事件概述 近日，奇安信威胁情报中心注意到一起oneinstack供应链投毒事件，于是对这起事件进行了分析和关联。经分析，此次投毒事件与2023年4月份oneinstack供应链投毒事件、2023年9月份LNMP供应链投毒事件属于同一攻击者所为。 OneinStack是PHP/JAVA环境一键部署工具,其提供了简单、快速的方式来部署和管理网站，目前官方的github星标已达2.3k。在2023年10

CHM（Microsoft Compiled HTML Help）文件是微软开发的帮助文件，是经过编译和压缩的HTML格式。它主要用于向用户提供帮助，例如如何使用应用程序和培训指南，但它也通过在内部 HTML 中插入恶意脚本来执行恶意操作。事实上，许多攻击团体正在利用 CHM 文件的特征来传播恶意软件。 近日，多起伪装成国内金融公司正常通知的CHM恶意软件被证实。当 CHM 中的恶意脚本执行时，该

执行摘要： 2023 年 7 月上旬，微软称之为“Storm-0324”的威胁参与者被发现通过 Microsoft Teams 发送网络钓鱼消息。Storm-0324 是一个出于经济动机的威胁行为者组织，此前因分发网络钓鱼电子邮件以通过远程执行代码获得对受感染系统的初始访问权限而闻名。在获得初步立足点后，Storm-0324 经常将访问权限移交给知名勒索软件组织 Sangria Tempest（也

一、概述 2023年9月份，绿盟科技伏影实验室全球威胁狩猎系统监测到多个基于Mirai开发而来的新型僵尸网络变种家族来势汹汹，其中以hailBot， kiraiBot以及CatDDoS最为活跃，正在加速传播，大范围布局，已构成不小的威胁，这引起了我们的警惕。我们将通过本文来披露这三个新型Mirai变种的技术细节及全球威胁狩猎系统监测到的数据。 近年来，基于Mirai架构开发而来的僵尸网络木马越来越

8月，IB组威胁情报研究人员检测到一种以前未知的Android 木马，针对越南的金融组织。我们将其代号为 GoldDigger，以参考 APK 中的特定 GoldActivity 活动。 我们立即向越南及其他地区的客户通报了我们的发现。此外，我们的 24/7 CERT-GIB (IB组计算机应急响应小组）根据双方之间的数据共享协议，主动联系VNCERT （越南计算机应急响应小组）亚太计算机应急响应

Netskope 的研究人员正在跟踪一个使用恶意 Python 脚本窃取 Facebook 用户凭据与浏览器数据的攻击行动。攻击针对 Facebook 企业账户，包含虚假 Facebook 消息并带有恶意文件。攻击的受害者主要集中在南欧与北美，以制造业和技术服务行业为主。 2023 年 1 月，Meta 发现了名为 NodeStealer 的基于 JavaScript 开发的恶意软件，该恶意软件旨

分析总结 APT-17，也被称为“Bitter APT”或“DeputyDog”，是一个国家支持的网络间谍组织，据信在中国境外开展活动。它们至少自 2012 年起就一直活跃，主要针对航空航天、国防和技术行业的组织。他们以中国、巴基斯坦和沙特阿拉伯为目标而闻名，并已将目光扩大到孟加拉国政府机构。该组织以使用各种定制恶意软件和工具来执行其操作而闻名，包括远程访问木马 (RAT)、键盘记录程序和后门。众

LightSpy 恶意软件是针对香港 iOS 用户进行水坑攻击的恶意软件，被发现嵌入了 Android 植入 Core 及其来自 20 个活动服务器的 14 个相关插件，用于攻击移动用户。 LightSpy 是一种移动高级持续威胁 (mAPT)，它使用新的复杂技术来攻击移动用户。该恶意软件已被确认为国家资助的组织 APT41 所为。 最近的报告表明，该恶意软件一直在使用微信支付系统访问支付数据、监

执行摘要 Menlo Labs 最近发现了一个针对各行业高级管理人员的网络钓鱼活动，但主要针对银行和金融服务、保险提供商、物业管理和房地产以及制造业。 根据我们对网络钓鱼活动的研究，主要发现如下： 1、该活动从七月开始，一直持续到八月。 2、该活动使用了一种名为"EvilProxy"的复杂网络钓鱼工具包，它充当反向代理，拦截客户端和合法站点之间的请求。 3、"EvilProxy"能够收集会话 co

在广阔的开源生态系统中，影子偶尔会移动。虽然这个领域依靠协作和知识共享而蓬勃发展，但它也是掠夺者的游乐场，从新手黑客到协调良好的民族国家行为者。近几个月来，这样一种威胁不断出现、不断增长并完善其武器库。 自 4 月初以来，我们 Checkmarx 供应链安全团队一直在追踪该恶意行为者，记录其演变的每一步。我们一直在积极观察攻击者，他们似乎在不断完善自己的技术。 这是一个攻击者从简单到巧妙规避的故事

