freebuf概要
自今年年初新冠病毒在国内全面爆发,奇安信威胁情报中心便立刻意识到在这样的非常时期,网络攻击者绝不会自我“隔离”。保障关键业务系统的安全稳定运行及信息安全、重要网站的正常运转和内容不被篡改、防范和阻断利用疫情相关热点的APT、黑产等网络攻击,是另一个当务之急。
在春节期间,奇安信红雨滴团队和奇安信CERT便建立了围绕疫情相关网络攻击活动的监控流程,以希冀在第一时间阻断相关攻击,并发布相关攻击预警。
截至目前,奇安信红雨滴团队捕获了数十个APT团伙利用疫情相关信息针对境内外进行网络攻击活动的案例,捕获了数百起黑产组织传播勒索病毒、远控木马等多类型恶意代码的攻击活动。并通过基于奇安信威胁情报中心威胁情报数据的全线产品阻断了数千次攻击。相关详细信息均及时上报国家和地方相关主管部门,为加强政企客户和公众防范意识,也将其中部分信息摘要发布。
在本报告中,我们将结合公开威胁情报来源和奇安信内部数据,针对疫情期间利用相关信息进行的网络攻击活动进行分析,主要针对疫情相关网络攻击态势、APT高级威胁活动、网络犯罪攻击活动,以及相关的攻击手法进行详细分析和总结。
主要观点
l 从奇安信对疫情期间监控到的各类网络攻击活动来看。在疫情爆发初期,我们捕获到的攻击来源主要集中在嗅觉灵敏的国家级APT组织以及网络黑产团伙,例如:海莲花、摩诃草、毒云藤、金眼狗等等。他们利用受害者对于疫情热点信息的高关注度,使用疫情相关内容作引诱,并多采用钓鱼、社交网络等方式针对特定人群和机构进行定向攻击。
l 而在疫情爆发的中期,各类网络犯罪团伙轮番登场。我们持续监控到国内外诸多网络犯罪团伙通过疫情热点信息传播勒索病毒、银行木马、远控后门等恶意程序的敛财活动。
l 随着新冠肺炎的全球性蔓延,当前我们监控到越来越多的APT组织、黑产团伙、网络犯罪组织加入到利用疫情热点的攻击活动中。例如近期新冠肺炎爆发的国家意大利,我们就捕获了多个针对意大利并利用新冠肺炎为诱饵的网络攻击活动。从当前奇安信针对疫情期间的网络攻击大数据分析来看,随着疫情的全球性蔓延,相关的网络攻击已存在蔓延态势的苗头。
全球疫情相关网络攻击趋势
数量和趋势
自今年1月底新冠疫情爆发开始,嗅觉灵敏的国家级APT组织以及网络黑产团伙便率先展开在网络空间借疫情信息进行的网络攻击活动。1月底到2月中旬,由于大规模疫情仅限于中国境内,这一期间,疫情相关的网络攻击活动也主要表现为针对中国境内。而随着2月中旬后,新冠疫情开始在全球范围内爆发,随之而来的网络攻击行动也逐步扩撒到世界范围,攻击活动越发频繁,越来越多的APT组织、黑产团伙、网络犯罪组织加入到利用疫情热点的攻击活动中。
下图为红雨滴团队近期捕获到的疫情相关恶意文件数量趋势:
诱饵关键字
根据奇安信红雨滴团队基于疫情相关网络攻击活动的监控来看,网络空间的攻击随着新冠病毒的扩撒而变化。前期,只有中国境内疫情严重时,相关网络攻击便集中针对汉语使用者,并多借以疫情相关中文热点诱饵信息进行攻击。相关诱饵包含的信息例如:“口罩价格”、“疫情防控”、“逃离武汉”、”信息收集”、”卫生部”等等。
而到了2月中旬,欧洲、日韩等国家疫情突然进入爆发期,针对全球范围的网络攻击开始激增,诱饵信息开始转变为多种语言,以” Covid19”、”Covid”、”mask”、”CORONA VIRUS”、”Coronavirus”、”COVID-19”等诱饵信息为主。
下图为红雨滴团队根据攻击活动相关的诱饵热词制作的词云图:
恶意文件类型
而在本轮疫情相关的网络攻击活动中涉及的恶意文件类型来看,大部分攻击者倾向于直接将PE文件加上疫情相关的诱饵名并通过邮件、社交媒体等方式传播。其次是带有恶意宏或者Nday漏洞的文档类样本。同时,移动端的攻击数量也不在少数。
受害目标的国家和地区
通过疫情相关的网络攻击目标来看,中国、美国、意大利等疫情影响最为严重的国家也恰巧成为疫情相关攻击最大的受害地区,这说明网络攻击者正是利用了这些地区疫情关注度更高的特点来执行诱导性的网络攻击。下图为受疫情相关网络攻击的热度地图,颜色越深代表受影响更大。
疫情相关网络攻击受害地区分布图
活跃的APT和黑产团伙
通过红雨滴团队的疫情攻击监测发现,黑产团伙仍然是疫情相关网络攻击活动的最主要来源,其通过疫情相关诱饵传播银行木马、远控后门、勒索挖矿、恶意破坏软件等恶意代码,近期红雨滴团队还捕获了伪装成世卫组织传播恶意木马的多起网络攻击活动。
