近日,McAfee高级威胁研究小组发现了针对韩语用户的数据侦察类恶意软件。恶意软件通过被入侵的韩国网站进行分发,通过代码相似性分析,该恶意软件可能与APT1组织存在关联,并且研究发现,攻击范围扩大到了美国和加拿大。攻击目标会关注韩国的公共建设支出等,目的可能是窃取资金。攻击初始向量通常为鱼叉攻击,通过诱导点击带有恶意宏的office文件从远程服务器下载Oceansalt,Oceansalt恶意软件并不具有持久化机制也就无法确保重启后继续运行。
威胁来源:https://www.mcafee.com/enterprise/en-us/assets/reports/rp-operation-oceansalt.pdf
近日,思科Talos观察到TickAPT组织近期对东亚的攻击活动。此APT组织自2016年以来开展了针对日本和韩国等进行攻击。在攻击过程中,使用被攻陷网站作为C2,思科Talos并在使用的Datper、xxmm、Emdivi中找到了潜在的链接,存在相同的C2被攻陷的网站。
威胁来源:https://blog.talosintelligence.com/2018/10/tracking-tick-through-recent-campaigns.html
近期,FireEye指出了通过TRITON恶意软件影响工业控制的活动与俄罗斯实验室的关系,报告高度自信的指出了实验室位于莫斯科的中央化学与力学研究所。在此期间,FireEye确定了一个测试环境,在测试环境发现,攻击者的一些文件基于开源项目cryptcat,并且一直在降低AV检测率,而横向渗透的工具使用了一种公开的基于powershell开源工具WMImplant。自2013年来,攻击者一直在进行恶意软件测试,包括Metasploit、Cobalt Strike、PowerSploit等等,在查找测试文件包含的PDB路径包含一个用户名字符串。至少从2011年开始这个用户名就活跃俄罗斯安全社区,并且通过已经删除的社交媒体,关联到了实验室的教授。并有多张莫斯科附件的照片,疑似攻击活动恶意IP 87.245.143.140已
经被实验室注册,并从攻击时间和样本语言也都指向了莫斯科。
威胁来源:https://www.fireeye.com/blog/threat-research/2018/10/triton-attribution-russian-government-owned-lab-most-likely-built-tools.html
京公网安备 11010802024705号 京ICP备20030588号 Copyright © 兰云科技 www.lanysec.com 版权所有
