FireEye:GreedyWonk 针对性攻击直指经济和外交政策网站

最新推荐文章于 2020-09-14 20:50:13 发布
最新推荐文章于 2020-09-14 20:50:13 发布
阅读量1k 收藏
点赞数
分类专栏: APT 高级持续攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ccc7560673/article/details/21459741
版权

2月13日,FireEye 继上次的雪人行动,又发现了一个针对性攻击活动。该活动利用了一个Flash的0day漏洞CVE-2014-0502攻击三个非盈利网站的访客,其中有两个网站是专注国家安全和公共政策的网站。

中招环境:

  • Windows XP
  • Windows 7 and Java 1.6
  • Windows 7 and an out-of-date version of Microsoft Office 2007 or 2010
为了避免中招,可以将Java升级到1.7,将Microsoft Office升级到最新。

shellcode细节分析:

这个shellcode在ActionScript中下载,shellcode为GIF图像。一旦ROP(返回导向编程)技术利用 shellcode使用Windows virtualprotect功能变为可执行,通过internetopenurla和internetreadfile功能下载一个可执行文件。然后将文件写入磁盘,用CreateFileA和WriteFile函数。最后使用WinExecAPI运行程序。


提取信息:

7995a9a6a889b914e208eb924e459ebc
bf60b8d26bc0c94dda2e3471de6ec977
fd69793bd63c44bbb22f9c4d46873252
88b375e3b5c50a3e6c881bc96c926928
cd07a9e49b1f909e1bd9e39a7a6e56b4
fd69793bd63c44bbb22f9c4d46873252
88b375e3b5c50a3e6c881bc96c926928
cd07a9e49b1f909e1bd9e39a7a6e56b4

