织已发布超过2700个来自不同国家和地区的受害方信息,涵盖医疗保健、公共管理、社会保障、金融、能源、制造和教育等多个关键行业。
近日,安天CERT陆续捕获到多起伪装成CrowdStrike修复文件传播的恶意代码事件,利用热点事件是社会工程学攻击的常用手段,安天CERT针对捕获到的两类恶意代码事件进行详细分析,以供防范。
安天抽调云安全中心、安天CERT、攻防实验室相关人员组成的联合分析组,滚动分析研判36小时,形成本报告初稿。
安天攻防实验室监测到Nacos 0day相关信息,并对此“0day”漏洞进行跟进分析。安天建议用户排查自身使用的软件版本,采用人工缓解方法进行防护,使用安天安全产品可加强检测防御能力。
OpenSSH远程代码执行漏洞(CVE-2024-6387)利用成功后允许未经身份验证的远程代码执行(RCE)。针对开启了ASLR的系统:攻击者虽平均需要6~8小时的时间才能攻击成功,然而对防御管理缺失的资产来说,这个攻击作业时间窗口带来的防御价值,几乎可以忽略不计。必须高度重视这一漏洞带来的风险。本文也提供了相关的缓解建议。
近期,安天CERT监测到“游蛇”黑产针对财税人员传播恶意Excel文件,诱导用户点击其中的超链接跳转至钓鱼网站,从中下载执行恶意程序。经验证,安天智甲终端防御系统可实现对该远控木马的有效查杀。
安天CERT通过网络安全监测发现了一起新的挖矿木马攻击事件,该挖矿木马从2023年11月开始出现,期间多次升级组件。经验证,安天智甲终端防御系统可实现对该挖矿木马的有效查杀。
安天CERT监测到“游蛇”黑产针对与金融、财务相关企业及人员进行的攻击活动。近期攻击者投放的初始恶意文件主要有三类,伪造的文件名称大多与财税、资料、函件等相关。安天智甲可实现对该类远控木马的有效查杀。
2024年2月12日,美国网络安全公司SentinelOne在其官网上发布题为“China’s Cyber Revenge/Why the PRC Fails to Back Its Claims of Western Espionage”的报告,对“中国三家知名网络安全企业360、奇安信、安天及中国网络安全产业联盟(CCIA)”等机构揭露美方情报机构网络攻击的相关报告进行解读。我们先直接概括其报告中的观点和关键逻辑。
安天CERT监测到通过GitHub传播窃密木马的攻击活动。攻击者在其发布项目的环境依赖文件中添加恶意URL,以获取其恶意篡改的流行开源模块,从而在受害者电脑中植入窃密木马。安天智甲可实现对该窃密木马的有效查杀。
安天2023威胁年报开放征求意见版今日发布,全文超3万5千字。年报结构重大调整,恶意代码全貌再次回归,强化威胁趋势的总结,增加了防御和治理思考。后续勘误更新请关注安天官网。
传播挖矿木马会使用户系统资源被恶意占用和消耗、硬件寿命被缩短,严重影响用户生产生活,妨害国民经济和社会发展。2023年,安天CERT发布了多篇针对挖矿木马的分析报告,现将2023年典型的挖矿木马梳理形成组织概览,进行分享。
勒索软件已成为全球组织机构主要的网络安全威胁之一。安天CERT对2023年内的勒索攻击事件进行梳理,针对较为活跃的勒索攻击组织进行盘点。在2023年中,安天CERT发现共有68个不同名称的组织曾发布过受害者信息,涉及约5500个来自不同国家或地区不同行业的组织机构。
安天CERT发现一组利用非官方软件下载进行投毒和攻击下游用户案例,并深入分析了攻击者在网管运维工具上捆绑植入macOS平台远控木马,利用国内非官方下载站发布,以此取得政企机构内部关键主机桥头堡,进行横向渗诱的攻击活动。
安天CERT在近两年最活跃的勒索攻击组织LockBit的系列攻击中,选取了支撑分析复盘信息最为充分的波音遭遇勒索攻击事件,进行了详细的技术分析、过程还原、损失评估,基于事件总结了攻击进化趋势和防御侧的共性缺陷,对防范RaaS+定向勒索攻击提出的建议。形成了超过两万五千字的长篇分析报告,报告公开版本今日发布。
近期,安天CERT捕获到一个Mirai僵尸网络新变种,针对MIPS、ARM和X86等多种架构,利用弱口令感染目标,具备DDoS攻击能力。2023年11月捕获的新版本增加了检测设备所有进程启动参数的功能,以防止设备重启、关机和断电,从而延长其生存时间。经验证,安天探海威胁检测系统(简称PTD)能够实现对该僵尸网络C2通信的精准检测。
