1)专门针对我国特殊目标群体:根据360安全大脑的溯源分析,Darkhotel(APT-C-06)是一个活跃近十余年的东亚背景APT组织,长期向中、俄、日等多国政府、组织机构和企业发起APT攻击,此次攻击更是直接针对我国重点省份商贸相关的政府机构及企业,威胁面直指我国政企用户的网络安全; 2)正值Win7停服安全空窗期:Win7停服的敏...
在APT-C-06组织早期的APT行动中使用的后门程序是Lucker,这是一套自主开发定制的模块化木马程序,该套木马功能强大,具备键盘记录、录音、截屏、文件截取和U盘操作功能等,Lucker后门的名称来源于此类木马的PDB路径,该后门的大量功能函数使用了LK缩写。 图36 图37 在中后期至今我们发现了它的演进和不同类型的两套后门程...
Darkhotel(APT-C-06)组织利用Thinmon后门框架的多起 攻击活动揭秘 概要 2020年3月期间,360安全大脑发现并披露了涉半岛地区APT组织Darkhotel(APT-C- 06)利用VPN软件漏洞攻击我国政府机构和驻外机构的APT攻击行动。在攻击行动中 Darkhotel(APT-C-06)组织使用了一系列新型的后门框架,该后门程序未被外界披露和定义 过,...
可以看到,补丁文件中在拷贝每个数组元素到join_list之前,会先通过SysAllocString将字符串数据保存一份,这样即使在后面回调中更改了初始的字符串长度,在执行memcpy进行内存拷贝时也会使用SysAllocString函数拷贝的那份数据,从而使SysAllocStringLen申请的内存大小和memcpy拷贝的数据大小相同,从而修复了漏洞。 与APT-C-06的...
该漏洞影响最新版本的IE浏览器及使用了IE内核的应用程序。用户在浏览网页或打开Office文档时都可能中招,最终被黑客植入后门木马完全控制电脑。对此,我们及时向微软分享了该0day漏洞的相关细节,并第一时间对该APT攻击进行了分析和追踪溯源,确认其与APT-C-06组织存在关联。
对此,我们及时向微软分享了该0day漏洞的相关细节,并第一时间对该APT攻击进行了分析和追踪溯源,确认其与APT-C-06组织存在关联。 2018年4月18日,在监控发现该攻击活动后,360核心安全事业部高级威胁应对团队在当天就与微软积极沟通,将相关细节信息提交到微软。微软在4月20日早上确认此漏洞,并于5月8号发布了官方安全...
与APT-C-06的关联分析 我们对四个vbscript漏洞的shellcode进行了关联分析,我们发现cve-2016-0189、本次漏洞和cve-2018-8174所用的shellcode除配置的CC外基本一致,cve-2018-8373的shellcode略有不同,但也非常相似。我们推测本次漏洞也是APT-C-06(又名Darkhotel)武器库中的一个。
APT-C-06组织在全球范围内首例使用“双杀”0day漏洞(CVE-2018-8174)发起的APT攻击分析及溯源 安全报告 360安全团队在全球范围内率先监控到了一例使用0day漏洞的APT攻击,捕获到了全球首例利用浏览器0day漏洞的新型Office文档攻击,并... 360安全 682439围观 · 3收藏 · 6喜欢 2018-05-12...
近日,360安全大脑就以《Darkhotel(APT-C-06)组织最新活动——Thinmon攻击揭秘》为题,首度披露这一从未被外界披露和定义过的全新攻击武器。 Darkhotel黑店“经营”十年有余 360安全大脑首揭Thinmon全新后门框架 Darkhotel(译名“黑店”):一个有着东亚背景,长期针对企业高管、政府机构、国防工业、电子工业等重要机构实施...
APT-C-50仍在继续的Domestic Kitten行动,使用了伪装成Android翻译应用程序的新版本FurBall恶意软件监视公民。 ESET研究人员最近发现了一种新版本的Android恶意软件FurBall,用于APT-C-50进行名为“Domestic Kitten”的行动。自2021年6月以来,它作为翻译应用程序通过一...