主题
恶意软件分析
19 October 2024
Tricks and Treats: GHOSTPULSE’s new pixel-level deception
The updated GHOSTPULSE malware has evolved to embed malicious data directly within pixel structures, making it harder to detect and requiring new analysis and detection techniques.
押注机器人:调查 Linux 恶意软件、加密货币挖矿和博彩 API 滥用
REF6138 活动涉及加密货币挖矿、DDoS 攻击和通过博彩 API 进行的潜在洗钱,凸显了攻击者使用不断发展的恶意软件和隐蔽的通信渠道。
行为规范:朝鲜利用 Python 入侵安全网络
本出版物调查了朝鲜对 Python 和精心设计的社交工程的战略性使用,揭示了他们如何通过不断发展和有效的网络攻击攻破高度安全的网络。
超越哀号:解构 BANSHEE 信息窃取程序
BANSHEE 恶意软件是一款基于 macOS 的信息窃取程序,专门窃取系统信息、浏览器数据和加密货币钱包。
BITS 和字节:分析新发现的后门 BITSLOTH
Elastic Security Labs 发现了一个利用后台智能传输服务 (BITS) 实现 C2 的新型 Windows 后门。该恶意软件是在最近一个被追踪为 REF8747 的活动组中发现的。
陷入危险:WARMCOOKIE 后门
Elastic Security Labs 观察到威胁行为者伪装成招聘公司来部署名为 WARMCOOKIE 的新型恶意软件后门。 该恶意软件具有标准的后门功能,包括捕获屏幕截图、执行其他恶意软件以及读取/写入文件。
窃取者遍布全球
本文介绍了我们对顶级恶意软件窃取程序家族的分析,揭示了它们的操作方法、最新更新和配置。 通过了解每个家庭的作案手法,我们可以更好地理解其影响的程度,并可以相应地加强我们的防御。
使用 LATRODECTUS 进行春季大扫除:ICEDID 的潜在替代品
Elastic 安全实验室观察到最近出现的名为 LATRODECTUS 的加载器有所上升。 这款轻型装载机与 ICEDID 有着密切的联系,功能强大,可能会成为填补装载机市场空白的替代品。
剖析 REMCOS RAT:深入分析广泛传播的 2024 恶意软件,第四部分
在本系列的前几篇文章中,Elastic Security Labs 团队的恶意软件研究人员分解了 REMCOS 配置结构并详细介绍了其 C2 命令。 在最后一部分中,您将了解有关使用 Elastic 技术检测和搜寻 REMCOS 的更多信息。
剖析 REMCOS RAT:深入分析广泛传播的 2024 恶意软件,第三部分
在本系列的前几篇文章中,Elastic Security Labs 团队的恶意软件研究人员深入研究了 REMCOS 执行流程。 在本文中,您将了解有关 REMCOS 配置结构及其 C2 命令的更多信息。
剖析 REMCOS RAT:深入分析广泛传播的 2024 恶意软件,第二部分
在有关 REMCOS 植入物的系列前一篇文章中,我们分享了有关执行、持久性和防御逃避机制的信息。 继续本系列,我们将介绍其执行流程的后半部分,您将了解有关 REMCOS 记录功能及其与 C2 的通信的更多信息。
剖析 REMCOS RAT:深入分析广泛传播的 2024 恶意软件,第一部分
这篇恶意软件研究文章从高层次描述了 REMCOS 植入物,并为该系列的未来文章提供了背景。
Hex-Rays 反编译内部原理介绍
在本出版物中,我们深入研究 Hex-Rays 微代码并探索操纵生成的 CTree 来反混淆和注释反编译代码的技术。
使用 GULOADER 进行解密:反混淆下载器
Elastic Security Labs 介绍了更新后的 GULOADER 分析对策。
弹力接住朝鲜传球 KANDYKORN
Elastic 安全实验室揭露朝鲜试图利用新型 macOS 恶意软件感染区块链工程师。
GHOSTPULSE 使用各种躲避防御的诡计来困扰受害者
Elastic Security Labs 披露了一项新活动的细节,该活动利用逃避防御的能力来用恶意 MSIX 可执行文件感染受害者。
揭露 BLOODALCHEMY 后门
BLOODALCHEMY 是一种新型、积极开发的后门,它利用良性二进制文件作为注入载体,是 REF5961 入侵集的一部分。
