每周升级公告-2023-04-11
发布时间 2023-04-11新增事件
事件名称: | DNS_命令控制_木马后门_FIN7_连接C2服务器 |
安全类型: | 木马后门 |
事件描述: | 检测到APT组织FIN7攻击行为。FIN7是一个以经济收益为动机的威胁组织,FIN7组织以钓鱼邮件为攻击渠道,主要对美国金融机构渗透攻击。据称已经从世界各地的公司窃取了超过10亿美元。FIN7使用精密的鱼叉式网络钓鱼邮箱,来说服目标对象下载附件,然后透过附件,让其公司网络遭到恶意软件的感染。在FIN7使用的恶意软件中,最常见的是Carbanak恶意软件的特制版本,已在针对银行的多次攻击中使用。 |
更新时间: | 20230411 |
事件名称: | DNS_命令控制_木马后门_TransparentTribe_连接C2服务器 |
安全类型: | 木马后门 |
事件描述: | 检测到APT组织TransparentTribe攻击行为。TransparentTribe APT组织,又称ProjectM、C-Major,是一个来自巴基斯坦的APT攻击组织,主要攻击手段是通过鱼叉式钓鱼邮件对印度政府、军事、金融等目标发起攻击。该组织的活动最早可以追溯到2012年并在2016年3月首先被proofpoint公司披露。 |
更新时间: | 20230411 |
事件名称: | DNS_木马病毒_麻辣香锅_恶意域名请求 |
安全类型: | 木马后门 |
事件描述: | 麻辣香锅是一款锁定劫持浏览器主页的病毒,主页通过某些激活工具官网下载的激活工具传播,如暴风激活、KMS、小马激活。该病毒锁定首页后,会禁止浏览器自行改回原有的首页,并且会删除安全软件进程回调躲避查杀。除此之外,还可以通过本地的升级程序不断更新。在病毒下载页面中,页面文字会恶意诱导用户“请务必先退出360、腾讯管家、Win10防护等杀毒软件,再去下载激活”,通过此方式躲避安全软件查杀。激活工具等灰色软件捆绑病毒、流氓软件进行传播早已是行业的乱象。因此,请谨慎下载安装各类激活工具。 |
更新时间: | 20230411 |
事件名称: | DNS_木马_DarkShell.DDoS/Togapy_C2域名解析请求 |
安全类型: | 木马后门 |
事件描述: | 检测到木马试图连接远程服务器。DarkShell是一个分布式拒绝服务攻击工具,抓取大量肉鸡,可以对指定目标主机发起DDos攻击,即分布式拒绝服务攻击。远程攻击者可能已经控制了内网中的某些主机并把它做为攻击机器。该事件表明源IP主机感染了DarkShell/Togapy木马,正在请求解析C&C域名然后进行连接。 |
更新时间: | 20230411 |
事件名称: | DNS_木马_Kryptik远控木马_C2域名解析请求 |
安全类型: | 木马后门 |
事件描述: | Kryptik远控木马也称为 Krypt、Cryptic、Crypt。Kryptik远控木马可以窃取各种应用程序和服务的电子邮件地址、剪贴板数据、用户名和密码等信息,此外,Kryptik 可以窃取数字证书和相关密码、访问网站的 URL、POP3 和 IMAP帐户信息、计算机名称和用户名、操作系统版本以及 Outlook Express帐户数据,还可以捕获屏幕截图、记录击键、关闭或重新启动受感染的计算机并在其上运行可执行文件。 该事件表明源IP主机感染了Kryptik远控木马,正在请求解析C&C域名然后进行连接。 |
更新时间: | 20230411 |
事件名称: | DNS_命令控制_木马后门_SilverTerrier_连接C2服务器 |
安全类型: | 木马后门 |
事件描述: | 检测到APT组织SilverTerrier攻击行为。SilverTerrier是一个尼日利亚威胁组织,自2014年以来一直活跃,通过企业电子邮件攻击(BEC)瞄准全球数千个组织。SilverTerrier主要针对高科技、高等教育和制造业的组织。 |
更新时间: | 20230411 |
事件名称: | DNS_命令控制_木马后门_Turla_连接C2服务器 |
安全类型: | 木马后门 |
事件描述: | 检测到APT组织Turla攻击行为。Turla,也被称为 Snake,Venomous Bear、WhiteBear 、Waterbug、Uroboros 等,是一个具有俄罗斯政府背景的 APT 组织。根据关联 Turla 使用攻击组件推测该组织最早活动时间约为2004年,2015年年中开始,其活动频次明显加剧。自活动至今,Turla 组织发起的攻击活动中的受害者涉及地域已超过45个国家,其攻击目标包括政府机构、大使馆、国际组织、军队、高等教育机构、科研机构、制药公司等等。其最终攻击目的为情报刺探,通过一系列网络间谍活动窃取目标单位敏感情报信息。 |
更新时间: | 20230411 |
修改事件
事件名称: | HTTP_安全风险_可疑行为_wget_curl下载可疑文件并执行 |
安全类型: | 可疑行为 |
事件描述: | 检测到源IP主机正在向目的IP主机发送可疑命令,尝试控制目的IP主机下载可疑文件并执行。 |
更新时间: | 20230411 |
京公网安备11010802024551号