近期，火绒威胁情报中心监测到一款通过改名为USB Disk来欺骗用户执行的蠕虫病毒正在传播，火绒安全工程师第一时间提取样本进行分析。分析过程中发现该程序在后台自动感染每个插入的可移动磁盘，并将原文件移动到一个隐藏文件夹中。随后，程序创建一个名为“USB Disk.exe”的文件，诱导用户点击以执行病毒程序。同时，程序还会启动后门进程，试图控制用户主机成为自己的肉鸡。目前，火绒安全产品可对上述病毒进

伪装成破解程序和商业工具的新型恶意软件正在传播 AhnLab SEcurity情报中心（ASEC）发现了一种伪装成裂缝和商业工具的新型恶意软件的分布。与过去的恶意软件在执行后立即执行恶意行为不同，该恶意软件显示安装程序UI，恶意行为在安装过程中点击按钮后执行。 认为当用户发出下载请求时，立即创建恶意软件以给出回复，而不是分发预先制作的恶意软件。这意味着每次下载，都会创建和下载具有不同哈希值和相同功

概览 本周，SonicWall Capture Labs威胁研究团队调查了一个Orcinius恶意软件样本。这是一个多级木马，它使用Dropbox和Google Docs下载第二级有效负载并保持更新。它包含一个混淆的VBA宏，可以连接到Windows来监控正在运行的窗口和击键，并使用注册表项创建持久性。 感染周期 初始感染方法是Excel电子表格，在本例中为“CALENDARIO AZZORTI.

Poseidon窃取程序通过Google广告感染Mac用户 6月24日，我们观察到一个新的活动，通过Arc浏览器的恶意谷歌广告分发一个针对苹果用户的窃取者。这是过去几个月里我们第二次看到Arc被用作诱饵，当然是它受欢迎的标志。它以前被用来投放一个视窗RAT，也是通过谷歌广告。 在最新的活动中被放弃的macOS窃取器正在积极开发为原子窃取器的竞争对手，其大部分代码库与其前身相同。Malware by

大选开始之际，欧盟各政党遭受 DDoS 攻击 近日，欧洲议会选举在荷兰正式启动，未来几天将陆续在欧盟其它国家举行，这一时期成为了网络攻击事件的”高发期“。Cloudflare 在一份报告中指出，大量威胁攻击者正在针对欧洲各国的政党，发动大规模 DDoS 攻击。 Cloudflare 表示，其内部网络安全人员已经缓解了对荷兰多个选举相关网站以及多个政党的至少三次分布式拒绝服务（DDoS）攻击浪潮。

一、漏洞概要 2024年6月12日（北京时间），微软发布了安全更新，共发布了58个CVE的补丁程序，同比上月减少了5个。 在漏洞安全等级方面，存在1个标记等级为“Critical”的漏洞，57个标记为“Important/High”等级的漏洞； 在漏洞类型方面，主要有25个远程代码执行漏洞，25个权限提升漏洞以及3个信息泄露漏洞。 二、漏洞数据分析 2.1 2024年漏洞数量趋势 图 1 2024

Operation Veles:针对全球科研教育领域长达十年的窃密活动 概述 长期以来，安全厂商在研究与Linux系统相关的窃密事件方面一直存在不足，市面上披露的大部分APT攻击都集中在非涉密的办公机器（windows平台），窃取的数据大部分为非涉密的未公开内部文档，我们认为这种类型的窃密攻击炒作噱头大于实际危害。然而，在科学研究领域，Linux服务器通常承载着重要数据，其安全性至关重要。因此，加

   近期，某网络安全实验室持续监控并分析一个被称为"银狐"的钓鱼活动动向。该实验室最新监测数据显示，利用"核酸检测退费通知"和"电子发票详情"作为饵料的钓鱼攻击案例显著上升。这些攻击主要通过即时通讯软件和电子邮件双重渠道散播。电子邮件通常以"您的电子发票待下载"为题，内容中嵌入诸如"立即查看发票详情"的诱导性文字，旨在引诱收件人点击隐藏的恶意链接。分析显示，这些钓鱼手段在执行恶意代码时，采用了复

Gootloader 演练 Gootloader，测试于 2024 年 5 月 21 日 分发（SEO poisoning->fake forum->zip->。JS->PowerShell） 大量合法网站已被入侵，并被威胁行为者用来分发 Gootloader。该技术被称为搜索引擎优化 （SEO） 中毒，受害者搜索特定关键字并获取指向搜索结果页面 （SERP） 中那些受感染

图形 API 通常用于与基于云的命令和控制服务器进行不显眼的通信    越来越多的威胁已开始利用 Microsoft Graph API，通常用于促进与 Microsoft 云服务上托管的命令和控制 （C&C） 基础结构的通信。 该技术最近用于对乌克兰一个组织的攻击，其中以前未记录的恶意软件使用图形 API 将 Microsoft OneDrive 用于 C&C 目的。 Birdy

