heliosteam 发布于 07月26, 2018

Donot APT组织-针对巴基斯坦最新攻击活动分析

背景

Donot APT组织是一个长期针对南亚地区(主要是巴基斯坦)实施网络间谍活动的APT组织,2017年6月,360威胁情报中心首次发现和曝光了该团伙针对巴基斯坦的定向攻击活动,并详细分析了该组织使用的EHDevel恶意代码框架。2018年3月,国外安全团队ASERT继续披露了该组织新的恶意代码框架yty,并根据PDB路径中的机器用户名将该组织命名为Donot。 Donot APT组织主要针对巴基斯坦等南亚地区国家进行网络间谍活动,该组织主要针对政府机构等领域进行攻击,其中以窃取敏感信息为主。从2017年至今,该组织针对巴基斯坦至少发动了4波攻击攻击行动,攻击过程主要是以携带Office漏洞或者恶意宏的鱼叉邮件进行恶意代码的传播,并先后使用了两套独有的恶意代码框架:EHDevel和yty。 自第一次发现该组织的攻击活动以来,360威胁情报中心对该组织一直保持着持续跟踪,近期我们再次跟踪到该团伙利用较新的Office Nday漏洞发起的新的攻击活动,并对攻击中使用的yty框架最新的恶意代码进行了详细分析。

阅读全文 »

heliosteam 发布于 07月05, 2018

蓝宝菇 - 核危机行动揭秘

摘要

  • 从2011年开始持续至今,高级攻击组织蓝宝菇(APT-C-12)对我国政府、军工、科研、金融等重点单位和部门进行了持续的网络间谍活动。该组织主要关注核工业和科研等相关信息。被攻击目标主要集中在中国大陆境内。
  • 360追日团队捕获的首个蓝宝菇组织专用木马出现在2011年3月左右。目前已总共捕获该组织恶意代码670余个,其中包括60余个专门用于横向移动的恶意插件。目前已经发现该组织相关的C&C域名、IP数量多达40余个。
  • 由于该组织相关恶意代码中出现特有的字符串(Poison Ivy密码是:NuclearCrisis),结合该组织的攻击目标特点,360威胁情报中心将该组织的一系列攻击行动命名为核危机行动(Operation NuclearCrisis),考虑到核武器爆炸时会产生蘑菇云,并结合该组织的一些其他特点及360威胁情报中心对APT组织的命名规则,我们将该组织名为蓝宝菇。
  • 截止2018年5月,360追日团队已经监测到核危机行动攻击针对的境内目标近30个。其中,教育科研机构占比最高,达1%,其次是政府机构,占比为18.2%,国防机构排第三,占9.1%。其他还有事业单位、金融机构制造业等占比为4.5%。

关键词:蓝宝菇、核危机、APT

阅读全文 »

heliosteam 发布于 06月07, 2018

CVE-2018-5002 - Analysis of the Second Wave of Flash Zero-day Exploit in 2018

Background

On June 1, 2018, the Advanced Threat Response Team of 360 Core Security discovered an attack using a new Flash 0-day vulnerability on a global scale. The hackers carefully constructed an Office document that remotely loaded Flash vulnerability. When the document was opened, all the exploit code and malicious payload were delivered through remote servers. This attack mainly targets the Middle East. This vulnerability is the second Flash 0-day vulnerability discovered in 2018 and is currently affecting Adobe Flash Player 29.0.0.171 and below versions.

阅读全文 »

heliosteam 发布于 06月07, 2018

CVE-2018-5002---2018年第二波Flash零日漏洞在野攻击分析预警

背景

2018年6月1日,360核心安全高级威胁应对团队在全球范围内率先捕获了新的一起使用Flash 零日漏洞(CVE-2018-5002)的在野攻击,黑客精心构造了一个从远程加载Flash漏洞的Office文档,打开文档后所有的漏洞利用代码和恶意荷载均通过远程的服务器下发,此次攻击主要针对中东地区。该漏洞目前影响Adobe Flash Player 29.0.0.171及其以下版本,是今年出现的第二波Flash零日漏洞在野攻击。

阅读全文 »

heliosteam 发布于 05月09, 2018

APT-C-06组织在全球范围内首例使用“双杀”0day漏洞(CVE-2018-8174)发起的APT攻击分析及溯源

第一章 概述

日前,360核心安全事业部高级威胁应对团队在全球范围内率先监控到了一例使用0day漏洞的APT攻击,捕获到了全球首例利用浏览器0day漏洞的新型Office文档攻击,我们将该漏洞命名为“双杀”漏洞。该漏洞影响最新版本的IE浏览器及使用了IE内核的应用程序。用户在浏览网页或打开Office文档时都可能中招,最终被黑客植入后门木马完全控制电脑。对此,我们及时向微软分享了该0day漏洞的相关细节,并第一时间对该APT攻击进行了分析和追踪溯源,确认其与APT-C-06组织存在关联。 2018年4月18日,在监控发现该攻击活动后,360核心安全事业部高级威胁应对团队在当天就与微软积极沟通,将相关细节信息提交到微软。微软在4月20日早上确认此漏洞,并于5月8号发布了官方安全补丁,对该0day漏洞进行了修复,并将其命名为CVE-2018-8174。在漏洞得到妥善解决后,我们于5月9日发布本篇报告,对攻击活动和0day漏洞进一步的技术披露。

