透明部落组织利用Android恶意软件瞄准游戏玩家和武器爱好者展开攻击——每周威胁情报动态第184期(07.12-07.18)
APT攻击
-
透明部落APT组织利用Android恶意软件瞄准游戏玩家和武器爱好者展开攻击
-
MuddyWater组织在最新活动中使用MuddyRot植入物替代Atera
攻击活动
-
多个加密货币平台遭遇大规模DNS劫持攻击
-
CRYSTALRAY黑客利用网络映射工具感染超过1500名受害者
数据泄露
-
Rite Aid连锁药房企业遭遇网络攻击:220万客户数据泄露
-
Atlassian确认Trello 1500万用户邮箱数据泄露
恶意软件
-
黑客更新BeaverTail恶意软件以针对MacOS用户
-
DARK GATE恶意软件使用SAMBA文件共享进行大范围传播
勒索软件
-
美国汽车服务供应链厂商CDK Global遭受勒索攻击后支付2500万美元赎金
-
网络安全厂商SOCRadar发布2024年全球勒索软件深度报告
APT攻击
透明部落APT组织利用Android恶意软件瞄准游戏玩家和武器爱好者展开攻击
网络安全公司SentinelLabs最新发现,透明部落(Transparent Tribe)这一疑似巴基斯坦国家支持的黑客组织,通过四款新型CapraRAT APK继续其间谍活动。这些应用程序伪装成视频浏览软件,目标包括移动游戏玩家、武器爱好者和TikTok粉丝,进一步扩展了其攻击范围。透明部落自2016年起活跃,主要针对印度政府和军事人员,擅长利用社会工程学手段传播间谍软件。2023年9月,SentinelLabs揭露了CapraTube活动,该活动利用模仿YouTube的应用程序进行攻击。最新的发现显示,透明部落在保持原有攻击手段的同时,更新了应用程序的兼容性和主题,以适应现代Android设备。这些新型CapraRAT APK通过WebView启动YouTube或游戏网站,如CrazyGames[.]com。尽管这些应用程序请求了多项权限,如访问GPS位置、读取联系人、录制音频和视频等,但它们并不需要所有这些权限来运行。这种权限请求策略可能引起用户的怀疑,但应用程序即便在用户拒绝权限的情况下也能继续运行。SentinelLabs的测试显示,这些应用程序在最新版本的Android设备上运行顺畅,而之前的版本在兼容性上存在问题。这表明透明部落正在努力使其间谍软件与现代操作系统兼容,以更好地适应目标用户群体。此外,这些应用程序的恶意功能通过TCHPClient类实现,该类驱动多个间谍软件类和方法,如音频流、通话记录、联系人列表、文件浏览、文件删除、照片拍摄、短信列表和接收等。这些功能使间谍软件能够对用户设备进行细粒度控制。为了提高攻击的成功率,透明部落使用了统一的C2服务器,并通过特定的端口号18582进行通信。这些服务器的IP地址和域名已被关联到透明部落的其他间谍活动。
图 1 透明部落(Transparent Tribe)组织攻击示例
参考链接:
MuddyWater组织在最新活动中使用MuddyRot植入物替代Atera
在2024年6月9日,ClearSky 通过推特披露了与MuddyWater入侵集群相关的新活动。MuddyWater是一个由伊朗情报部门MOIS(Ministry of Intelligence)支持的黑客组织,其目标主要集中在西方和中东地区。尽管目前尚未完全确认所有目标国家,但已知包括土耳其、阿塞拜疆、约旦、沙特阿拉伯和以色列。在对相关基础设施和样本HASH值进行深入分析后,ClearSky发现MuddyWater在其最新的攻击活动中改变了其感染链。与以往依赖合法的Atera远程监控和管理工具(RMM)不同,这次他们引入了一种新的、未记录的植入物,被Sekoia TDR分析团队命名为“MuddyRot”。MuddyRot是一种为x64系统设计的植入物,使用C语言开发,具备反向shell、持久性和文件下载与上传等多种功能。该植入物在执行时会进行一系列标准操作,如字符串反混淆、动态API加载和创建互斥体。所有相关字符串通过简单的减法混淆方法进行加密,以减少被检测的可能性。MuddyRot的持久性通过在系统目录中复制自身并创建名为“DocumentsManagerReporter”的计划任务来实现。为了避免被安全解决方案检测,该植入物利用 CoCreateInstance方法和Scheduled Task类对象来设置每日运行的任务。