摘要 近日，奇安信病毒响应中心移动安全团队监测到两个伪装成库尔德斯坦民主党（KDP）相关网站移动端应用的MOrder RAT恶意样本。 受害者会被窃取走手机上的个人通讯录、短信和其他社交软件资料等敏感信息。 我们将该APT新组织命名为“沙猁猫”（Caracal Kitten），该组织是奇安信独立发现并全球率先披露的第16个APT组织，编号为APT-Q-58。MOrder RAT默认向数据库指令表中

SEKOIA.IO 正在积极监控数百个恶意基础设施集群以保护其客户。鉴于最近的 Citizenlab 博客文章并声援打击网络雇佣兵的努力，我们选择揭露Lycantrox使用的基础设施集群之一，该集群可能会损害其目标。 虽然域模式看起来像是漏洞利用工具包的入口点，但该基础设施的规模表明它的用途更广泛。然而，我们缺乏具体证据来证实这一点。 基础设施的启示 Lycantrox使用的基础设施由托管在多个自

1. 攻击描述 近期疑似APT28攻击组织发起了一轮窃密活动，其特点是利用mockbin API获取受害者的敏感信息。山石网科情报中心获取了一批活动样本。分析显示攻击者通过自定义的Nishang脚本窃取NTLM哈希值，受害者执行脚本后会请求属于攻击者的mockbin API并发送这些信息。 2. 简要分析 攻击起始于一个恶意LNK文件。受害者执行该文件后将启动一个隐藏的powershell窗口，然

概况说明 最近一段时间，360安全大脑已多次发布了关于“银狐”钓鱼木马的预警。而在近日，我们又监测到一批新的钓鱼木马攻击，其攻击团伙与作案手法与之前“银狐”木马有大量相似之处，但亦有所不同。 通过分析确认，本轮攻击来源为“银狐”木马的新变种分支。该变种依然是通过钓鱼网页、即时通讯工具等方式进行大范围传播攻击。利用诱骗用户点击钓鱼链接或从即时通讯工具中接收传输过来的文件，让用户下载并执行远控木马。之

近期，黑客组织“匿名苏丹”周末承诺与哈马斯团结一致，现在声称对以色列工业控制系统（ICS）发动了多次攻击，试图破坏关键基础设施。 据周二（10日）上午Telegram频道上的一篇帖子称，以色列全球导航卫星系统(GNSS)、楼宇自动化和控制网络(BACNet)以及Modbus工业控制系统是该黑客组织的最新目标。“以色列工业控制系统遭到了@xAnonymousSudan 的攻击！” 帖子读到。 匿名苏

ReversingLabs的研究人员发现了一种影响npm平台的新的恶意供应链攻击。“typosquatting”活动于8月首次出现，并推送了一个恶意软件包，即节点隐藏控制台窗口，该软件包下载了一个Discord机器人程序，该机器人程序为植入开源rootkit r77提供了便利。 这是 ReversingLabs 研究人员首次发现提供 Rootkit 功能的恶意开源软件包，并表明开源项目可能越来越多

AhnLab安全应急响应中心（ASEC）对Magniber勒索软件的分发做出快速响应，Magniber勒索软件是一种代表性恶意软件，通过域名仿冒方法通过持续监控过程利用域错别字主动传播。 Magniber勒索软件一直在稳步传播，分布数量众多。Magniver勒索软件近年来一直通过IE漏洞分发，但自从对Internet Explorer（IE）的支持结束以来，它已停止分发IE漏洞。最近，Magniv

历史短课 1923年，苏联在阿塞拜疆苏维埃社会主义共和国内创建了纳戈尔诺-卡拉巴赫自治州（州是一个行政区或省）。该州 95% 的人口为亚美尼亚人。1988年，纳戈尔诺-卡拉巴赫宣布打算离开阿塞拜疆并加入邻国亚美尼亚共和国。虽然苏联能够控制由此产生的紧张局势，但一旦苏联开始解体，阿塞拜疆和亚美尼亚之间就为控制纳戈尔诺-卡拉巴赫地区而爆发武装冲突。尽管两国于 1994 年和 2020 年暂时达成停火协

AhnLab 安全紧急响应中心 (ASEC) 最近发现 ShellBot 恶意软件的分发方法发生了变化，该恶意软件被安装在管理不善的 Linux SSH 服务器上。整体流程保持不变，但威胁参与者用于安装 ShellBot 的下载 URL 已从常规 IP 地址更改为十六进制值。 •hxxp://0x2763da4e/dred •hxxp://0x74cc54bd/static/home/dred/d

LostTrust 勒索软件操作是 2023 年 9 月出现的一种新的多重勒索威胁。我们对 LostTrust 恶意软件有效负载的分析表明，该家族是SFile和Mindware的演变，并且这三个勒索软件都遵循与 MetaEncryptor 类似的操作和交易技术。LostTrust 泄漏网站和早期 MetaEncryptor 泄漏网站之间的相似性也很明显，而之前在 MetaEncryptor 活动中

