安天是中国网络安全应急响应体系中重要的企业节点,打造了“第一时间启动,同时应对多线威胁,三体系联动,四作业面协同”的应急体系,在高级持续性威胁(APT)的发现、监测和分析方面进行了大量工作。
安天CERT监测到“游蛇”黑产针对与金融、财务相关企业及人员进行的攻击活动。近期攻击者投放的初始恶意文件主要有三类,伪造的文件名称大多与财税、资料、函件等相关。安天智甲可实现对该类远控木马的有效查杀。
2024年2月12日,美国网络安全公司SentinelOne在其官网上发布题为“China’s Cyber Revenge/Why the PRC Fails to Back Its Claims of Western Espionage”的报告,对“中国三家知名网络安全企业360、奇安信、安天及中国网络安全产业联盟(CCIA)”等机构揭露美方情报机构网络攻击的相关报告进行解读。我们先直接概括其报告中的观点和关键逻辑。
安天CERT监测到通过GitHub传播窃密木马的攻击活动。攻击者在其发布项目的环境依赖文件中添加恶意URL,以获取其恶意篡改的流行开源模块,从而在受害者电脑中植入窃密木马。安天智甲可实现对该窃密木马的有效查杀。
安天2023威胁年报开放征求意见版今日发布,全文超3万5千字。年报结构重大调整,恶意代码全貌再次回归,强化威胁趋势的总结,增加了防御和治理思考。后续勘误更新请关注安天官网。
传播挖矿木马会使用户系统资源被恶意占用和消耗、硬件寿命被缩短,严重影响用户生产生活,妨害国民经济和社会发展。2023年,安天CERT发布了多篇针对挖矿木马的分析报告,现将2023年典型的挖矿木马梳理形成组织概览,进行分享。
勒索软件已成为全球组织机构主要的网络安全威胁之一。安天CERT对2023年内的勒索攻击事件进行梳理,针对较为活跃的勒索攻击组织进行盘点。在2023年中,安天CERT发现共有68个不同名称的组织曾发布过受害者信息,涉及约5500个来自不同国家或地区不同行业的组织机构。
安天CERT发现一组利用非官方软件下载进行投毒和攻击下游用户案例,并深入分析了攻击者在网管运维工具上捆绑植入macOS平台远控木马,利用国内非官方下载站发布,以此取得政企机构内部关键主机桥头堡,进行横向渗诱的攻击活动。
安天CERT在近两年最活跃的勒索攻击组织LockBit的系列攻击中,选取了支撑分析复盘信息最为充分的波音遭遇勒索攻击事件,进行了详细的技术分析、过程还原、损失评估,基于事件总结了攻击进化趋势和防御侧的共性缺陷,对防范RaaS+定向勒索攻击提出的建议。形成了超过两万五千字的长篇分析报告,报告公开版本今日发布。
近期,安天CERT捕获到一个Mirai僵尸网络新变种,针对MIPS、ARM和X86等多种架构,利用弱口令感染目标,具备DDoS攻击能力。2023年11月捕获的新版本增加了检测设备所有进程启动参数的功能,以防止设备重启、关机和断电,从而延长其生存时间。经验证,安天探海威胁检测系统(简称PTD)能够实现对该僵尸网络C2通信的精准检测。
南亚某国APT组织伪装成“慧眼行动”官方机构向我国科研机构发送鱼叉邮件,攻击者刻意模仿我国相关机构定期的科研项目征集活动,通过伪装成官方申报客户端的木马程序下发多层载荷,最终在目标机器植入后门程序实现控制。安天CERT初步研判此次攻击来自南亚某国,但目前尚无充分信息确定关联到已经命名的威胁行为体,也不能完全判定其是一个新的攻击组织,按照安天对威胁行为体的命名规则,临时使用“X象”作为其命名。
MyDoom蠕虫运行后会不断发送恶意邮件,等待控制指令进行DDoS攻击、下发恶意文件和可移动介质传播等操作。MyDoom在无防护软件的主机中运行或在主机防护软件无法对抗其自我保护机制清除失败时,可使用ATool信誉孤立功能辅助网管快速定位可疑对象,提高处置效率。
LockBit勒索软件组织附属成员主要通过第三方获取访问凭证、新漏洞武器化利用和搭载其他恶意软件等方式实现对受害系统的初始访问,窃取数据文件后投放LockBit勒索软件实现加密。
