XiaoMi-AI文件搜索系统
World File Search SystemThreat
Falcon OverWatch 托管威胁搜寻
“一周前,守望先锋联系了我,告诉我他们检测到了一些与已知服务器劫持组织有关的活动。他们的电话让我们得以介入并专门解决这一问题。守望先锋很快回复说,‘这是我们所知道的有关此事的信息。’他们的行动阻止了我们的一台服务器在黑市上被垃圾邮件发送者或其他不法分子利用。”
kpmg网络威胁情报平台
Medusa通常通过利用已知的公共资产或应用中的已知漏洞(例如Fortinet EMS SQL注入漏洞(CVE-2023-48788))获得访问权限。这允许攻击者操纵查询,执行远程代码并创建有效载荷交换的Webshell。PowerShell脚本用于运行命令,渗透数据和部署勒索软件。脚本终止服务,使用TOR链接进行数据剥落,并执行加密。持久性是通过损坏的RMM工具(例如ConnectWise,PDQDeploy和Anydesk)建立的,并且对注册表密钥进行了修改以进行启动执行。发现过程验证了合法程序以掩盖迭代局势,并通过Bitsadmin进行转移。凭据是从LSASS获得的,诸如Bitsadmin和Psexec之类的工具用于在主机之间传输恶意文件。受Safengine Shielden保护的内核驱动程序被丢弃到目标并终止安全产品,并采用了WMI等技术来删除备份。不对称的RSA加密用于编码目标文件和目录,并用.medusa或.mylock之类的扩展名更名,但不包括关键系统文件,以确保某些公用事业保持功能。
网络威胁和北约 2030:地平线扫描和......
CCDCOE 是《塔林手册 2.0》的所在地,该手册是关于国际法如何应用于网络行动的最全面指南。该中心组织了世界上规模最大、最复杂的国际实弹网络防御演习 Locked Shields,并主办了国际网络冲突会议 (CyCon),这是塔林一年一度的独特活动,汇集了全球网络防御界的主要专家和决策者。作为网络空间行动培训和教育部门负责人,CCDCOE 负责为整个北约的所有机构确定和协调网络防御行动领域的教育和培训解决方案。该中心的工作人员和资金由其成员国提供:奥地利、比利时、保加利亚、克罗地亚、捷克共和国、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、意大利、拉脱维亚、立陶宛、黑山、荷兰、挪威、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典、瑞士、土耳其、英国和美国。北约认可的卓越中心不属于北约指挥结构。
网络威胁情报咨询
Lynx勒索软件通过网络钓鱼攻击获得访问权限,以窃取凭据并获得未经授权的条目。它列举并终止与安全性,备份,数据库和系统实用程序相关的过程,以防止干扰加密。它可以通过修改其安全性描述符,确保它可以修改或加密它们,并尝试使用DeviceIocontrol删除阴影副本,从而启用“ SetakeWownersHipprivilege”控制限制文件,以防止通过系统还原点恢复。使用Windows I/O完成端口设置多线程加密过程,创建基于CPU内核的多个线程,以最大化加密速度。它使用Counter(CTR)模式中的AES-128加密文件,生成由纯文本进行Xed的键流。每个块的非CE增量以确保唯一的加密,并在完成后重命名。它列举并加密网络共享和共享文件夹中的文件,递归处理嵌套资源以确保广泛的数据加密。它将所有可用的卷都安装在可访问的驱动器字母中,以确保也加密隐藏和未分配的驱动器。,如果未支付赎金,它会在加密之前删除敏感数据,并威胁通过专用泄漏地点的公众接触。
1.22.25 CHS网络威胁听证
董事长格林(Green)董事长汤普森(Thompson),委员会成员,感谢您有机会今天作证。我的名字叫亚当·迈耶斯(Adam Meyers),我担任Crowdstrike反对派行动的高级副总裁。十多年来,我一直在监视和破坏网络威胁方面领导公司的练习区。在那个时期,尤其是最近几个月中,绝大多数关注都集中在中国人民共和国(PRC)上。1因此,我今天将重点关注来自该国的威胁,并在高层讨论其他威胁。作为美国领先的网络安全公司,CrowdStrike在网络空间中的恶意活动中具有有用且经常具有质感的有利位置。通过我们的网络安全技术,威胁情报和事件响应服务来保护组织,我们面临着各种网络威胁。