而国家级APT组织当然也是嗅觉最灵敏的网络攻击团伙,在疫情爆发的整个周期,针对疫情受害严重的国家和地区的APT攻击活动就没有停止过。已被公开披露的APT攻击事件就已达数十起。我们在下图中列举了截止目前借疫情进行APT攻击的团伙活跃度。
疫情相关攻击活动分析
奇安信红雨滴团队基于疫情网络攻击事件感知系统,捕获了数百例疫情相关的APT攻击与网络犯罪等攻击活动。以下部分分别介绍APT和网络犯罪相关的威胁活动和攻击技术。
针对性的APT高级威胁活动
APT攻击,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。
摩诃草
摩诃草组织(APT-C-09),又称 HangOver、VICEROY TIGER、The Dropping Elephant、 Patchwork,是一个来自于南亚地区的境外 APT 组织,该组织已持续活跃了 7 年。摩诃草组 织最早由 Norman 安全公司于 2013 年曝光,随后又有其他安全厂商持续追踪并披露该组织的最新活动,但该组织并未由于相关攻击行动曝光而停止对相关目标的攻击,相反从 2015 年开始更加活跃。 摩诃草组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。相关攻击活动最早可以追溯到 2009 年 11 月,至今还非常活跃。在针对中国地区的攻击中,该组织主要针对政府机构、科研教育领域进行攻击,其中以科研教育领域为主。
在疫情爆发初期,该组织便利用” 武汉旅行信息收集申请表.xlsm”,” 卫生部指令.docx”等诱饵对我国进行攻击活动。同时,该组织也是第一个被披露利用疫情进行攻击的APT组织。
相关诱饵如下:
此类样本将通过宏等方式从远程服务器下载后续木马执行
获取的木马均为PatchWork独有的CnC后门,该后门具有远程shell,上传文件,下载文件等功能
蔓灵花
蔓灵花(Bitter)是疑似具有南亚背景的APT组织,长期针对中国、巴基斯坦等国家进行攻击活动,该组织主要针对政府、军工业、电力、核等单位进行攻击,窃取敏感资料,具有强烈的政治背景。
摩诃草率先借疫情发动攻击后,同样具有南亚背景的蔓灵花也开始伪装国内某政府单位进行攻击活动。诱饵文档信息如下
并释放执行蔓灵花常用的木马执行
海莲花
海莲花(OceanLotus)是一个据称越南背景的 APT 组织。该组织最早于 2015 年 5 月被天眼 实验室所揭露并命名,其攻击活动最早可追溯到 2012 年 4 月,攻击目标包括中国海事机构、 海域建设部门、科研院所和航运企业,后扩展到几乎所有重要的组织机构,并持续活跃至今。
而实际上,根据各安全厂商机构对该组织活动的拼图式揭露,海莲花团伙除针对中国发起攻击之外,其攻击所涉及的国家分布非常广泛,包括越南周边国家,如柬埔寨、泰国、老挝等, 甚至包括越南的异见人士、媒体、地产公司、外资企业和银行。
奇安信红雨滴(RedDrip)安全研究团队(前天眼实验室)一直对海莲花团伙的活动保持高强度的跟踪,疫情期间,一直针对国内进行攻击的海莲花自然不会放过机会。不但利用疫情相关信息进行攻击,还利用了湖南爆发的禽流感等信息进行攻击。并采用WPS白加黑的方式执行木马。
相关诱饵信息如下:
经WPS文字处理软件白加黑方式加载起来的恶意dll最终会加载执行海莲花特有的Denis木马
毒云藤
毒云藤,又称APT-C-01, 绿斑,是一个长期针对中国国防、政府、科技、教育以及海事机构等重点单位和部门的APT组织,该组织最早的活动可以追溯到2007年。
疫情期间,该组织开展了多次疫情相关的钓鱼行动,分别构造了虚假的qq邮箱,163邮箱等登陆界面,以”《南部杜氏中医》献方”,“新表.xls”等为诱饵,诱导受害者输入账户密码登陆下载文件。从而窃取受害者账号密码。
Hades
Hades组织最早被披露是在2017年12月22日针对韩国平昌冬奥会的攻击事件,其向冬奥会邮箱发送带有恶意附件的鱼叉邮件,投递韩文的恶意文档,控制域名为伪装的韩国农林部域名地址。
该组织使用被命名为OlympicDestroyer的恶意代码,其对目标主机系统具有破坏性
奇安信红雨滴团队在日常的疫情攻击监测中,发现一例伪装为乌克兰卫生部公共卫生中心发布疫情信息的攻击样本。在捕获该样本的第一时间便对其进行了公开披露。