当地时间 10 月 7 日清晨，加沙地带的巴勒斯坦武装组织哈马斯向以色列境内发动大规模火箭弹袭击，以色列包括特拉维夫在内的多个地区都拉响防空警报。随之拉开了新一轮激烈的巴以武装冲突的序幕。几天之内，双方死伤人数已达数千人。 随着现实战场的开启，网络世界的活动也随之增加。 在俄乌冲突中声名赫赫的网络攻击组织 Killnet 官宣加入战局，还有疑似 Anonymous 组织发起了代号为 “Anonym

情报收集可能是针对各个部门的活动的动机 一个先前未知的高级持续威胁 (APT) 组织使用定制恶意软件和多种公开可用的工具来针对台湾制造、IT 和生物医学领域的许多组织。 位于太平洋岛屿的一个政府机构以及越南和美国的组织似乎也受到了此次攻击活动的打击。该活动于 2023 年 2 月开始，至少持续到 2023 年 5 月。 Broadcom旗下的赛门铁克威胁猎手团队已将此活动归因于一个我们称为 Gra

2023年2月，ESET的研究人员发现了一场针对圭亚那政府实体的鱼叉式网络钓鱼活动。 在这次攻击中，操作员使用了一个以前未记录的C++后门，该后门可以过滤文件、操作Windows注册表项、执行CMD命令等等。我们根据后门发送给C&C的受害者标识符将其命名为DinodasRAT：字符串总是以Din开头，这让我们想起了《指环王》中的霍比特人Dinodas。 这次活动是有针对性的，因为威胁行为者

2023 年 2 月，微软披露了其新的人工智能辅助搜索引擎 Bing Chat，由 OpenAI 的 GPT-4 提供支持。尽管谷歌多年来一直在搜索行业占据主导地位，但这一事件的意义重大，不仅足以引起人们的兴趣，而且还为未来可能发生的平衡变化埋下了种子。 考虑到科技巨头的大部分收入来自广告，微软在 Bing Chat 发布后不久将广告引入也就不足为奇了。然而，在线广告具有固有的风险。在此博客中，我

2023 年 9 月，X-Force 发现了一项活动，攻击者利用 CVE-2023-3519 中识别的漏洞攻击未修补的 NetScaler Gateway，将恶意脚本插入身份验证网页的 HTML 内容中以捕获用户凭据。该活动是网络犯罪分子对凭证越来越感兴趣的另一个例子。2023 年 X-Force 云威胁报告发现，67% 的云相关事件响应活动与使用被盗凭证有关。 针对 CVE-2023-3519

概述 Lazarus威胁组织被称为国家支持的攻击组织，自2009年以来一直活跃。最初主要活跃在韩国，但自2016年以来，它一直在攻击韩国周边的国防工业、高科技产业和金融。世界。Lazarus组织在攻击过程中主要采用鱼叉式网络钓鱼、供应链攻击以及伪装成合法程序等方式进行攻击。 近年来，水坑攻击已被用来攻击多家公司和组织，包括国内国防公司、卫星、软件和媒体公司，最初使用的渗透方法是国内金融安全认证软件

要点 Proofpoint 发现一种名为 ZenRAT 的新恶意软件通过密码管理器 Bitwarden 的虚假安装包进行分发。 该恶意软件专门针对 Windows 用户，并将使用其他主机的用户重定向到良性网页。 目前，尚不清楚恶意软件是如何传播的。 该恶意软件是一种模块化远程访问木马 (RAT)，具有信息窃取功能。   概述 Proofpoint Emerging Threats 经常收到社区的提

介绍 随着技术的发展和世界变得更加互联，威胁行为者针对受害者使用的技术也在不断变化。威胁行为者不断利用供应链和代码库中错综复杂的相互依赖关系，对组织、个人和社区构成重大风险。 近年来最令人担忧的趋势之一是供应链攻击（尤其是那些危害代码库的攻击）的兴起，成为网络安全领域的一个关键的全球问题。根据欧盟网络安全局（ENSA）发布的报告，39%至62%的组织受到第三方网络事件的影响，只有40%的受访组织表

分析总结 Shuckworm APT（又名 Actinium、Armageddon、Primitive Bear、Gamaredon 和 Trident Ursa）是俄罗斯支持的高级持续威胁 (APT)，至少自 2013 年以来一直在运作。众所周知，该网络间谍组织的目标是政府、军队、和其他高价值目标，主要位于乌克兰，并与多个高级持续威胁 (APT) 活动有关。该APT的主要目标是利用恶意文档来获取

要点 Cyble 研究与情报实验室 (CRIL) 遇到了一个 RAR 存档文件，该文件可以通过成人网站或虚假成人网站等传播。 在此恶意软件活动中，威胁参与者 (TA) 利用 WinRAR ( CVE-2023-38831 ) 中的漏洞将其恶意负载分发到受害者的系统上。 该漏洞会触发 CMD 文件的执行，从而启动 BAT 文件的下载。 此阶段的初始 Batch 脚本充当下载程序来获取 PowerSh