木曜日威胁情报:也门互联网争夺战/SamSam/污水/CAD

释放双眼,带上耳机,听听看~!

有用就推荐给身边的朋友关注一下吧,在此谢过

情报简讯

一、

正在进行的也门内战期间,内部与外部势力,正在通过互联网控制与其他网络手段发动二次战争


也门内战,导致的外部与内部势力均开展互联网的抢夺之战,方法包括流量监控,恶意软件下发等等

包括美国,俄罗斯和*国在内的主要国际参与者正在利用恶意软件,军事活动,政治投资来进一步扩大他们对沙特 – 伊朗地区冲突的兴趣,以争取也门境内的霸权。

下面这幅图详细说明了一切

相关链接:

https://www.recordedfuture.com/yemen-internet-activity/



二、SamSam勒索软件作者为两个伊朗人

        与大多数勒索软件感染不同,SamSam并未通过垃圾邮件活动以无计划的方式分发。相反,攻击者手动选择潜在目标和受感染系统。    攻击者首先通过攻击暴力攻击或使用窃取的凭据来破坏目标系统上的RDP,然后尝试通过利用其他系统中的漏洞在整个网络中策略性地部署SamSam。    一旦进入整个网络,SamSam就会加密系统的数据,并要求比特币支付巨额赎金(通常超过50,000美元,远高于正常水平)以换取解密密钥。    自2015年12月以来,SamSam一直专注于一些大型组织,包括亚特兰大市政府,科罗拉多州交通局,几家医院和密西西比河谷州立大学等教育机构。

相关链接:
https://www.justice.gov/opa/pr/two-iranian-men-indicted-deploying-ransomware-extort-hospitals-municipalities-and-public



三、

MuddyWater系列攻击,本次针对黎巴嫩和阿曼

手法与以往有所不同,最新使用的是,下面步骤之间都存在去C2下载代码并执行,因此一个失效,其他都不管用。

恶意宏 -> vbs -> 带混淆的javascript -> 执行powershell命令解混淆 ->

执行powershell后门 POWERSTATS(muddywater专属马)

其他的都基于社工去做,类似如下

相关链接:

https://www.clearskysec.com/muddywater-operations-in-lebanon-and-oman/



四、

通过提供在启动AutoCAD或打开项目时自动执行基于LISP的自定义脚本的方法,从而可以执行恶意脚本。此功能可以被认为类似于Office宏。打开会有提示,但社工即可

近期的恶意CAD项目名如下

acad.fas,slb.fas,tf.fas,acad.fas,acaddoc.fas

恶意LISP脚本大致如下

相关链接:

https://www.forcepoint.com/blog/security-labs/autocad-malware-computer-aided-theft


近期国内优秀公众号文章

一、这文章好好看了一下,很全面,数据分析还是关键,笑到最后的一定还是玩大数据分析的。

美国情报体系(I.C.)资本培育下的产业发展分析

再配合这篇阅读,介绍了Treasure Map的背景与模式,理念

探寻信息藏宝图,揭秘美国情报分析方法

二、

蔓灵花(BITTER)APT组织使用InPage软件漏洞针对巴基斯坦的攻击及团伙关联分析

三、

针对智利商业公司的银行木马攻击活动 | 微步在线报告

四、

针对马拉维(Malawi)国民银行的网络攻击样本分析报告

我还能再吹一年,扫码加入吧

空荡荡招聘位

本文源自微信公众号:黑鸟

人已赞赏
安全工具

Outlaw 黑客组织& VT 下证书类规则方法

2019-10-16 10:11:46

安全工具

月曜日威胁情报:重大攻击活动年度总结+爆破组织butter+?

2019-10-16 10:11:52

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索