New情报:APT28,TA505 黑产组织,VenusLocker Ransomware组织,ROKRAT远控

最新推荐文章于 2021-05-27 09:00:58 发布
最新推荐文章于 2021-05-27 09:00:58 发布
阅读量334 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blackorbird/article/details/102462322
版权

周末愉快,复制粘贴链接看吧,肝系统中。。。


推荐一个神奇的系列,和朝鲜息息相关。。

https://www.csis.org/podcasts/impossible-state

640?wx_fmt=png

640?wx_fmt=png

威胁情报

一、

我刚看见,自己动

APT28 Lojax (aka Double-Agent) 变种分析https://blog.yoroi.company/research/hunting-for-sofacy-lojax-double-agent-analysis/


yara:

rule rpcnetp 
{meta:   
description = "Yara Rule for Lojack Double-Agent"   
author = "Cybaze-Yoroi"   
last_updated = "2018-11-13"   
tlp = "white"   
category = "informational"
strings:$a1 = {50 61 74 68 73 5C 69 65 78 70 6C 6F 72 65 2E 65 78 65}$a2 = {D1 E0 F5 8B 4D 0C 83 D1 00 8B EC FF 33 83 C3 04}$b1 = "rpcnetp exe"
$b2 = {00 48 1A B5 E5 9B A0 26 F2 C7 D0 D2 C3 DC C7 C1 9B D6 DA D8 B5 B5 B5 B5 B5 B5 B5 B5 B5 0A 02 07 10 06 06 00}
condition:         
1 of ($b*) and $a1 and $a2}


二、

TA505 黑产组织,有proofpoint命名,之前有篇文章是说该组织从投放dridex到投放globeimposter勒索,和前天的组织类似。

(https://www.proofpoint.com/us/threat-insight/post/threat-actor-profile-ta505-dridex-globeimposter)


最新报告对该组织的tRat的新的模块化部分进行了分析。

知识星球中有该新模块化的解密代码工程,有兴趣可以下载看看。


相关链接:

https://www.proofpoint.com/us/threat-insight/post/trat-new-modular-rat-appears-multiple-email-campaigns