样本信息如下
| 文件名 | Коронавірусна інфекція COVID-19.rar |
|---|---|
| MD5 | 53b31f65bb6ced61c5bafa8e4c98e9e8 |
| VT 上传地 | 乌克兰 |
| RAT MD5 | 0ACECAD57**015E14D9B3BB02B433D3E |
| C2 | cloud-security.ggpht[.]ml |
该样本为宏利用文档,诱饵信息如下,诱导受害者启用宏
启用宏后会展示完整的文档
之后释放远控木马执行
释放执行的木马采用c#编写,硬编码了一个c2地址
该木马具有获取进程列表,截屏,键盘记录等功能
经友商溯源分析发现该样本疑似出自Hades之手。
ProjectM
ProjectM又称APT36, Transparent Tribe,Operation C-Major。是疑似具有南亚政府背景的攻击组织,其主要针对周边国家地区进行攻击活动。
奇安信威胁情报中心公开披露了该组织利用新冠病毒信息进行攻击的样本。
样本信息如下
| 文件名 | Urgent Encl 1.xls |
|---|---|
| MD5 | e074c234858d890502c7bb6905f0716e |
| 利用方式 | 宏 |
| RAT MD5 | e262407a5502fa5607ad3b709a73a2e0 |
| C2 | 107.175.64.209:6728 |
| 文档来源 | http://email.gov.in.maildrive.email/?att=1581914657 |
该组织构造了一个与印度电子信息处高度相似的域名http://email.gov.in.maildrive.email/进行样本下发。获取到的样本为宏利用文档。启用宏弹框诱使受害者启用宏
启用宏后便会展示新冠病毒相关信息
同时,也会释放恶意木马执行
释放的木马为ProjectM独有的远控木马Crimson RAT。具有远程shell,上传,下载文件,获取进程信息,结束指定进程等多种远控木马功能
Kimsuky
Kimsuky,别名Mystery Baby,Baby Coin,Smoke Screen,Black Banshe。疑似具有东北亚背景,主要针对韩国,俄罗斯进行攻击活动,最早有卡巴斯基披露。韩国安全公司认为其与Group123存在部分重叠。
3月初,韩国疫情开始爆发,而作为长期针对韩国进行网络攻击行动的APT,Kimsuky自然不会放过如此好机会,也利用疫情相关信息对韩国进行了攻击活动。
奇安信红雨滴团队捕获的样本信息如下
| 文件名 | 코로나바이러스 대응.doc_(冠状病毒对应) |
|---|---|
| MD5 | a9dac36efd7c99dc5ef8e1bf24c2d747 |
| 利用方式 | 宏 |
样本运行后显示如下内容诱导受害者启用宏
当受害者启用宏之后,便会显示疫情相关文档迷惑受害者
而恶意宏会从vnext.mireene[.]com/theme/basic/skin/member/basic/upload/search.hta下载Hta文件执行
Search.hta将再次获取hta文件执行
再次获取到hta文件将收集主机名、用户名、IP信息、进程列表、磁盘信息、网络环境等信息,并创建计划任务定时获取命令执行
截至完稿前,奇安信红雨滴再次捕获一起Kimsuky利用疫情信息针对韩国的攻击样本,该样本利用python恶意脚本针对MACOS平台进行攻击活动,详细样本信息如下。
| 文件名 | COVID-19 and North Korea.docx |
|---|---|
| MD5 | a4388c4d0588cd3d8a607594347663e0 |
该样本在文档中嵌入了一个远程模板文件,受害者打开文档后,则会从外部链接:
http://crphone.mireene.com/plugin/editor/Templates/normal.php?name=web下载带有恶意宏的文档继续运行
行文档后在文档打开界面中可以看见模板注入的远程地址:
打开文档后,诱导受害者启用宏
一旦受害者按照恶意文档指导启用宏后,恶意宏将判断是否是MAC环境,若是,将下载恶意的python脚本执行
为了掩饰其恶意行为,还会展示关于covid19相关信息以迷惑受害者。
