研究报告


➢  响尾蛇APT组织针对巴基斯坦的定向攻击事件分析

安天CERT近期发现响尾蛇(SideWinder)APT组织针对巴基斯坦进行的鱼叉式钓鱼邮件攻击事件,该组织近两年比较活跃,擅长使用Nday漏洞、PowerShell、代码混淆技术以及利用开源武器代码。据安全厂商公开资料和地缘关系分析来看,该组织很可能来自南亚某国,目前未发现相关活动与白象等相关威胁行为体的关联,但不排除是同一攻击背景来源方向或新的攻击组织或分支小组。更多

➢  安天针对Cisco RV320、RV325未经授权的远程代码执行漏洞的分析及建议

安天对RedTeam Pentesting GmbH公司披露的影响Cisco路由器安全的漏洞进行了验证,并给出了防护建议。更多

➢  Windows 10 IoT Core远程命令执行漏洞验证及建议

近日,安天微电子与嵌入式安全研发部(安天微嵌)针对SafeBreach[1]公司披露的Windows IoT[2]操作系统的安全漏洞进行了详细分析和验证。攻击者利用该漏洞可实现对目标设备的完全控制,如远程命令执行、文件上传/下载等。对此,安天微嵌成立了分析小组,分析验证了SafeBreach公司在GitHub中公布的该漏洞的原理及POC,对该漏洞的影响范围进行了确认,并针对不同应用场景给出了相应的防护建议。更多

➢  海莲花组织针对中国APT攻击的最新样本分析

安天CERT对最新捕获的多例针对中国用户的恶意宏文档攻击样本进行分析,认为这些攻击活动是海莲花APT组织所为。更多

➢  国际黑产组织针对部分东亚国家金融从业者攻击活动的报告

安天CERT对近期通过钓鱼邮件传播FlawedAmmyy远控木马的攻击活动进行分析,认为攻击活动发起方可能为全球的黑产组织TA505。    更多

➢  委内瑞拉大规模停电事件的初步分析与思考启示

安天研究院与广东省电力系统网络安全企业重点实验室对委内瑞拉大规模停电事件进行了联合分析研判。更多

➢  针对马拉维(MALAWI)国民银行的网络攻击样本分析报告

近日,安天CERT(安全研究与应急处理中心)在梳理安全事件时发现几起针对马拉维国民银行(National Bank of Malawi)的钓鱼邮件攻击事件。针对具体的金融行业安全防护场景,钓鱼邮件攻击相较于高级网空行为体的威胁来说,是一种高危害但相对浅层次的威胁,力量单薄,属于较低水平的攻击,依托基础结构安全和纵深防御即能够有效地遏制和防御。更多

➢  收到“来自自己”的敲诈邮件,请不要恐慌

诈骗者通过构造邮件信头数据,让邮件用户收到一封“来自自己的邮件”,以此让用户相信自己的邮箱被入侵,来欺骗、恐吓受骗者主动向其指定比特币账户汇款,请大家提高警惕,不要汇款,以防上当。更多

➢  “绿斑”行动——持续多年的攻击

“绿斑”组织的攻击以互联网暴露目标和资产为攻击入口,采用社工邮件结合漏洞进行攻击,其活跃周期可能长达十年以上。更多

➢  安天发布针对工控恶意代码TRISIS的技术分析

TRISIS是一种攻击工业网络安全仪表系统(SIS)控制器的恶意代码,基于对施耐德的Tricon安全仪表系统处理过程及环境的具体细节深度了解,修改和部署新的PLC梯形图,以对目标产生符合攻击者预设的影响。更多

➢  警惕通过垃圾邮件传播的FlawedAmmyy远控木马

近日,安天CERT(安全研究与应急处理中心)在梳理网络安全事件时发现一种新型远程访问木马。该木马(Trojan/Win32.RA-based)属于“FlawedAmmyy”家族,系远控软件Ammyy Admin V3泄漏源代码的修改版本。根据安天研究人员分析,其可允许......更多

➢  2017网络安全威胁的回顾与展望

建立有效的敌情想定必须对“敌情”进行全方位了解,本文以此为视角对2017年重大的网络安全威胁进行回顾和盘点,并提出以下思考和观点......更多

➢  警惕AgentTesla商业键盘记录器新型变种

近日,安天CERT(安全研究与应急处理中心)发现了Agent Tesla商业键盘记录器的新型变种。Agent Tesla原本只是个简单的键盘记录器,记录用户的每一次按键并回传至攻击者服务器。自2014年发展至今,Agent Tesla的开发者为其添加了更多的功能......更多

➢  “挖矿”恶意代码肆虐,安天智甲有效防护

随着虚拟货币被疯狂炒作,伴随而来的是疯狂的“挖矿”行为。“挖矿”方式有两种:一种是solo式(直接连入中心网络工作),产出收益均归自己所有;另一种是连入矿池,收益与矿池分成。由于连入矿池的技术难度较低并且收益相对稳定,所以恶意......更多

➢  安天智甲有效防御ATM恶意代码Prilex

安天在梳理网络安全事件时注意到针对ATM自动取款机的恶意代码家族Trojan/Win32.Prilex,其最初在2017年10月被披露用于针对拉丁美洲葡萄牙语系ATM的攻击活动。通过对Prilex分析发现,恶意代码使用Visual Basic 6.0(VB6)编写......更多