在通信方面,MuddyRot通过端口443上的原始TCP套接字与C2服务器进行通信,数据通过固定值“3”进行混淆。首次与C2通信时,植入物会发送包含主机名和用户名的受害者主机指纹。如果接收到“-1”,则程序停止;否则,植入物进入无限循环,等待C2的新命令。MuddyRot还支持反向shell功能,允许操作员通过命令ID“2”连接到受害者主机。反向shell通过创建匿名管道来处理标准输入、输出和错误流,增强了攻击者的远程命令执行能力。值得注意的是,MuddyWater组织此前曾使用PowerShell编写的第一阶段后门,如 Powerstats。近年来,他们转向使用现成的RMM工具,如Atera、Tactical RMM 或SimpleHelp。然而,最新的活动显示他们可能因安全监控的加强而重新使用自制植入物。ClearSky提供了MuddyRot的妥协指标(IOCs)和Yara规则,以帮助防御者更有效地跟踪和防御 MuddyWater的活动。MuddyWater组织的最新活动显示了其不断演变的攻击手段和对自制植入物的依赖,这可能与安全行业的监控和防御措施有关。通过使用MuddyRot植入物,MuddyWater继续展示其在网络攻击领域的适应性和创新能力。
图 2 MuddyWater组织攻击示例图
参考链接:
https://blog.sekoia.io/muddywater-replaces-atera-by-custom-muddyrot-implant-in-a-recent-campaign/
攻击活动
多个加密货币平台遭遇大规模DNS劫持攻击
近日,去中心化金融(DeFi)领域的多个加密货币平台遭遇了一波协调一致的DNS劫持攻击。这些攻击目标是使用Squarespace注册商注册的域名,攻击者通过修改域名系统(DNS)记录,将访问者重定向到托管钱包盗取程序的钓鱼网站。DNS劫持是一种网络攻击手段,攻击者通过入侵DNS服务器或目标在DNS服务提供商的账户,修改DNS记录,从而将合法网站的流量重定向到他们控制的钓鱼页面。这种攻击方式不仅威胁到用户的数据安全,还可能导致用户资产的损失。近期多个DeFi平台警告称,他们的网站域名被劫持,导致用户被重定向到钓鱼网站。这些网站利用钱包盗取程序窃取与连接钱包相关的加密货币和非同质化代币(NFTs)。所有受影响的域名都有一个共同点:它们都由Squarespace注册。Compound Finance平台也警告称,他们的主域名已被劫持,会显示了一个钓鱼页面。该平台警告用户不要访问其网站,并提供了一个安全的替代方案。同时,他们还建议任何与Compound去中心化应用(dApps)交互的用户撤销访问权限。另外,专注于区块链应用的二层扩展解决方案的Celer Network也宣布其受到了DNS劫持攻击。不过,该公司表示已拦截了这次攻击,并迅速恢复了其DNS记录。Celer在X上发表声明称他们正在进行的调查表明,攻击向量可能涉及他们无法控制的第三方。
Pendle是一个用于交易代币化未来收益的DeFi协议,也遇到了类似的问题。它建议用户立即撤销对其智能合约的批准,并清除浏览器缓存,以确保不会被重定向到其他地方。这三个平台都向用户保证,这些DNS劫持事件并没有破坏它们的协议,用户的资金是安全的。尽管如此,那些在钓鱼网站上输入了详细信息的用户需要立即采取行动以降低风险,包括撤销智能合约批准、更改密码和将资金转移到新钱包。Unstoppable Domains也报告称他们的域名被劫持,并且他们难以联系Squarespace以解决这个问题。尽管确切的原因尚未确定,但被劫持的域名最初都是在Google Domains注册的,后来在2023年作为资产购买协议的一部分被强制转移到Squarespace。自那时以来,Squarespace开始将其服务迁移到这些域名,最近被劫持的域名现在都在该公司注册。
研究人员表示,攻击者最近利用Squarespace中的一个漏洞,劫持了在其平台上托管的域名。网络安全专家仍在研究劫持攻击的确切机制,但许多从Google迁移到Squarespace的域名都受到了影响。然而,在迁移到Squarespace的过程中,多因素认证在账户上被关闭。目前尚不清楚威胁行为者是如何劫持域名的,但加密平台安全研究人员Samczsun、Taylor Monahan和Andrew Mohawk的报告表明,这可能与迁移过程中禁用多因素认证以及为与域名相关联的用户自动创建账户有关。