恶意python脚本将再次从远程服务器拉回python代码执行
最终的python脚本将通过系统命令收集进程列表,系统信息,软件列表,文档等信息保存到/Group Containers/UBF8T346G9.Office/backup.zip
之后将打包的信息发送到远程服务器
从远程服务器获取新的脚本执行
并每隔五分钟循环上述操纵
KONNI
Konni组织被认为是来自东北亚的APT团伙,韩国安全厂商ESTsecurity通过关联分析,认为其与Kimsuky组织存在联系。
在疫情期间,Konni组织也没让Kimsuky单兵作战,Konni使用其常用的攻击手法展开了疫情期间的攻击活动,样本信息如下
| 文件名 | Keep an eye on North Korean cyber.doc |
|---|---|
| MD5 | 1a7232ef1386f78e76052827d8f703ae |
样本将字体设为较浅的颜色,可以依稀看到Covid-19等疫情相关字样,诱导受害者启用宏
一旦受害者启用宏后,恶意宏代码将从远程下载执行konni组织常用的木马控制受害者机器
TA505
TA505组织由Proofpoint在2017年9月首次命名,其相关活动可以追溯到2014年。该组织主要针对银行金融机构,采用大规模发送恶意邮件的方式进行攻击,并以传播Dridex、Locky等恶意样本而臭名昭著
在疫情期间,红雨滴团队捕获该团伙多个以“COVID-19-FAQ.xls”为名的攻击文档。
部分样本信息如下
| 文件名 | MD5 |
|---|---|
| COVID-19-FAQ.xls | 501b86caaa8399d508a30cdb07c78453 |
| COVID-19-FAQ.xls | 8d172a2eb3d94322b34a2586365eb442 |
| COVID-19-FAQ (2).xls | baef0f7897694a3d2783cef0b19239be |
此类样本均采用宏利用方式,打开文档后,将诱导受害者启用宏
受害者启用后,将展示一个虚假的进度条迷惑受害者,这与TA505之前的活动类似
同时,恶意木马也将被加载执行,收集计算机信息发送到远程服务器
网络犯罪及相关攻击技术
黑产等网络犯罪攻击不同于APT攻击具有非常独特的定向性,通常采用撒网的方式,四处传播恶意代码,以达到牟利的目的。在疫情期间,红雨滴团队捕获多个黑产团体的攻击行动,包括已被披露的金眼狗等。
由于黑产团伙组织较多,且攻击活动基本一致,故本节不以团伙分类,而从攻击手法上进行阐述。
鱼叉邮件攻击
钓鱼邮件在网络攻击活动中是最常见的一种投递方式,黑客通过热点新闻等信息诱导受害者执行邮件附件,从而控制受害者计算机。以下为部分利用疫情热词并通过钓鱼邮件分发的不同恶意附件类型样本分析
恶意宏文档
| 文件名 | 2.eml |
|---|---|
| MD5 | d5930a9698f1d6aa8bb4ec61a1e1b314 |
| 附件名 | COVID 19 Requisition.xls |
| 传播木马 | Zloader |
该邮件宣称只要填上附件相关信息,并打印就可以在附件医院免费检查诱导受害者执行附件
附件 COVID 19Requisition.xls中包含恶意的宏,一旦用户执行附件并启动宏,恶意的宏代码将会从远程下载文件并通过rundll32.exe执行
下载执行的文件是出名的Zloader
漏洞利用
| 文件名 | Malicious Content Detected CORONA VIRUS AFFECTED VESSEL TO AVOID.msg |
|---|---|
| MD5 | 9b389a1431bf046aa94623dd4b218302 |
| 附件名 | CORONA VIRUS AFFECTED CREW AND VESSEL.xls |
| 传播木马 | HawkEye RAT |
黑客伪装为世卫组织欧洲办事处,宣传一些疫情期间防护措施,并要求受害者执行附件,将体温信息按照附件格式进行登记
该附件是公式编辑漏洞利用文档,执行后运行流程如下
最后将从远程拉回一个hawkeye远程控制木马执行
压缩包内附带PE文件
