分类APT下的文章

heliosteam 发布于 05月09, 2018

Analysis of CVE-2018-8174 VBScript 0day and APT actor related to Office targeted attack

I Overview

Recently, the Advanced Threat Response Team of 360 Core Security Division detected an APT attack exploiting a 0-day vulnerability and captured the world’s first Office malicious sample that uses a browser 0-day vulnerability. We code named the vulnerability as "double kill” exploit. This vulnerability affects the latest version of Internet Explorer and applications that use the IE kernel. When users browse the web or open Office documents, they are likely to be potential targets. Eventually the hackers will implant backdoor Trojan to completely control the computer. In response, we shared with Microsoft the relevant details of the 0day vulnerability in a timely manner. This APT attack was analyzed and attributed upon the detection and we now confirmed its association with the APT-C-06 Group. On April 18, 2018, as soon as 360 Core Security detected the malicious activity, we contacted Microsoft without any delay and submitted relevant details to Microsoft. Microsoft confirmed this vulnerability on the morning of April 20th and released an official security patch on May 8th. Microsoft has fixed the vulnerability and named it CVE-2018-8174. After the vulnerability was properly resolved, we published this report on May 9th, along with further technical disclosure of the attack and the 0day.

阅读全文 »

heliosteam 发布于 12月13, 2017

黄金鼠组织--叙利亚地区的定向攻击活动

摘要

  • 2014年11月起至今,黄金鼠组织对叙利亚地区展开了有组织、有计划、有针对性的长时间不间断攻击。
  • 攻击平台主要包括Windows与Android,截至目前我们一共捕获了Android样本29个,Windows样本55个,涉及的C&C域名9个。
  • PC与Android端间谍软件主要伪装成Telegram等聊天软件,并通过水坑等攻击方式配合社会工程学手段进行渗透。
  • 相关恶意可执行程序多为“.exe”和“.scr”扩展名,但是这些程序都伪装成Word、聊天工具图标,并通过多种诱导方式诱导用户中招。
  • 攻击者在诱饵文档命名时也颇为讲究,如“حمص تلبيسة قصف بالهاون”(炮击霍姆斯),此类文件名容易诱惑用户点击。
  • 攻击者针对PC平台使用了大量的攻击载荷,包括Multi-stage Dropper、njRAT、VBS脚本、JS脚本、Downloader等恶意程序,此类恶意程序多为远控,主要功能包括上传下载文件、执行shell等。
  • Android端后门程序功能主要包括定位、短信拦截、电话录音等,并且还会收集文档、图片、联系人、短信等情报信息。
  • 通过相关信息的分析,发现该组织极有可能来自阿拉伯国家。

关键词:黄金鼠、叙利亚、Windows、Android、水坑、伪装、诱饵文档、RAT、后门

阅读全文 »

heliosteam 发布于 03月09, 2017

双尾蝎组织(APT-C-23)伸向巴以两国的毒针

摘要

  • 2016年5月起至今,双尾蝎组织(APT-C-23)对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。
  • 攻击平台主要包括Windows与Android,攻击范围主要为中东地区,截至目前我们一共捕获了Android样本24个,Windows样本19个,涉及的C&C域名29个。
  • 后门程序主要伪装成文档、播放器、聊天软件以及一些特定领域常用软件,通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透,向特定目标人群进行攻击。
  • 相关恶意可执行程序多为“.exe”和“.scr”扩展名,但是这些程序都伪装成doc、xls文档图标,并且文件中还包含一些用以迷惑用户的文档。
  • 攻击者在诱饵文档命名时也颇为讲究,如“الاجهزة الامنية”(安全服务)、“Egyptian Belly Dancer Dina Scandal, Free Porn”(肚皮舞者Dina丑闻,色情),此类文件名容易诱惑用户点击。
  • Android端后门程序功能主要包括定位、短信拦截、电话录音等,并且还会收集文档、图片、联系人、短信等情报信息;PC端后门程序功能包括收集用户信息上传到指定服务器、远程下载文件以及远控。
  • 通过相关信息的分析,发现该组织极有可能来自中东。

关键词:双尾蝎、APT-C-23、巴勒斯坦、教育、军事、鱼叉、水坑、伪装

阅读全文 »

heliosteam 发布于 11月15, 2016

蔓灵花攻击行动(简报)

一、 概述

美国网络安全公司Forcepoint[1]近期发布了一篇报告,该报告主要披露了巴基斯坦政府官员最近遭到了来源不明的网络间谍活动。该报告描述了攻击者使用了鱼叉邮件以及利用系统漏洞等方式,在受害者计算机中植入了定制的AndroRAT,意图窃取敏感信息和资料。Forcepoint研究人员认为该组织与BITTER相关,而且可能还不止发起了这一起攻击事件。BITTER攻击始于2013年11月,且多年来一直未被检测到,目前攻击者背景尚未明确。相关APP信息包括提供关于印度和巴基斯坦之间的争议地区新闻的Kashmir News等。

