近日, NetScout Asert公开了STOLEN PENCIL APT组织,该组织可能来自于朝鲜。主要攻击目标为学术界,许多大学的受害者都拥有生物医生工程专业知识。攻击手法为发送鱼叉式网络钓鱼邮件,并将其引导至显示诱饵文档的网站,并立即提示安装Google Chrome扩展程序,其目的可能是盗取cookie和密码,一旦在用户系统上获取了立足点。会使用微软的远程桌面协议(RDP)进行远程访问。在研究过程中也发现了一个ZIP文件,里面包含PsExec和Mimikats等攻击程序。
威胁来源:https://asert.arbornetworks.com/stolen-pencil-campaign-targets-academia/
近日, Windows Defender研究发现APT29针对包括公共部门机构和研究中新等非政府组织,但也包括石油和天然气。鱼叉钓鱼邮件会包含指向合法但受到攻击的第三方网站的连接,连接会下载一个ZIP包,里面包含一个lnk文件,会执行混淆的Powershell命令,会解码运行同在ZIP包中的Cobalt Strike的一个实例
威胁来源:
https://cloudblogs.microsoft.com/microsoftsecure/2018/12/03/analysis-of-cyberattack-on-u-s-think-tanks-non-profits-public-sector-by-unidentified-attackers/
近期,360威胁情报中心发现Flash 0day CVE-2018-15982漏洞配合微软Office Word文档发起的APT攻击案例,攻击目标指向俄罗斯总统办公室的医疗机构,整个漏洞攻击过程非常巧妙,将Flash 0day 漏洞利用文件插入到Word诱饵文档中,并将诱饵文档和一个图片格式的压缩包发送给攻击目标。通过分析,此次释放的木马程序为Hacking Team 2015年释放的远程控制软件的升级版。
威胁来源:http://blogs.360.cn/post/PoisonNeedles_CVE-2018-15982.html
京公网安备 11010802024705号 京ICP备20030588号 Copyright © 兰云科技 www.lanysec.com 版权所有
