揭秘Sandworm(APT44)
恶意软件 此部分包括 Mandiant 观察到的 APT44 自 2018 年以来使用的恶意软件,但 APT44 于 2017 年部署的 ETERNALPETYA(又名 NotPetya)除外。我们将此部分分为三部分:APT44 独有的自定义恶意软件、公开或商业的恶意软件 可用但由 APT44 修改和定制,以及 APT44 使用的公开或商业可用的恶意软件。 ……
Lazarus 和 FudModule Rootkit:超越 BYOVD,具有管理到内核零日漏洞
要点 1. Avast发现了一种在野外利用的零日漏洞,该漏洞存在于appid.sys AppLocker驱动程序中,此前未知。 2. 由于Avast及时报告,微软在二月的“补丁星期二”更新中将此漏洞标识为CVE-2024-21338。 3. 攻击活动由臭名昭著的Lazarus集团策划,最终目标是建立内核 读/写 原语。 4. 这个原语使Lazarus能够在其……
恶意软件猎人的术语表
A Active Directory Active Directory (AD) 是 Microsoft 的一项服务,用于管理网络内的用户、计算机和其他资源。它使用分层结构来组织对象,并在 Windows 环境中执行安全策略。AD 是横向移动和权限提升攻击的常见目标。 AES AES 代表高级加密标准,是一种对称加密算法,由美国国家标准与技术研究院(NIST……
Andariel窃取韩国国防技术
首尔地方警察厅安全搜查支援部[高级安全搜查部] 首尔警察局安全调查支援部门正在与美国联邦调查局(FBI)合作,追踪朝鲜黑客组织“Andariel”入侵国内国防工业等目标,窃取重要军事技术资料并要求支付比特币赎金,然后通过外籍女性A的银行账户洗钱并将资金汇往朝鲜的情况。警方正在进行全面的调查。 警方通过多角度的调查,包括查封国内服务器和虚拟资产交易所,搜查外籍……
APT29 2023年活动
摘要 在2023年上半年,随着基辅发动反攻,APT29的行动速度和对乌克兰的关注增加,这表明了俄罗斯联邦安全局(SVR)在收集有关战争当前关键阶段情报方面的核心作用。 在这一时期,Mandiant跟踪到APT29工具和技术的大幅变化,这可能是为了支持更频繁和更广泛的行动,以及阻碍法医分析。 APT29同时使用了多种感染链,表明不同的初始访问运营商或子团队可……
Turla攻击活动总结
Turla简介 俄罗斯基础的Turla被认为是一个高度复杂的高级持续威胁(APT)组织,据推测至少自2004年以来一直在活动。 Turla的组织名称以其顶级的rootkit命名,如Snake、Venomous Bear、WhiteBear、Uroburos、Group 88和Waterbug,这些名称都因瞄准全球政府机构、情报机构以及军事、教育、研究和制药行……
Turla的10种组件
摘要 Turla(又称为ensive Ursa、Uroburos、Snake)是一个自2004年以来活跃的俄罗斯威胁组织,与俄罗斯联邦安全局(FSB)有关联。在本文中,我们将重点介绍Turla恶意软件库中最近活跃的前10种恶意软件类型,包括Capibar、Kazuar、Snake、Kopiluwak、QUIETCANARY/Tunnus、Crutch、Com……
网络威胁情报(CTI)
威胁情报是识别和分析网络威胁的过程。“威胁情报”一词可以指关于潜在威胁收集的数据 或 收集、处理和分析该数据以更好了解威胁的过程。威胁情报包括筛选数据、根据上下文检查数据以发现问题并针对发现的问题部署解决方案。 威胁情报 威胁情报的定义有时会与其他网络安全术语混淆。最常见的是,人们将“威胁数据”与“威胁情报”混为一谈——但两者并不相同: 威胁数据是一个可能……
追捕Snake恶意软件(翻译)
参考链接:https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-129a 摘要 Snake是俄罗斯联邦安全局(FSB)16号中心设计和使用的最复杂的网络间谍工具,用于长期收集敏感目标的情报。FSB通过创建一个秘密的点对点(P2P)网络,在全球范围内部署了许多被Snake感染的计算机作为中……
26165的军衔中校Morgachev Sergey Alexandrovich
参考链接:https://informnapalm.org/52587-vzlom-apt-28-26165/ 乌克兰的”Cyber Resistance”团队的活动人员入侵了俄罗斯总参谋部情报总局(GRU)85特别服务中心(GTsSS)军事单位26165的军衔中校Morgachev Sergey Alexandrovich的电子邮件……
了解俄罗斯先进持续威胁组织的活动
摘要 俄罗斯是具备攻击性网络能力的主要国家之一,并且一直在利用这些能力推进国家目标和战略目标。 现有研究普遍认为,俄罗斯政府的三个主要机构负责组织这些攻击性网络组织并指挥它们的行动。尽管将网络攻击归因于特定国家具有一定的挑战性,但许多备受关注的入侵事件被各个政府机构和私人网络安全公司归因于俄罗斯的攻击性网络组织,这是基于这些组织在入侵过程中的活动。 对现有研……