二、

VenusLocker Ransomware组织,针对韩国人投放GandCrab

640?wx_fmt=png


恶意宏钓鱼。老生常谈GandCrab

相关链接:http://blog.alyac.co.kr/1983


三、

朝鲜ROKRAT远控最新动态


有趣。

640?wx_fmt=png


http://v3lo.tistory.com/24



其他可见知识星球,周末愉快,晚安

640?wx_fmt=png


blackorbird
关注
[AI in security]-216 开源威胁情报线索【仅供学习研究使用】
学-> 思->用
08-08 1537
暗网大屏:https://gcokedsa123.grafana.net/dashboard/snapshot/2OJ9OtmtitwiGcIqwIVhvzgmTKDBtTkF?9.深信服安全中心 https://wiki.sec.sangfor.com.cn/index/abroad。微步测绘:https://x.threatbook.com/v5/mapping。火花:https://ti.venuseye.com.cn/#/home。
akka介绍之-akka-remote介绍
码农的世界你不懂
02-20 4121
akka-remote介绍   既然akka是构建分布式高并发的计算和运行框架,当然要离不开远程通信,akka的remote模块就是专门支持分布式的远程调用。 说到分布式应用,大家肯定想到以下几个耳熟能详的技术实现 RPC(Remote Procedure Call Protocol) Web Service RMI (Remote Method Invocation) JMS(Ja...
黑客组织TA505利用LoLbin和新型后门攻击金融行业
systemino的博客
05-01 1123
常年混迹网络安全圈,你可能对网络犯罪分子的一些攻击手法早已不陌生,比如他们为了拓展恶意软件的功能或是使其更难以被检测到,而将之与合法软件相结合使用。而最近Cyberreason的研究人员发现,许多Windows系统进程也会被攻击者们恶意劫持以用于达成他们的目标。 在本文中,我们将介绍黑客团伙TA505于2019年4月对某金融机构进行的一场精心策划的攻击事件,它是一起具有强针对性的网络钓鱼。恶意软...
TA505最新垃圾邮件攻击活动分析
systemino的博客
07-07 1190
根据对TA505攻击活动的分析,Trend Micro研究人员近期发现该组织针对不同国家的垃圾邮件攻击活动,受影响的国家主要位于中东,包括阿联酋和沙特阿拉伯,以及印度、日本、韩国、菲律宾等。 本文介绍研究人员分析发现的TA505使用的TTP等,以及TA505使用的最新恶意软件工具Gelup。 Gelup滥用用户控制控制(user account control, UAC)绕过技术,并作为其他威...
从零开始做远控 簡介篇 做一个属于你自己的远控
sumkee911‘s coding
12-17 1万+
做一个属于你自己的远控:先对大家说句抱歉,上次答应带大家一起做远控但因为我的个人原因让课程中途断了,这次我答应大家一定要把这教程完成。你在看着课程之前你必须掌握c/c++,qt,win32 api。不用精通,懂就可以了。先向你们简单讲解下什么叫远程控制,就是在别人不知情的情况下控制别人的电脑,也就是间谍软件木马。远程控制里有服务端和客户端,客户端是你偷偷放到被控制人的电脑的间谍程序,他负责接收服务...
Akarmi-开源
05-28
基于模板的C ++库,用于连接信号/消息发送方和接收方。
远控免杀从入门到实践(5)-代码篇-Python
weixin_46236101的博客
03-13 1222
郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 《远控免杀从入门到实践》系列文章目录: 1、远控免杀从入门到实践 (1)基础篇 2、远控免杀从入门到实践 (2)工具总结篇 3、远控免杀从入门到实践 (3)代码篇-C/C++ 4、远控免杀从入门到实践 (4)代码篇-C# 5、远控免杀从入门到实践 (5)代码篇-Python 6、远控免杀从入门到实践 (6)代码篇-Powershell 7、远控免杀从入门到实.
Ransomware-NodeJS:勒索软件开源
03-10
Ransomware-NodeJS仅用于教育/研究目的。 对于您选择如何使用所提供的任何工具/源代码/任何文件,作者概不负责。 对于使用Ransomware-NodeJS随附的任何文件,作者和与之有关联的任何人概不负责。 通过使用Ransomware...
php-ransomware:PHP勒索软件可对文件以及文件名和目录名进行加密
03-22
勒索软件设置为从服务器的Web根目录开始加密文件和目录,并且仅在服务器的Web根目录内部加密文件和目录。 勒索软件在运行时会自毁,这意味着您只有一次解密数据的机会。 还要记住,每个解密文件都有一个用于加密...
cci-ransomware:2018年Cal Poly CCI数字取证挑战赛的勒索软件游戏
05-26
cci-ransomware $] npm install cci-ransomware $] cd client/ client $] npm install 运行Yarn构建以准备好客户端代码以进行生产 client $] yarn build 回到项目根目录。 并创建包含以下环境变量的.ENV文件(请...
