1、事件背景 最近，安恒猎影实验室在日常的网络狩猎中成功捕获了多个针对俄罗斯、白俄罗斯政府及国防部门的攻击样本。通过仔细的样本分析和追溯，我们发现这些攻击事件共享相同的攻击组件和模式，因此我们确定该类攻击背后的幕后黑手为同一组织。鉴于该组织攻击手法的独特性，我们将该组织命名为“骷髅狼”(Skeleton Wolf)，猎影实验室内部追踪代号为“APT-LY-1008”。 根据此次捕获的攻击样本我们发

伊朗 Crambus 间谍组织（又名 OilRig、APT34）在 2023 年 2 月至 9 月期间对中东政府进行了长达八个月的入侵。在入侵过程中，攻击者窃取了文件和密码，并在一个案例中安装了PowerShell后门（称为PowerExchange），用于监控从Exchange服务器发送的传入邮件，以执行攻击者以电子邮件形式发送的命令，并将结果秘密转发给攻击者。至少 12 台计算机上发生了恶意活

互联网的技术发展，安全问题越来越严峻，尤其网站的安全问题也越来越引起人们的关注，常常因为系统或者网站程序安全漏洞从而导致文件被篡改、网站被挂马等问题。因此对于网站管理员来说，安全加固就显得尤为重要。如果想让服务器及网站长期安全稳定的运行，那就一定要重视各种安全性，系统加固是其中必不可少的环节，在此我给大家分享宝塔面板提供的实用功能——宝塔系统加固，进一步提升服务器和网站业务的安全性。 一、宝塔系统

1.概述 近日，安天CERT监测到PLAY勒索事件呈现活跃趋势。PLAY勒索软件又名PlayCrypt，由Balloonfly组织开发和运营[1]，最早被发现于2022年6月。该勒索软件主要通过钓鱼邮件、漏洞利用等方式进行传播，采用“威胁曝光企业数据+加密数据”的双重勒索模式。自2022年11月3日起，Balloonfly攻击组织在Tor专用数据泄露站点（DLS）陆续发布未满足攻击者需求的受害者信

事件背景 自 2022 年以来，各种以 Drainer 为名的钓鱼团伙逐渐冒出头，比如通过社工获取 Discord Token 并进行钓鱼的 Pink Drainer；比如通过 Permit 或 Approve 获得用户批准并盗取资产的钓鱼服务提供商 Venom Drainer；比如通过虚假 KOL 推特账号、Discord 等发布虚假 NFT 相关的带有恶意 Mint 的诱饵网站进行钓鱼，窃取了

10 月 20 日：发现了一个用于部署植入程序的额外漏洞 (CVE-2023-20273)。CVE-2023-20198 和 CVE-2023-20273 的修复预计将于 10 月 22 日提供。之前提到的 CVE-2021-1435 不再被评估为与此活动相关。 10 月 19 日：添加了额外的攻击者 IP 和用户名、防御规避观察以及新的 Snort 规则。还添加了有关我们评估的新信息，即该活动是

近期，火绒威胁情报系统监测到一批盗版软件安装包正在通过伪造的官网进行传播，其中包含后门病毒，该病毒被激活后，黑客可以执行截取屏幕图像、远程控制等恶意行为。目前，火绒安全产品可对上述病毒进行拦截查杀，请用户及时更新病毒库以进行防御。 火绒查杀图 此次披露的后门病毒为《恶意后门利用多种免杀手段，可远控用户电脑》的升级版本。火绒工程师通过对该批样本进行溯源分析和公开资料的整合对比，发现该病毒背后基于 "

剖析以色列一家私人发电站涉嫌遭受黑客攻击的事件 以色列和哈马斯之间持续的冲突也延伸到了数字领域。黑客的参与凸显了 21 世纪战争性质的演变，传统的军事行动得到了复杂的网络战术的补充，国家支持、黑客活动和独立行为者之间的界限变得模糊。 到目前为止，已经观察到数字领域的各种网络活动，包括DDoS 攻击、信息战和黑客行动主义活动。随着冲突的继续，我们预计未来可能出现擦除器或勒索软件恶意软件攻击。 10

1、事件概述 Confucius是Palo Alto Networks于2016年披露的APT组织，该组织自2013年开始活跃，主要针对南亚及东亚地区政府、军事等进行攻击。此外，该组织还针对Android平台进行攻击。 Confucius的部分攻击手法包括： 使用InPage漏洞利用文档作为初始负载、使用商业木马WarzoneRAT、开源木马QuasarRAT 进行远控、利用Yahoo!和quor

1.概述 近期，安天CERT捕获了一批活跃的WatchDog挖矿组织样本，该组织主要利用暴露的Docker Engine API端点和Redis服务器发起攻击，并且可以快速的从一台受感染的机器转向整个网络。WatchDog挖矿组织自2019年1月开始被发现，至今仍然活跃。 2.攻击流程 WatchDog挖矿组织主要利用暴露的Redis服务器发起攻击。在Windows端，首先会从放马服务器上下载名为