我们捍卫了美国联邦政府的许多组成部分,并为主要技术公司的商业网络安全提供商,十大金融服务公司中的8家,成千上万的中小型企业以及各种关键的基础设施实体和许多外国公司。中国 - 尼克斯对手与其他国家的威胁行为者一样,都针对这些部门的每个部门。正如我在最近的证词中所指出的那样,我们在很大程度上开始了CrowdStrike,这是由于未经检查的网络威胁的日益增长的影响 - 经常与中国受到的影响 - 以及现有的安全工具无法应对这一挑战。当时,网络安全专注于防止最普遍的威胁,而不是最具影响力的威胁。在2011年,使用极其基本的策略,技术和程序(TTPS),看到中国运动跨越了数十个受害者的中国运动,持续了多年。此外,直接召集这项活动被认为是不礼貌的,甚至与一个人的经济利益背道而驰。我为我们的团队以及网络安全社区的工作感到自豪 - 在随后的几年中,我已经完成了这种看法。仍然,显然还有更多的工作要做。
地下威胁活动报告 2022 - osintme.com
去年的喧嚣始于俄罗斯与乌克兰军事冲突后的网络对抗。 两国之间的战争得到了几个威胁行为者(AgainstTheWest、NetSec、GhostSec、Kelvinsecurity、Stormous Ransomware Group 和几个核黑客组织)的加入,他们从 2022 年 3 月到 9 月针对私人组织和政府机构发动了一系列协同网络攻击,以配合冲突双方各自的盟友。(参考文献 1 和 2)
叙利亚 - 威胁策略报告 - 公共情报
叙利亚及其持续的内战代表了一种作战环境 (OE),其中包括许多说明现代战争复杂性的特征。叙利亚内战现已进入第四个年头,吸引了来自中东及其他地区的各种威胁行为者。最初是为了改善机会和人权而进行的抗议,现已演变为全面内战。当叙利亚军队和安全部队为平息全国的民间骚乱而战时,这些抗议团体在具有长期恐怖活动历史的国内外势力的帮助下,以越来越多的暴力手段作出回应。由于不适合在全国范围内展开的战斗规模,叙利亚军队向真主党和伊朗等盟友寻求帮助。这些部队的加入在许多方面将总统巴沙尔·阿萨德的军队从一支常规防御部队转变为一支反叛乱部队。
kpmg网络威胁情报平台
lumma窃取器是通过网络钓鱼电子邮件,恶意广告,剥削套件,折磨YouTube视频促进破解软件的折磨,以及最近通过伪造的Captcha页面。这些CAPTCHA页面欺骗用户单击它们,运行下载恶意软件的基本64编码的PowerShell脚本。PowerShell脚本使用了一个受信任的Windows实用程序MSHTA.EXE,下载并执行包含Lumma有效载荷的JavaScript。有效载荷是通过混淆的脚本,下载的存档文件执行的,并将恶意代码注入合法应用程序。为了逃避防病毒检测,诸如“ killing.bat”之类的脚本用于通过扫描防病毒过程来识别和禁用安全软件。在数据盗窃过程中,浏览器存储的凭据,cookie,加密货币钱包信息,2FA令牌以及带有“种子”,“ Pass”或“ Wallet”之类的关键字的文件。被盗数据通过用于C2通信的加密HTTPS连接传输到攻击者控制的服务器,通常托管在“ .shop”域或CDN上。隐形策略包括扫描VMS和调试工具,将恶意活动隐藏在背景过程中,并使用受信任的系统工具避免检测。
kpmg网络威胁情报平台
通过phpmyadmin和wordpress等Web应用程序中的漏洞来实现初始访问,并在折衷的服务器上部署ASPXSPY Web Shell以供初始控制。Web壳收集系统详细信息和地图网络,使用Mimikatz,PrintNotifyPotato,Badpotato和Godpotato等工具进行凭证收获。网络中的横向移动通过RDP利用了凭借凭证,针对其他Windows IIS服务器,部署Web壳以及安装诸如Plugx和Badiis之类的恶意软件。管理员权限被克隆到访客帐户中,以提高管理级别的高度,从而创建了诸如“ admin $”之类的隐藏式管理帐户以进行持久性,后来被删除。折衷的服务器被重新接触以验证操作状态并维护访问,重新下载Web shell和管理管理帐户。文件隐藏技术通过将Badiis放置在Kaspersky SDK等目录中,使用PDB字符串伪装并修改文件属性以逃避检测来隐藏恶意软件。插件和其他工具用于C2通信,RDP被禁用并启用,以维护访问并涵盖篡改的迹象。搜索引擎算法被操纵以提高网站排名,使用Badiis改变HTTP响应,执行SEO欺诈和代理恶意通信。