simple-ransomware:简单的勒索软件来欺骗你的朋友。 使用非常基本的简单 xor 加密来加密和解密 Windows 计算机!
05-29
只是一个用 C 语言为 Windows 制作的简单勒索软件 ... 它只会影响用户桌面目录下的非系统文件。 这仅限于用户的目录,但您可以通过更改 main.c 中的RELATIVE_FOLDER值来指定另一个相对而不是桌面的一个或无。...
TA505在最新攻击活动中使用HTML, RAT和其他技术
systemino的博客
06-19 524
TA505以使用恶意垃圾邮件和不同的恶意软件来攻击金融组织和零售企业而臭名昭著。研究人员在过去2个月检测到与TA505相关的攻击活动。在该组织的最近活动中,使用了HTML附件来传播恶意XLS文件,XLS文件会导致下载器和后门FlawedAmmyy,主要攻击韩国用户。 图1. TA505最新感染链 本文介绍与TA505相关的3个方面内容:PHP大马 ·针对特定区域的最新攻击活动; ·...
远程桌面 android,Microsoft远程桌面
weixin_39769406的博客
05-27 812
Microsoft远程桌面让你更加方便的从手机上面对Windows进行管理,相当于微软官方所出品的一款远程控制的软件,作为自己所出品的软件在Windows的远程控制上面肯定是更加的方便,更加的适合你用手机对电脑进行控制,感兴趣的话就快来下载这款Microsoft远程桌面!Microsoft远程桌面软件介绍Microsoft Remote Desktop是微软官方发布的RDP远程桌面控制工具,方便在...
Kali Linux-使用Shellter生成远控木马并进行持久化控制
吾无法无天的博客
10-20 6941
安装Shellterapt-get install shellter 打开shellter 操作模式选择A,PE Target:输入要捆绑木马的软件的目录,这里用putty做实验(必须是32位的程序): 选择是否使用隐形模式进入:选择Y 选择payload 或 custom:L PAYLOAD选择:1(反弹连接) 设置LHOST填控制者的IP LPORT填反...
远控免杀从入门到实践 (11) 终结篇
weixin_46236101的博客
03-13 4443
郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 《远控免杀从入门到实践》系列文章目录: 1、远控免杀从入门到实践 (1)基础篇 2、远控免杀从入门到实践 (2)工具总结篇 3、远控免杀从入门到实践 (3)代码篇-C/C++ 4、远控免杀从入门到实践 (4)代码篇-C# 5、远控免杀从入门到实践 (5)代码篇-Python 6、远控免杀从入门到实践 (6)代码篇-Powershell 7、远控免杀从入门到实践
[远控免杀]msf生成木马的信息储备
不忘初心,护天下安全!
08-09 1万+
1.msfvenom的命令使用 Options: -p, --payload <payload> 指定需要使用的payload(攻击荷载)。如果需要使用自定义的payload,请使用&#039;-&#039;或者stdin指定 -l, --list [module_type] 列出指定模块的所有可用资源. 模块类型包括: payloads, encoders, nops, all -n, --nopsled &l
TA505武器之隐形电子邮件窃取器
systemino的博客
05-22 1498
简介 Yoroi安全实验室发现,已有越来越多的证据在表明针对银行业的攻击行为正在加剧。许多安全研究人员在也指出过,利用电子邮件作为攻击载体的金融盗窃行动可能与黑客组织TA505有关,TA505自2014年以来一直活跃,其攻击目标主要针对零售业和银行业公司。该组织所使用的逃避技术随着时间的推移在不断发展进化,能越过某些企业的安全防御机制,渗入企业内部,例如滥用LOLBins或合法程序,以及经过加密...
利用C&C漏洞来查看恶意软件Dridex的操作流程
weixin_30487317的博客
04-20 199
利用C&C漏洞来查看恶意软件Dridex的操作流程 据了解,安全研究人员已经获取到了银行恶意软件Dridex的C&C的访问权限了。这也就意味着,安全研究人员可以了解到网络犯罪分子到底窃取了多少信息,并从中赚取了多少钱。 在今年一月份,Buguroo公司(该公司是一家威胁情报公司)的安全专家发现了一种新型的Dridex活动,而该恶意软件似乎也在不断地进化和发展之中。 在这款银行恶意...
win10的bash使用ssh连接远程服务器
热门推荐
lxfHaHaHa的博客
06-23 4万+
1. 前言微软已经在Win10一周年更新预览版中加入了Ubuntu Bash命令支持,相当于一个小型的linux系统,本来连接远程服务器的话,要使用putty啥的,现在可以用这个直接连接,我来讲讲步骤。2.步骤2.1 开启basha. 没安装Bash的用户可以按照如下方法开启,先在设置→更新和安全→针对开发人员中选择“开发人员模式”,点击后会自动下载“开发人员模式包” b. 进入控制面板→程序和功
人工智能与物联网的黑暗面:网络攻击的进化
"这篇研究论文由Nikunj Pansari和Dhruwal ...这篇论文提醒我们,面对网络攻击的不断升级,必须保持警惕,及时采取措施保护个人和组织的信息安全。随着技术的发展,网络安全领域也需要不断创新,以应对不断演变的威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值