类别

攻击模式

2024 年 9 月 27 日

押注机器人：调查 Linux 恶意软件、加密货币挖矿和博彩 API 滥用

REF6138 活动涉及加密货币挖矿、DDoS 攻击和通过博彩 API 进行的潜在洗钱，凸显了攻击者使用不断发展的恶意软件和隐蔽的通信渠道。

占位符图像

行为规范：朝鲜利用 Python 入侵安全网络

2024 年 9 月 18 日

行为规范：朝鲜利用 Python 入侵安全网络

本出版物调查了朝鲜对 Python 和精心设计的社交工程的战略性使用，揭示了他们如何通过不断发展和有效的网络攻击攻破高度安全的网络。

GrimResource - 用于初始访问和规避的 Microsoft 管理控制台

2024 年 6 月 22 日

GrimResource - 用于初始访问和规避的 Microsoft 管理控制台

Elastic 研究人员发现了一种名为 GrimResource 的新技术，它允许通过特制的 MSC 文件执行全部代码。这凸显了一种趋势，即资源充足的攻击者倾向于采用创新的初始访问方法来躲避防御系统。

隐形矿工：揭秘 GHOSTENGINE 的加密货币挖矿业务

2024 年 5 月 22 日

隐形矿工：揭秘 GHOSTENGINE 的加密货币挖矿业务

Elastic Security Labs 发现了 REF4578，这是一个包含多个恶意模块的入侵集，利用易受攻击的驱动程序来禁用已知的安全解决方案 (EDR)，以进行加密货币挖矿。

利用弹性行为检测击沉 macOS 海盗船

利用弹性行为检测击沉 macOS 海盗船

这项研究着眼于最近发现的 macOS 恶意软件活动，该活动使用 macOS 端点安全框架与 Elastic Agent 配对来搜寻和检测该恶意软件表现出的行为。

揭露金融服务入侵：REF0657

31 January 2024

揭露金融服务入侵：REF0657

Elastic Security Labs 详细介绍了利用开源工具和不同的后利用技术针对南亚金融服务行业的入侵行为。

弹力接住朝鲜传球 KANDYKORN

2023 年 11 月 1 日

弹力接住朝鲜传球 KANDYKORN

Elastic 安全实验室揭露朝鲜试图利用新型 macOS 恶意软件感染区块链工程师。

GHOSTPULSE 使用各种躲避防御的诡计来困扰受害者

2023 年 10 月 27 日

GHOSTPULSE 使用各种躲避防御的诡计来困扰受害者

Elastic Security Labs 披露了一项新活动的细节，该活动利用逃避防御的能力来用恶意 MSIX 可执行文件感染受害者。

朝鲜使用 RUSTBUCKET 的新变种进行袭击

2023 年 7 月 14 日

朝鲜使用 RUSTBUCKET 的新变种进行袭击

小心！我们最近发现了 RUSTBUCKET 的变种。阅读本文以了解我们观察到的新功能以及如何在您自己的网络中识别它。

揭露 JOKERSPY 的初步研究

2023 年 6 月 21 日

揭露 JOKERSPY 的初步研究

探索 JOKERSPY，这是一项最近发现的针对使用 Python 后门的金融机构的活动。本文介绍了侦察、攻击模式以及识别网络中 JOKERSPY 的方法。

攻击链指向XWORM和AGENTTESLA

2023 年 4 月 10 日

攻击链指向XWORM和AGENTTESLA

我们的团队最近观察到一种新的恶意软件活动，该活动采用了完善的、具有多个阶段的流程。该活动旨在诱骗毫无戒心的用户点击看似合法的文档。

REF2924：如何保持作为（高级？）的持久性威胁

2023 年 3 月 27 日

REF2924：如何保持作为（高级？）的持久性威胁

Elastic Security Labs 描述了 SIESTAGRAPH、NAPLISTENER 和 SOMNIRECORD 背后团队所使用的新型持久性技术。

REF2924 入侵事件集及相关活动的更新

2023 年 2 月 7 日

REF2924 入侵事件集及相关活动的更新

Elastic Security Labs 正在提供对 2022 年 12 月发布的 REF2924 研究的更新。此次更新包括植入物的恶意软件分析、其他发现以及与其他入侵的关联。

SiestaGraph：东盟成员国外交部发现新植入物

2022 年 12 月 16 日

SiestaGraph：东盟成员国外交部发现新植入物

Elastic Security Labs 正在追踪可能的多个网络威胁行为者，他们利用 Exchange 漏洞、Web Shell 和新发现的 SiestaGraph 植入程序来获取和维持访问权限、提升权限并窃取目标数据。

探索 REF2731 入侵套件

2022 年 12 月 6 日

探索 REF2731 入侵套件

Elastic Security Labs 团队一直在追踪 REF2731，这是一组涉及 PARALLAX 加载器和 NETWIRE RAT 的 5 阶段入侵攻击。

使用 YIPPHB dropper 进行时间管理

2022 年 11 月 21 日

使用 YIPPHB dropper 进行时间管理

Elastic Security Labs 概述了收集和分析 REF4526 入侵集各个阶段的步骤。该入侵套件创造性地采用了 Powershell 脚本中的 Unicode 图标的方法来安装加载器、投放器和 RAT 植入程序。

ICEDID 网络基础设施运行良好

2022 年 10 月 31 日

ICEDID 网络基础设施运行良好

Elastic Security Labs 详细介绍了使用开源数据收集和 Elastic Stack 分析 ICEDID 僵尸网络 C2 基础设施。

LUNA 勒索软件攻击模式分析

2022 年 8 月 31 日

LUNA 勒索软件攻击模式分析

在本研究出版物中，我们将探讨 LUNA 攻击模式——一种跨平台勒索软件变体。

探索 QBOT 攻击模式

2022 年 8 月 22 日

探索 QBOT 攻击模式

在本研究出版物中，我们将探讨对 QBOT 攻击模式的分析——这是一个功能齐全且丰富的恶意软件家族。

Elastic Security 揭露 BLISTER 恶意软件活动

2022 年 8 月 3 日

Elastic Security 揭露 BLISTER 恶意软件活动

Elastic Security 已发现利用新发现的 BLISTER 恶意软件加载程序的主动入侵，该入侵利用有效的代码签名证书来逃避检测。我们正在为安全团队提供检测指导，以保护自己。

窥视 BPFDoor 背后

2022 年 7 月 13 日

窥视 BPFDoor 背后

在这篇研究中，我们探索了 BPFDoor——一种专门为 Linux 制作的后门负载，用于重新进入先前或主动受到攻击的目标环境。

使用 Elastic Stack 收集 Cobalt Strike Beacon

2022 年 6 月 1 日

使用 Elastic Stack 收集 Cobalt Strike Beacon

第 1 部分 - 提取 Cobalt Strike 植入信标所需的流程和技术