AhnLab 安全紧急响应中心 (ASEC) 发现通过电子邮件伪装成工资单的 Remcos 远程控制恶意软件的传播。 已确认的 Remcos RAT 恶意软件是通过电子邮件主题行“这是工资转移确认证书”欺骗收件人来分发的，如图 1 所示。在附加的cab压缩文件中，附加了一个伪装成PDF文件图标的EXE文件（Remcos RAT），如图2所示。 【图1】钓鱼邮件正文 【图2】附带的cab压缩文件内的

近期，火绒威胁情报系统监测到有黑客团伙针对金融行业进行钓鱼攻击。用户点击钓鱼文件后，其会下载多个文件进行互相关联，随后黑客可以远程控制受害者电脑。不仅如此，该病毒还使用包括 "白加黑"，"加壳"，"代码混淆" 在内的多种方式对抗杀软查杀。目前，火绒安全产品可对上述病毒进行拦截查杀，请用户及时更新病毒库以进行防御。 火绒查杀图 该病毒样本格式为CHM，被运行后会释放恶意js代码，用于从内部加载.NE

概述 天际友盟近几个月来发现大量钓鱼网站伪装成各类应用软件官网诱导国内用户下载恶意软件。这些钓鱼网站种类繁多，涉及办公软件、支付平台、游戏、短信验证平台等多类网站。通过分析，我们发现其中大量中文TG（Telegram）钓鱼站、以及一些涉及短信验证服务的网站如PaaSoo等传播同一类型的SiMayRAT远控木马新变种。SiMayRAT恶意软件家族从2022年开始出现，其功能包括远程控制、键盘记录、屏

介绍 在过去的几个月里，Check Point Research 一直在跟踪“Stayin' Alive”活动，这是一项至少自 2021 年以来一直活跃的持续活动。该活动在亚洲开展，主要针对电信行业以及政府组织。 “Stayin' Alive”活动主要由下载程序和加载程序组成，其中一些被用作针对知名亚洲组织的初始感染媒介。第一个被发现的下载器名为 CurKeep，目标是越南、乌兹别克斯坦和哈萨克斯

严重性 高的 分析总结 Shuckworm APT（又名 Actinium、Armageddon、Primitive Bear、Gamaredon 和 Trident Ursa）是俄罗斯支持的高级持续威胁 (APT)，至少自 2013 年以来一直在运作。众所周知，这个网络间谍组织的目标是政府、军队、和其他高价值目标，主要位于乌克兰，并与多个高级持续威胁 (APT) 活动有关。该APT的主要目标是利

1、事件背景 最近，安恒猎影实验室在日常的网络狩猎中成功捕获了多个针对俄罗斯、白俄罗斯政府及国防部门的攻击样本。通过仔细的样本分析和追溯，我们发现这些攻击事件共享相同的攻击组件和模式，因此我们确定该类攻击背后的幕后黑手为同一组织。鉴于该组织攻击手法的独特性，我们将该组织命名为“骷髅狼”(Skeleton Wolf)，猎影实验室内部追踪代号为“APT-LY-1008”。 根据此次捕获的攻击样本我们发

伊朗 Crambus 间谍组织（又名 OilRig、APT34）在 2023 年 2 月至 9 月期间对中东政府进行了长达八个月的入侵。在入侵过程中，攻击者窃取了文件和密码，并在一个案例中安装了PowerShell后门（称为PowerExchange），用于监控从Exchange服务器发送的传入邮件，以执行攻击者以电子邮件形式发送的命令，并将结果秘密转发给攻击者。至少 12 台计算机上发生了恶意活

互联网的技术发展，安全问题越来越严峻，尤其网站的安全问题也越来越引起人们的关注，常常因为系统或者网站程序安全漏洞从而导致文件被篡改、网站被挂马等问题。因此对于网站管理员来说，安全加固就显得尤为重要。如果想让服务器及网站长期安全稳定的运行，那就一定要重视各种安全性，系统加固是其中必不可少的环节，在此我给大家分享宝塔面板提供的实用功能——宝塔系统加固，进一步提升服务器和网站业务的安全性。 一、宝塔系统

1.概述 近日，安天CERT监测到PLAY勒索事件呈现活跃趋势。PLAY勒索软件又名PlayCrypt，由Balloonfly组织开发和运营[1]，最早被发现于2022年6月。该勒索软件主要通过钓鱼邮件、漏洞利用等方式进行传播，采用“威胁曝光企业数据+加密数据”的双重勒索模式。自2022年11月3日起，Balloonfly攻击组织在Tor专用数据泄露站点（DLS）陆续发布未满足攻击者需求的受害者信

事件背景 自 2022 年以来，各种以 Drainer 为名的钓鱼团伙逐渐冒出头，比如通过社工获取 Discord Token 并进行钓鱼的 Pink Drainer；比如通过 Permit 或 Approve 获得用户批准并盗取资产的钓鱼服务提供商 Venom Drainer；比如通过虚假 KOL 推特账号、Discord 等发布虚假 NFT 相关的带有恶意 Mint 的诱饵网站进行钓鱼，窃取了

