“危险密码”APT组织炎炎夏日在活跃
相关行业:金融加密货币Tags:危险密码拉撒路中国
近日,微步在线监测发现“危险密码”APT 组织针对国内外企业金融交易相关业务的 定向攻击活动,本批次鱼叉式网络攻击事件中,投递载荷均为 LNK 文件,在自释放(或通 过谷歌在线文档下载)诱饵文档后,远程下载执行具有后门功能的 JavaScript 恶意代码。 攻击活动中使用的诱饵文件包括中文类型的“奖金计划(2020 年 7 月).docx”、奖金计划 (2020 年 8 月).docx”以及“Project Management Plan.pdf”等。相关企业包括然健环球(中 国)日用品有限公司(NHT Global)、美国密苏里大学堪萨斯分校(UMKC)。推测本次攻击 时间段为 2020 年 6 月下旬至今。
同期,芬兰安全公司 F-Secure 对危险密码 APT 组织追踪发现,JavaScript 后门在后 续会通过一段 C2 下发的 PowerShell 下载最终的二进制木马,木马与卡巴斯基曾披露的 Bluenoroff(Lazarus 组织的一个分支)组织所使用的特马高度相似,由此可以推测,微步在 线所披露的“危险密码”APT 组织与 Bluenoroff 组织存在一定关联,结合其特定的攻击目 标、攻击目的来看,“危险密码”APT 组织极有可能为 LazarusAPT 组织的一个分支机构。微步在线点评:
1、 “危险密码”至少于 2018 年 3 月开始活跃,主要通过钓鱼邮件投递恶意文件下载链接, 微步在线科技有限公司 | www.threatbook.cn | 400-030-1051
诱导收件者从仿冒的谷歌、微软、亚马逊云服务器下载木马压缩文件,该组织是一个专
门攻击加密货币公司的 APT 团伙,于 2019 年被微步在线披露。
2、 微步在线通过对相关样本、IP 和域名的溯源分析,覆盖该组织的相关 IOC,可用于威胁
情报检测。微步在线的威胁情报平台(TIP)、威胁检测平台(TDP)、API 等均已支持此 次攻击事件和团伙的检测。
5、DarkHotel组织Thinmon后门框架揭秘
相关行业:政府新闻媒体国企外贸Tags:DarkHotel Thinmon中国
2020 年 8 月,360 公司披露了 DarkHotel 组织的“Thinmon”后门框架,该系列后门一 般通过水坑攻击或者是 OA 系统漏洞进行投递,其功能以插件形式释放和调度,实现文件窃 密、键盘记录、用户监听等目的。
DarkHotel 组织最早从 2017 年就开始利用该后门框架实施了长达三年时间的一系列攻 击活动,其攻击意图主要在于长期监控和窃取机密文件,受害者主要集中在我国华北和沿海 地区,被攻击目标主要包括政府机构、新闻媒体、大型国企、外贸企业等行业,占比最大的 为外贸及涉外机构。在这三年多的时间内,该组织不断更新后门框架,持续对目标发起攻击。微步在线点评:
1、 DarkHotel(APT-C-06)是一个长期针对企业高管、国防工业、电子工业等重要机构实 施网络间谍攻击活动的 APT 组织。2014 年 11 月,卡巴斯基实验室的安全专家首次发现 了 DarkHotel 组织,并声明该组织至少从 2010 年就已经开始活跃,目标基本锁定在韩国、 中国、俄罗斯和日本。
2、 微步在线通过对相关样本、IP 和域名的溯源分析,覆盖该组织的相关 IOC,可用于威胁 情报检测。微步在线的威胁情报平台(TIP)、威胁检测平台(TDP)、API 等均已支持此 次攻击事件和团伙的检测。