今日威胁情报2020/10/23-26(第314期）

高级威胁

1、北非狐（APT-C-44）攻击活动揭露

    近期，360烽火实验室联合360高级威胁研究院发现一起针对阿拉伯语地区的长达三年的多次网络攻击活动。该攻击活动自2017年10月开始至今，攻击平台主要为Windows和Android。通过分析，我们发现此次攻击活动来自阿尔及利亚，主要利用钓鱼网站和第三方文件托管网站进行载荷投递，并且使用社交媒体进行传播，受害者主要分布在阿拉伯语地区，其中包含疑似具有军事背景的相关人员。根据此次攻击活动的伪装对象和攻击目标，我们认为该组织目的是为了获取情报先机。根据该组织所属国家的地理位置以及其他特点，我们将其命名为北非狐（APT-C-44）

https://blogs.360.cn/post/APT-C-44.html

2、响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析

https://mp.weixin.qq.com/s/GJY6w8qTm6WkFy7hmy45IA

3、俄罗斯政府赞助的高级持续威胁组织对美国政府的目标发起攻击。组织名称：Berserk Bear, Energetic Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti, and Koala。非常详细的技术分析报告。

https://us-cert.cisa.gov/ncas/alerts/aa20-296a

https://us-cert.cisa.gov/sites/default/files/Joint_CISA_FBI_CSA-AA20-296A__Russian_State_Sponsored_APT_Actor_Compromise_US_Government_Targets.pdf

技术分享

1、CobaltStrikeScan

https://github.com/Apr4h/CobaltStrikeScan

2、开源蜜罐Manuka

https://www.kitploit.com/2020/10/manuka-modular-osint-honeypot-for-blue.html

3、俄语方向的恶意软件作者利用基于telegram命令和控制RAT，该RAT很强大

https://www.gdatasoftware.com/blog/trat-control-via-smartphone

4、研究人员发现一款利用社交软件Discord作为C2分发指令、传输数据。

https://twitter.com/malwrhunterteam/status/1319236824070500353

https://www.bleepingcomputer.com/news/security/new-rat-malware-gets-commands-via-discord-has-ransomware-feature/

数据泄露

1、【暗网情报】网络安全公司发现黑客出售1.86亿美国选民信息，黑客提供了1.86亿美国选民记录和2.45亿其他个人数据记录。

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/massive-us-voters-and-consumers-databases-circulate-among-hackers/

https://www.nbcnews.com/politics/2020-election/cybersecurity-firm-finds-hacker-selling-info-148-million-u-s-n1244211

网络战与网络情报

1、伊朗网络间谍，分析伊朗网军的对话。

https://blog.deepsec.net/deepsec-2020-talk-journey-into-iranian-cyber-espionage-chris-kubecka/

2、路透社关于伊朗网军干扰美国大选的分析帖子

https://www.reuters.com/article/us-usa-election-cyber-iran-exclusive/exclusive-dumb-mistake-exposed-iranian-hand-behind-fake-proud-boys-u-s-election-emails-sources-idUSKBN2772YL

3、智库分析：印巴之间地缘政治，概念化巴基斯坦的地缘战略身份

https://cscr.pk/explore/themes/politics-governance/conceptualising-pakistans-geostrategic-identity/

4、通过“一带一路”倡议提高巴基斯坦的海域意识

https://cscr.pk/explore/themes/defense-security/enhancing-pakistans-maritime-domain-awareness-through-the-bri/

5、美国财政部制裁俄罗斯联邦FGUP化学和力学中央科学研究所（也称为CNIIHM或TsNIIKhM）国家研究中心，指出Triton恶意样本与该研究机构存在巨大联系。

https://home.treasury.gov/news/press-releases/sm1162

之前的火眼发的技术证实贴：

https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html

6、欧盟制裁俄罗斯网络情报人员，涉及俄入侵德国联邦议会。

https://www.consilium.europa.eu/en/press/press-releases/2020/10/22/malicious-cyber-attacks-eu-sanctions-two-individuals-and-one-body-over-2015-bundestag-hack/

7、关于伊朗黑客30行代码如何炸毁27吨发电机的故事

https://www.wired.com/story/how-30-lines-of-code-blew-up-27-ton-generator/

广告时间

360威胁情报中心TI新版上线

https://ti.360.cn

本文始发于微信公众号（ThreatPage全球威胁情报）：今日威胁情报2020/10/23-26(第314期）