2025年2月威胁组织情报月度报告
概述
2025年1月21日至2025年2月20日期间,NSHC威胁分析研究所基于收集的数据和信息,对黑客组织的活动进行了分析总结。
本月共确认62个黑客组织的活动,其中SectorJ组织占比42%最多,SectorA、SectorB组织的活动紧随其后。
本月发现的黑客组织攻击活动主要针对政府机构和金融领域的相关人员或系统,按地区划分,针对北美和欧洲国家的黑客活动最为频繁。
1. SectorA组织活动特征
2025年2月共发现4个黑客组织的活动,分别是SectorA01、SectorA02、SectorA05、SectorA07组织。
SectorA01组织在巴西、美国、俄罗斯、波兰、荷兰、法国被发现。该组织利用LinkedIn、Telegram、Discord等平台伪装成招聘负责人,以视频面试为幌子诱导攻击目标复制执行特定命令,最终使用具有后门功能的恶意软件。
SectorA02组织在韩国、日本被发现。该组织使用包含朝鲜相关内容的恶意HWP文件格式文档,最终使用后门恶意软件根据攻击者命令窃取文件,并使用pCloud、Yandex等云服务传输到攻击者的云服务器。
SectorA05组织在奥地利、美国、韩国、墨西哥、印度、意大利被发现。该组织以增值税申报为主题尝试钓鱼攻击,冒充国税厅、门户网站、认证邮件等向用户发送电子邮件。
SectorA07组织在日本、韩国、越南被发现。该组织使用伪装成国税征收相关说明资料请求书的Windows快捷方式文件格式恶意软件。
2. SectorB组织活动特征
2025年2月共发现6个黑客组织的活动,分别是SectorB01、SectorB22、SectorB71、SectorB108、SectorB109、SectorB110组织。
SectorB01组织在台湾、沙特阿拉伯、也门、日本、韩国、西班牙、比利时、俄罗斯、英国、菲律宾、希腊、德国、厄瓜多尔、巴拿马、美国被发现。
SectorB22组织在泰国、新加坡、美国、中国、越南、菲律宾被发现。该组织分发伪装成邀请文档的MSC文件进行攻击活动。
SectorB71组织在韩国被发现。该组织针对Linux基础的攻击系统分发注入SSH守护进程的恶意软件进行攻击活动。
SectorB108组织在阿根廷、孟加拉国、印度尼西亚、马来西亚、墨西哥、荷兰、泰国、美国、越南被发现。该组织针对全球通信公司未打补丁的Cisco网络设备进行攻击活动。
SectorB109组织在韩国、日本、中国被发现。该组织针对韩国VPN开发公司进行供应链攻击,通过此方式分发后门恶意软件。
SectorB110组织在香港、泰国、美国、巴西、韩国被发现。该组织针对南美外交部分发恶意软件进行攻击活动。
3. SectorC组织活动特征
2025年2月共发现6个黑客组织的活动,分别是SectorC01、SectorC04、SectorC05、SectorC26、SectorC28、SectorC29组织。
SectorC01组织在阿联酋被发现。该组织通过网络钓鱼电子邮件传播恶意文档,利用漏洞渗透内部系统进行攻击。
SectorC04组织最近利用设备代码认证方式滥用,实施窃取Microsoft 365账户的网络钓鱼攻击。
SectorC05组织在乌克兰、西班牙、法国、波兰、英国、美国、加拿大、澳大利亚被发现。该组织实施分发伪装成Windows更新的远程桌面协议恶意软件的攻击。
SectorC26组织利用Microsoft设备代码认证程序滥用,实施窃取Microsoft 365账户的精巧网络钓鱼活动。
SectorC28组织伪造Signal messenger的群组邀请页面欺骗用户,实施连接攻击者设备到攻击目标账户的网络钓鱼攻击。
SectorC29组织利用Signal messenger的设备连接功能滥用,实施基于恶意QR代码的网络钓鱼攻击。
4. SectorE组织活动特征
2025年2月共发现3个黑客组织的活动,分别是SectorE01、SectorE02、SectorE04组织。
SectorE01组织在中国、台湾被发现。该组织分发伪装成军特招指南文档的Windows快捷方式文件进行攻击活动。
SectorE02组织在荷兰、孟加拉国被发现。该组织分发伪装成聊天应用程序的Android应用进行攻击活动。