通过Google Domains订阅Google Workspace的客户将看到他们的服务迁移到Squarespace,Squarespace也是Workspace的转售商。研究人员认为,威胁行为者正在利用转售商访问权限和新创建的账户,创建与域名相关的新Workspace账户或租户。其他Squarespace客户也报告收到了可疑的密码重置电子邮件,这可能表明这是对SquareSpace账户的更广泛的凭证攻击。研究人员已经编制了一个由Squarespace管理的可能受到影响的加密货币和DeFi相关项目的域名列表。建议人们在情况明朗之前,与这些平台互动时保持警惕。
参考链接:
CRYSTALRAY黑客利用网络映射工具感染超过1500名受害者
近期,一个名为CRYSTALRAY的威胁行为者通过滥用开源网络映射工具,显著扩大了其攻击范围,成功感染了超过1500名受害者。Sysdig公司正在追踪这一攻击群体,并指出其活动包括“大规模扫描、利用多个漏洞以及使用多种开源软件安全工具放置后门”。CRYSTALRAY的主要攻击目标是窃取并出售登录凭据、部署加密货币矿工,并在受害者环境中保持持久性。感染主要集中在美国、中国、新加坡、俄罗斯、法国、日本和印度等地。其中,SSH-Snake是CRYSTALRAY使用的主要开源程序之一,该工具于2024年1月首次发布,被描述为利用在系统中发现的SSH私钥执行自动网络遍历的工具。
SSH-Snake的滥用行为在今年2月被网络安全公司记录在案,该工具被部署用于在已知安全漏洞的公共Apache ActiveMQ和Atlassian Confluence实例被利用后的水平移动。SSH-Snake的开发者Joshua Rogers当时告诉《黑客新闻》,该工具只是自动化了原本需要手动执行的步骤,并呼吁企业发现存在的攻击路径——并修复它们。CRYSTALRAY还使用了其他工具,包括asn、zmap、httpx和nuclei,以检查域名是否活跃,并启动对易受攻击的服务的扫描,如Apache ActiveMQ、Apache RocketMQ、Atlassian Confluence、Laravel、Metabase、Openfire、Oracle WebLogic Server和Solr。CRYSTALRAY不仅利用其初始立足点在服务器间通过SSH进行横向移动,还通过一个名为Sliver的合法命令和控制(C2)框架和一个名为Platypus的反向shell管理器,进一步扩展了其在受害者环境中的持久访问。这种策略使得CRYSTALRAY能够进行广泛的凭据发现过程,从而实现对被入侵环境的深入控制。
为了从被感染的资产中获取经济价值,CRYSTALRAY还传递了加密货币矿工有效载荷,非法使用受害者资源以获取经济利益,同时采取措施终止可能已经在机器上运行的竞争矿工。Sysdig研究员Miguel Hernández表示CRYSTALRAY能够发现并提取易受攻击系统中的凭据,然后将这些凭据在黑市上出售,价格高达数千美元。被出售的凭据涉及多种服务,包括云服务提供商和SaaS电子邮件提供商。
参考链接:
https://thehackernews.com/2024/07/crystalray-hackers-infect-over-1500.html
数据泄露
Rite Aid连锁药房企业遭遇网络攻击:220万客户数据泄露
Rite Aid是一家在美国16个州拥有超过1700家门店的大型连锁药房,最近披露了一起“有限”的网络攻击事件,该事件暴露了约220万人的敏感信息。这次攻击发生在6月,当时一名黑客冒充公司员工,窃取了商业凭证并未经授权地访问了某些商业系统。Rite Aid在12小时内发现了这一违规行为,并启动了内部调查,随后终止了未授权的访问并修复了受影响的系统。到2024年6月17日,公司确定与特定零售产品购买或尝试购买相关的某些数据被不明第三方获取。这些数据包括购买者的姓名、地址、出生日期以及在购买时出示的驾驶执照号码或其他形式的政府发行身份证件。这并不是Rite Aid第一次面临数据安全问题。该公司此前在2015年、2017年和2018年分别向加州监管机构提交了有关数据泄露的通知,并且目前正面临2023年5月发生的一起数据泄露事件的诉讼,该事件暴露了超过24000人的患者信息、出生日期、地址、处方数据、开药医生信息和有限的保险数据。最近的网络攻击是在RansomHub勒索软件行动声称攻击了该公司后被曝光的,该网络犯罪团伙声称窃取了包括客户身份证号码和Rite Aid奖励号码在内的10GB客户信息。该团伙威胁说,如果不在7月24日的截止日期前支付赎金,他们将泄露被盗数据。Rite Aid尚未回应是否会支付赎金的请求。尽管Rite Aid在上个季度报告了57亿美元的收入,但该公司仍因涉及阿片类药物危机的联邦诉讼而面临巨大的财务压力。这种压力最终导致Rite Aid在2023年10月申请破产保护。