一、事件背景 10月7日，伴随着数千枚火箭弹的发射，巴勒斯坦伊斯兰抵抗运动（哈马斯）宣布对以色列发动军事行动。 随着现实世界中的冲突爆发，多方势力的黑客行动主义（Hacktivism）组织开始在双方网络空间区域内进行持续的博弈。黑客组织来自多个国家，包括俄罗斯、印度、印度尼西亚、伊拉克等；攻击方式主要以DDoS为主，另外还包含数据窃取、网站污损等攻击手段。除了实施网络攻击，各方支持的黑客组织还通过

事件概述 近日，奇安信威胁情报中心注意到外国安全厂商humansecurity在外网揭露了一个名为BADBOX的事件，其报告称观察到至少观察到74000 部基于 Android 的手机、平板电脑、和全球联网电视盒有遭遇BADBOX 感染的迹象；而来自趋势科技的说法是该后门据信被植入了2000万数量级别的设备。实际上，humansecurity在其分析报告中已经对该事件进行了比较详细的技术分析，各位

1、事件概述 2023年10月7日，在俄罗斯著名黑客论坛XSS上，一个名为kapuchin0的用户发布了HelloKitty勒索的源代码，并声称他们不再需要这个，打算开发出优于LockBit勒索的新产品。 HelloKitty勒索家族由来已久，最早出现在2020年11月，因勒索程序中互斥锁的名称为“HelloKittyMutex”而得名。 在2021年2月，其攻击了著名游戏制作公司CD Proje

ToddyCat 是我们在去年的一份出版物中描述的高级 APT 攻击者。该组织于 2020 年 12 月开始活动，负责对欧洲和亚洲知名实体进行多组攻击。 我们的第一篇出版物重点介绍了他们的主要工具：Ninja Trojan 和 Samurai Backdoor，我们还描述了用于启动它们的加载程序集。我们描述了攻击者如何利用 Microsoft Exchange 中的漏洞破坏公开暴露的服务器，他们如

执行摘要 Akamai 安全情报组检测到 Magecart 网络窃取活动，该活动针对大量网站，包括食品和零售行业的大型组织。 该活动之所以脱颖而出，是因为它采用了三种先进的隐藏技术，其中一种技术是我们以前从未见过的，特别是操纵网站的默认 404 错误页面来隐藏恶意代码，这给检测和缓解带来了独特的挑战。 另外两种混淆技术展示了攻击者用来避免检测和延长攻击链的不断发展的策略。 随着网络窃取攻击变得越来

从 7 月到 9 月，我们观察到DarkGate活动（被趋势科技检测为TrojanSpy.AutoIt.DARKGATE.AA）滥用即时消息平台向受害者传送 VBA 加载程序脚本。该脚本下载并执行了第二阶段有效负载，该有效负载由包含 DarkGate 恶意软件代码的 AutoIT 脚本组成。目前尚不清楚即时通讯应用程序的原始帐户是如何被泄露的，但推测是通过地下论坛泄露的凭据或母组织之前的泄露造成的

一、概述 近期，绿盟科技伏影实验室在追踪新型WinRAR 0day漏洞CVE-2023-38831的过程中，发现APT组织DarkPink已经开始使用此漏洞对越南以及马来西亚的政府目标进行攻击。 DarkPink攻击者在本轮攻击活动中使用CVE-2023-38831漏洞对升级了其既有的攻击流程，并对攻击技战术进行了多项改良，显著提升了攻击成功率。 本报告将对DarkPink的改良攻击流程和技战术进

在过去的几年间，Linux 系统已成为各路威胁分子眼里越来越明显的目标。据我们观察，2023 年上半年出现了 260000 个独特的 Linux 样本，正如本文表明的那样，攻击 Linux 的活动可以持续多年，而不被网络安全界注意。 我们决定调查一组可疑 3950947b0f.u.fdmpkg [.] org c6d76b1748b67fbc21ab493281dd1c7a558e3047.u.f

从 2023 年 9 月 30 日开始，SentinelOne 观察到攻击者利用Progress WS_FTP最近披露的缺陷来攻击运行该软件易受攻击版本的 Windows 服务器。两个最严重的漏洞 CVE-2023-40044 和 CVE-2023-42657 的 CVSS 评分分别为 10 和 9.9。我们观察到至少三种类型的多阶段攻击链，这些攻击链从利用开始，然后命令通常通过 IP 文字 UR

分析总结 源自伊朗的高级网络威胁组织 OilRig（又名 APT34、Helix Kitten、Cobalt Gypsy 和 Hazel Sandstorm）与最新的 Menorah 恶意软件有关联，该恶意软件通过鱼叉式网络钓鱼进行分发。 研究人员报告说：“该恶意软件是为网络间谍活动而设计的，能够识别机器、从机器读取和上传文件，以及下载另一个文件或恶意软件。” OilRig 是伊朗国家支持的高级持