SectorE04组织在斯里兰卡、美国、中国、香港被发现。该组织分发伪装成斯里兰卡总统秘书处发行的正式文档的Microsoft Word文档进行攻击活动。
5. SectorH组织活动特征
2025年2月共发现2个黑客组织的活动,分别是SectorH01、SectorH03组织。
SectorH01组织在英国、美国、瑞士、澳大利亚被发现。该组织通过冒充税务软件解决方案组织的网络钓鱼电子邮件分发恶意软件进行攻击活动。
SectorH03组织在印度、阿富汗被发现。该组织分发伪装成网络安全指南文档的Windows快捷方式文件进行攻击活动。
6. SectorQ组织活动特征
2025年2月共发现1个黑客组织的活动,即SectorQ02组织。
SectorQ02组织针对包括中国大学在内的航空航天及科学技术相关机构执行高度网络作战,在攻击目标系统中插入如NOPEN后门等定制恶意软件,实现长期远程控制。
7. SectorR组织活动特征
2025年2月共发现1个黑客组织的活动,即SectorR02组织。
SectorR02组织在中国被发现。该组织以中国IT企业网易的免费电子邮件服务163.com用户为目标展开网络钓鱼活动。
8. SectorS组织活动特征
2025年2月共发现1个黑客组织的活动,即SectorS01组织。
SectorS01组织在意大利被发现。该组织分发伪装成峰会相关文档的Windows快捷方式文件进行攻击活动。
9. SectorU组织活动特征
2025年2月共发现1个黑客组织的活动,即SectorU01组织。
SectorU01组织在俄罗斯、西班牙、乌兹别克斯坦、印度、美国、香港、捷克、吉尔吉斯斯坦、土库曼斯坦被发现。该组织针对中亚的政府机构发送包含恶意ISO文件的网络钓鱼电子邮件尝试初始渗透。
10. 网络犯罪组织活动特征
在线虚拟空间活动的网络犯罪组织本月共发现13个黑客组织的活动,分别是SectorJ09、SectorJ14、SectorJ21、SectorJ25、SectorJ85、SectorJ102、SectorJ110、SectorJ177、SectorJ195、SectorJ196、SectorJ197、SectorJ201、SectorJ202组织。
SectorJ09组织针对在线支付页面插入窃取金融信息的Skimming脚本,实施Formjacking攻击。
SectorJ14组织在韩国、德国、美国、印度、日本、法国被发现。该组织使用伪装成快递服务通知的Smishing手法向攻击目标传递Twitter短链接。
SectorJ21组织在美国、加拿大被发现。该组织通过网络钓鱼邮件传递包含可下载ZIP压缩文件链接的PDF文档附件。
SectorJ25组织在印度被发现。该组织为伪装成网络分析程序,将压缩文件名设置为"NetworkAnalyzer.tar.gz"后传播。
SectorJ85组织传播模仿企业云基础认证服务之一Okta的登录页面的网络钓鱼网站。
SectorJ102组织在美国、印度被发现。该组织利用Vera Core软件的SQL注入漏洞和文件上传漏洞,在攻击目标系统中部署Web Shell。
SectorJ110组织在德国、立陶宛、比利时、乌克兰被发现。该组织传播PDF格式的网络钓鱼文档,诱导攻击目标点击文档内的"文档下载"超链接文本。
SectorJ177组织在墨西哥、美国、匈牙利被发现。该组织通过Microsoft Teams向攻击目标传递冒充技术支持的消息后,诱导安装Microsoft Quick Assist解决垃圾邮件问题。
SectorJ195组织在美国、保加利亚被发现。该组织向攻击目标发送大量垃圾消息后,尝试Microsoft Teams通话诱导攻击目标允许远程屏幕共享。
SectorJ196组织针对Web3用户传播伪装成Solana区块链通信工具分发网站的网络钓鱼网站。
SectorJ197组织在危地马拉、美国被发现。该组织传播伪装成Chrome浏览器更新网站的网络钓鱼网站。
SectorJ201组织运营流量分发系统服务,向其他黑客组织提供恶意流量引入服务后确保金钱利益。
SectorJ202组织在美国、印度、法国、波兰被发现。该组织传播伪装成Chrome浏览器更新的网络钓鱼页面,诱导攻击目标下载恶意MSI文件。
结语
包含IoC及建议事项的个别威胁事件详细说明的完整报告将提供给现有NSHC ThreatRecon客户。详细信息请咨询service@nshc.net。