【天穹】多个变种!某知名游戏启动器遭银狐劫持
近期,天穹沙箱分析人员在样本狩猎时发现,某知名游戏厂商的RPG旗舰游戏客户端启动器由于缺乏完善的签名校验逻辑,遭银狐黑产组织DLL劫持利用,并在互联网上广泛传播。天穹沙箱已捕获到多个变种,经分析,这些样本的攻击手法相似,且均利用了相同的白程序。接下来,我们选取一个典型样本,对其进行深度分析。
侧加载
【天穹】HVV专题:典型HVV样本总结与IOC收集(第二期)
转眼间,HVV行动已经进行两周了,奇安信天穹沙箱持续为用户提供数据安全保障。本期就分析人员对近两周用户提交HVV样本的分析总结,给大家分享我们的新发现。除分析典型样本外,我们还在文末附上了一批高价值HVV样本IOC福利,欢迎大家查阅。
【天穹】HVV专题:典型HVV样本总结与IOC收集(第一期)
近期,HVV行动进行地如火如荼,奇安信天穹沙箱在线协助用户对HVV样本进行自动化分析,后台同步开展人工研判样本分析结果,全力保障用户安全。本文整理了近期较为典型的HVV样本,其传播方式仍以钓鱼为主,通常伪造为`官方通知`、`岗位招聘`、`合法软件安装包`、`邮箱验证`、`个人简历`等文件诱导用户点击,样本家族仍以`CobaltStrike`居多,同时也出现了许多红队自写C2框架,在C2通信协议上,样本广泛使用`云函数`和`国内云服务器IP`作为C2地址,并使用`HTTPS`、`域名伪装`、`自定义协议`等技术伪装会话内容。