| 文件名 | W.H.O._CORONAVIRUS(COV,19) SAFETY目标>字段中,这个命令将会在执行LNK文件的同时运行,受到长度限制的影响,目标>字段中只会显示部分命令。将完整命令提取出来之后可知LNK文件执行时将会在本地释放并执行包含shellcode的VBS木马。
Shellcode解码之后将会通过POST请求从hxxp[:]//185.62.188.204下载后续的远控exe到本地执行以控制受害者计算机。
恶意脚本类奇安信红雨滴团队捕获多起以疫情为诱饵的脚本类攻击样本,部分样本信息如下
以covid22_form.vbs为例,样本运行后,会通过Execute执行一段base64编码的shellcode 经过多次解密,最终执行一段powershell代码,用于从指定web服务器下载3个dat文件并保存到本地解密执行,以控制受害者计算机。
JARJAR文件是在安装了JRE等JAVA运行环境的操作系统上能直接运行的可执行程序。由于JAVA具有跨平台的特性,所以这类文件可以在安装了JAVA运行时库的大部分操作系统上运行,包括Windows、Linux、macOSX、Android。
由于具有跨平台的特性,所以近几年这类文件被黑客更多的利用于制作木马进行网络攻击,而红雨滴团队近期也捕获了大量以新冠病毒字眼为诱饵的JAR木马样本,我们以以下样本为例进行分析。
样本运行后,通过AES解密资源文件的代码,在%temp%目录下释放一个vbs文件,用于协助查找和结束所有的安全软件,包括杀毒软件、取证软件、抓包软件等 还会禁用任务管理器,系统还原等
疫情期间的网络安全防范建议鉴于疫情防控期间企业用户多会采用远程办公的方式开展工作,奇安信建议广大政企用户从以下方面做好针对性的网络安全防范措施:
一、 终端安全防范 l 个人办公电脑及时安装及更新补丁 l 使用来源可信、正版的操作系统及软件,不使用Windows 7、Office 2007等不受支持的老旧版本系统及软件 l 尽力避免使用弱口令,建议疫情防控期间强制更换口令或加快口令到期频率 l 安装奇安信天擎等正版企业级杀毒软件
二、 接入安全防范 l 务必通过虚拟专用网络(VPN)的方式接入办公网络环境 l 禁止使用公共场合或借用他人的WiFi网络接入办公网络环境 l 严禁使用远程办公电脑处理私人事务或访问非工作网络,可部署奇安信网康等上网行为管理系统
三、 企业侧网络安全防范 l 企业侧的重要服务器确保有DDoS防护设备、WAF、IPS等设备进行防护,并将规则库升级到最新版本,相关服务器确保补丁修复或进行相应的加固(可使用奇安信椒图相关产品加固服务器) l 做好相关重要数据备份工作 l 相对平时需要提升网络安全基线 l 建议政企单位搭建使用蓝信安全移动工作平台进行安全远程办公 l 政企用户可以建设态势感知以完善资产管理及持续监控能力 l 政企用户可引入奇安信威胁情报、部署奇安信文件沙箱来对远程办公传输的文件进行威胁分析 l 为关键业务系统使用独立的线路,与网站系统隔离,防止攻击发生时对关键业务产生影响 l 由于政企用户的网站IP会暴露在互联网,成为攻击目标,建议政企网站接入奇安信安域或其他云防护
四、 员工安全意识提升 l 禁止打开或观看社交渠道分享的不明链接、文件 l 对邮件来源的链接、文件保持高度警惕,禁止点击陌生邮件中的链接或运行邮件附件,必要时可以将邮件附件或链接上传至企业内部的文件沙箱进行威胁检测 l 个人办公电脑专机专用,严禁用于一切非工作事务 l 禁止使用公共场合或借用他人的WiFi网络接入远程办公网络 l 及时备份工作相关的重要文件
必要时求助奇安信24小时应急响应安全服务:400-8136-3606 总结疫情还未结束,网络空间的战斗也还将继续,奇安信红雨滴团队提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张的标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。 若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行简单判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对本次疫情相关的攻击的精确检测。 IOCs由于IOC数量较多,仅在文章结尾公开部分IOC数据。
