₿uyer ₿eware: Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware
在过去的几个月里,Volexity 观察到了与其追踪的朝鲜威胁行为者有关的新活动,该威胁行为者被广泛称为 Lazarus Group。这项活动特别涉及一项活动,该活动可能通过恶意 Microsoft Office 文档使用 AppleJeus 恶意软件的变种针对加密货币用户和组织。Volexity 对此次活动的分析发现了一个以加密货币为主题的实时网站,其内容是从另一个合法网站窃取的。对已部署的 AppleJeus 恶意软件的进一步技术分析发现了一种新的 DLL 侧载变种,Volexity 以前从未在野外记录过这种变种。本博客概述了 Lazarus Group 使用的新技术,分析了最近的 App
Storm Cloud on the Horizon: GIMMICK Malware Strikes at macOS
2021 年末,Volexity 在其网络安全监控服务所监控的环境中发现了入侵行为。Volexity 检测到一个运行 frp(也称为快速反向代理)的系统,随后不久又检测到内部端口扫描。此流量被确定为未经授权,系统(运行 macOS 11.6(Big Sur)的 MacBook Pro)被隔离以进行进一步取证分析。Volexity 能够运行 Surge Collect 来获取系统内存 (RAM) 并从机器中选择感兴趣的文件进行分析。这导致发现了 Volexity 称为 GIMMICK 的恶意软件植入的 macOS 变体。Volexity 之前曾多次遇到过该恶意软件家族的 Windows 版本。G
Dark Halo Leverages SolarWinds Compromise to Breach Organizations
Volexity 正在发布与影响 SolarWinds Orion 软件平台客户的入侵相关的更多研究和指标。Volexity 还发布了一份指南,用于应对 SolarWinds 漏洞以及如何检测、预防和补救此供应链攻击。2020 年 12 月 13 日星期日,FireEye 发布了一篇博客,详细介绍了对 SolarWinds 公司的入侵。此次入侵涉及通过 SolarWind 的 Orion 软件产品更新分发后门。FireEye 将此活动归咎于其跟踪为 UNC2452 的未知威胁行为者。Volexity 随后将这些攻击与其在 2019 年末和 2020 年为一家美国智库开展的多起事件联系起来。Vo
OceanLotus: Extending Cyber Espionage Operations Through Fake Websites
自从 Volexity 在 2017 年发现 OceanLotus 是复杂的大规模数字监控活动的幕后黑手以来,该威胁组织一直在不断发展。2019 年,Volexity 在 RSA 大会上发表了演讲,介绍了越南威胁行为者 OceanLotus 的各种行动的历史和最新情况。值得注意的是,演讲中透露,多年来,OceanLotus 建立并运营了多个活动、新闻和反腐败网站。乍一看,这些网站似乎是被入侵的真实网站。这些假冒网站合法得令人信服,让 OceanLotus 可以完全控制对网站访问者的跟踪和攻击。这些网站中最受欢迎的网站甚至有一个相应的 Facebook 页面,拥有超过 20,000 名粉丝。演讲