前置后门

PlugX
Poison Ivy

利用漏洞

CVE-2014-0502  

CVE-2012-0779 

CVE-2012-0507

IAimee
关注
专栏目录
SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566)
hongweibing1的专栏
11-21 1万+
详细描述 SSL3.0是已过时且不安全的协议,目前已被TLS 1.0,TLS 1.1,TLS 1.2替代,因为兼容性原因,大多数的TLS实现依然兼容SSL3.0。  为了通用性的考虑,目前多数浏览器版本都支持SSL3.0,TLS协议的握手阶段包含了版本协商步骤,一般来说,客户端和服务器端的最新的协议版本将会被使用。其在与服务器端的握手阶段进行版本协商的时候,首先提供其所支持协议的最新版
FireEye:勒索软件攻击多发生在夜间或周末
tjx11111的博客
03-19 848
FireEye最新研究统计:27%的勒索软件攻击发生在周末,而49%的工作时间是在工作日之后进行的。针对企业部门的绝大多数勒索软件攻击是在正常工作时间之外,晚上或周末进行的。 根据美国网络安全公司FireEye今天发布的报告,企业部门所有勒索软件感染中的76%发生在工作时间以外,其中49%发生在工作日的夜间,而27%发生在周末。 FireEye表示,这些数字是根据2017年至2019年数十次勒索...
FireEyeGreedyWonk行动针对经济外交政策网站
weixin_34354945的博客
02-22 100
显然,在识别APT并公开分析方面,FireEye走到了前面,比之前的Kapersky,TrendMicro, McAfee, Symantec,他们貌似走到了最最闪耀的聚光灯下。也许他们的沙箱技术大规模部署后,0day***识别源源不断吧。就在本月20日(2014年2月20日),他们又公布了一个GreedyWonk行动,利用了一个Flash的0day漏洞CVE-2014-0502给一些位于美国的经...
FireEye:中国×××组织APT10借助UPPERCUT后门向日本企业发起×××
weixin_34122604的博客
09-17 283
网络安全公司FireEye于上周发表的一篇博文中指出,其安全团队在今年7月份发现并阻止了一场由中国×××组织APT10(又称“Menupass”)发起的网络钓鱼活动,目标瞄准了日本的媒体行业。FireEye表示,其安全团队针对APT10的追踪开始于2009年,该组织在之前就曾有针对日本政府机构以及企业实施×××的历史。在此次×××活动中,由该组织发送的鱼叉式网络钓鱼电子邮件最...
FireEye:雪人行动针对美国海外战争退伍军人网站
weixin_34067980的博客
02-22 118
先说一下,FireEye上市后大举招募***高手,之前TrendMicro的Nart Villeneuve也去了FireEye,K3chang报告就是他主笔的。而最近,fireEye在识别APT方面也成绩显著。最近接连发表了2个APT***行动分析。这个是在1月份发表的,SnowMan行动。***者利用CVE-2014-0322漏洞攻陷了美国海外战争退伍军人网站,然后布下了水坑***的陷阱,在网站...
[译] APT分析报告:01.Linux系统下针对性的APT攻击概述
热门推荐
杨秀璋的专栏
09-14 1万+
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助。第一篇文章主要分享Linux系统下针对性的APT攻击及技术要点,并简单总结溯源部分APT组织的方法。
FireEye:中国黑客组织APT10借助UPPERCUT后门向日本企业发起攻击
mozhe_的博客
09-17 3973
网络安全公司FireEye于上周发表的一篇博文中指出,其安全团队在今年7月份发现并阻止了一场由中国黑客组织APT10(又称“Menupass”)发起的网络钓鱼活动,目标瞄准了日本的媒体行业。 FireEye表示,其安全团队针对APT10的追踪开始于2009年,该组织在之前就曾有针对日本政府机构以及企业实施攻击的历史。在此次攻击活动中,由该组织发送的鱼叉式网络钓鱼电子邮件最终会导致UPPERCUT...
火炬线:FireEye Labs混淆字符串求解器-自动从恶意软件中提取混淆字符串
02-24
通常,这些部分是用于配置域,文件和其他感染工件的字符串和资源。 这些关键功能不会在基本静态分析期间通常使用的strings.exe实用程序的输出中显示为纯文本。 FireEye Labs混淆字符串求解器(FLOSS)使用高级静态...
fireeye-如何防护新兴网络空间攻击
04-17
新一代威胁具有高度复杂性和隐蔽性,它们通常利用零日漏洞、高质量的工具包以及社交工程技巧来实施高级针对性攻击。这些攻击通过多阶段、多渠道的方式缓慢渗透,以躲避传统防御并定位易受攻击的系统及敏感数据。 ##...
ssh-cluster:通过SSH的FireEye Agent远程Python安装程序
04-04
SSH群集(cmds,上载器) 这很简单,执行命令并通过多个SSH / SFTP服务器上传文件。 笔记 Python3(Anaconda可以工作) 对于Windows测试,您需要安装Visual Studio Build工具(paramiko软件包需要) ...
fireye-agent-remote-installer:通过SSH的FireEye Agent远程Python安装程序
04-03
多SFTP / SSH上传器 这很简单,可以上传文件并在多个SSH / SFTP服务器上执行命令多次上传。 笔记 Python3(Anaconda可以工作) 对于Windows测试,您需要安装Visual Studio Build工具(paramiko软件包需要) ...
FireEye:Hacking Team军火库中大量运用iOS假面攻击
weixin_34123613的博客
09-01 215
在早前我们就已经发布过有关iOS假面攻击威胁的文章,你可以参考文末参考文档中[2][3][4]。到目前为止,这类攻击依旧十分流行。FireEye最近从HackingTeam军火库中发现11款iOS App使用了假面攻击,其中有一款恶意App还是针对未越狱用户的。对这些受欢迎的社交App以及聊天App进行逆向工程并加入攻击代码。其中包括WhatsAp...
Siesta行动:一起新发现的定向攻击
信息安全
03-19 985
过去几周时间里,趋势科技收到几份利用各种应用版本漏洞窃取各类组织信息的报告,与Safe行动相似,这些行动进行的非常隐蔽。并将攻击者精心策划的这起定向攻击称为Siesta行动,其目标为能源、金融、医疗保健、媒体通信及交通运输等等固定的产业。 随后fireeye对此活动展开更详细的分析,fireeye表示此活动和APT1有关联,他们发现二零一四年二月二十〇日针对客户在电信部门,利用鱼叉式网络钓鱼邮件
各种函数声明和定义模块
最新发布
09-16
各种函数声明和定义模块
湖北工业大学在河南2021-2024各专业最低录取分数及位次表.pdf
09-16
全国各大学在河北2021-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
2013 FireEye高级威胁报告:国家支持攻击深度解析
8. 针对性的垂直目标与国家分布:报告还分析了针对不同国家特定行业的攻击情况,显示了APT攻击针对性和地域差异。 9. 初始指挥与控制(C2)基础设施:地图形式呈现了APT攻击的C2中心在全球的分布,这揭示了攻击者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值