参考链接
https://therecord.media/rite-aid-data-breach-2-million-people
Atlassian确认Trello 1500万用户邮箱数据泄露
近日,Atlassian旗下的在线项目管理工具Trello遭遇了一起严重的数据泄露事件。据BleepingComputer报道,超过1500万Trello用户的邮箱地址在黑客论坛上被公开泄露。这些邮箱地址是通过一个未加密的API在1月份被收集的,而该API允许开发者根据用户的Trello ID、用户名或邮箱地址查询公开信息。事件的始作俑者是一名自称为“emo”的威胁行为者。emo利用这个未加密的REST API,创建了一个包含5亿个邮箱地址的列表,并输入API以确定这些邮箱地址是否与Trello账户相关联。随后,emo将这些邮箱地址与返回的账户信息结合起来,形成了超过1500万用户的成员档案。这些档案不仅包含用户的邮箱地址,还可能包括用户的全名等公开信息。Atlassian公司今天向BleepingComputer确认,这些信息是通过一个在1月份被修复的Trello REST API收集的。未加密的API已经成为威胁行为者的目标,他们滥用这些API将非公开信息(如邮箱地址和电话号码)与公开资料结合起来。emo在Breached黑客论坛上以8个站点积分(价值2.32美元)分享了全部1511.5516个档案列表,这一行为不仅侵犯了用户的隐私,还可能为进一步的网络攻击埋下隐患。此类数据泄露事件并非首次发生。2021年,威胁行为者滥用API将电话号码与Facebook账户关联,创建了5.33亿用户的档案。2022年,Twitter也遭受了类似的数据泄露,威胁行为者利用未加密的API将电话号码和邮箱地址与数百万用户关联。最近,一个未加密的Twilio API被用来确认3300万Authy多因素认证应用用户的电话号码。这些事件表明,未加密API的安全性问题亟待解决。Atlassian公司呼吁所有用户加强安全防护,避免类似事件再次发生。同时,许多组织尝试通过限制访问频率而非通过API密钥认证来保护API。然而,威胁行为者通过购买数百个代理服务器并轮换连接来不断查询API,使得限制访问频率变得毫无意义。
参考链接:
恶意软件
黑客更新BeaverTail恶意软件以针对MacOS用户
近期,研究人员发现了一起由疑似朝鲜的黑客组织发起的网络攻击活动。这次攻击中,攻击者使用了一种名为BeaverTail的新型窃取软件变种,专门针对苹果macOS用户。这一发现揭示了攻击者如何利用伪装成合法应用程序的恶意软件,进行复杂的网络间谍活动。BeaverTail是一种JavaScript信息数据窃取软件,最初由Palo Alto Networks Unit 42在2023年11月发现。该恶意软件作为“Contagious Interview”攻击活动的一部分,旨在通过伪装的面试过程感染软件开发人员。网络安全公司Securonix也在跟踪同一活动,并称之为DEV#POPPER。BeaverTail不仅能够从网络浏览器和加密货币钱包中窃取敏感信息,还能传递额外的有效载荷,如InvisibleFerret,这是一个Python后门,负责下载AnyDesk以实现持久的远程访问。在这次网络攻击中,攻击者采用了一种新颖的恶意软件分发手段,他们制作了一个名为“MiroTalk.dmg”的苹果macOS磁盘映像文件,这个文件表面上看似是合法的视频通话服务MiroTalk,但实际上是一个陷阱,用于传播BeaverTail恶意软件。这种方法巧妙地利用了用户对知名品牌的信任,诱使他们在不知情的情况下下载并安装了这个伪装的应用程序。安全研究人员指出,黑客可能通过要求潜在受害者下载并执行托管在mirotalk.net上的感染版本的MiroTalk,以此接近被攻击目标并诱使他们参与所谓的招聘会议。