类别
威胁情报
2025年7月3日
攻克SHELLTER:一个在野外被滥用的商业规避框架
Elastic 安全实验室检测到最近出现的信息窃取者使用非法获取的商业逃避框架 SHELLTER 版本来部署后利用有效载荷。
从南美到东南亚:REF7707 的脆弱网络
REF7707 使用新型恶意软件家族瞄准了南美外交部。不一致的逃避策略和操作安全失误暴露了更多对手拥有的基础设施。
押注机器人:调查 Linux 恶意软件、加密货币挖矿和博彩 API 滥用
REF6138 活动涉及加密货币挖矿、DDoS 攻击和通过博彩 API 进行的潜在洗钱,凸显了攻击者使用不断发展的恶意软件和隐蔽的通信渠道。
行为规范:朝鲜利用 Python 入侵安全网络
本出版物调查了朝鲜对 Python 和精心设计的社交工程的战略性使用,揭示了他们如何通过不断发展和有效的网络攻击攻破高度安全的网络。
GrimResource - 用于初始访问和规避的 Microsoft 管理控制台
Elastic 研究人员发现了一种名为 GrimResource 的新技术,它允许通过特制的 MSC 文件执行全部代码。这凸显了一种趋势,即资源充足的攻击者倾向于采用创新的初始访问方法来躲避防御系统。
窃取者遍布全球
本文介绍了我们对顶级恶意软件窃取程序家族的分析,揭示了它们的操作方法、最新更新和配置。 通过了解每个家庭的作案手法,我们可以更好地理解其影响的程度,并可以相应地加强我们的防御。
隐形矿工:揭秘 GHOSTENGINE 的加密货币挖矿业务
Elastic Security Labs 发现了 REF4578,这是一个包含多个恶意模块的入侵集,利用易受攻击的驱动程序来禁用已知的安全解决方案 (EDR),以进行加密货币挖矿。
利用弹性行为检测击沉 macOS 海盗船
这项研究着眼于最近发现的 macOS 恶意软件活动,该活动使用 macOS 端点安全框架与 Elastic Agent 配对来搜寻和检测该恶意软件表现出的行为。
PIKABOT,我选择你!
Elastic Security Labs 观察到新的 PIKABOT 活动,包括一个更新版本。PIKABOT 是一种广泛部署的加载程序,恶意行为者利用它来分发额外的有效负载。
揭露金融服务入侵:REF0657
Elastic Security Labs 详细介绍了利用开源工具和不同的后利用技术针对南亚金融服务行业的入侵行为。
弹力接住朝鲜传球 KANDYKORN
Elastic 安全实验室揭露朝鲜试图利用新型 macOS 恶意软件感染区块链工程师。
GHOSTPULSE 使用各种躲避防御的诡计来困扰受害者
Elastic Security Labs 披露了一项新活动的细节,该活动利用逃避防御的能力来用恶意 MSIX 可执行文件感染受害者。
揭露 BLOODALCHEMY 后门
BLOODALCHEMY 是一种新型、积极开发的后门,它利用良性二进制文件作为注入载体,是 REF5961 入侵集的一部分。
REF5961 入侵套件简介
REF5961入侵事件揭露了三个针对东盟成员的新恶意软件家族。 利用这套入侵手段的威胁行为者不断发展和完善其能力。
朝鲜使用 RUSTBUCKET 的新变种进行袭击
小心! 我们最近发现了 RUSTBUCKET 的变种。 阅读本文以了解我们观察到的新功能以及如何在您自己的网络中识别它。
揭露 JOKERSPY 的初步研究
探索 JOKERSPY,这是一项最近发现的针对使用 Python 后门的金融机构的活动。本文介绍了侦察、攻击模式以及识别网络中 JOKERSPY 的方法。
Elastic 对 SPECTRALVIPER 施展“魔力”
Elastic Security Labs 发现了 P8LOADER、POWERSEAL 和 SPECTRALVIPER 系列恶意软件,其目标是越南的一家国家农业企业。REF2754 与 REF4322 和 APT32 活动组共享恶意软件和动机元素。
攻击链指向XWORM和AGENTTESLA
