APT-C-01(毒云藤)多采用通过定向社工邮件传送攻击载荷,一种是捆绑型PE恶意代码,在被攻击者打开执行后,其会打开嵌入在PE中的欺骗收件人的“正常”文档文件;另一种是格式攻击文档,利用漏洞来释放并执行可执行文件,同时打开欺骗收件人的“正常”文档文件。其中漏洞和后门的分类及详细内容如下: 打开网易新闻 查看精彩图片...
360威胁情报中心将APT-C-01组织命名为“毒云藤”,主要是考虑了以下几方面的因素:一是该组织在多次攻击行动中,都使用了Poison Ivy(毒藤)木马;二、该攻击组织在中转信息时,曾使用云盘作为跳板传输资料,这跟爬藤类植物凌空而越过墙体,颇有相似之处。根据360威胁情报中心对APT组织的命名规则(参见《2016年中国高级持续性...
这里我们对该团伙这次行动中(ding2.exe)使用的C&C域名*il163.sendsmtp.com进行分析,其当前解析IP为*.*.171.209。 2. 通过进一步查询IP历史映射域名,发现域名pps.*usic.com对应内部发现的APT-C-01组织历史使用的域名。 3. 通过搜索pps.*usic.com这个域名,得到关联样本。 该样本为该组织早期的攻击恶意代码。 4...
攻击团伙名称APT-C-01攻击入口鱼叉攻击投放漏洞文档受影响应用Windows系统使用漏洞CVE-2017-8759、CVE-2017-0199恶意代码及工具Poison Ivy控制基础设施资源动态域名,主要为ChangeIP动态域名主要攻击战术技术特征分析1.使用鱼叉邮件投放漏洞文档,其用于下载执行恶意的HTA文件; 2.使用PowerShell下载执行第一阶段载荷; 3.修改P...
APT-C-01组织是一个长期针对国内国防、政府、科技和教育领域的重要机构实施网络间谍攻击活动的APT团伙,其最早的攻击活动可以追溯到2007年,360威胁情报中心对该团伙的活动一直保持着持续的跟踪。团伙擅长对目标实施鱼叉攻击和水坑攻击,植入修改后的ZXShell、Poison Ivy、XRAT商业木马,并使用动态域名作为其控制基础设施。
APT-C-01组织是一个长期针对国内国防、政府、科技和教育领域的重要机构实施网络间谍攻击活动的APT团伙,其最早的攻击活动可以追溯到2007年,360威胁情报中心对该团伙的活动一直保持着持续的跟踪。团伙擅长对目标实施鱼叉攻击和水坑攻击,植入修改后的ZXShell、Poison Ivy、XRAT商业木马,并使用动态域名作为其控制基础设施。
根据360威胁情报中心对APT组织的命名规则(参见《2016年中国高级持续性威胁研究报告》),同时结合该组织关联地区常见的蔓藤植物,将APT-C-01组织命名为“毒云藤”。 另,国内安天实验室于2018年9月19日发布APT攻击组织“绿斑”(Green Spot)分析报告。根据360威胁情报中心与安天实验室之间达成的能力型厂商成果互认约定,...
APT-C-01组织是一个长期针对国内国防、政府、科技和教育领域的重要机构实施网络间谍攻击活动的APT团伙,其最早的攻击活动可以追溯到2007年,360威胁情报中心对该团伙的活动一直保持着持续的跟踪。团伙擅长对目标实施鱼叉攻击和水坑攻击,植入修改后的ZXShell、Poison Ivy、XRAT商业木马,并使用动态域名作为其控制基础设施。
APT-C-01组织是一个长期针对国内国防、政府、科技和教育领域的重要机构实施网络间谍攻击活动的APT团伙,其最早的攻击活动可以追溯到2007年,360威胁情报中心对该团伙的活动一直保持着持续的跟踪。团伙擅长对目标实施鱼叉攻击和水坑攻击,植入修改后的ZXShell、Poison Ivy、XRAT商业木马,并使用动态域名作为其控制基础设施。
另,国内安天实验室于2018年9月19日发布APT攻击组织“绿斑”(GreenSpot)分析报告。根据360威胁情报中心与安天实验室之间达成的能力型厂商成果互认约定,360威胁情报中心发现的“毒云藤”(APT-C-01)对应“绿斑”(Green Spot),二者是同一组织。因此,我们把监测到的情况与该组织攻击特点也公布出来,共同为中国提升APT防...