blackorbird/APT_REPORT

# @blackorbird 收集的 APT 报告 https://x.com/blackorbird 有趣的 APT 报告、样本、恶意软件、技术和情报收集 # 按国家分类的 APT 组织 Palo Alto Networks Unit 42 追踪的威胁行为者组织 https://unit42.paloaltonetworks.com/threat-actor-groups-tracked-by-palo-alto-networks-unit-42/ ## 样本 ### Group123 ▶ScarCruft 继续演变，引入蓝牙信息收集器 https://securelist.com/scarcruft-continues-to-evolve-introduces-bluetooth-harvester/90729/ (2019年5月13日) ▶Group123 试图攻击“打印纸”，伪装成组织会议指南的 APT https://blog.alyac.co.kr/2287 (2019年5月2日) ▶Group123，伪装成统一部的 APT 攻击，向 Google Drive 传播恶意代码 https://blog.alyac.co.kr/2268 (2019年4月22日) ▶group123 APT 组织，“高专家行动” https://blog.alyac.co.kr/2226 (2019年4月2日) ▶Rocketman APT 攻击活动回归，发起 Holiday Wiper 行动 https://blog.alyac.co.kr/2089 (2019年1月23日) ▶“黑鸟行动”，对‘的移动端入侵 https://blog.alyac.co.kr/2035 (2018年12月13日) ▶group123 “韩国之剑行动”正在进行中 https://blog.alyac.co.kr/1985 (2018年11月16日) ▶group123 组织的最新 APT 活动 - “火箭人行动” https://blog.alyac.co.kr/1853 (2018年8月22日) ▶group123，Flash Player 零日漏洞 (CVE-2018-4878) 攻击警惕 https://blog.alyac.co.kr/1521 (2018年2月2日) ▶“group123”组织“关于南北离散家属发现总数调查” https://blog.alyac.co.kr/1767 (2014年7月28日) ▶Rocketman APT 活动，“金鸟行动” https://blog.alyac.co.kr/2205 (2013年3月20日) ▶韩国成为众矢之的 https://blog.talosintelligence.com/2018/01/korea-in-crosshairs.html (2018年1月16日) ▶FreeMilk：一次高度定向的鱼叉式网络钓鱼活动 https://unit42.paloaltonetworks.com/unit42-freemilk-highly-targeted-spear-phishing-campaign/ (2017年10月5日) ### 与 baby 相关的 kimsuky ▶BabyShark 恶意软件第二部分 – 使用 KimJongRAT 和 PCRat 的攻击仍在继续 (2019年4月26日) https://unit42.paloaltonetworks.com/babyshark-malware-part-two-attacks-continue-using-kimjongrat-and-pcrat/ ▶“巨人宝宝行动”，巨大的威胁 (2019年3月28日) https://blog.alyac.co.kr/2223 ▶ 随硬币钱包程序 安装的恶意代码 (2019年3月15日) https://asec.ahnlab.com/1209 ▶ 新的 BabyShark 恶意软件将目标瞄准美国国家安全智库 (2019年2月22日) https://unit42.paloaltonetworks.com/new-babyshark-malware-targets-u-s-national-security-think-tanks/ ▶ 韩国最新的 APT 攻击，神秘宝宝行动注意！ (2018年2月11日) https://blog.alyac.co.kr/1963 ▶ 以“宝宝硬币行动”重返韩国，APT 攻击者，2010 年的海外目标 (2014年4月19日) https://blog.alyac.co.kr/1640 ### kimsuky ▶Kimsuky，青瓦台绿色支援 / 赏春斋估算 https://blog.alyac.co.kr/2645 ▶Kimsuky，网络安全局加密案例 (2019年5月28日) https://blog.alyac.co.kr/2338 ▶Kimsuky，伪装成韩国加密货币交易所事件的 APT 攻击 (2019年5月28日) https://blog.alyac.co.kr/2336 ▶Kimsuky 针对韩国的“虚假打击者”APT 活动 (2019年5月20日) https://blog.alyac.co.kr/2315 ▶ 针对韩美的 APT 活动中“烟幕”的分析 (2019年4月17日) https://blog.alyac.co.kr/2243 ▶ 加密的 APT 攻击，Kimsuky 组织的“烟幕”第二部分 (2019年5月13日) https://blog.alyac.co.kr/2299 ▶ Kimsuky 组织，隐形力量静默行动 (2019年4月3日) https://blog.alyac.co.kr/2234 ▶ Kimsuky 组织，水坑攻击开始“低踢行动” (2019年3月21日) https://blog.alyac.co.kr/2209 ### Jaku ▶ SiliVaccine：深入朝鲜的杀毒软件内部 (2018年5月1日) https://research.checkpoint.com/silivaccine-a-look-inside-north-koreas-anti-virus/ ### Lazarus ▶Lazarus 组织走向“无文件”，带有远程下载和内存执行的植入物 https://objective-see.com/blog/blog_0x51.html ▶LAZARUS APT 使用带毒 Word 文档将目标对准 Mac 用户 