近日，谷歌威胁分析小组发布博客称，发现了一个持续近半年的攻击活动。攻击主要针对从事漏洞研究和分析的安全研究人员。黑客充分利用了社会工程学，通过伪装成专业人士在各大社交媒体诱骗潜在攻击目标并发起攻击。目前网上已有多位安全行业人员称曾收到私信。火绒安全提醒大家注意此类攻击。



此次是一起精心策划的攻击。根据攻击者相关的github提交历史显示，该组织可能从2020年4月就已经开始筹划相关攻击。



初期，黑客先伪装成专业人员。在Twitter、LinkedIn、Telegram、Discord、Keybase各大社交媒体开通账号，发布漏洞视频以及相关动态，与其他人互相评论转发互动。同时在账号资料里添加他们的博客地址，经常发布已公开披露的漏洞分析文章。

在这些社交账号获取了外界信任，并拥有一定影响力后，该组织便开始进一步行动：通过私信与各安全公司、组织的安全研究人员聊天，以共同研究的名义发送Visual Studio工程，并诱导其编译。在编译过程中，便会触发执行恶意代码。此外，该组织还可能会诱导安全研究人员访问其制作的博客，从而进行攻击。


目前尚不清楚该黑客组织的攻击目的。在谷歌发布研究结果后，该黑客组织的推特账号已经被封禁，但是如果曾访问过该黑客组织制作的博客地址，可能还会面临威胁。我们建议使用 Windows 系统的相关人员（此次攻击仅针对Windows系统）尽快参考以下内容进行排查。

用于辅助社工的博客：
https://blog.br0vvnn[.]io

相关twitter账号：
https://twitter.com/br0vvnn
https://twitter.com/BrownSec3Labs
https://twitter.com/dev0exp
https://twitter.com/djokovic808
https://twitter.com/henya290
https://twitter.com/james0x40
https://twitter.com/m5t0r
https://twitter.com/mvp4p3r
https://twitter.com/tjrim91
https://twitter.com/z0x55g

相关领英账号：
https://www.linkedin.com/in/billy-brown-a6678b1b8/
https://www.linkedin.com/in/guo-zhang-b152721bb/
https://www.linkedin.com/in/hyungwoo-lee-6985501b9/
https://www.linkedin.com/in/linshuang-li-aa696391bb/
https://www.linkedin.com/in/rimmer-trajan-2806b21bb/

Keybase账号：
https://keybase.io/zhangguo

Telegram账号：
https://t.me/james50d

IT解决方案：

移动办公安全解决方案  移动应用安全解决方案

在线业务优化解决方案  在线业务安全解决方案

企业数据安全解决方案 分支组网优化解决方案

业务容灾备份解决方案 互联网安全管控解决方案

新型智慧城市解决方案 政务数据中心建设方案

政务专网建设解决方案 互联网安全优化方案

政务移动安全接入方案

业务全网等级保护三级整改建设案例

业务内网等级保护三级整改建设案例

电子政务专网应用加速及传输优化解决方案

政府信息中心上网行为管理解决方案

企业办公无线解决方案  电子商务网站优化解决方案

企业办公桌面云解决方案  数字校园解决方案

桌面云解决方案  数字图书馆解决方案

业务与支撑系统安全  随势而变的ICT

云资源池安全与优化  广电网络解决方案

网络安全等级保护（等保2.0）解决方案

等保一体机解决方案  云安全解决方案

进程管理

以列表或树型展示系统中全部活跃以及非活跃进程信息，并允许用户对其进行操作（强制结束进程、提取内存字符串等）包括：
进程ID、会话ID、全路径、命令行、当前路径、等基本信息；
进程线程信息；
进程模块信息；
进程打开的句柄列表；
进程相关的网络连接信息；
进程产生的网络流量数据；
以不同颜色区分活跃和非活跃进程；
可以定位进程对应程序文件及查看文件属性；
对活跃进程可以进行结束、挂起、恢复操作；
可以关闭进程打开的句柄；
可以提取进程、模块的内存映像或文件中的全部字符串；
可以搜索系统中全部打开的句柄和加载的模块；

启动项管理

可以扫描系统中的启动项，并可以对扫描到的启动项进行禁用、启动和删除；
支持扫描以下类型启动项：
登录类（Logon）
浏览器类（Explorer）
IE浏览器类（Internet Explorer）
系统服务类（Services）
内核驱动类（Drivers）
解码器类（Codecs）
Winsock提供者类（Winsock Providers）
打印提供者类（Print Monitors）
本地安全认证类（LSA Providers）
网络提供者类（Network Providers）
启动执行类（Boot Execute）
映像劫持类（Image Hijacks）
AppInit类（AppInit）
已知动态库类（KnownDLLs）
Winlogon类（Winlogon）
输入法类（IME）
计划任务类（Scheduled Tasks）

