针对工控系统的TRITON入侵活动由俄罗斯研究所支持 ||朝鲜Lazarus组织Battle Cruiser活动再度来袭

释放双眼,带上耳机,听听看~!

路过大佬点个关注,就差几个人了

一、针对工控系统的TRITON入侵活动为俄罗斯实验室所支持

TRITON,是针对工业控制系统(ICS)的恶意软件系列之一。火眼将这一系列活动称为TEMP.Veles。

火眼很自信的认为,部署TRITON的入侵活动得到了位于莫斯科的俄罗斯政府所有技术研究机构中央化学与力学科学研究所(CNIIHM;又名ЦНИИХМ)的支持。

小声:为毛是化学和力学

关联如下:

首先火眼锁定了一个TEMP.Veles活动的恶意软件测试环境(手段你懂的)

上面有各种绕过杀软的测试手段,包括横向移动,测试多个开源框架例如msf,cs,ps等。

然后根据这个测试环境,发现与CHIIHM有关,也就是俄罗斯研究所。

维度如下:

1、测试文件中包含的PDB路径包含一个看似唯一句柄或用户名的字符串。

至少从2011年起,这个绰号与活跃在俄罗斯信息安全社区的俄罗斯人有关。

2、这个句柄被认为是对俄语版Hacker Magazine(хакер)的漏洞研究贡献。3、根据现已删除的社交媒体简介,有一个人是CNIIHM的教授,该教授位于莫斯科Nagatino-Sadvoniki区的Nagatinskaya街附近。

4、使用俄罗斯社交网络上的句柄的另一个配置文件,当前在配置文件的整个历史中显示了莫斯科附近的用户的多张照片。

5、疑似TEMP.Veles事件包括源自  87.245.143.140  的恶意活动,该活动已在CNIIHM注册。

6、该IP地址已被用于监控TRITON的开源覆盖范围,提高了TEMP.Veles相关活动中来自该网络的未知主体的兴趣概率。

7、它还对TEMP.Veles感兴趣的目标进行了网络侦察。

8、IP地址与支持TRITON入侵的其他恶意活动有关。

9、多个文件具有西里尔文名称和工件。

还有一点就是,TRITON的行动时间与莫斯科的时区一致。

相关链接:

https://www.fireeye.com/blog/threat-research/2018/10/triton-attribution-russian-government-owned-lab-most-likely-built-tools.html

TRITON分析

https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html

真的是卡巴发完NSA,火眼就要来咬一波,看戏。

二、朝鲜Lazarus组织Battle Cruiser活动再度来袭

上次该活动的报道在4月

http://blog.alyac.co.kr/1625

http://blog.alyac.co.kr/1653

本次钓鱼文档中文档文件的作者标记为“Subdued”,最后保存的用户为“user”。

Flydashi.com/wp-content/plugins/akism1.PGI

Flydashi.com/wp-content/plugins/akism2.PGI

最新的该活动中的代码仍然会使用’battle32.dll’和’battle64.dll’作为内部文件名

*dJU!*JE&!M@UNQ@    该串仍在使用

IOC见相关链接:

http://blog.alyac.co.kr/1945

韩国情报平台:

https://www.threatinside.com/about

三、

一起针对波兰的APT攻击事件,与greyenergy相关,11882的钓鱼文档

SHA1: E05012F661B75693C75932771752467EB79A1F72
SHA1: 12A7C39232C251E0A9649FC4862A35CD63BB81C9
SHA1: D5AC50D38F8B98DECDA52FB8FCF85A576B0494C7
SHA1: 30AF51F1F7CB9A9A46DF3ABFFB6AE3E39935D82C
SHA1: 6F7CBB6DF73E1DD4FDEB35F464595060119098C0

c2

148.251.8.54

217.12.204.100

相关链接

http://malware.prevenity.com/2018/10/greyenergy-w-polsce.html

四、

来自微信外挂的安全风险

主要是ios某款用来进行微信防撤回的插件在本地127.0.0.1监听了52700端口作为 web 服务器

可能会被用于 DNS Rebind攻击,成功后,攻击者可以拿到该用户的好友列表,聊天记录,以该用户的身份给好友发送消息。

相关链接:

https://xlab.tencent.com/cn/2018/10/23/weixin-cheater-risks/

附存在问题的插件:
https://github.com/TKkk-iOSer/WeChatPlugin-MacOS
https://github.com/Sunnyyoung/WeChatTweak-macOS

本文源自微信公众号:黑鸟

人已赞赏
安全工具

月曜日威胁情报:重大攻击活动年度总结+爆破组织butter+?

2019-10-16 10:11:52

安全工具

两个poc简介和一个安卓木马家族Asacub分析报告

2019-10-16 10:11:57

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索