阅读全文 »

heliosteam 发布于 08月25, 2016

关于近期曝光的针对银行SWIFT系统攻击事件综合分析

一、概述

2016年2月孟加拉国央行被黑客攻击导致8100万美元被窃取的事件被曝光后,如越南先锋银行、厄瓜多尔银行等,针对银行SWIFT系统的其他网络攻击事件逐一被公开。在相关事件曝光后,我们立即对相关攻击事件的展示溯源分析,就越南先锋银行相关攻击样本,我们形成了技术报告:《SWIFT之殇——针对越南先锋银行的黑客攻击技术初探》[1]

阅读全文 »

heliosteam 发布于 08月04, 2016

摩诃草组织 (APT-C-09)

报告更新相关时间节点
2016年7月25日,形成综合分析报告
2016年7月26日,补充修改部分内容
2016年7月29日,补充修改部分内容

披露申明

本报告中出现的IOC(Indicators of Compromise,威胁指标),进一步包括涉及到相关攻击事件的样本文件MD5等哈希值、域名、IP、URL、邮箱等威胁情报信息,由于其相关信息的敏感性和特殊性,所以在本报告中暂不对外披露,在报告中呈现的相关内容(文字、图片等)均通过打码隐藏处理。

若您对本报告的内容感兴趣,需要了解报告相关细节或相关IOC,可与360追日团队通过电子邮件进行联系,另外我们目前只提供电子邮件联系方式:360zhuiri@360.cn,敬请谅解!

阅读全文 »

heliosteam 发布于 07月01, 2016

人面狮行动(APT-C-15)- 中东地区的定向攻击活动

报告更新相关时间节点2016**年4月29日,形成攻击简报和样本分析报告2016年5月12**日,形成综合分析报告2016**年6月20日,修改公开版**一、概述人面狮行动是活跃在中东地区的网络间谍活动,主要目标可能涉及到埃及和以色列等国家的不同组织,目的是窃取目标敏感数据信息。活跃时间主要集中在2014年6月到2015年11月期间,相关攻击活动最早可以追溯到2011年12月。主要采用利用社交网络...

阅读全文 »

heliosteam 发布于 07月01, 2016

Sphinx (APT-C-15) Targeted cyber-attack in the Middle East

Timeline of the report updates

April 29, 2016, brief report and sample analysis report were drafted.

May 12, 2016, comprehensive analysis report was completed.

June 20,2016, the public version of the report was updated.

1. Overview

Operation Sphinx is a cyber-espionage activity in the Middle East. The main victims are political and military organizations in Egypt, Israel and possibly other countries. Sensitive data theft is what the attackers plotted for during the period from June, 2014 to November, 2015 when the activity was in its prime. We encountered some timestamps of the samples to be as early as December, 2011 which suggests the attack might be started much earlier, though further sound proof is needed. The main approach of Sphinx is watering hole attack on social websites. Until now, we have obtained 314 pieces of sample malicious codes and 7 C2 domains.

阅读全文 »

heliosteam 发布于 05月30, 2016

美人鱼行动

一、概述

美人鱼行动是境外APT组织主要针对政府机构的攻击活动,持续时间长达6年的网络间谍活动,已经证实有针对丹麦外交部的攻击。相关攻击行动最早可以追溯到2010年4月,最近一次攻击是在2016年1月。截至目前我们总共捕获到恶意代码样本284个,C&C域名35个。

2015年6月,我们首次注意到美人鱼行动中涉及的恶意代码,并展开关联分析,由于相关恶意代码在中国地区并不活跃,所以我们暂时无法判断其载荷投递的方式和攻击针对目标和领域。但通过大数据关联分析我们已经确定相关攻击行动最早可以追溯到2010年4月,以及关联出上百个恶意样本文件,另外我们疑似载荷投递采用了水坑攻击的方式,进一步结合恶意代码中诱饵文件的内容和其他情报数据,我们初步判定这是一次以窃取敏感信息为目的的针对性攻击,且目标是熟悉英语或波斯语。

阅读全文 »

heliosteam 发布于 05月30, 2016

Operation Mermaid

by 360Helios

1. Overview

Operation Mermaid is a series of outbound APT attacks that target government entities. It has been active for 6 years since April, 2010 with a latest activity being detected in January, 2016. As of now, we have captured 284 pieces of malicious code samples and 35 C&C domains connected to it. Sufficient evidence has been found that Mermaid turns out to be the APT organization behind the attacks on Denmark Embassy.

阅读全文 »