安天CERT在本次攻击活动中捕获到两种.NET恶意程序。第一种恶意程序被用于针对财务人员进行投放,属于加载器,执行后释放两层恶意载荷并最终执行Gh0st远控木马;第二种恶意程序被用于针对小店商家客服进行投放,是使用某开源远控项目生成的受控端程序,经验证,安天智甲终端防御系统可实现对上述远控木马的有效查杀。
近日,安天CERT监测到PLAY勒索软件攻击活动呈现活跃趋势,该勒索软件最早出现于2022年6月,主要通过钓鱼邮件、漏洞利用等方式进行传播,采用“RSA+AES“加密算法对文件进行加密。经验证,安天智甲终端防御系统可实现对PLAY勒索软件的查杀与有效防护。
近期,安天CERT捕获了一批活跃的WatchDog挖矿组织样本,该组织主要利用暴露的Docker Engine API端点和Redis服务器发起攻击,并且可以快速的从一台受感染的机器转向整个网络。经验证,安天智甲终端防御系统和安天智甲云主机安全监测系统均可实现对该挖矿木马的有效查杀。
安天CERT持续对“游蛇”黑产团伙进行监测和追踪,发现黑产团伙运营模式、攻击手段、技术特点和常用的诈骗套路,总结出有效的防护建议并推送专项排查工具,以帮助用户了解、识别黑产团伙的惯用伎俩,免遭其远控木马的侵害,避免遭受黑产团伙诈骗而导致经济损失。
针对Curl爆出的两个高危漏洞(CVE-2023- 38545、 CVE-2023-38546),安天攻防实验室对其进行分析跟进,提供检测方法和加固方法,安天将持续对该漏洞进行利用监测,提取相关特征,进行研究和监测。
安天CERT监测到“游蛇”黑产团伙发起的新一轮利用微信传播恶意代码的攻击活动。通过分析溯源,发现了该团伙通过微信投放远控木马的运营模式。
安天CERT发现ObserverStealer窃密木马在多个黑客论坛上进行售卖。该窃密木马会窃取浏览器数据、上传指定目录文件、获取屏幕截图,并下载运行其他恶意载荷。安天建议用户强化终端安全并持续增进安全运营水平进行有效防护。
安天智甲终端防御系统、安天智甲云主机安全监测系统、安天智甲容器安全检测系统均可实现对Sophos和Cylance勒索软件的有效查杀。
在本轮攻击中,该团伙将恶意程序伪装成图片文件,利用电商平台、社交软件等途径发送给目标用户,诱导用户执行,并最终投递Gh0st远控木马变种实现远程控制,安天智甲可实现对该恶意软件的有效查杀。
安天CERT发现多起因BlackCat勒索软件攻击造成的数据泄露事件,其背后的攻击组织采用“窃取数据+加密文件”双重勒索策略,在此基础上增加骚扰或DDoS攻击威胁。安天智甲可实现对该勒索软件的有效查杀。
攻击者事先将恶意文件隐藏于系统中,通过计划任务实现自启动,并利用EFI系统分区规避安全产品的检测,最终执行剪贴板劫持器以盗取加密货币。安天智甲可实现对恶意软件的有效查杀。
该挖矿木马主要利用SSH和Redis弱口令暴力破解对Linux平台进行攻击,安天智甲终端防御系统Linux版本可实现对该挖矿木马的有效查杀。
安天CERT监测到通过视频网站进行传播的攻击活动。攻击者窃取订阅者数量超过10万的视频创作者账号,发布与破解版热门软件相关的演示视频,诱导受害者下载RecordBreaker窃密木马,安天智甲终端防御系统可实现对窃密木马及挖矿木马等恶意软件的有效查杀。
安天CERT发现多起Akira勒索软件攻击事件,该勒索软件采用“双重勒索”即“窃取数据+加密文件”的模式运营,其背后的攻击组织疑似使用定向攻击模式开展勒索攻击活动,安天智甲可实现对该勒索软件的有效查杀。
安天CERT近期捕获到一起白象组织使用BADNEWS木马针对我国相关单位的攻击活动。通过关联分析,我们发现白象组织近期大量使用商业木马Remcos针对南亚军事政治等目标发动攻击,在降低成本的同时依托商业木马提高网络攻击活动效率。
安天智甲终端检测与响应系统的邮件防护模块可精准识别本次活动的钓鱼邮件,安天智甲终端防御系统可实现对恶意下载器及远控木马等恶意软件的有效查杀。
该挖矿木马主要利用SSH弱口令暴力破解对Linux平台进行攻击,安天智甲终端防御系统Linux版本可实现对该挖矿木马的有效查杀。
在年报中,安天总结了高级持续性威胁(APT)、勒索攻击、挖矿木马、僵尸网络、攻防对抗、数据泄露、工业互联网安全风险、威胁泛化等方向的思考与观点。