新年快乐

高级威胁分析

1、Of Kittens and Princes: the latest updates on two Iranian espionage operations——APT-C-50对至少针对全世界个人的网络攻击活动，其中大多数在伊朗，美国，阿富汗和巴基斯坦。目标大概1200多人，并感染了600多种设备。核心目的像是做大量监控，难道政局不稳，又有事儿？？？

https://blog.checkpoint.com/2021/02/08/of-kittens-and-princes-the-latest-updates-on-two-iranian-espionage-operations/

3、SolarMarker后门检测与分析

https://www.crowdstrike.com/blog/solarmarker-backdoor-technical-analysis/

4、 SUNBURST样本分析报告

https://us-cert.cisa.gov/ncas/analysis-reports/ar21-039a

IOC list：

https://us-cert.cisa.gov/sites/default/files/publications/MAR-10318845-1.v1.WHITE_stix.xml

5、高级的定向攻击

在1月15日至20日这段时间里，Morphisec确定了一项针对来自制造业的多个德国客户的重要活动。目标人员被重定向到了受感染的网站，这些网站过去一直（现在）仍在提供高级无文件下载程序，这些下载程序最终导致Osiris客户端通过捆绑的mini-Tor与C2洋葱Tor面板进行通信。经过进一步调查并与社区共享了一些TTP，我们被告知了其他目标国家，例如美国和韩国，这些国家使用报告中所述的相同交付机制交付了REvil和其他有效载荷。

https://blog.morphisec.com/long-live-osiris-banking-trojan-targets-german-ip-addresses

6、【重点技术】：利用Telegram附近的人“多点定位”！教程级别！！！

不说了，很重要，都标这么黑了，抓紧给目标用上吧

https://owlspace.xyz/cybersec/tg-nearby/

技术分享

1、OSINT工具：地理位置GEO分析

https://www.kitploit.com/2021/02/creepy-geolocation-osint-tool-offers.html

https://github.com/jkakavas/creepy/

2、摩斯电码的html网络钓鱼，俺也是第一次看到这种。

https://www.bleepingcomputer.com/news/security/new-phishing-attack-uses-morse-code-to-hide-malicious-urls/

https://www.reddit.com/r/cybersecurity/comments/le2q3v/first_time_ive_seen_this_a_malware_attachement_in/

3、上一篇发过这个作者的帖子，不说了，分析过，好强。更新帖子：/cobaltstrike sunburst 检测脚本

https://github.com/carbonblack/active_c2_ioc_public/blob/main/cobaltstrike/sunburst/bd842c41b4c1b3c2deb475d7a3876599_parsed_config.txt

4、流行的QR码扫描仪应用程序出现问题，2021年12月4日更新后，由Lavabird开发的Google Play商店中一种流行的QR码扫描应用程序Barcode Scanner 变成了恶意软件。不知道是不是变成了供应链攻击了。

https://www.hackread.com/barcode-scanner-app-infected-users-malware/

5、BlobHunter是“狩猎Azure Blob暴露数百万个敏感文件”研究。扫描工具。

https://github.com/cyberark/BlobHunter

数据泄露

1、在黑客论坛上泄漏了最大的电子邮件和密码，包括32亿对独特的明文电子邮件和密码，汇总了Netflix，LinkedIn，Exploit.in，比特币等

https://cybernews.com/news/largest-compilation-of-emails-and-passwords-leaked-free/

网络战与网络情报

1、朝鲜对以色列等数十家国防公司和组织发起了网络攻击，以寻求军事情报和外汇，从2019年到20日，它从对加密资产（虚拟货币）交易所的攻击中抢走了估计的3.164亿美元（约合333亿日元）

https://www.nikkei.com/article/DGXZQOGN0607H0W1A200C2000000/

2、美国佛罗里达州发现黑客试图将自来水中的氢氧化钠（也称为碱液）的水平提高100倍以上。原贴是卢比奥转发，这逼又要乱扣帽子了，等着吧

https://www.tampabay.com/news/pinellas/2021/02/08/someone-tried-to-poison-oldsmars-water-supply-during-hack-sheriff-says/

3、价值很高的分析帖子：之前帖子发过，俄罗斯国家国防承包商Сайтэк（SyTech）被黑客入侵。（@0v1ruS）似乎是其背后的威胁参与者。该公告说，有超过7.5 TB的信息被盗。这次泄漏包括几个俄罗斯国家项目。

本帖子基本上还原了@0v1ruS的攻击路径，你不想知道俄罗斯国防承包商怎么被入侵的吗？

https://swithak.github.io/Pub/20210207_LEAKANALYSIS-SyTech-By-%40SwitHak

之前的情报帖子：

每周精华情报20190728

4、微软和SolarWinds就黑客入侵初始节点到底是谁的漏洞吵了起来，SolarWinds说是微软365软件漏洞导致SolarWinds软件被入侵引发的供应链攻击，而微软则否认……

https://searchsecurity.techtarget.com/news/252496046/Microsoft-SolarWinds-in-dispute-over-nation-state-attacks

5、黑客与社交网络：Tessian的研究表明，我们张贴并标记人物的每张照片都会导致有价值的信息泄漏，黑客可能会滥用这些信息来设计针对性的攻击。大约90％的用户在社交媒体上发布与其个人和职业生活相关的信息，而18岁至34岁之间的人数更高。此外，有55％的用户拥有公共帐户。有了所有这些信息，侦查对于黑客来说非常容易。他们可以从LinkedIn上找到新员工，并通过假冒公司的高级管理人员来诱使他们参与网络钓鱼诈骗。这些知识还可以用于在目标网络中查找人员并假冒目标信任的人。

https://www.tessian.com/research/how-to-hack-a-human/

本文始发于微信公众号（ThreatPage全球威胁情报）：今日威胁情报2021/2/7-9(第347期）