https://www.sentinelone.com/blog/lazarus-apt-targets-mac-users-poisoned-word-document/ ### Konni ▶Konni APT 组织利用俄朝贸易和经济投资文件进行攻击 https://blog.alyac.co.kr/2535 ▶APT 活动“Konni”和“Kimsuky”在组织中找到共同点 (2019年6月10日) https://blog.alyac.co.kr/2347 ▶韩国 Kusa Konni 组织，利用“Amadey”俄罗斯僵尸网络展现蓝天 (2019年5月16日) https://blog.alyac.co.kr/2308 ▶Konni APT 活动与“猎人阿多尼斯行动” (2019年1月1日) https://blog.alyac.co.kr/2061 ### Oceanlotus ▶威胁聚焦：Ratsnif - 来自 OceanLotus 的新型网络害虫 (2019年7月1日) https://threatvector.cylance.com/en_us/home/threat-spotlight-ratsnif-new-network-vermin-from-oceanlotus.html ▶Oceanlotus 针对移动设备攻击的分析报告 (2019年5月24日) https://mp.weixin.qq.com/s/L-tCvLPOOMhP0ndgdqhkNQ ▶ 2019年第一季度 Oceanlotus 针对中国的攻击技术。(2019年4月24日) https://mp.weixin.qq.com/s/xPsEXp2J5IE7wNSMEVC24A ▶ 使用 Cutter 和 Radare2 反混淆 APT32 流程图 (2019年4月24日) https://research.checkpoint.com/deobfuscating-apt32-flow-graphs-with-cutter-and-radare2/ ▶ OceanLotus 隐写恶意软件分析白皮书 (2019年4月2日) https://threatvector.cylance.com/en_us/home/report-oceanlotus-apt-group-leveraging-steganography.html ▶OceanLotus：macOS 恶意软件更新 (2019年4月9日) https://www.welivesecurity.com/2019/04/09/oceanlotus-macos-malware-update/ ### APT28 ▶ CB TAU 威胁情报通知：追踪 APT28 下载器 (2019年4月5日) https://www.carbonblack.com/2019/04/05/cb-threat-intelligence-notification-hunting-apt28-downloaders/ ### Turla ▶ 深入了解 Turla PowerShell 的使用 (2019年5月29日) https://www.welivesecurity.com/2019/05/29/turla-powershell-usage/ ### tick ▶ tick 组织新活动，攻击朝鲜和日本 https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=28186 (2019年4月1日) ### Winnti ▶拜耳表示已检测并控制了网络攻击 (2019年4月5日) https://www.reuters.com/article/us-bayer-cyber/bayer-says-has-detected-contained-cyber-attack-idUSKCN1RG0NN https://www.tagesschau.de/inland/hackerangriff-bayer-101.html ## 中东亚洲 ### Muddywater ▶ 近期与 MuddyWater 相关的 BlackWater 活动显示出新的反检测技术迹象 (2019年5月20日) https://blog.talosintelligence.com/2019/05/recent-muddywater-associated-blackwater.html ### ZooPark ▶ APT-C-38 攻击活动揭露 (2019年5月27日) http://blogs.360.cn/post/analysis-of-APT-C-38.html # 针对金融的 APT 组织 ### CARBANAK ▶ CARBANAK 周第一部分：一次罕见事件 (2019年4月22日) https://www.fireeye.com/blog/threat-research/2019/04/carbanak-week-part-one-a-rare-occurrence.html ### londonblue (尼日利亚) ▶ 不断演变的战术：London Blue 开始欺骗目标域名 (2019年4月4日) PDF 文件位于文件夹中 https://www.agari.com/email-security-blog/london-blue-evolving-tactics/ ### Fin6 ▶ 达阵六分：拦截 FIN6 入侵，该攻击者近期与 Ryuk 和 LockerGoga 勒索软件有关 (2019年4月5日) https://www.fireeye.com/blog/threat-research/2019/04/pick-six-intercepting-a-fin6-intrusion.html ### Fin7 ▶ 狩猎 FIN7：追踪一个难以捉摸且规避性强的全球犯罪组织 (2018年8月1日) https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html

标签：APT报告, CISA项目, CVE-2018-4878, Group123, IOC, Lazarus, meg, Reaper, ScarCruft, Zero-Day, 信息安全, 威胁情报, 威胁溯源, 安全威胁, 开发者工具, 恶意代码分析, 恶意软件, 技术分析, 搜索语句（dork）, 数据泄露, 样本分析, 网络安全, 网络安全研究, 蓝牙信息收集, 配置文件, 防御加固, 隐私保护, 鱼叉钓鱼, 黑客组织