从 7 月到 9 月，我们观察到DarkGate活动（被趋势科技检测为TrojanSpy.AutoIt.DARKGATE.AA）滥用即时消息平台向受害者传送 VBA 加载程序脚本。该脚本下载并执行了第二阶段有效负载，该有效负载由包含 DarkGate 恶意软件代码的 AutoIT 脚本组成。目前尚不清楚即时通讯应用程序的原始帐户是如何被泄露的，但推测是通过地下论坛泄露的凭据或母组织之前的泄露造成的

一、概述 近期，绿盟科技伏影实验室在追踪新型WinRAR 0day漏洞CVE-2023-38831的过程中，发现APT组织DarkPink已经开始使用此漏洞对越南以及马来西亚的政府目标进行攻击。 DarkPink攻击者在本轮攻击活动中使用CVE-2023-38831漏洞对升级了其既有的攻击流程，并对攻击技战术进行了多项改良，显著提升了攻击成功率。 本报告将对DarkPink的改良攻击流程和技战术进

在过去的几年间，Linux 系统已成为各路威胁分子眼里越来越明显的目标。据我们观察，2023 年上半年出现了 260000 个独特的 Linux 样本，正如本文表明的那样，攻击 Linux 的活动可以持续多年，而不被网络安全界注意。 我们决定调查一组可疑 3950947b0f.u.fdmpkg [.] org c6d76b1748b67fbc21ab493281dd1c7a558e3047.u.f

从 2023 年 9 月 30 日开始，SentinelOne 观察到攻击者利用Progress WS_FTP最近披露的缺陷来攻击运行该软件易受攻击版本的 Windows 服务器。两个最严重的漏洞 CVE-2023-40044 和 CVE-2023-42657 的 CVSS 评分分别为 10 和 9.9。我们观察到至少三种类型的多阶段攻击链，这些攻击链从利用开始，然后命令通常通过 IP 文字 UR

分析总结 源自伊朗的高级网络威胁组织 OilRig（又名 APT34、Helix Kitten、Cobalt Gypsy 和 Hazel Sandstorm）与最新的 Menorah 恶意软件有关联，该恶意软件通过鱼叉式网络钓鱼进行分发。 研究人员报告说：“该恶意软件是为网络间谍活动而设计的，能够识别机器、从机器读取和上传文件，以及下载另一个文件或恶意软件。” OilRig 是伊朗国家支持的高级持

摘要 近日，奇安信病毒响应中心移动安全团队监测到两个伪装成库尔德斯坦民主党（KDP）相关网站移动端应用的MOrder RAT恶意样本。 受害者会被窃取走手机上的个人通讯录、短信和其他社交软件资料等敏感信息。 我们将该APT新组织命名为“沙猁猫”（Caracal Kitten），该组织是奇安信独立发现并全球率先披露的第16个APT组织，编号为APT-Q-58。MOrder RAT默认向数据库指令表中

SEKOIA.IO 正在积极监控数百个恶意基础设施集群以保护其客户。鉴于最近的 Citizenlab 博客文章并声援打击网络雇佣兵的努力，我们选择揭露Lycantrox使用的基础设施集群之一，该集群可能会损害其目标。 虽然域模式看起来像是漏洞利用工具包的入口点，但该基础设施的规模表明它的用途更广泛。然而，我们缺乏具体证据来证实这一点。 基础设施的启示 Lycantrox使用的基础设施由托管在多个自

1. 攻击描述 近期疑似APT28攻击组织发起了一轮窃密活动，其特点是利用mockbin API获取受害者的敏感信息。山石网科情报中心获取了一批活动样本。分析显示攻击者通过自定义的Nishang脚本窃取NTLM哈希值，受害者执行脚本后会请求属于攻击者的mockbin API并发送这些信息。 2. 简要分析 攻击起始于一个恶意LNK文件。受害者执行该文件后将启动一个隐藏的powershell窗口，然

概况说明 最近一段时间，360安全大脑已多次发布了关于“银狐”钓鱼木马的预警。而在近日，我们又监测到一批新的钓鱼木马攻击，其攻击团伙与作案手法与之前“银狐”木马有大量相似之处，但亦有所不同。 通过分析确认，本轮攻击来源为“银狐”木马的新变种分支。该变种依然是通过钓鱼网页、即时通讯工具等方式进行大范围传播攻击。利用诱骗用户点击钓鱼链接或从即时通讯工具中接收传输过来的文件，让用户下载并执行远控木马。之

近期，黑客组织“匿名苏丹”周末承诺与哈马斯团结一致，现在声称对以色列工业控制系统（ICS）发动了多次攻击，试图破坏关键基础设施。 据周二（10日）上午Telegram频道上的一篇帖子称，以色列全球导航卫星系统(GNSS)、楼宇自动化和控制网络(BACNet)以及Modbus工业控制系统是该黑客组织的最新目标。“以色列工业控制系统遭到了@xAnonymousSudan 的攻击！” 帖子读到。 匿名苏

