f38d0fb4f1ac3571f07006fb85130a0d
cb1ae1de9487edd65c2201f1f4a36e3c
martin27.xyz
jinjinpig.co.kr
83.171.237.173
123.160.223.69
进行批量威胁情报自动化查询
所需要的行业、类目标签,一键订阅
背后的关联关系,溯源定位威胁
快速同源扩线相似样本
自动化深度分析恶意软件
实时获取最新威胁攻击
自动化综合检测多种类别恶意邮件
精准判定恶意代码家族
概要: 近期,网络安全研究机构Trend Research揭露了俄罗斯网络威胁组织Water Gamayun利用微软管理控制台框架中的零日漏洞(CVE-2025-26633)进行恶意攻击的事件。该攻击通过操控.msc文件和多语言用户界面路径(MUIPath)来下载和执行恶意代码,导致企业面临数据泄露和重大财务损失的风险。 主要内容: Water Gamayun利用名为MSC EvilTwin的技术,针对微软管理控制台(MMC)中的漏洞进行攻击。攻击者通过创建两个同名的.msc文件,其中一个为干净的合法文件,另一个则为恶意文件。当用户运行合法文件时,系统加载并执行恶意文件,从而在不知情的情况下感染系统。此外,攻击者还利用ExecuteShellCommand方法,通过精心制作的.msc文件在受害者机器上执行命令,进一步下载和执行恶意负载。该攻击手法的创新之处在于其能够通过合法的Windows二进制文件代理执行恶意负载,增强了攻击的隐蔽性和成功率。Trend Research的调查显示,Water Gamayun的攻击活动仍在积极发展,采用多种交付方法和定制负载。与微软合作,Trend Zero Day Initiative迅速披露了这一漏洞并发布了补丁,企业应采取全面的网络安全解决方案,以应对不断演变的威胁。
概要:网络安全研究人员发现,黑客组织Dark Caracal正在其间谍活动中转向更新的恶意软件,主要针对拉丁美洲的个人。根据莫斯科的网络安全公司Positive Technologies的报告,自2024年6月至2024年2月,该组织在委内瑞拉、多米尼加共和国和智利的网络中检测到了483个Poco RAT样本,显示出其活动的显著增加。主要内容:研究人员指出,Poco RAT与Dark Caracal的标志性恶意软件Bandook有明显相似之处。Positive Technologies在2023年2月至2024年9月期间仅发现了355个Bandook案例,而Poco RAT的检测数量则大幅上升。这表明,Dark Caracal可能正在用新恶意软件替代旧版本,以适应其间谍和经济动机驱动的攻击策略。在最新的Poco RAT活动中,黑客通过伪装成金融机构和商业服务提供商的钓鱼邮件进行攻击。受害者收到的邮件通知其逾期发票,附件看似官方文件,打开后会重定向用户至链接,触发从合法云存储服务自动下载恶意软件。Poco RAT是一种凭证窃取的远程访问木马,允许攻击者监视受害者、执行命令并安装其他恶意软件。研究人员还指出,Poco RAT和Bandook的攻击活动共享多个关键特征,包括使用模糊的诱饵文件、链接缩短服务和合法云存储进行有效载荷分发,这使得其操作更难被检测。Dark Caracal与近二十个国家的数据外泄事件相关,目标包括政府机构、军事组织、活动家、记者和企业,其攻击方法多年来保持一致,依赖于其他网络犯罪分子无法获得的定制工具。