这种新的分发方式标志着攻击者策略的转变,攻击者已经从之前通过GitHub和npm包注册表分发假冒npm包的方式,到现在利用看似合法的应用程序进行攻击。研究人员通过分析未签名的DMG文件显示,它能够从Google Chrome、Brave和Opera等网络浏览器、加密货币钱包和iCloud Keychain中窃取信息数据。此外,它还被设计为从远程服务器下载并执行额外的Python脚本(即InvisibleFerret)。这种设计使得BeaverTail不仅能够窃取当前的敏感信息,还能够在受害者的设备上执行更复杂的操作。与此同时,网络安全公司Phylum也发现了一个新的恶意npm包,名为call-blockflow,该包与合法的call-bind包几乎相同,但包含了下载远程二进制文件的复杂功能。这种攻击方式虽然call-bind包没有被破坏,但武器化的call-blockflow包复制了原始包的所有信任和合法性,以增强攻击的成功机会。该软件包被怀疑是与朝鲜有联系的Lazarus集团的作品,在上传到npm后大约一个半小时后被删除,总共吸引了18次下载。
参考链接:
https://thehackernews.com/2024/07/north-korean-hackers-update-beavertail.html
DARK GATE恶意软件使用SAMBA文件共享进行大范围传播
最近研究人员发现,攻击者通过创造性地滥用合法工具和服务,将恶意软件传播到全球范围内。其中,DarkGate远程访问木马(RAT)尤为引人关注。这款恶意软件自2018年起活跃,其复杂性和不断改进的特性使其成为网络犯罪生态系统中的一个显著威胁。DarkGate RAT使用Borland Delphi编写,以恶意软件即服务(MaaS)的模式在网络犯罪生态系统中广泛传播。其功能包括进程注入、文件下载和执行、信息窃取、命令行执行和键盘记录等。此外,DarkGate还采用了多种逃避技术,使其更难被检测和分析。2023年8月,Qakbot基础设施遭到破坏后,DarkGate攻击活动显著增加。2024年3月,DarkGate 攻击者开始利用Microsoft Excel文件发起攻击,最初针对北美地区,随后逐渐扩展到欧洲和亚洲。4月9日,单日检测到的样本数量接近2000个,达到了活动的高峰。这些攻击利用了Excel文件中的链接对象,当用户点击“打开”按钮时,恶意软件会从公开可访问的Samba/SMB共享中检索并运行VBS文件。研究人员还观察到攻击者通过Samba共享分发JavaScript文件。EXCEL_OPEN_DOCUMENT.vbs 文件包含大量与打印机驱动程序相关的垃圾代码,但其核心功能是检索并运行一个 PowerShell脚本,该脚本下载基于AutoHotKey的DarkGate软件包。报告指出,从test.txt文件中反混淆并从系统内存中运行的最终DarkGate二进制文件,以其复杂的机制避免检测和恶意软件分析而闻名。DarkGate还通过识别目标系统的CPU来采用反分析技术,这可以揭示威胁是否在虚拟环境中运行或在物理主机上运行,从而使DarkGate能够停止操作,避免在受控环境中被分析。此外,DarkGate还会分析感染系统中运行的进程,检查是否存在分析工具或虚拟化软件。尽管DarkGate使用未加密的HTTP请求与C2服务器通信,并通过Base64编码文本的方式对数据进行混淆,但其高级感染技术和对分析的抵抗能力使其成为网络安全领域的一大挑战。报告总结称,使用这种恶意软件的攻击活动展示了先进的感染技术,利用了钓鱼策略和利用公开可访问的Samba共享等方法。
参考链接:
https://securityaffairs.com/165723/malware/dark-gate-malware-uses-samba-file-shares.html
勒索软件
美国汽车服务供应链厂商CDK Global遭受勒索攻击后支付2500万美元赎金