MD5: b08dc707dcbc1604cfd73b97dc91a44c 3519b57181da2548b566d3c49f2bae18 78359730705d155d5c6928586d53a68e 21b837f22afa8d9ca85368c69025a9f4 d739f10933c11bd6bd9677f91893986c 53b31f65bb6ced61c5bafa8e4c98e9e8 e074c234858d890502c7bb6905f0716e e262407a5502fa5607ad3b709a73a2e0 a9dac36efd7c99dc5ef8e1bf24c2d747 a4388c4d0588cd3d8a607594347663e0 501b86caaa8399d508a30cdb07c78453 8d172a2eb3d94322b34a2586365eb442 baef0f7897694a3d2783cef0b19239be 74572fba26f5e988b297ec5ea5c8ac1c a30391c51e0f2e57aa38bbe079c64e26 2c268c58756eb83c4ecfd908d1b482ea 3a0a6dbc2ba326854621f3baf87f611c fe852bb041f4daba68a80206966e12c0 87ad582f478099a6d98bf4b2527d0175 4d30ea0082881d85ff865140b284ec3f f264626b18a074010f64cf3e467c4060 bc102766521118a99fc99c09beb8b5fe 18d156e18a9c23bc1ea9dbe5ca1bdb9d d8f6c66f84546ef19d8373f3bc9f1185 038d513fe3d04057b93a81e45826d141 72ecf3804af2d9016fa765a708e25b7c 5c5cffca81810952b66d8d7bb3bd2065 324445e12e6efabd9c9299342bd72e29 5585ea31ee7903aade5c85b9f76364e8 53b31f65bb6ced61c5bafa8e4c98e9e8 b48c3f716ebdb56ec2647b1e83049aa3 097c83d36393cc714e9867bd87871938 2036755c86ce5ce006ca76a7025d5d09 2ea346432bfb1cbc120d43c4de906cda 4d412d13b20be55f6834eae8aba916a7 583c8dc8e20c8337b79c6f6aaacca903 29e8800ebaa43e3c9a8b9c8a2fcf0689 dce43ca5113bb214359d0d2d08630f38 e75c159d4f96a6a9307c7a32e98900e3 258eda999b9ac33c52b53f4d8c77dcb0 d6557715b015a2ff634e4ffd5d53ffba baef0f7897694a3d2783cef0b19239be 2c522f3527def8ac97958cd2c89a7c29 参考链接[1]南亚APT组织“透明部落”借新冠肺炎针对周边国家和地区的攻击活动分析 [2]穷源溯流:KONNI APT组织伪装韩国Android聊天应用的攻击活动剖析 [3]Twitter https://twitter.com/RedDrip7/status/1237983760802394112 [4]Twitter https://twitter.com/RedDrip7/status/1237619274581041157 [5]Twitter https://twitter.com/RedDrip7/status/1230683740508000256 [6] “ Konni”和“Kimsuky”的APT活动关联 |
|---|
转载请注明来自网盾网络安全培训,本文标题:《COVID-19 | 新冠病毒笼罩下的全球疫情相关网络攻击分析报告》
- 上一篇: 知物由学 | 社交风控中遇到的问题,可以用这些手段进行“围追堵截”
- 下一篇: ESP定律原理详解
