网络攻防没有尽头,但有持续无声的对抗。上一周结束,基于微步产品及服务,以及微步情报局的跟踪及研判,我们看到了这几个重要的趋势:
-
以“云函数”作为C2域名的情况锐减,微步情报局推测与云函数服务限制注册有关,预计后续域前置、IP直连等方式会相继增多;
-
目标存储服务(Object Storage Service,OSS)作为恶意组件下载地址仍是主流,同时发现上周新增一些新的OSS服务地址。
微步情报局发现,上周红队工具仍以CobaltStrike木马为主,且微步云沙箱S捕获红队工具样本300+,CobaltStrike木马样本1500+。此外,Rust语言编写的木马因其逆向分析难度大和免杀效果更佳等特点,在今年得到了较往年更为广泛的应用。
基于微步情报局跟踪及研判分析,上周攻击IP特征行为以漏洞利用、扫描器扫描、端口扫描、Zgrab扫描、Nmap扫描、备份文件爆破为主,无明显变化;
攻击样本部分,主要围绕政企、机构等个体不同角色不同需求制造攻击样本,重点涵盖以下几大类,如:
-
招聘/应聘简历:简历-**.pdf、****研究所应聘登记表 – 副本.exe、**金融(渠道经理).zip、**金融(渠道经理).zip、**有限公司社会招聘报名登记表.exe、个人简历.exe、应聘贵公司-投资开发部主管-***pdf.exe等; -
员工日常生活需要:***抢票助手.exe、快猫.rar 、****商业报销.PIF、**会议(去除 30 分钟限制).exe、****服务补丁升级包安装文件.rar等; -
员工工作业务相关:如集团网站隐私保护政策的疑问及建议.zip、关于***违规违纪问题处理意见的函.rar、化工项目现场安全员+**+*****.zip、情况说明.zip、《关于集团网络资产评估管理有关事项的通知》.exe、第三周周报.exe、测试 tdp (2).zip、集团“星火计划”推荐学员参加选拔考试通知_docx.exe、关于 2024 年公司财务调整的通知.exe、关于开展整治形式主义为基层减负有关工作情况摸底反馈函-个人(1).rar等。
微步威胁感知平台TDP及威胁防御系统OneSIG检测到0day漏洞140+,Nday漏洞170+,涉及系统仍以OA系统、安全设备、中间件、网络设备为主。
原文始发于微信公众号(微步在线):第二周开始了,这些新套路你见过没