ESET 研究人员发现了针对西班牙一家航空航天公司的 Lazarus 攻击，该组织在该公司部署了多种工具，其中最引人注目的是一个未公开记录的后门，我们将其命名为 LightlessCan。Lazarus 运营商去年在一次成功的鱼叉式网络钓鱼活动后，伪装成 Meta（Facebook、Instagram 和 WhatsApp 背后的公司）的招聘人员，获得了对该公司网络的初步访问权限。 假冒招聘人员通

我们分析了一种新的恶意软件，我们将其归因于APT34高级持续威胁 (APT) 组织，该组织参与了网络钓鱼攻击。八月份，我们的威胁搜寻活动发现了我们调查的恶意文档，该文档是在该组织的有针对性的网络钓鱼攻击中使用的。该恶意文档负责投放我们称为 Menorah 的新恶意软件（取自恶意文档投放的可执行文件，被趋势科技检测为 Trojan.W97M.SIDETWIST.AB），并创建一个计划任务以实现持久性

在我们之前对涉及 Facebook 窃取者的活动进行分析时，我们发现了另一个有趣的窃取者。它是用Node.js编写的，打包成可执行文件，通过Telegram bot API 和命令与控制 (C&C) 服务器窃取被盗数据，并使用GraphQL作为 C&C 通信的通道。这篇博客文章调查了这个新的窃取程序，并对其例程和功能进行了深入分析。 感染载体 最近的活动 与之前的活动一样，我们注意

APT组织BITTER，又称蔓灵花，2013年以来频繁活跃在南亚地区，攻击目标主要为巴基斯坦、中国、孟加拉国和沙特阿拉伯等国家的政府、军工、能源等部门。2021年以来，国资国企在线监管安全运营中心（以下简称安全运营国家中心）持续捕获该组织针对我国重点单位的多轮攻击。 下面对该组织的最新RAT进行简要分析说明。 一、样本信息 上述样本为该组织最新启用的一个远控组件，伪装成微软Office的一个正常d

要点 威胁行为者 (TA) 越来越多地利用基于特定国家或地区禁止的应用程序的网络钓鱼活动。 在最近针对俄罗斯用户的案例中，助教模仿 ExpressVPN、微信和 Skype 等流行应用程序制作了网络钓鱼网站，所有这些在俄罗斯都是被禁止的。 有趣的是，这些站点被用来分发相同的 RMS（远程管理系统）可执行文件，这是一种合法的远程管理工具。 恶意软件二进制文件中存在俄语，表明该 TA 可能来自俄罗斯。

Qakbot 恶意软件背后的威胁行为者自 2023 年 8 月初以来一直在开展活动，通过网络钓鱼电子邮件分发 Ransom Knight 勒索软件和 Remcos 后门。 值得注意的是，这项活动似乎在 FBI 于 8 月下旬占领 Qakbot 基础设施之前就开始了，并且此后一直在进行，这表明执法行动可能没有影响 Qakbot 运营商的垃圾邮件传送基础设施，而只影响了他们的命令和控制 (C2) 服务

2023 年 8 月活动中使用了之前未见过的 SysUpdate 版本。 Budworm 高级持续威胁 (APT) 小组继续积极开发其工具集。最近，博通旗下赛门铁克的威胁追踪团队 发现Budworm 使用其关键工具之一的更新版本来针对中东电信组织和亚洲政府。 两次攻击都发生在 2023 年 8 月。Budworm（又名 LuckyMouse、Emissary Panda、APT27）部署了其 Sy

介绍 9 月初，Zscaler ThreatLabz 发现一种名为“BunnyLoader”的新恶意软件即服务 (MaaS) 威胁正在各个论坛上出售。BunnyLoader 提供各种功能，例如下载和执行第二阶段有效负载、窃取浏览器凭据和系统信息等等。BunnyLoader 使用键盘记录器来记录击键，并使用剪辑器来监视受害者的剪贴板，并将加密货币钱包地址替换为攻击者控制的加密货币钱包地址。获得信息后

自 2022 年中期以来，我们一直在观察恶意软件家族 RedLine 和 Vidar，当时威胁行为者利用这两个恶意软件家族通过鱼叉式网络钓鱼诈骗来瞄准受害者。今年早些时候，RedLine将其信息窃取恶意软件瞄准了酒店业。 我们的最新调查显示，RedLine 和 Vidar 背后的威胁行为者现在使用与传播信息窃取程序相同的交付技术来分发勒索软件有效负载。这表明威胁行为者正在通过使他们的技术具有多种用

10 月 4 日更新：我们使用从高级威胁防护收集的数据添加了更多信息。 7 月 7 日更新：我们涵盖了 MOVEit Transfer 以及 2023 年 7 月服务包中最近披露的漏洞。 执行摘要 5 月 31 日，Progress Software 发布通知，提醒客户其 MOVEit Transfer 产品中存在严重的结构化查询语言注入 (SQLi) 漏洞 (CVE-2023-34362)。MO