内核诊断信息
内核
内核诊断信息包括以下内核信息：
驱动（设备树）信息（Driver Information）
系统服务表（Service Dispatch Table）
内核通知信息（Kernel Notify）
中断描述符表（Interrupt Table）
高亮提示被修改的内核信息；

钩子扫描
扫描内核态IAT、Inline钩子；
扫描用户态IAT、Inline钩子；
可以对指定进程进行快速扫描；
对扫描到的钩子进行指令分析识别多级跳转类型的钩子；

服务管理
查看操作系统中已注册的服务，并可以对其进行查看文件目录，文件属性，定位注册表，启动停止的控制；

驱动扫描
显示操作系统中已注册的驱动，并可以对其进行查看文件目录，文件属性，定位注册表的操作；
网络监控
显示操作系统中正在进行联网行为的进程，并可以对其进行查看文件，文件属性，结束进程的控制；

文件修改
文件修改 诊断工具文件操作
文件修改 诊断工具文件操作
查看已识别的可用文件驱动器内文件，并可以高权限对其进行强制修改删除等操作； [4]

注册表编辑
查看操作系统内的注册表文件，并可以高权限对其进行强制修改删除等操作；
注册表修改
支持地址栏对目标键值的快速定位；

服务区域：

四川火绒 成都火绒 西藏火绒 重庆火绒贵州火绒 贵阳火绒 云南火绒 昆明火绒

四川synology: 德阳火绒 绵阳火绒，攀枝花火绒，西昌火绒，雅安火绒，内江火绒，资阳火绒，南充火绒，眉山火绒，乐山火绒，自贡火绒 泸州火绒 广元火绒 遂宁火绒 宜宾火绒 广安火绒 达州火绒 雅安火绒 巴中火绒 资阳火绒 攀枝花火绒 凉山彝族自治州火绒 甘孜藏族自治州火绒 阿坝藏族羌族自治州火绒

贵州火绒：贵阳火绒 、六盘水火绒、遵义火绒、安顺火绒、铜仁火绒、毕节火绒。 黔南火绒 、黔西南火绒、贵州黔东南火绒

重庆火绒 合川火绒 南川火绒

潼南火绒 铜梁火绒 长寿火绒 璧山火绒 荣昌火绒 綦江火绒 大足火绒 武隆火绒 垫江火绒 奉节火绒

丰都火绒 城口火绒 巫溪火绒 云阳火绒 酉阳火绒 巫山火绒 梁平火绒 彭水火绒 秀山火绒 石柱火绒 开县火绒

昆明火绒、曲靖火绒、玉溪火绒、 保山火绒 、昭通火绒 、丽江火绒 、普洱火绒、 临沧火绒。

文山壮族苗族自治州（文山火绒） 、红河哈尼族彝族自治州（红河火绒） 、西双版纳傣族自治州、（西双版纳火绒） 楚雄彝族自治州（楚雄火绒）、 大理白族自治州（大理火绒）、 德宏傣族景颇族自治州（德宏火绒）、 怒江傈僳族自治州（怒江火绒）、 迪庆藏族自治州（迪庆火绒）

四川 成都 火绒 代理：

火绒成都渠道代理商有哪些；火绒渠道代理商有哪些；火绒nat代理上网；火绒代理商资质查询；火绒总代怎么样；火绒的渠道有哪些；火绒**代理；火绒成都**经销商；火绒四川**经销商；火绒**代理商；火绒** 成都火绒科技有限公司
火绒科技成都分公司 火绒成都区主管是谁 火绒成都
火绒成都办事处 火绒成都网络安全
火绒成都代理商有哪些 火绒成都防火墙

火绒 防火墙 上网行为管理 具体版本：

火绒维修，以及更多产品和详情请咨询：

成都科汇科技有限公司 — 专业企业级安全、云计算与IT基础架构服务商

无论您是解决企业级安全、云计算，还是IT基础架构，都可以使您的IT更简单、更安全、更有价值

成都科汇科技有限公司

地址：成都市人民南路四段1号时代数码大厦18F

电话：400-028-1235

QQ：1325383361

手机：180 8195 0517（微信同号）