使用命名管道彻夜跳舞 - PIPEDANCE 客户端发布
在本出版物中,我们将介绍该客户端应用程序的功能以及如何开始使用该工具。
REF5961 入侵套件简介
REF5961入侵事件揭露了三个针对东盟成员的新恶意软件家族。 利用这套入侵手段的威胁行为者不断发展和完善其能力。
重温 BLISTER:BLISTER 装载机的新发展
Elastic 安全实验室深入研究了 BLISTER 加载器恶意软件家族的最新发展情况。
NAPLISTENER:SIESTAGRAPH 开发人员的更多噩梦
Elastic 安全实验室观察到 SIESTAGRAPH 背后的威胁已将重点从数据盗窃转移到持续访问,并部署了 NAPLISTENER 等新恶意软件来逃避检测。
Elastic 对 SPECTRALVIPER 施展“魔力”
Elastic Security Labs 发现了 P8LOADER、POWERSEAL 和 SPECTRALVIPER 系列恶意软件,其目标是越南的一家国家农业企业。REF2754 与 REF4322 和 APT32 活动组共享恶意软件和动机元素。
Elastic 安全实验室破解 r77 rootkit
Elastic Security Labs 探索了一项利用 r77 rootkit 的活动,并且已观察到部署 XMRIG 加密矿工。 该研究重点介绍了 rootkit 的不同模块以及如何使用它们来部署其他恶意负载。
Elastic 安全实验室发现 LOBSHOT 恶意软件
Elastic Security Labs 正在将一个新的恶意软件家族命名为 LOBSHOT。 LOBSHOT 通过 Google Ads 和 hVNC 会话传播并渗透目标网络,以部署伪装成合法应用程序安装程序的后门。
Elastic 用户免受 SUDDENICON 供应链攻击
Elastic 安全实验室正在发布分类分析,以协助 3CX 客户初步检测 SUDDENICON,这是一种可能影响 3CX VOIP 软件电话用户的供应链漏洞。
吸塑装载机
BLISTER 加载器继续被积极用于加载各种恶意软件。
攻击链指向XWORM和AGENTTESLA
我们的团队最近观察到一种新的恶意软件活动,该活动采用了完善的、具有多个阶段的流程。 该活动旨在诱骗毫无戒心的用户点击看似合法的文档。
不再沉睡:SOMNIRECORD 的警钟
Elastic Security Labs 的研究人员发现了一个用 C++ 编写的新型恶意软件家族,我们将其称为 SOMNIRECORD。 该恶意软件充当后门,并在伪装成 DNS 的同时与命令和控制 (C2) 进行通信。
ICEDID 永久冻土融化摘要
Elastic 安全实验室分析了最近的 ICEDID 变体,该变体由加载器和机器人负载组成。 通过向社区端到端提供这项研究,我们希望提高人们对 ICEDID 执行链、能力和设计的认识。
绕舞池两圈——Elastic 发现 PIPEDANCE 后门
Elastic Security Labs 正在追踪一次对越南组织的主动入侵,该入侵使用了最近发现的可触发多跳后门,我们称之为 PIPEDANCE。 这款功能齐全的恶意软件通过使用命名的
CUBA 勒索软件恶意软件分析
Elastic Security 对 CUBA 勒索软件家族进行了深入的技术分析。 这包括恶意软件功能以及防御对策。
QBOT 恶意软件分析
Elastic Security Labs 发布了一份涵盖执行链的 QBOT 恶意软件分析报告。 通过这项研究,该团队制作了 YARA 规则、配置提取器和妥协指标 (IOC)。
探索 REF2731 入侵套件
Elastic Security Labs 团队一直在追踪 REF2731,这是一组涉及 PARALLAX 加载器和 NETWIRE RAT 的 5 阶段入侵攻击。
BUGHATCH 恶意软件分析
Elastic Security 对 BUGHATCH 恶意软件进行了深入的技术分析。 这包括能力以及防御对策。
Elastic 防范针对乌克兰的数据擦除恶意软件:HERMETICWIPER
针对乌克兰组织的 HERMETICWIPER 恶意软件的分析。
从一端到另一端 - 使用 Deimos 植入程序攀登金字塔
Deimos 植入物最早于 2020 被报道出来并一直处于积极开发状态;采用先进的分析对策来阻止分析。 这篇文章通过恶意软件指标详细介绍了该活动的 TTP。