关注并转发,后台抽奖哦,有空可以留言
国际新闻
Crowdstrike和FireEye称:克里姆林宫相关的黑客可能冒充美国国家部门员工。
过去两天,网络攻击者发送的电子邮件看起来好像是来自国务院公共事务人员的帐户,而且电子邮件中包含指向受感染网站的链接。
这些行为似乎与与俄罗斯政府相关的黑客组织的行为类似。
在11月6日中期选举后几天,这场攻击的时间也很明显。美国大选官员表示他们没有在中期选举期间发现任何成功的恶意网络活动,但他们指出,可能需要数周或数月才能确定攻击。(看来选举过程又被..)
高级威胁情报
一、
著名APT攻击活动,“Olympic Destroyer ”,目前已经将背后的组织名命名为Hades。而该组织在过去的几周里发起了一波攻击,下面为简介。
通过将该组织投放的恶意宏文档中的宏代码按照时间进行分析展示,这里安利一个叫做Vba2Graph的工具,有兴趣的同学可以试试。
可以确认绝大多数文档使用相同的混淆工具集,这些工具是按月发展的
上面的文档攻击流程与释放流程与下图一致
新活动的样本流程如下图,详情见报告
该组织使用的C&C服务器均为已攻陷的网站服务器,通过利用这些服务器进行代理重定向到托管Empire后端的另一个服务器,也就是真正的C2。
原文报告与ioc:
https://research.checkpoint.com/new-strain-of-olympic-destroyer-droppers/
该组织过去行动链接:
[1] https://blog.talosintelligence.com/2018/02/olympic-destroyer.html
[2] https://securelist.com/olympicdestroyer-is-here-to-trick-the-industry/84295/
[3] https://securingtomorrow.mcafee.com/mcafee-labs/malicious-document-targets-pyeongchang-olympics/
[4] https://securelist.com/olympic-destroyer-is-still-alive/86169/
二、
Group123新活动:Korean Sword
本次活动与360威胁情报中心在近日披露的group123 hwp漏洞的基础上展开分析
通过该类样本进行分析后,发现作者都是叫gichang,因此命名为Korean Sword活动
该样本的简要分析图
然后在2018年11月16日,又发现了该类样本,原理类似,payload发生了变化
这次使用的是yandex网盘进行上传,之前是dropbox
相关链接:
http://blog.alyac.co.kr/1985
三、
伊朗OilRig组织的行动节奏分析, 包括测试、武器化和攻击交付
主要就是平底锅通过观察OilRig的测试活动,来关联到该组织近期的一系列攻击活动。
这系列活动是Bondupdater,可点击公众号之前的分析看看
?
通过观察显示,OilRig在目标攻击发生前不到6天就开始了测试活动,并在8月20日,21 日和26日进行了三次测试尝试。测试人员在交付文档创建时间之前不到8小时创建了最终测试文件,然后在20分钟后通过鱼叉式网络钓鱼邮件发送。
伊朗国家队看来挺努力的。从测试过程可以看出流程非常严谨。
原文附录有各个攻击文档的迭代版本分析,别漏掉了
本篇报告链接:
https://researchcenter.paloaltonetworks.com/2018/11/unit42-analyzing-oilrigs-ops-tempo-testing-weaponization-delivery/
平底锅之前针对该组织的测试活动进行分析的以下两篇文章
[1] https://researchcenter.paloaltonetworks.com/2017/12/unit42-oilrig-performs-tests-twoface-webshell/
[2] https://researchcenter.paloaltonetworks.com/2017/04/unit42-oilrig-actors-provide-glimpse-development-testing-efforts/
欲想实时获取最新情报和资源,知识星球给你期待,能力范围内有问必答,期待你的加入