奇安信威胁情报中心
威胁情报信息共享,事件预警通报,攻击事件分析报告,恶意软件分析报告 (wechat feed made by @ttttmr https://wechat2rss.xlab.app)
旺刺组织挖掘了某邮件平台网页版的XSS 0day漏洞,通过该漏洞触发CilckOnce,实现打开钓鱼邮件时自动弹出钓鱼框,提高钓鱼攻击成功率。此外其背后的情报机构除了拥有大量win平台0day外,还掌握着大量国产软件未公开的内部接口
Kimsuky组织利用伪装成研究论文的钓鱼邮件传播恶意软件;XDSpy利用Windows LNK零日漏洞攻击目标;TaxOff组织攻击活动利用Chrome零日漏洞;Kimsuky(APT-Q-2)组织近期 Endoor 恶意软件分析
近期奇安信威胁情报中心发现一批Kimsuky的Endoor样本,该后门功能上变化不大,但试图伪装为来自github的开源代码,避开代码审查,此外C&C使用不常见的的53端口,一定程度上绕过恶意流量检测,体现了该组织攻击手法的灵活性。
APT-C-56(透明部落)针对Linux系统的DISGOMOJI变体攻击活动分析;Stealth Falcon 组织利用微软 WebDAV 0day 漏洞开展间谍活动;Bitter 使用定制工具逃避复杂攻击检测
ALPHA V8.3 新增700+威胁行为体数据,全面覆盖多类型组织,提供专业情报支持。更有威胁分析AI武器库全新上线,大幅提升分析效率,为企业网络安全筑牢防线。
奇安信威胁情报中心和天擎猎鹰团队在终端运营过程中发现一伙未知的攻击者正在瞄准区块链行业的客户攻击,该活动通过Telagram通信软件一对一进行传播,压缩包中为Lnk诱饵,双击后弹转账记录截图和释放白加黑组件,内存加载DcRat。
Silent Werewolf针对俄摩两国利用伪装邮件投递恶意加载器;UNC6040通过语音钓鱼攻击执行数据勒索;Conti团伙全员曝光;起底台“资通电军”APT组织技术底牌及网络攻击阴谋;金眼狗团伙近期使用“银狐”木马的窃密活动
近日,我们发现金眼狗团伙通过水坑分发伪装成Todesk、快连VPN和纸飞机等安装包的恶意软件,运行后释放携带正常签名的安装软件,并暗中植入Winos4.0远控,同时结合“银狐”类木马进行窃密活动,新增Shellcode后门、对抗杀软等手段。
APT-C-53利用军事情报相关文件为诱饵的攻击行动分析;APT28黑客攻击北约组织窃取敏感数据;Bitter针对巴基斯坦电信有限公司发起攻击;APT36和Sidecopy攻击印度关键基础设施;摩诃草攻击武器复用肚脑虫基础设施
2025年国家安全部门和国家公安机关先后披露了台湾方向的间谍活动,对我国境内目标骚扰破坏意图明显,用心极其险恶。本文主要披露这五年间来自台湾方向活跃组织的IOC,供关基单位自查。
我们对肚脑虫组织的持续追踪发现该组织曾使用couldmailauth.com托管恶意软件。近期我们捕获到另一批以该域名为 C&C 服务器的样本,此类样本为摩诃草组织的 Spyder 下载器,并且其中一个样本带有与肚脑虫样本相同的数字签名。
南亚“苦象”攻击组织近期样本分析;SideWinder 针对南亚多国目标进行攻击;Operation(润)RUN:“离岸爱国者”的赛博狂欢;APT28 利用 MDaemon 0day漏洞攻击Webmail 服务器
去年底UTG-Q-015针对CSDN等挂马被披露后该团伙更改了攻击手法,开始利用0day/Nday漏洞入侵政企Web站点,3月启用一批扫描节点对政企目标进行爆破,4月针对区块链网站、gitlab后台等进行攻击,并通过IM钓鱼定向入侵金融目标
朝鲜TA406组织针对乌克兰政府机构传播恶意软件;Marbled Dust 利用 Output Messenger 中的零日漏洞进行间谍活动;APT37伪装成韩国国家安全战略智库进行攻击
迎接威胁研判的智能化浪潮,为威胁分析人员提供更好的使用体验,奇安信威胁情报MCP正式发布 ,支持更自动化的威胁运营流程,助力威胁分析智能化集成化。
APT35组织最新攻击活动分析;Lemon Sandstorm 入侵中东关键国家基础设施;“Operation Deceptive Prospect”活动通过客户反馈门户瞄准英国组织;APT36假冒印度国防部网站部署跨平台恶意软件
