2025年1月全球黑客组织威胁情报报告 - 红警态势

本报告详细分析了2025年1月全球主要黑客组织的攻击活动,涵盖SectorA至SectorJ等多个威胁组织使用的恶意软件、攻击手法和技术细节,包括LNK文件、HWP漏洞利用、Cobalt Strike工具滥用等具体技术实现。

月度威胁组织情报报告 - 2025年1月

本报告基于NSHC威胁分析研究所在2024年12月21日至2025年1月20日期间收集的数据和信息,汇总分析了黑客组织的活动情况。2025年1月共确认51起黑客组织活动,其中SectorJ组织活动占比最高达58%,其次是SectorA和SectorB组织。

1. SectorA组织活动特征

2025年1月共确认4起黑客组织活动,涉及SectorA01、SectorA04、SectorA05、SectorA07小组。

SectorA01:在巴西、美国、俄罗斯、波兰、荷兰、法国活动,冒充招聘人员使用LinkedIn、Telegram、Discord等平台进行视频面试,诱导目标复制执行特定命令,最终使用具有后门功能的恶意软件。

SectorA04:在巴西、韩国活动,针对资产管理解决方案和数据防泄漏(DLP)解决方案,夺取控制服务器权限,使用带后门功能的恶意软件和键盘记录恶意软件。

SectorA05:在韩国活动,使用包含HWP文件格式文档的防御行业鱼叉式网络钓鱼邮件,利用OLE对象漏洞,最终下载执行批处理文件,并在任务调度程序中注册预定任务。

SectorA07:在英国、日本活动,伪装成国税征收相关发票,使用Windows快捷方式(LNK)文件格式恶意软件,目标执行后运行Visual Basic脚本和批处理脚本格式恶意软件,进行信息收集和下载执行额外恶意软件。

2. SectorB组织活动特征

2025年1月共确认4起活动,涉及SectorB04、SectorB22、SectorB73、SectorB86小组。

SectorB04:在印度、菲律宾活动,针对航空航天和国防部门组织、制药公司等,通过最终安装的恶意软件进行知识产权盗窃和信息收集的网络间谍活动。

SectorB22:在德国、匈牙利、越南、印度、美国、日本、中国、香港、马来西亚、意大利、蒙古、台湾、缅甸、柬埔寨、埃塞俄比亚、巴西、澳大利亚活动,使用复杂感染链分发定制后门,特别使用台湾总统候选人和重要地区事件相关文档等精巧主题文档欺骗目标。

SectorB73:尽管执法机构试图关闭其僵尸网络控制服务器,但确认该组织僵尸网络已与新控制服务器通信。

SectorB86:利用漏洞利用工具包,攻击Ivanti Connect Secure VPN设备漏洞分发定制恶意软件。

3. SectorC组织活动特征

2025年1月共确认2起活动,涉及SectorC01、SectorC14小组。

SectorC01:在哈萨克斯坦、乌克兰、以色列、印度、吉尔吉斯斯坦、塔吉克斯坦、蒙古活动,使用包含宏的外交相关内容恶意MS Word文件,最终使用后门方式HTA恶意软件将系统名和账户名发送至C2服务器,执行带有所需功能的VBS脚本文件。

SectorC14:冒充美国政府相关人员,发送提供加入WhatsApp群组机会的鱼叉式网络钓鱼邮件,伪造WhatsApp设备连接和网页登录目的的QR码,目标扫描后攻击者可访问其WhatsApp账户并查看消息,还可利用浏览器插件通过WhatsApp网页版发送消息泄露数据。

4. SectorE组织活动特征

2025年1月共确认4起活动,涉及SectorE01、SectorE02、SectorE04、SectorE05小组。

SectorE01:在中国、日本、台湾活动,分发伪装成项目执行计划书的Windows快捷方式(LNK)文件,通过最终安装的恶意软件按C2服务器接收的命令执行恶意行为。

SectorE02:在印度活动,分发伪装成聊天应用的Android应用程序,从目标设备窃取SMS消息、联系人、通话记录等敏感信息。

SectorE04:在孟加拉国、巴基斯坦、德国活动,分发伪装成网络安全建议指南的Microsoft Word文件,下载执行远程模板文件,为后续攻击建立立足点。

SectorE05:在英国活动,分发伪装成"Mod委员会代表指名技术"文件名的Windows帮助(CHM)文件,通过目标系统任务调度程序中注册的Visual Basic脚本命令下载额外恶意软件,为后续攻击建立立足点。

5. SectorF组织活动特征

2025年1月共确认1起活动,涉及SectorF01小组。

SectorF01:在中国活动,针对网络安全专家,通过GitHub分发包含恶意软件的Cobalt Strike渗透测试工具插件,通过最终安装的恶意软件执行C2服务器接收的命令。

6. SectorH组织活动特征

2025年1月共确认1起活动,涉及SectorH03小组。

SectorH03:在印度活动,分发伪装成政府公文的Adobe PDF文件,通过文件中包含的链接和伪装的印度政府网站钓鱼页面收集电子邮件账户信息,用于后续攻击。

7. 网络犯罪组织活动特征

2025年1月共确认3起活动,涉及SectorJ09、SectorJ110、SectorJ153小组。

SectorJ09:针对在线支付页面,实施表单劫持攻击插入略读脚本窃取金融信息,在电子商务网站支付页面注入混淆的恶意JavaScript代码,窃取目标输入的卡号、有效期、CVC代码等敏感信息。

SectorJ110:在韩国活动,发送货物运输相关内容钓鱼邮件,声称附件为进口报关手续相关文件,诱使目标执行。附件为HTML格式数据文件,点击后自动重定向至钓鱼页面,显示文件受保护弹窗并诱导输入Adobe账户密码,试图窃取目标Adobe凭证。

SectorJ153:为获取经济利益分发RansomHub勒索软件,不仅加密目标系统,还通过Mega等云存储泄露目标系统数据,实施双重勒索攻击。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次