南亚某国APT组织伪装成“慧眼行动”官方机构向我国科研机构发送鱼叉邮件,攻击者刻意模仿我国相关机构定期的科研项目征集活动,通过伪装成官方申报客户端的木马程序下发多层载荷,最终在目标机器植入后门程序实现控制。安天CERT初步研判此次攻击来自南亚某国,但目前尚无充分信息确定关联到已经命名的威胁行为体,也不能完全判定其是一个新的攻击组织,按照安天对威胁行为体的命名规则,临时使用“X象”作为其命名。
MyDoom蠕虫运行后会不断发送恶意邮件,等待控制指令进行DDoS攻击、下发恶意文件和可移动介质传播等操作。MyDoom在无防护软件的主机中运行或在主机防护软件无法对抗其自我保护机制清除失败时,可使用ATool信誉孤立功能辅助网管快速定位可疑对象,提高处置效率。
安天CERT在本次攻击活动中捕获到两种.NET恶意程序。第一种恶意程序被用于针对财务人员进行投放,属于加载器,执行后释放两层恶意载荷并最终执行Gh0st远控木马;第二种恶意程序被用于针对小店商家客服进行投放,是使用某开源远控项目生成的受控端程序,经验证,安天智甲终端防御系统可实现对上述远控木马的有效查杀。
近日,安天CERT监测到PLAY勒索软件攻击活动呈现活跃趋势,该勒索软件最早出现于2022年6月,主要通过钓鱼邮件、漏洞利用等方式进行传播,采用“RSA+AES“加密算法对文件进行加密。经验证,安天智甲终端防御系统可实现对PLAY勒索软件的查杀与有效防护。
近期,安天CERT捕获了一批活跃的WatchDog挖矿组织样本,该组织主要利用暴露的Docker Engine API端点和Redis服务器发起攻击,并且可以快速的从一台受感染的机器转向整个网络。经验证,安天智甲终端防御系统和安天智甲云主机安全监测系统均可实现对该挖矿木马的有效查杀。
安天CERT持续对“游蛇”黑产团伙进行监测和追踪,发现黑产团伙运营模式、攻击手段、技术特点和常用的诈骗套路,总结出有效的防护建议并推送专项排查工具,以帮助用户了解、识别黑产团伙的惯用伎俩,免遭其远控木马的侵害,避免遭受黑产团伙诈骗而导致经济损失。
针对Curl爆出的两个高危漏洞(CVE-2023- 38545、 CVE-2023-38546),安天攻防实验室对其进行分析跟进,提供检测方法和加固方法,安天将持续对该漏洞进行利用监测,提取相关特征,进行研究和监测。
安天CERT发现ObserverStealer窃密木马在多个黑客论坛上进行售卖。该窃密木马会窃取浏览器数据、上传指定目录文件、获取屏幕截图,并下载运行其他恶意载荷。安天建议用户强化终端安全并持续增进安全运营水平进行有效防护。
安天智甲终端防御系统、安天智甲云主机安全监测系统、安天智甲容器安全检测系统均可实现对Sophos和Cylance勒索软件的有效查杀。
在本轮攻击中,该团伙将恶意程序伪装成图片文件,利用电商平台、社交软件等途径发送给目标用户,诱导用户执行,并最终投递Gh0st远控木马变种实现远程控制,安天智甲可实现对该恶意软件的有效查杀。
安天CERT发现多起因BlackCat勒索软件攻击造成的数据泄露事件,其背后的攻击组织采用“窃取数据+加密文件”双重勒索策略,在此基础上增加骚扰或DDoS攻击威胁。安天智甲可实现对该勒索软件的有效查杀。
攻击者事先将恶意文件隐藏于系统中,通过计划任务实现自启动,并利用EFI系统分区规避安全产品的检测,最终执行剪贴板劫持器以盗取加密货币。安天智甲可实现对恶意软件的有效查杀。
安天CERT监测到通过视频网站进行传播的攻击活动。攻击者窃取订阅者数量超过10万的视频创作者账号,发布与破解版热门软件相关的演示视频,诱导受害者下载RecordBreaker窃密木马,安天智甲终端防御系统可实现对窃密木马及挖矿木马等恶意软件的有效查杀。
安天CERT发现多起Akira勒索软件攻击事件,该勒索软件采用“双重勒索”即“窃取数据+加密文件”的模式运营,其背后的攻击组织疑似使用定向攻击模式开展勒索攻击活动,安天智甲可实现对该勒索软件的有效查杀。
安天CERT近期捕获到一起白象组织使用BADNEWS木马针对我国相关单位的攻击活动。通过关联分析,我们发现白象组织近期大量使用商业木马Remcos针对南亚军事政治等目标发动攻击,在降低成本的同时依托商业木马提高网络攻击活动效率。
安天智甲终端检测与响应系统的邮件防护模块可精准识别本次活动的钓鱼邮件,安天智甲终端防御系统可实现对恶意下载器及远控木马等恶意软件的有效查杀。