安天是中国网络安全应急响应体系中重要的企业节点,打造了“第一时间启动,同时应对多线威胁,三体系联动,四作业面协同”的应急体系,在高级持续性威胁(APT)的发现、监测和分析方面进行了大量工作。
ArmouryLoader加载器最早于2024年被发现,曾被用于投递SmokeLoader和CoffeeLoader等恶意代码家族。ArmouryLoader加载器具备提权、持久化以及投递目标载荷的功能,并具有一定对抗EDR(端点检测和响应)能力,使后续投递的载荷更容易突破系统防线。安天智甲可有效查杀该加载器。
HijackLoader是一个模块化设计的恶意代码加载器,具有很强的隐蔽性,该加载器针对多种反病毒程序进行检测,并根据检测结果的不同执行不同的策略,严重威胁用户系统安全。安天智甲可有效查杀该加载器。
国家互联网应急中心(CNCERT)与安天联合监测发现‘游蛇’黑产团伙近期伪造Chrome浏览器下载站,传播Gh0st远控木马,单日上线IP数量最高超1.7万余个,累计已有约12.7万台设备受其感染。
本报告针对印方“苦象”组织近期进行的攻击活动,重点解析其攻击武器样本演进和技战术特征。
安天CERT近期发现“游蛇”黑产利用仿冒的WPS Office下载站传播恶意软件,最终执行Gh0st远控木马,并创建注册表启动项实现持久化。安天智甲可有效查杀该远控木马。
SmokeLoader是一个具有插件功能的恶意程序加载器,主要通过钓鱼邮件进行传播,并通过带有恶意VBS宏的doc文档进行运行。SmokeLoader具有投递恶意程序功能,并可以通过插件实现窃密、远控等行为,对用户的隐私构成严重威胁。安天智甲可有效查杀该加载器。
安天持续对“游蛇”黑产团伙进行跟踪,发布多篇报告。近期,两类较为活跃的恶意样本持续传播:第一类是伪装成文档的恶意程序,此类恶意程序多使用Qt库进行开发,也存在部分恶意程序是在开源软件代码的基础上添加恶意代码形成的,通过释放“白加黑”组件最终执行后门文件。第二类是伪装成应用软件的恶意MSI安装程序,包含正常应用软件安装程序以及其他数十个正常文件,攻击者将“白加黑”组件隐藏在其中,最终执行上线模块及登录模块。
2024年底以来,安天CERT持续跟踪监测到利用开源生态的信任在GitHub伪装开源项目进行恶意代码“投毒”的攻击活动。攻击者通过伪装漏洞利用工具、游戏外挂等,将恶意代码植入开源代码的Visual Studio项目配置中,安天智甲已实现对该类攻击的全流程检测与拦截。
本报告对重大活动期间网络扫描探测、暴力破解登录凭证、漏洞利用攻击、远控木马植入、挖矿木马感染及僵尸网络控制等六类高频网络攻击事件案例进行解析,以期为安全防护和运营工作提供参考与借鉴。
安天深度参与重大活动城市侧工作规划统筹,提出了整体保障运行概念框架和配套工作资源体系,组建了跨部门的安天网安护卫队,历时493天,4个工作阶段,15天7×24小时安全值守,实现了“重大隐患提前处置,活动关联风险即时清零,整体态势平稳可控”的既定目标。
DBatLoader能够从公共代码托管网站上下载并解密待投递的恶意代码家族,而后通过多种手法将其注入到其他程序内以实现隐蔽运行,并实现持久化。安天智甲可有效查杀该加载器。
安天CERT发布储备报告,揭露台湾省当局“绿斑”APT组织2024年针对我国特定行业的攻击活动及使用的远控木马。攻击组织通过钓鱼邮件投递恶意载荷,向目标植入木马,企图长期潜伏窃取敏感信息。
安天移动安全团队通过国家计算机病毒应急处理中心的协同分析平台,发现了一批假冒DeepSeek的恶意应用程序,进行了关联样本拓线,展开了深度分析。
安天CERT对2024年内的勒索攻击事件进行梳理,针对较为活跃的勒索攻击组织进行盘点。在2024年中,安天CERT发现至少有90个不同名称的组织曾发布过受害者信息,涉及约5300个来自全球不同国家或地区的组织机构,覆盖多个行业。
安天CERT继续跟进分析DeepSeek遭遇攻击事件,针对Hailbot三个主要变种,基于上线包、暴力破解密码档、攻击指令等进行了对比分析。