我们的团队最近观察到一种新的恶意软件活动,该活动采用了完善的、具有多个阶段的流程。 该活动旨在诱骗毫无戒心的用户点击看似合法的文档。
REF2924:如何保持作为(高级?)的持久性 威胁
Elastic Security Labs 描述了 SIESTAGRAPH、NAPLISTENER 和 SOMNIRECORD 背后团队所使用的新型持久性技术。
PHOREAL 恶意软件专门攻击东南亚金融部门
Elastic Security 发现了 PHOREAL 恶意软件,该恶意软件的目标是东南亚金融组织,特别是越南金融部门。
REF2924 入侵事件集及相关活动的更新
Elastic Security Labs 正在提供对 2022 年 12 月发布的 REF2924 研究的更新。 此次更新包括植入物的恶意软件分析、其他发现以及与其他入侵的关联。
SiestaGraph:东盟成员国外交部发现新植入物
Elastic Security Labs 正在追踪可能的多个网络威胁行为者,他们利用 Exchange 漏洞、Web Shell 和新发现的 SiestaGraph 植入程序来获取和维持访问权限、提升权限并窃取目标数据。
探索 REF2731 入侵套件
Elastic Security Labs 团队一直在追踪 REF2731,这是一组涉及 PARALLAX 加载器和 NETWIRE RAT 的 5 阶段入侵攻击。
血熊行动
Elastic Security 确认针对乌克兰的新型破坏性恶意软件:Operation Bleeding Bear
使用 YIPPHB dropper 进行时间管理
Elastic Security Labs 概述了收集和分析 REF4526 入侵集各个阶段的步骤。 该入侵套件创造性地采用了 Powershell 脚本中的 Unicode 图标的方法来安装加载器、投放器和 RAT 植入程序。
ICEDID 网络基础设施运行良好
Elastic Security Labs 详细介绍了使用开源数据收集和 Elastic Stack 分析 ICEDID 僵尸网络 C2 基础设施。
CUBA 勒索软件活动分析
Elastic Security 观察到一场勒索软件和敲诈勒索活动,该活动利用攻击性安全工具、LOLBAS 和漏洞利用来传播 CUBA 勒索恶意软件。
LUNA 勒索软件攻击模式分析
在本研究出版物中,我们将探讨 LUNA 攻击模式——一种跨平台勒索软件变体。
探索 QBOT 攻击模式
在本研究出版物中,我们将探讨对 QBOT 攻击模式的分析——这是一个功能齐全且丰富的恶意软件家族。
Elastic Security 揭露 BLISTER 恶意软件活动
Elastic Security 已发现利用新发现的 BLISTER 恶意软件加载程序的主动入侵,该入侵利用有效的代码签名证书来逃避检测。 我们正在为安全团队提供检测指导,以保护自己。
深入分析以马来西亚为重点的 APT 活动中使用的先进技术
我们的 Elastic Security 研究团队专注于针对马来西亚的 APT 活动中使用的先进技术。 了解幕后黑手、攻击方式、观察到的 MITRE 攻击®技术以及妥协指标。
防御 Gamaredon 集团
了解俄罗斯威胁组织 Gamaredon Group 的近期活动。 这篇文章将回顾这些细节并提供检测策略。
FORMBOOK 采用无 CAB 方法
对观察到的 FORMBOOK 入侵企图进行活动研究和分析。
收集并实施来自 Mozi 僵尸网络的威胁数据
Mozi 僵尸网络是一场正在进行的恶意软件活动,其目标是不安全和易受攻击的网络设备。 这篇文章将展示分析师收集、分析和操作来自 Mozi 僵尸网络的威胁数据的过程。
Okta 和 LAPSUS$:你需要知道什么
LAPSUS$ 组织密切关注的最新组织是 Okta。 使用 Elastic 中的这些简单步骤来搜寻最近针对 Okta 用户的入侵威胁
勒索软件中断:Sodinokibi 和供应链
了解 Elastic Endpoint Security 基于行为的保护措施如何阻止针对多个端点的定向勒索软件攻击。