Recorded Future的安全专家表示确定了从2019年11月下旬到至少2020年1月5日,与欧洲能源部门组织的邮件服务器进行通信的PupyRAT恶意软件C2服务器,虽然仅元数据并不能证明是一个入侵活动,但研究人员从目标邮件服务器到PupyRAT C2的大量通信和重复通信的评估表明可能存在入侵。PupyRAT是Github上可用的开源远控木马,研究人员表示最然已被伊朗组织APT33和COBALT GYPSY使用,但此次发现的PupyRAT控制器不确定是否归属为以上两个伊朗组织。
研究人员发现TrickBot木马的新模块功能,其针对存储在受感染Windows域控制器上的活动目录(Active Directory)数据库。新模块功能名为“ADll”,其利用“Install from Media”命令将活动目录数据库和各种注册表组转储到%Temp%文件夹,然后将这些文件压缩并发送给攻击者,文件包含用户名、密码哈希、计算机名、组和其它数据。
发表于 2020-1-24 20:04
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