概要: 随着深度伪造技术的迅猛发展,2024年网络攻击事件中,利用伪造面孔进行的诈骗攻击激增300%。iProov在其年度威胁情报报告中指出,这一现象不仅影响了企业的安全性,也对身份验证系统构成了严重挑战。 主要内容: 根据iProov的报告,2024年深度伪造攻击的数量大幅上升,尤其是在在线会议中使用伪造面孔的攻击。报告显示,面孔交换攻击的数量激增300%,而针对移动网络应用的注入攻击则增加了783%。这些攻击利用虚拟摄像头软件,允许攻击者在视频通话中伪装成他人,极大地提高了检测的难度。iProov的首席科学官Andrew Newell表示,当前市场上有超过120种工具被用于实时面孔交换,结合各种注入方法和传播机制,潜在的攻击组合超过10万种。这种情况对传统的安全框架构成了严峻挑战,尤其是在深度伪造攻击的检测和防御方面。此外,iProov还指出,黑市上涌现出31个新团体,专门销售身份验证欺诈工具,形成了一个庞大的犯罪生态系统。该系统的用户总数达到34,965人,显示出深度伪造技术的普及和可获取性正在加剧网络安全威胁。随着网络犯罪的门槛降低,深度伪造攻击可能会成为未来更为常见的网络诈骗手段,给企业和个人带来更大的风险。
概要: 美国联邦卫生与人类服务部(HHS)近日对眼镜零售商Warby Parker处以150万美元罚款,原因是该公司未能有效保护客户的健康数据。2018年的一起凭证填充攻击导致近20万人的个人信息被泄露,突显了网络安全在医疗行业的重要性。 主要内容: HHS的民权办公室表示,Warby Parker在保护电子个人健康信息方面存在多项安全失误,未能进行准确和全面的风险分析,以识别潜在的风险和漏洞。2018年11月,该公司首次发现异常登录活动,调查后发现第三方通过凭证填充攻击获取了客户账户的访问权限。被泄露的信息包括姓名、地址、部分支付信息及眼镜处方记录。此外,Warby Parker在2020年4月和2022年6月还报告了其他小规模的数据泄露事件,影响人数均少于500人。根据HHS的报告,截至2024年9月,Warby Parker仍未对健康信息的保密性进行风险评估,直到2022年7月才实施合理的安全措施,2020年5月才开始审查信息系统活动记录。这一事件不仅影响了Warby Parker的企业声誉,也引发了对医疗行业网络安全的广泛关注。白宫在去年12月宣布将更新HIPAA规则,以首次引入网络安全法规,要求维护医疗数据的实体采取加密等安全措施,以防止数据泄露。
概要: 网络安全领域再度警报,北朝鲜关联的Lazarus集团通过伪造LinkedIn招聘信息,针对多个组织实施网络攻击,窃取用户凭证并传播恶意软件。这一事件不仅揭示了社交平台的安全隐患,也暴露了网络犯罪分子如何利用人们对职业发展的信任进行攻击。 主要内容: Lazarus集团的攻击始于一则诱人的招聘信息,声称提供去中心化加密货币交易所的合作机会。尽管细节模糊,但远程工作和灵活的兼职安排吸引了许多求职者。一旦目标表现出兴趣,攻击者便要求提供简历或个人GitHub链接,这些请求表面上看似无害,实则用于收集个人数据。在获取信息后,攻击者分享了一个包含恶意代码的代码库,表面上是项目的“最小可行产品”。然而,深入分析后发现,这段代码动态加载了来自第三方的恶意代码,最终部署了一个跨平台的信息窃取者,能够在Windows、MacOS和Linux上运行。该恶意软件专门针对流行的加密货币钱包,窃取浏览器登录数据并将其发送至恶意IP地址。分析显示,这一复杂的攻击链涉及多种编程语言的恶意软件,利用多层Python脚本进行自我解码和执行,展示了其广泛的能力。拉扎鲁斯集团的目标不仅限于个人数据盗窃,还包括获取航空、国防和核工业等关键领域的敏感信息,进一步加大了潜在的损害。此事件提醒我们,在社交平台上保持警惕,防范网络犯罪的威胁。

安恒信息研究院安全数据部基于部门数据能力,与安恒信息各大实验室联合,每月推出《安恒信息网络安全月报》,希望能帮助大家及时了解每月网络安全相关信息,为网络安全规划与建设提供决策依据。每月梳理的主要信息如下:(1)当月APT情报:APT的攻击地域,高活跃的APT组织画像;(2)当月勒索攻击:勒索软件影响的行业以及勒索组织画像;(3)当月暗链情报:植入暗链的地区排行、暗链分布占比图;(4)当月漏洞情报:漏洞态势、高关注漏洞及该漏洞全球资产分布;(5)当月黑灰产情报:每月新增黑灰产数量等。更多精彩请查看完整版,感谢您的支持! 完整版可以咨询您所在地区安恒销售,或致电:400 6059 110 转 4 扫码或者下载文末附件均可收获精简版~