首頁 > 技術支持 > 升級公告 > 每周升級公告

每周升級公告-2023-04-11

發布時間 2023-04-11

新增事件

 

事件名稱:

DNS_命令控制_木馬后門_FIN7_連接C2服務器

安全類型:

木馬后門

事件描述:

檢測到APT組織FIN7攻擊行為。FIN7是一個以經濟收益為動機的威脅組織,FIN7組織以釣魚郵件為攻擊渠道,主要對美國金融機構滲透攻擊。據稱已經從世界各地的公司竊取了超過10億美元。FIN7使用精密的魚叉式網絡釣魚郵箱,來說服目標對象下載附件,然后透過附件,讓其公司網絡遭到惡意軟件的感染。在FIN7使用的惡意軟件中,最常見的是Carbanak惡意軟件的特制版本,已在針對銀行的多次攻擊中使用。

更新時間:

20230411

 

事件名稱:

DNS_命令控制_木馬后門_TransparentTribe_連接C2服務器

安全類型:

木馬后門

事件描述:

檢測到APT組織TransparentTribe攻擊行為。TransparentTribe APT組織,又稱ProjectM、C-Major,是一個來自巴基斯坦的APT攻擊組織,主要攻擊手段是通過魚叉式釣魚郵件對印度政府、軍事、金融等目標發起攻擊。該組織的活動最早可以追溯到2012年并在2016年3月首先被proofpoint公司披露。

更新時間:

20230411

 

事件名稱:

DNS_木馬病毒_麻辣香鍋_惡意域名請求

安全類型:

木馬后門

事件描述:

麻辣香鍋是一款鎖定劫持瀏覽器主頁的病毒,主頁通過某些激活工具官網下載的激活工具傳播,如暴風激活、KMS、小馬激活。該病毒鎖定首頁后,會禁止瀏覽器自行改回原有的首頁,并且會刪除安全軟件進程回調躲避查殺。除此之外,還可以通過本地的升級程序不斷更新。在病毒下載頁面中,頁面文字會惡意誘導用戶“請務必先退出360、騰訊管家、Win10防護等殺毒軟件,再去下載激活”,通過此方式躲避安全軟件查殺。激活工具等灰色軟件捆綁病毒、流氓軟件進行傳播早已是行業的亂象。因此,請謹慎下載安裝各類激活工具。

更新時間:

20230411

 

事件名稱:

DNS_木馬_DarkShell.DDoS/Togapy_C2域名解析請求

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。DarkShell是一個分布式拒絕服務攻擊工具,抓取大量肉雞,可以對指定目標主機發起DDos攻擊,即分布式拒絕服務攻擊。遠程攻擊者可能已經控制了內網中的某些主機并把它做為攻擊機器。該事件表明源IP主機感染了DarkShell/Togapy木馬,正在請求解析C&C域名然后進行連接。

更新時間:

20230411

 

事件名稱:

DNS_木馬_Kryptik遠控木馬_C2域名解析請求

安全類型:

木馬后門

事件描述:

Kryptik遠控木馬也稱為 Krypt、Cryptic、Crypt。Kryptik遠控木馬可以竊取各種應用程序和服務的電子郵件地址、剪貼板數據、用戶名和密碼等信息,此外,Kryptik 可以竊取數字證書和相關密碼、訪問網站的 URL、POP3 和 IMAP帳戶信息、計算機名稱和用戶名、操作系統版本以及 Outlook Express帳戶數據,還可以捕獲屏幕截圖、記錄擊鍵、關閉或重新啟動受感染的計算機并在其上運行可執行文件。

該事件表明源IP主機感染了Kryptik遠控木馬,正在請求解析C&C域名然后進行連接。

更新時間:

20230411

 

事件名稱:

DNS_命令控制_木馬后門_SilverTerrier_連接C2服務器

安全類型:

木馬后門

事件描述:

檢測到APT組織SilverTerrier攻擊行為。SilverTerrier是一個尼日利亞威脅組織,自2014年以來一直活躍,通過企業電子郵件攻擊(BEC)瞄準全球數千個組織。SilverTerrier主要針對高科技、高等教育和制造業的組織。

更新時間:

20230411

 

事件名稱:

DNS_命令控制_木馬后門_Turla_連接C2服務器

安全類型:

木馬后門

事件描述:

檢測到APT組織Turla攻擊行為。Turla,也被稱為 Snake,Venomous Bear、WhiteBear 、Waterbug、Uroboros 等,是一個具有俄羅斯政府背景的 APT 組織。根據關聯 Turla 使用攻擊組件推測該組織最早活動時間約為2004年,2015年年中開始,其活動頻次明顯加劇。自活動至今,Turla 組織發起的攻擊活動中的受害者涉及地域已超過45個國家,其攻擊目標包括政府機構、大使館、國際組織、軍隊、高等教育機構、科研機構、制藥公司等等。其最終攻擊目的為情報刺探,通過一系列網絡間諜活動竊取目標單位敏感情報信息。

更新時間:

20230411

 

修改事件

 

事件名稱:

HTTP_安全風險_可疑行為_wget_curl下載可疑文件并執行

安全類型:

可疑行為

事件描述:

檢測到源IP主機正在向目的IP主機發送可疑命令,嘗試控制目的IP主機下載可疑文件并執行。

更新時間:

20230411

上一篇 下一篇