每周升级通告-2023-04-11

宣布时间 2023-04-11

新增事务

 

事务名称:

DNS_下令控制_木马后门_FIN7_毗连C2服务器

清静类型:

木马后门

事务形貌:

检测到APT组织FIN7攻击行为。FIN7是一个以经济收益为念头的威胁组织,FIN7组织以垂纶邮件为攻击渠道,主要对美国金融机构渗透攻击。据称已经从天下各地的公司窃取了凌驾10亿美元。FIN7使用细密的鱼叉式网络垂纶邮箱,来说服目的工具下载附件,然后透过附件,让其公司网络遭到恶意软件的熏染。在FIN7使用的恶意软件中,最常见的是Carbanak恶意软件的特制版本,已在针对银行的多次攻击中使用。

更新时间:

20230411

 

事务名称:

DNS_下令控制_木马后门_TransparentTribe_毗连C2服务器

清静类型:

木马后门

事务形貌:

检测到APT组织TransparentTribe攻击行为。TransparentTribe APT组织,又称ProjectM、C-Major,是一个来自巴基斯坦的APT攻击组织,主要攻击手段是通过鱼叉式垂纶邮件对印度政府、军事、金融等目的提倡攻击。该组织的运动最早可以追溯到2012年并在2016年3月首先被proofpoint公司披露。

更新时间:

20230411

 

事务名称:

DNS_木马病毒_麻辣香锅_恶意域名请求

清静类型:

木马后门

事务形貌:

麻辣香锅是一款锁定挟制浏览器主页的病毒,主页通过某些激活工具官网下载的激活工具撒播,如狂风激活、KMS、小马激活。该病毒锁定首页后,会榨取浏览器自行改回原有的首页,并且会删除清静软件历程回调逃避查杀。除此之外,还可以通过外地的升级程序一直更新。在病毒下载页面中,页面文字会恶意诱导用户“请务必先退出360、腾讯管家、Win10防护等杀毒软件,再去下载激活”,通过此方法逃避清静软件查杀。激活工具等灰色软件捆绑病毒、流氓软件举行撒播早已是行业的乱象。因此,请审慎下载装置种种激活工具。

更新时间:

20230411

 

事务名称:

DNS_木马_DarkShell.DDoS/Togapy_C2域名剖析请求

清静类型:

木马后门

事务形貌:

检测到木马试图毗连远程服务器。DarkShell是一个漫衍式拒绝服务攻击工具,抓取大宗肉鸡,可以对指定目的主机提倡DDos攻击,即漫衍式拒绝服务攻击。远程攻击者可能已经控制了内网中的某些主机并把它做为攻击机械。该事务批注源IP主机熏染了DarkShell/Togapy木马,正在请求剖析C&C域名然后举行毗连。

更新时间:

20230411

 

事务名称:

DNS_木马_Kryptik远控木马_C2域名剖析请求

清静类型:

木马后门

事务形貌:

Kryptik远控木马也称为 Krypt、Cryptic、Crypt。Kryptik远控木马可以窃取种种应用程序和服务的电子邮件地点、剪贴板数据、用户名和密码等信息,别的,Kryptik 可以窃取数字证书和相关密码、会见网站的 URL、POP3 和 IMAP帐户信息、盘算机名称和用户名、操作系统版本以及 Outlook Express帐户数据,还可以捕获屏幕截图、纪录击键、关闭或重新启动受熏染的盘算机并在其上运行可执行文件。

该事务批注源IP主机熏染了Kryptik远控木马,正在请求剖析C&C域名然后举行毗连。

更新时间:

20230411

 

事务名称:

DNS_下令控制_木马后门_SilverTerrier_毗连C2服务器

清静类型:

木马后门

事务形貌:

检测到APT组织SilverTerrier攻击行为。SilverTerrier是一个尼日利亚威胁组织,自2014年以来一直活跃,通过企业电子邮件攻击(BEC)瞄准全球数千个组织。SilverTerrier主要针对高科技、高等教育和制造业的组织。

更新时间:

20230411

 

事务名称:

DNS_下令控制_木马后门_Turla_毗连C2服务器

清静类型:

木马后门

事务形貌:

检测到APT组织Turla攻击行为。Turla,也被称为 Snake,Venomous Bear、WhiteBear 、Waterbug、Uroboros 等,是一个具有俄罗斯政府配景的 APT 组织。凭证关联 Turla 使用攻击组件推测该组织最早运动时间约为2004年,2015年年中最先,其运动频次显着加剧。自运动至今,Turla 组织提倡的攻击运动中的受害者涉及地区已凌驾45个国家,其攻击目的包括政府机构、大使馆、国际组织、军队、高等教育机构、科研机构、制药公司等等。其最终攻击目的为情报密查,通过一系列网络特工运动窃取目的单位敏情绪报信息。

更新时间:

20230411

 

修改事务

 

事务名称:

HTTP_清静危害_可疑行为_wget_curl下载可疑文件并执行

清静类型:

可疑行为

事务形貌:

检测到源IP主机正在向目的IP主机发送可疑下令,实验控制目的IP主机下载可疑文件并执行。

更新时间:

20230411