阅读全文 »

heliosteam 发布于 05月09, 2018

Analysis of CVE-2018-8174 VBScript 0day and APT actor related to Office targeted attack

I Overview

Recently, the Advanced Threat Response Team of 360 Core Security Division detected an APT attack exploiting a 0-day vulnerability and captured the world’s first Office malicious sample that uses a browser 0-day vulnerability. We code named the vulnerability as "double kill” exploit. This vulnerability affects the latest version of Internet Explorer and applications that use the IE kernel. When users browse the web or open Office documents, they are likely to be potential targets. Eventually the hackers will implant backdoor Trojan to completely control the computer. In response, we shared with Microsoft the relevant details of the 0day vulnerability in a timely manner. This APT attack was analyzed and attributed upon the detection and we now confirmed its association with the APT-C-06 Group. On April 18, 2018, as soon as 360 Core Security detected the malicious activity, we contacted Microsoft without any delay and submitted relevant details to Microsoft. Microsoft confirmed this vulnerability on the morning of April 20th and released an official security patch on May 8th. Microsoft has fixed the vulnerability and named it CVE-2018-8174. After the vulnerability was properly resolved, we published this report on May 9th, along with further technical disclosure of the attack and the 0day.

阅读全文 »

heliosteam 发布于 04月21, 2018

黑客伪造算力盗取多种数字货币

by 360核心安全

最近,360检测了一种新型攻击,黑客可以利用漏洞伪造算力,进而从矿池中窃取数字货币。

经过分析,我们发现此类攻击利用了一个equihash算法(equihashverify: https://github.com/joshuayabut/equihashverify) 实现上的逻辑漏洞。该漏洞可导致恶意矿工向z-nomp矿池提交虚假share,从而伪造自己的算力。从矿池中窃取诚实矿工的挖矿成果。由于目前许多新生数字货币均使用equihash算法进行工作量证明,且多数equihash矿池依赖于该equihashverify进行矿工算力校验,所以该漏洞严重已经影响多个数字货币矿池。

阅读全文 »

heliosteam 发布于 04月21, 2018

Attackers Fake Computational Power to Steal Cryptocurrencies from Mining Pools

Report provided by 360 Core Security

Author: Zhiniang Peng

Recently, we detected a new type of attack which targets some equihash mining pools.
After analysis, we found out the attacked equihash mining pools are using a vulnerable equihash verifier (equihashverify : https://github.com/joshuayabut/equihashverify) to verify miners’ shares. There is a aere is alogic bugslogic vulnerability in this verifier, so attacker can easily fake mining shares which can bypass the equihash solution verifier without using so much computing power. This vulnerability has a wide impact because the verifier (equihashverify) is previously used by the zcash official open source mining pool (node-stratum-pool), and many new cryptocurrencies which use equihash as PoW algorithm are forked from this pool.

阅读全文 »

heliosteam 发布于 12月13, 2017

黄金鼠组织--叙利亚地区的定向攻击活动

摘要

  • 2014年11月起至今,黄金鼠组织对叙利亚地区展开了有组织、有计划、有针对性的长时间不间断攻击。
  • 攻击平台主要包括Windows与Android,截至目前我们一共捕获了Android样本29个,Windows样本55个,涉及的C&C域名9个。
  • PC与Android端间谍软件主要伪装成Telegram等聊天软件,并通过水坑等攻击方式配合社会工程学手段进行渗透。
  • 相关恶意可执行程序多为“.exe”和“.scr”扩展名,但是这些程序都伪装成Word、聊天工具图标,并通过多种诱导方式诱导用户中招。
  • 攻击者在诱饵文档命名时也颇为讲究,如“حمص تلبيسة قصف بالهاون”(炮击霍姆斯),此类文件名容易诱惑用户点击。
  • 攻击者针对PC平台使用了大量的攻击载荷,包括Multi-stage Dropper、njRAT、VBS脚本、JS脚本、Downloader等恶意程序,此类恶意程序多为远控,主要功能包括上传下载文件、执行shell等。
  • Android端后门程序功能主要包括定位、短信拦截、电话录音等,并且还会收集文档、图片、联系人、短信等情报信息。
  • 通过相关信息的分析,发现该组织极有可能来自阿拉伯国家。

关键词:黄金鼠、叙利亚、Windows、Android、水坑、伪装、诱饵文档、RAT、后门

阅读全文 »

heliosteam 发布于 10月11, 2017

最新Office 0day漏洞(CVE-2017-11826)在野攻击通告

2017年9月28日,360核心安全事业部高级威胁应对团队捕获了一个利用Office 0day漏洞(CVE-2017-11826)的在野攻击。该漏洞几乎影响微软目前所支持的所有office版本,在野攻击只针对特定的office版本。攻击者以在rtf文档中嵌入了恶意docx内容的形式进行攻击。通过对攻击样本的C&C进行追踪溯源分析,我们发现攻击者从8月中旬开始筹备攻击,在9月底真正发动攻击,...

阅读全文 »