本周，CERT Polska （CSIRT NASK） 和 CSIRT MON 观察到针对波兰政府机构的大规模恶意软件活动。根据技术指标和与过去描述的攻击（m.in 针对乌克兰实体）的相似性，可以将该活动与与俄罗斯联邦武装部队总参谋部 （GRU） 主要情报局相关的 APT28 系列活动联系起来。 技术分析 在活动中，发送了电子邮件，其中包含内容，以引起收件人的兴趣并说服他们点击链接。所用消息的示例

NoSQL 注入是一种漏洞，攻击者能够干扰应用程序对 NoSQL 数据库进行的查询。 NoSQL 注入可能使攻击者能够： 绕过身份验证或保护机制。 提取或编辑数据。 导致拒绝服务。 在服务器上执行代码。 NoSQL 数据库以传统 SQL 关系表以外的格式存储和检索数据。它们使用多种查询语言，而不是像 SQL 这样的通用标准，并且关系约束较少。 NoSQL 注入的类型 NoSQL 注入有两种不同类型

概述 恶意软件是指通过未经授权窃取或滥用机密信息或占用网络带宽来损害计算机系统和网络的恶意软件。恶意软件的危险一直在不断增加，并且可能会产生从个人层面到组织层面的影响。为了防止此类软件进入系统，需要进行恶意软件分析。它是指分析恶意软件以了解其工作原理以及如何防御它的过程。 这是网络安全行业中一个重要且不断发展的领域。要选择最受青睐且最舒适的恶意软件分析语言，Python 名列前茅。 Python

ArcaneDoor 是一项由国家资助的攻击者针对多个供应商的外围网络设备发起的攻击活动的最新例子。对于这些行为者来说，外围网络设备是针对间谍活动的完美入侵点。作为数据进出网络的关键路径，这些设备需要定期、及时地修补；使用最新的硬件和软件版本及配置；并从安全角度进行密切监控。在这些设备上站稳脚跟后，参与者就可以直接进入组织、重新路由或修改流量并监控网络通信。在过去两年中，我们看到这些设备针对电信提

主要发现 正在考虑的活动集群的方法不断发展：新的工具被添加到其武器库中。 使用受密码保护的存档可以让攻击者绕过安全措施并成功传播恶意软件。 代表各个部门发送网络钓鱼电子邮件会显着增加受害者与恶意附件交互的可能性。 活动说明 作为此活动的一部分，攻击者代表联邦机构发送网络钓鱼电子邮件。这封信中附有一份合法文件，这应该会降低用户的警惕性，并促使他打开第二个附件——一个受密码保护的档案。 网络钓鱼电子邮

概况 2024年3月，乌克兰CERT-UA政府计算机应急响应小组披露了Sandworm组织的恶意计划，旨在破坏能源、水和热力领域约20家企业信息和通信系统（ICS）的稳定运行乌克兰十个地区的供应工业（OKI）。 除了自 2022 年以来已知的 QUEUESEED（KNUCKLETOUCH、ICYWELL、WRONGSENS、KAPEKA）后门之外，在计算机上的即时事件响应过程中还发现了一个新的攻击

关键点 Avast 发现了一项通过捏造工作机会针对特定个人的新活动。 “FudModule 2.0”Avast 发现了从感染媒介到利用0day漏洞部署 rootkit 的完整攻击链Admin -> Kernel。 Avast 发现了一种以前未记录的KaolinRAT，除了标准 RAT 功能之外，它还可以更改所选文件的最后写入时间戳并加载从 C&C 服务器接收到的任何 DLL 二进制文

执行摘要 Palo Alto Networks 和 Unit 42 致力于跟踪与 CVE-2024-3400 相关的活动，并与外部研究人员、合作伙伴和客户合作，透明、快速地共享信息。 Palo Alto Networks PAN-OS 软件中的一个关键命令注入漏洞使未经身份验证的攻击者能够在防火墙上以 root 权限执行任意代码。该漏洞分配为 CVE-2024-3400，CVSS 评分为 10.0

Raspberry Robin于 2021 年底首次发现，是一种 Windows 蠕虫，最初针对技术和制造组织。此后，它已发展成为企业面临的最普遍的威胁之一。今年 3 月，惠普威胁研究团队发现网络犯罪分子传播 Raspberry Robin 的方式发生了变化。该恶意软件现在通过Windows 脚本文件 (WSF)传播。这些脚本高度混淆，并使用一系列反分析技术，使恶意软件能够逃避检测。从历史上看，R

Pupy是一种RAT恶意软件，其特点是跨平台支持。由于它是在 GitHub 上发布的开源代码，因此不断被包括 APT 组织在内的各种攻击者使用。例如，已知它过去曾被 APT35 组织使用过，该组织已知与伊朗有关，并且还被用于针对在线赌博网站的地球 Berberoka 行动 。最近，人们发现了一种名为 Decoy Dog 的恶意软件（一种更新版的 Pupy RAT），并被用于针对俄罗斯和东欧公司网络