APT活动:在野提权0day用于APT攻击,针对俄罗斯石油公司,bigbang归属,疑似Lazarus活动,cobalt新活动

释放双眼,带上耳机,听听看~!


在野提权0day被多个组织用于APT攻击

Windows内核事务管理器中的本地提权0day漏洞(CVE-2018-8611)

        CVE-2018-8611是内核事务管理器驱动程序中的漏洞。它还可用于在现代Web浏览器(包括Chrome和Edge)中转义沙箱,因为系统调用过滤缓解不适用于ntoskrnl.exe系统调用。

        就像CVE-2018-8589一样,相信这个漏洞被几个APT组织使用,包括但不限于FruityArmor和SandCat。虽然众所周知FruityArmor曾使用过0day,但SandCat是卡巴最近才发现的新APT。除了这个0day和CHAINSHOT之外,SandCat还使用了FinFisher/FinSpy框架。

        CVE-2018-8611是由于在内核模式下对事务处理文件操作的处理不当而在内核事务管理器中出现的竞争条件。

相关链接:

https://securelist.com/zero-day-in-windows-kernel-transaction-manager-cve-2018-8611/89253/

bigbang实际为APT-C-23的一次活动

对应这篇   一个针对巴勒斯坦地区进行攻击的APT组织最新活动和相关性分析

之前我分析的时候也没看出属于哪个组织,现在他们主动曝了

针对中东用户,特别是巴勒斯坦国用户的APT-C-23小组于2013年初在一个中文博客文章中被360命名并首次报道。其活动自此以后一直由许多安全厂商,包括Palo Alto和Cisco Talos。

Check Point 报道了该集团在今年夏天再次发起的攻击,而  Check Point研究员Aseel Kayal 在蒙特利尔的VB2018上发表了关于该活动的最后一分钟报道。

在她的演讲中,她解释了小组的作案手法及其参考各种电视节目的习惯,包括美国情景喜剧“大爆炸理论”。而且,本着我们希望在会议上鼓励的行业合作精神,她还将其他供应商关于这个威胁行为者的报告中的各个点联系起来。

会议视频链接:

相关链接:

1、https://research.checkpoint.com/apt-attack-middle-east-big-bang/

2、https://blog.talosintelligence.com/2017/06/palestine-delphi.html

3、https://researchcenter.paloaltonetworks.com/2017/04/unit42-targeted-attacks-middle-east-using-kasperagent-micropsia/

4、http://blogs.360.cn/post/双尾蝎组织(apt-c-23)伸向巴以两国的毒针.html

针对俄罗斯石油公司Rosneft的攻击,持续三年之久

        攻击者使用宏进行钓鱼。并利用Cloudflare获取免费的批量SSL证书,这无意中暴露了许多域。他们投入大量时间和精力来密切模仿合法域名,并不断改变他们的目标。在域名过期后,他们偶尔也会注册合法域名。

        该组织严重依赖立陶宛提供商“vpsnet.lt”,这可能是因为每个虚拟专用服务器(VPS)只需要每月几欧元的低成本开销。

        在进行了一些恶意软件挖掘之后,Cylance发现攻击活动已经进行了三年多,对除了他/她的目标之外使用的实际恶意软件几乎没有变化。有趣的是,其中发现的证据表明,攻击者开始瞄准游戏社区,特别是Steam的用户,然后迅速发展为更有利可图的目标,也就是现在的石油公司。

从针对俄罗斯公司的调查显示,groupIB的安全总监曾发表过文章生成有攻击者针对俄罗斯的石油公司网站进行克隆伪造从而进行攻击的事实,因此怀疑与其有关。

http://www.forbes.ru/biznes/342465-ataka-klonov-kak-ustroena-moshennicheskaya-shema-s-feykovymi-saytami

相关链接:https://threatvector.cylance.com/en_us/home/poking-the-bear-three-year-campaign-targets-russian-critical-infrastructure.html

#攻击活动# 针对巴西用户攻击活动的两部分分析报告

一、针对巴西互联网用户的最新感染和欺诈策略,技术和程序(TTP)

https://securityintelligence.com/easy-does-it-a-timely-look-into-fraud-ttps-in-the-brazilian-financial-cybercrime-landscape/

二、巴西金融网络犯罪分子使用的流行木马分析

https://securityintelligence.com/the-simpler-the-better-looking-deeper-into-the-malware-used-in-brazilian-financial-cybercrime/

疑似Lazarus活动和cobalt新活动见知识星球,发的是PDF版本

更多精彩,尽在知识星球

本文源自微信公众号:黑鸟

人已赞赏
安全工具

加拿大警察欲抓捕著名远控Orcus作者,下一个会是你吗

2019-10-16 10:43:04

安全工具

一个想让你承认是Gay的“勒索版”远控木马Swamp分析

2019-10-16 10:43:09

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索