近日,fireeye检测到针对多个行业包括媒体、美国军队、运输、制药、国家政府等等20多个行业的针对性网络钓鱼活动。攻击者似乎已经破坏了医院的电子邮件系统和咨询公司的公司网站,来使用他们的基础设施发送网络钓鱼电子邮件,这次使用了恶意lnk 文件,其中包含精心设计的启动PowerShell命令用于启动执行Cobait Strike BEACON后门。
威胁来源:https://www.fireeye.com/blog/threat-research/2018/11/not-so-cozy-an-uncomfortable-examination-of-a-suspected-apt29-phishing-campaign.html
近日,Unit 42研究 截获了很多多个武器化文件,此次攻击针对全球的几个政府实体,包括北美,欧洲和前苏联国家,此次鱼叉钓鱼网络攻击使用远程模板来加载指定位置的恶意宏,恶意宏文件使用AutoClose 的方法进行反沙箱分析,如果沙箱分析时并没有关闭文档,则不会捕获恶意行为,在攻击成功后,会执行Zebrocy变体,Zebrocy变体,收集特定的信息。在同C2攻击文档中,发现了一个全新的攻击工具Cannon.。此木马使用C#编写,通过分析发现APT28继续瞄准欧盟、美国、前苏联等国家
威胁来源:https://researchcenter.paloaltonetworks.com/2018/11/unit42-sofacy-continues-global-attacks-wheels-new-cannon-trojan/
近期,ESET研究人员发现一个针对东南亚的多个网站的水坑攻击,共识别出21个被入侵的网站,被入侵的网站包括柬埔寨国防部、柬埔寨外交和国际合作部以及几个越南报纸或者博客网站,每个网站都被重定向到由攻击者控制的单独域名,攻击者的第一阶段脚本会在等受害者在页面上滚动,还会检查窗口的分辨率以及是否启动Firebug,再解密C&C地址后,会接收第二阶段的脚本。所有通信都通过SSL上的WebSocket执行。第二阶段是一个侦察脚本,重用了Github上提供的Valved的fingerprintjs2库,所有过程使用AES会话密钥进行加密,此监听脚本会构建一个报告,并将其发送到第二阶段的C&C服务器,但是并没有抓到最终的载荷
威胁来源:https://www.welivesecurity.com/2018/11/20/oceanlotus-new-watering-hole-attack-southeast-asia/
京公网安备 11010802024705号 京ICP备20030588号 Copyright © 兰云科技 www.lanysec.com 版权所有