Contagious Interview (DPRK) 发起新一轮攻击;透明部落组织使用新恶意软件进行持久攻击;Lazarus APT 利用1day漏洞攻击韩国目标;Lazarus组织利用"Tsunami"恶意软件框架挖矿行动
与 Konni 组织相关的多阶段恶意软件活动分析;UTG-Q-017:“短平快”体系下的高级窃密组织;APT-C-27(黄金鼠)新攻击武器曝光;TaxOff组织利用Chrome零日漏洞发动攻击
高级窃密组织UTG-Q-017自2024年8月起活跃,利用Chrome Nday漏洞,通过无文件落地、一次性C2和短暂控制时间等“短平快”技战术,精准攻击政企目标,窃取敏感信息。
Kimsuky攻击活动利用RDP漏洞与恶意软件实施定向渗透;APT29 再次针对欧洲外交官发起网络钓鱼攻击;Slow Pisces 使用新的定制 Python 恶意软件瞄准开发者;DarkHotel 组织最新 RPC 攻击组件披露
近期奇安信威胁情报中心发现Kimsuky新版后门,该后门为了增加攻击的隐蔽性,只在具有特定主机名的机器上才执行核心恶意代码,体现了本次攻击高度的定向性,前期应该有其他的信息操作以筛选目标。
APT-Q-12 利用 Foxmail 邮件客户端高危漏洞瞄准国内企业用户;Patchwork 向985高校发送钓鱼邮件;SideCopy 组织更新策略并扩大攻击目标范围;Scattered Spider 持续发起网络攻击
红雨滴团队年初发现攻击者利用Foxmail客户端高危漏洞进行攻击,受害者仅需点击邮件本身即可触发RCE导致木马落地,第一时间复现后并将其上报给腾讯Foxmail业务团队,目前该漏洞已经被修复,最新版 Foxmail 7.2.25 不受影响。
APT36针对印度的最新行动“415-x56”;分析Lazarus组织利用ClickFix策略窃取加密货币;Gamaredon 活动滥用 LNK 文件分发 Remcos 后门;Water Gamayun 武器库分析
APT36利用恶意IndiaPost网站攻击Windows和 Android用户;Kimsuky在最新攻击中采用新策略和恶意脚本;毒云藤组织18年来对大陆网络攻击实录;Water Gamayun利用Microsoft管理控制台的关键0day
以“毒云藤”为例:“台独”势力网络间谍活动解析;“绿斑“攻击组织使用开源远控木马的一组钓鱼攻;击分析RedCurl APT 组织利用 7-Zip 加密存档文件窃取数据;Squid Werewolf伪装招聘人员进行网络钓鱼攻击
SideWinder 以更新的工具集瞄准海事和核能领域新;型 Android 间谍软件“KoSpy”与 APT37 有关;Lazarus 通过 npm 软件包感染数百人;Blind Eagle持续针对哥伦比亚目标进行攻击
奇安信威胁情报中心发现了一个规模巨大且能够劫持受害者Google搜索内容和电商链接等的黑客团伙,基于 PDNS 数据发现该团伙从 2021 年开始活跃,并且恶意域名在 OPENDNS 的 top 1m 列表中,全球受影响的终端至少百万级别。
Patchwork组织针对中国的网络攻势研究;肚脑虫(APT-Q-38)利用PDF文档诱饵的攻击活动分析;Operation sea elephant:彷徨在印度洋上的垂死海象;APT28的HTA木马多层混淆技术深入探究
奇安信威胁情报中心近期捕获的多个伪造DeepSeek本地部署工具包,攻击者首先构建高仿的水坑网站,之后再针对“DeepSeek本地部署”、“深度求索”等高频检索关键词实施搜索引擎投毒。攻击手法与此前披露的UTG-Q-1000存在同源性。
2024年中旬我们发现了南亚方向编号为UTG-Q-011的攻击集合,尽管该集合后续插件与CNC相差过大,但是其后门与CNC组织所使用的代码库相同,最终将UTG-Q-011当作CNC的子集来进行研究,本文最后会对其进行披露。
APT35组织最新攻击活动分析;Lemon Sandstorm 入侵中东关键国家基础设施;“Operation Deceptive Prospect”活动通过客户反馈门户瞄准英国组织;APT36假冒印度国防部网站部署跨平台恶意软件
Contagious Interview (DPRK) 发起新一轮攻击;透明部落组织使用新恶意软件进行持久攻击;Lazarus APT 利用1day漏洞攻击韩国目标;Lazarus组织利用"Tsunami"恶意软件框架挖矿行动