10 月 20 日：发现了一个用于部署植入程序的额外漏洞 (CVE-2023-20273)。CVE-2023-20198 和 CVE-2023-20273 的修复预计将于 10 月 22 日提供。之前提到的 CVE-2021-1435 不再被评估为与此活动相关。 10 月 19 日：添加了额外的攻击者 IP 和用户名、防御规避观察以及新的 Snort 规则。还添加了有关我们评估的新信息，即该活动是

近期，火绒威胁情报系统监测到一批盗版软件安装包正在通过伪造的官网进行传播，其中包含后门病毒，该病毒被激活后，黑客可以执行截取屏幕图像、远程控制等恶意行为。目前，火绒安全产品可对上述病毒进行拦截查杀，请用户及时更新病毒库以进行防御。 火绒查杀图 此次披露的后门病毒为《恶意后门利用多种免杀手段，可远控用户电脑》的升级版本。火绒工程师通过对该批样本进行溯源分析和公开资料的整合对比，发现该病毒背后基于 "

剖析以色列一家私人发电站涉嫌遭受黑客攻击的事件 以色列和哈马斯之间持续的冲突也延伸到了数字领域。黑客的参与凸显了 21 世纪战争性质的演变，传统的军事行动得到了复杂的网络战术的补充，国家支持、黑客活动和独立行为者之间的界限变得模糊。 到目前为止，已经观察到数字领域的各种网络活动，包括DDoS 攻击、信息战和黑客行动主义活动。随着冲突的继续，我们预计未来可能出现擦除器或勒索软件恶意软件攻击。 10

1、事件概述 Confucius是Palo Alto Networks于2016年披露的APT组织，该组织自2013年开始活跃，主要针对南亚及东亚地区政府、军事等进行攻击。此外，该组织还针对Android平台进行攻击。 Confucius的部分攻击手法包括： 使用InPage漏洞利用文档作为初始负载、使用商业木马WarzoneRAT、开源木马QuasarRAT 进行远控、利用Yahoo!和quor

1.概述 近期，安天CERT捕获了一批活跃的WatchDog挖矿组织样本，该组织主要利用暴露的Docker Engine API端点和Redis服务器发起攻击，并且可以快速的从一台受感染的机器转向整个网络。WatchDog挖矿组织自2019年1月开始被发现，至今仍然活跃。 2.攻击流程 WatchDog挖矿组织主要利用暴露的Redis服务器发起攻击。在Windows端，首先会从放马服务器上下载名为

一、事件背景 10月7日，伴随着数千枚火箭弹的发射，巴勒斯坦伊斯兰抵抗运动（哈马斯）宣布对以色列发动军事行动。 随着现实世界中的冲突爆发，多方势力的黑客行动主义（Hacktivism）组织开始在双方网络空间区域内进行持续的博弈。黑客组织来自多个国家，包括俄罗斯、印度、印度尼西亚、伊拉克等；攻击方式主要以DDoS为主，另外还包含数据窃取、网站污损等攻击手段。除了实施网络攻击，各方支持的黑客组织还通过

事件概述 近日，奇安信威胁情报中心注意到外国安全厂商humansecurity在外网揭露了一个名为BADBOX的事件，其报告称观察到至少观察到74000 部基于 Android 的手机、平板电脑、和全球联网电视盒有遭遇BADBOX 感染的迹象；而来自趋势科技的说法是该后门据信被植入了2000万数量级别的设备。实际上，humansecurity在其分析报告中已经对该事件进行了比较详细的技术分析，各位

1、事件概述 2023年10月7日，在俄罗斯著名黑客论坛XSS上，一个名为kapuchin0的用户发布了HelloKitty勒索的源代码，并声称他们不再需要这个，打算开发出优于LockBit勒索的新产品。 HelloKitty勒索家族由来已久，最早出现在2020年11月，因勒索程序中互斥锁的名称为“HelloKittyMutex”而得名。 在2021年2月，其攻击了著名游戏制作公司CD Proje

ToddyCat 是我们在去年的一份出版物中描述的高级 APT 攻击者。该组织于 2020 年 12 月开始活动，负责对欧洲和亚洲知名实体进行多组攻击。 我们的第一篇出版物重点介绍了他们的主要工具：Ninja Trojan 和 Samurai Backdoor，我们还描述了用于启动它们的加载程序集。我们描述了攻击者如何利用 Microsoft Exchange 中的漏洞破坏公开暴露的服务器，他们如

执行摘要 Akamai 安全情报组检测到 Magecart 网络窃取活动，该活动针对大量网站，包括食品和零售行业的大型组织。 该活动之所以脱颖而出，是因为它采用了三种先进的隐藏技术，其中一种技术是我们以前从未见过的，特别是操纵网站的默认 404 错误页面来隐藏恶意代码，这给检测和缓解带来了独特的挑战。 另外两种混淆技术展示了攻击者用来避免检测和延长攻击链的不断发展的策略。 随着网络窃取攻击变得越来