CDK Global公司总部位于美国德克萨斯州奥斯汀,是全球知名的汽车零售技术和软件解决方案提供商。公司致力于为汽车、重型卡车、娱乐和重型设备行业提供全面的零售技术和软件解决方案,包括经销商管理系统(DMS)、客户关系管理(CRM)、在线营销工具、服务和零部件管理等。这些服务帮助客户实现业务增长和运营效率的提升,客户群体包括汽车经销商、制造商和金融服务公司等,服务覆盖北美、欧洲和亚洲等多个地区。2024年6月,CDK Global公司遭遇了一场前所未有的网络攻击,导致其公司服务器在两周内无法使用。这场攻击被广泛认为是勒索软件感染的结果,严重影响了公司的正常运营。攻击发生后,CDK Global不得不关闭大部分系统,以防止进一步的损失。此次攻击影响了多达15000家汽车经销商,包括Asbury、AutoNation、Group 1、Lithia和Sonic等连锁企业,导致销售和注册在一些州无法进行,造成了巨大的业务中断和经济损失。据报道,此次网络攻击的幕后黑手是BlackSuit勒索软件团伙,该团伙疑似曾是俄罗斯链接的黑客组织RoyalLocker的一部分。BlackSuit勒索软件团伙侵入公司网络后,会偷窃公司数据,同时悄然将勒索软件部署到其他设备。一旦威胁行为者窃取了所有数据,并获得管理权限,他们会对网络上的所有设备进行加密,并留下勒索说明,告知如何联系黑客。加密的设备和被窃取的数据将用于双重勒索计划。面对这场网络攻击,CDK Global不得不支付了大约387个比特币(当时相当于约2500万美元)作为赎金,支付对象是BlackSuit勒索软件相关的黑客。支付完成后一周,CDK Global表示将汽车经销商重新上线到其软件平台。尽管CDK Global未公开确认支付赎金,但其客户已基本恢复在线服务。此次攻击对美国汽车经销商造成了重大影响。据《底特律自由报》报道,根据Anderson Economic Group的估计,此次攻击导致美国汽车经销商的总损失超过10亿美元。CDK Global的系统中断不仅影响了汽车销售,还影响了维修和零部件管理等业务,导致经销商不得不重新采用传统的纸质记录方式进行日常运营。在攻击发生后,CDK Global开始了逐步恢复服务的过程。6月22日,CDK开始恢复部分系统,并预计需要“几天时间”完成整个恢复过程。6月24日,CDK表示已经成功将一小部分经销商重新接入系统,并计划逐步扩大恢复范围。7月1日,CDK宣布计划在7月4日前恢复所有经销商的服务。7月4日,所有使用CDK系统的汽车经销商预计重新上线。此次CDK Global的网络攻击事件不仅凸显了汽车行业在网络安全方面面临的挑战,也对整个行业的运营造成了深远的影响。尽管CDK Global通过支付赎金恢复了服务,但此次事件对公司和其客户的财务和运营都产生了重大影响。
参考链接:
网络安全厂商SOCRadar发布2024年全球勒索软件深度报告
在2024年这个充满挑战的一年中,勒索软件继续成为全球组织的主要威胁。为了更好地理解这一威胁并采取必要的预防措施,网络安全厂商SOCRadar发布了的“2024年全球勒索软件深度分析报告”。该报告深入分析了2023年至2024年上半年的勒索软件攻击事件,揭示了这些攻击的广泛影响和深远后果。勒索软件攻击不仅对单个组织构成威胁,更对全球网络安全构成了前所未有的挑战。SOCRadar的分析报告通过详细分析高知名度的勒索软件事件,揭示了这些攻击背后的主要威胁行为者和他们的战术、技术和程序。研究人员发现,暗网论坛充斥着勒索软件的新闻,组织难以跟踪这些来源。为此,SOCRadar通过提供免费情报,帮助组织更深入地了解网络安全世界,并准备好应对这些威胁。分析报告中特别指出,尽管勒索软件攻击是一个全球性问题,但一些国家比其他国家更受攻击者的青睐。SOCRadar的勒索软件情报分析帮助大家获得有用的洞察力,揭示了哪些国家最受攻击者欢迎,并识别了负责这些攻击的威胁行为者。此外,报告还包括基于行业的分析,提供不同行业如何受到勒索软件影响的见解,帮助大家采取必要的步骤来保护自己免受针对其行业的最普遍威胁行为者的攻击。SOCRadar通过对暗网监控能力使他们能够提供对最活跃勒索软件组织的深入分析,研究了攻击者的战术、技术和程序。这次的全球勒索软件报告不仅提供了对勒索软件新闻的详细分析,还突出了塑造网络安全格局的关键事件等。
参考链接:
往期推荐
LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期(2.23-2.29)
GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期(2.9-2.22)
新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期(02.02-02.07)