ReversingLabs的研究人员发现了一种影响npm平台的新的恶意供应链攻击。“typosquatting”活动于8月首次出现，并推送了一个恶意软件包，即节点隐藏控制台窗口，该软件包下载了一个Discord机器人程序，该机器人程序为植入开源rootkit r77提供了便利。 这是 ReversingLabs 研究人员首次发现提供 Rootkit 功能的恶意开源软件包，并表明开源项目可能越来越多

AhnLab安全应急响应中心（ASEC）对Magniber勒索软件的分发做出快速响应，Magniber勒索软件是一种代表性恶意软件，通过域名仿冒方法通过持续监控过程利用域错别字主动传播。 Magniber勒索软件一直在稳步传播，分布数量众多。Magniver勒索软件近年来一直通过IE漏洞分发，但自从对Internet Explorer（IE）的支持结束以来，它已停止分发IE漏洞。最近，Magniv

历史短课 1923年，苏联在阿塞拜疆苏维埃社会主义共和国内创建了纳戈尔诺-卡拉巴赫自治州（州是一个行政区或省）。该州 95% 的人口为亚美尼亚人。1988年，纳戈尔诺-卡拉巴赫宣布打算离开阿塞拜疆并加入邻国亚美尼亚共和国。虽然苏联能够控制由此产生的紧张局势，但一旦苏联开始解体，阿塞拜疆和亚美尼亚之间就为控制纳戈尔诺-卡拉巴赫地区而爆发武装冲突。尽管两国于 1994 年和 2020 年暂时达成停火协

AhnLab 安全紧急响应中心 (ASEC) 最近发现 ShellBot 恶意软件的分发方法发生了变化，该恶意软件被安装在管理不善的 Linux SSH 服务器上。整体流程保持不变，但威胁参与者用于安装 ShellBot 的下载 URL 已从常规 IP 地址更改为十六进制值。 •hxxp://0x2763da4e/dred •hxxp://0x74cc54bd/static/home/dred/d

LostTrust 勒索软件操作是 2023 年 9 月出现的一种新的多重勒索威胁。我们对 LostTrust 恶意软件有效负载的分析表明，该家族是SFile和Mindware的演变，并且这三个勒索软件都遵循与 MetaEncryptor 类似的操作和交易技术。LostTrust 泄漏网站和早期 MetaEncryptor 泄漏网站之间的相似性也很明显，而之前在 MetaEncryptor 活动中

当地时间 10 月 7 日清晨，加沙地带的巴勒斯坦武装组织哈马斯向以色列境内发动大规模火箭弹袭击，以色列包括特拉维夫在内的多个地区都拉响防空警报。随之拉开了新一轮激烈的巴以武装冲突的序幕。几天之内，双方死伤人数已达数千人。 随着现实战场的开启，网络世界的活动也随之增加。 在俄乌冲突中声名赫赫的网络攻击组织 Killnet 官宣加入战局，还有疑似 Anonymous 组织发起了代号为 “Anonym

情报收集可能是针对各个部门的活动的动机 一个先前未知的高级持续威胁 (APT) 组织使用定制恶意软件和多种公开可用的工具来针对台湾制造、IT 和生物医学领域的许多组织。 位于太平洋岛屿的一个政府机构以及越南和美国的组织似乎也受到了此次攻击活动的打击。该活动于 2023 年 2 月开始，至少持续到 2023 年 5 月。 Broadcom旗下的赛门铁克威胁猎手团队已将此活动归因于一个我们称为 Gra

2023年2月，ESET的研究人员发现了一场针对圭亚那政府实体的鱼叉式网络钓鱼活动。 在这次攻击中，操作员使用了一个以前未记录的C++后门，该后门可以过滤文件、操作Windows注册表项、执行CMD命令等等。我们根据后门发送给C&C的受害者标识符将其命名为DinodasRAT：字符串总是以Din开头，这让我们想起了《指环王》中的霍比特人Dinodas。 这次活动是有针对性的，因为威胁行为者

2023 年 2 月，微软披露了其新的人工智能辅助搜索引擎 Bing Chat，由 OpenAI 的 GPT-4 提供支持。尽管谷歌多年来一直在搜索行业占据主导地位，但这一事件的意义重大，不仅足以引起人们的兴趣，而且还为未来可能发生的平衡变化埋下了种子。 考虑到科技巨头的大部分收入来自广告，微软在 Bing Chat 发布后不久将广告引入也就不足为奇了。然而，在线广告具有固有的风险。在此博客中，我

2023 年 9 月，X-Force 发现了一项活动，攻击者利用 CVE-2023-3519 中识别的漏洞攻击未修补的 NetScaler Gateway，将恶意脚本插入身份验证网页的 HTML 内容中以捕获用户凭据。该活动是网络犯罪分子对凭证越来越感兴趣的另一个例子。2023 年 X-Force 云威胁报告发现，67% 的云相关事件响应活动与使用被盗凭证有关。 针对 CVE-2023-3519