为利用 Check Point Infinity 全球服务的企业提供定制培训

[jrineakter]

对于使用 Check Point Infinity Global Services 的企业来说，添加 OffSec 的 Learn Enterprise 可带来多项强大优势：

可定制的学习路径：量身定制的路径确保新团队成员和经验丰富的团队成员都专注于最能支持组织安全需求的特定技能。
实践经验：网络靶场和实验室允许团队将他们的知识应用于实际的现实情况——这对于有效缓解威胁至关重要。
经济高效且可扩展的培训：通过灵活的许可和额外的认证考试，OffSec 的解决方案旨在既经济实惠又可扩展，使更多企业能够接受高质量的网络安全培训。
致力于持续发展： Learn Enterprise 确保企业团队通过不断发展的学习资源为最新的网络安全挑战做好准备。
致力于卓越的网络安全

通过将 OffSec 的 Learn Enterprise 整合到 Infinity Global Services 产品组合中，Check Point 加强了其为企业提供领先网络安全培训资源的决心。此次合作为组织提供了抵御当今最复杂网络威胁所需的关键工具和实际技能，使团队能够在动态网络环境中保持弹性。

Check Point 致力于为企业提供领先的网络安全培训资源。此次合作将为企业提供抵御当今最复杂网络威胁所需的关键工具和实际技能，使团队能够在动态网络环境中保持弹性。2024 年 1 月，ElizaRAT 恶意软件的第二个变种 Circle 发布。此版本具有增强的投放器组件，大大降低了检测率。Circle 活动使用类似于 Slack API 的有效载荷，但与其他 ElizaRAT 变种（例如 Slack API 变种）不同，Circle 避免使用云服务进行命令和控制 (C2)，而是依靠主虚拟专用服务器 (VPS) 进行 C2 通信。

该植入程序的主要功能是为 ElizaRAT 的执行做准备。它会提取包含恶意软件的 zip 文件，并创建一个工作目录，其中放置诱饵 PDF 和 MP4 文件。与所有 ElizaRAT 恶意软件一样，该恶意软件会为其创建 LNK 文件，尽管没有任何恶意软件使用该文件。LNK 的描述是“Slack API”，这表明它与 Slack 活动存在关联。

Google Drive 活动
与 ElizaRAT 的先前版本一样，检测到的第三个活动会释放恶意软件文件，包括诱饵 PDF 和主要的 ElizaRAT 变体。此变体利用 Google Cloud 进行 C2 通信，并发送命令从不同的虚拟专用服务器 (VPS) 下载下一阶段的有效载荷。Check Point Research 确定了此活动中使用的两个有效载荷，它们都充当信息窃取程序，每个都针对特定目的而设计。

对印度相关目标的兴趣
所有 ElizaRAT 变体都部署了相同的初始功能，即验证 阿富汗电话号码数据 系统的时区是否设置为印度标准时间，这表明该活动的目标是印度系统。


时区检查的一个示例位于 SlackFiles.dll 有效负载中。此功能出现在所有样本中。

随着恶意软件的发展，检测也在不断发展
ElizaRAT 的演变表明 APT36 正在努力改进其恶意软件，以便更好地逃避检测并更有效地针对印度实体。通过将 Google Drive、Telegram 和 Slack 等云服务整合到其命令和控制系统中，它使用广泛使用的平台将其活动隐藏在日常网络流量中。添加像 ApolloStealer 这样的新有效载荷代表着 APT36 恶意软件功能的显著增长，表明其正在转向更灵活、模块化的有效载荷部署方法。这些技术主要侧重于数据收集和泄露，强化了他们对情报收集和间谍活动的持续关注。

ElizaRAT 的进化代表着威胁行为者日益先进的策略。攻击者变得更加具体和有针对性，提高了其活动的成功率和有效性，而增强的逃避技术则使活动得以持续进行。

为了应对不断演变的威胁，Check Point 的威胁模拟会检查所有文件，以识别任何恶意行为，防止它们进入最终用户的网络。它通过在各种虚拟、受控环境中执行文件来识别未知威胁和零日漏洞，并在这些环境中监控文件是否存在有害活动，例如对系统的未经授权的更改。当与实时分析所有文件的 Check Point Harmony Endpoint集成时 ，威胁模拟会评估每个文件。此过程允许用户几乎立即访问安全文件版本，同时对原始文件进行更彻底的检查。这种主动方法不仅通过提供对安全内容的快速访问来增强安全性，而且还确保系统地识别和缓解潜在威胁，从而保护网络的完整性。