与 Konni 组织相关的多阶段恶意软件活动分析;UTG-Q-017:“短平快”体系下的高级窃密组织;APT-C-27(黄金鼠)新攻击武器曝光;TaxOff组织利用Chrome零日漏洞发动攻击
高级窃密组织UTG-Q-017自2024年8月起活跃,利用Chrome Nday漏洞,通过无文件落地、一次性C2和短暂控制时间等“短平快”技战术,精准攻击政企目标,窃取敏感信息。
Kimsuky攻击活动利用RDP漏洞与恶意软件实施定向渗透;APT29 再次针对欧洲外交官发起网络钓鱼攻击;Slow Pisces 使用新的定制 Python 恶意软件瞄准开发者;DarkHotel 组织最新 RPC 攻击组件披露
近期奇安信威胁情报中心发现Kimsuky新版后门,该后门为了增加攻击的隐蔽性,只在具有特定主机名的机器上才执行核心恶意代码,体现了本次攻击高度的定向性,前期应该有其他的信息操作以筛选目标。
APT-Q-12 利用 Foxmail 邮件客户端高危漏洞瞄准国内企业用户;Patchwork 向985高校发送钓鱼邮件;SideCopy 组织更新策略并扩大攻击目标范围;Scattered Spider 持续发起网络攻击
红雨滴团队年初发现攻击者利用Foxmail客户端高危漏洞进行攻击,受害者仅需点击邮件本身即可触发RCE导致木马落地,第一时间复现后并将其上报给腾讯Foxmail业务团队,目前该漏洞已经被修复,最新版 Foxmail 7.2.25 不受影响。
奇安信威胁情报中心近期发现肚脑虫组织利用PDF文档作为攻击活动的诱饵,通过多种攻击手法针对巴基斯坦、孟加拉国等南亚地区的国家。
Ghostwriter使用Macropack混淆的Excel宏部署恶意软件;Lazarus Group疑似与14亿美元 Bybit 黑客攻击有关;UAC-0212对关键基础设施发动毁灭性的网络攻击;奇安信《网络安全威胁2024年度报告》
2025年2月,奇安信威胁情报中心发布《网络安全威胁2024年度报告》。报告内容涵盖高级持续性威胁(APT攻击)、勒索攻击、互联网黑产、漏洞利用等方面,并从地域空间的角度详细介绍了各地区的活跃 APT 组织及热点 APT 攻击事件。
多个俄APT组织滥用Signal秘密监视加密对话;APT-C-28(ScarCruft)组织利用无文件方式投递RokRat的攻击活动分析;Lazarus Group在针对开发人员的攻击中部署Marstech1 JavaScript植入程序
近日我们发现所有直接或间接使用了bshare分析插件的网页都会受到影响。根据评估,恐怕会影响百万级别的网页。奇安信威胁情报中心在此提醒目前仍在使用bshare插件的用户,需要尽快更换或者停用bshare分享插件。
Sandworm在乌克兰部署恶意 Windows 激活程序;Cozy Bear从公司Office 365 电子邮件环境中窃取了惠普员工数据;与 Lazarus Group 活动相关的信息窃取恶意软件
APT37组织利用HWP文件攻击韩国多个组织;Kimsuky 组织使用 RDP Wrapper 发起攻击;Lazarus Group 利用复杂的 LinkedIn 招聘骗局针对加密钱包
Andariel攻击组织使用恶意文件执行RID劫持攻击;;UAC-0063组织对中亚及欧洲国家进行网络间谍攻击活动;Lazarus发起“Phantom Circuit”攻击活动针对加密货币和技术开发者
Operation(Giỗ Tổ Hùng Vương)hurricane:浅谈新海莲花组织在内存中的技战术;Lazarus 利用Electron程序瞄准加密货币行业;疑似APT29利用Sliver恶意软件攻击德国实体
APT36针对印度的最新行动“415-x56”;分析Lazarus组织利用ClickFix策略窃取加密货币;Gamaredon 活动滥用 LNK 文件分发 Remcos 后门;Water Gamayun 武器库分析
APT36针对印度的最新行动“415-x56”;分析Lazarus组织利用ClickFix策略窃取加密货币;Gamaredon 活动滥用 LNK 文件分发 Remcos 后门;Water Gamayun 武器库分析
您可以订阅此RSS以获取更多信息