概述 Lazarus威胁组织被称为国家支持的攻击组织，自2009年以来一直活跃。最初主要活跃在韩国，但自2016年以来，它一直在攻击韩国周边的国防工业、高科技产业和金融。世界。Lazarus组织在攻击过程中主要采用鱼叉式网络钓鱼、供应链攻击以及伪装成合法程序等方式进行攻击。 近年来，水坑攻击已被用来攻击多家公司和组织，包括国内国防公司、卫星、软件和媒体公司，最初使用的渗透方法是国内金融安全认证软件

要点 Proofpoint 发现一种名为 ZenRAT 的新恶意软件通过密码管理器 Bitwarden 的虚假安装包进行分发。 该恶意软件专门针对 Windows 用户，并将使用其他主机的用户重定向到良性网页。 目前，尚不清楚恶意软件是如何传播的。 该恶意软件是一种模块化远程访问木马 (RAT)，具有信息窃取功能。   概述 Proofpoint Emerging Threats 经常收到社区的提

介绍 随着技术的发展和世界变得更加互联，威胁行为者针对受害者使用的技术也在不断变化。威胁行为者不断利用供应链和代码库中错综复杂的相互依赖关系，对组织、个人和社区构成重大风险。 近年来最令人担忧的趋势之一是供应链攻击（尤其是那些危害代码库的攻击）的兴起，成为网络安全领域的一个关键的全球问题。根据欧盟网络安全局（ENSA）发布的报告，39%至62%的组织受到第三方网络事件的影响，只有40%的受访组织表

分析总结 Shuckworm APT（又名 Actinium、Armageddon、Primitive Bear、Gamaredon 和 Trident Ursa）是俄罗斯支持的高级持续威胁 (APT)，至少自 2013 年以来一直在运作。众所周知，该网络间谍组织的目标是政府、军队、和其他高价值目标，主要位于乌克兰，并与多个高级持续威胁 (APT) 活动有关。该APT的主要目标是利用恶意文档来获取

要点 Cyble 研究与情报实验室 (CRIL) 遇到了一个 RAR 存档文件，该文件可以通过成人网站或虚假成人网站等传播。 在此恶意软件活动中，威胁参与者 (TA) 利用 WinRAR ( CVE-2023-38831 ) 中的漏洞将其恶意负载分发到受害者的系统上。 该漏洞会触发 CMD 文件的执行，从而启动 BAT 文件的下载。 此阶段的初始 Batch 脚本充当下载程序来获取 PowerSh

事件概述 近日，奇安信威胁情报中心注意到一起oneinstack供应链投毒事件，于是对这起事件进行了分析和关联。经分析，此次投毒事件与2023年4月份oneinstack供应链投毒事件、2023年9月份LNMP供应链投毒事件属于同一攻击者所为。 OneinStack是PHP/JAVA环境一键部署工具,其提供了简单、快速的方式来部署和管理网站，目前官方的github星标已达2.3k。在2023年10

CHM（Microsoft Compiled HTML Help）文件是微软开发的帮助文件，是经过编译和压缩的HTML格式。它主要用于向用户提供帮助，例如如何使用应用程序和培训指南，但它也通过在内部 HTML 中插入恶意脚本来执行恶意操作。事实上，许多攻击团体正在利用 CHM 文件的特征来传播恶意软件。 近日，多起伪装成国内金融公司正常通知的CHM恶意软件被证实。当 CHM 中的恶意脚本执行时，该

执行摘要： 2023 年 7 月上旬，微软称之为“Storm-0324”的威胁参与者被发现通过 Microsoft Teams 发送网络钓鱼消息。Storm-0324 是一个出于经济动机的威胁行为者组织，此前因分发网络钓鱼电子邮件以通过远程执行代码获得对受感染系统的初始访问权限而闻名。在获得初步立足点后，Storm-0324 经常将访问权限移交给知名勒索软件组织 Sangria Tempest（也

一、概述 2023年9月份，绿盟科技伏影实验室全球威胁狩猎系统监测到多个基于Mirai开发而来的新型僵尸网络变种家族来势汹汹，其中以hailBot， kiraiBot以及CatDDoS最为活跃，正在加速传播，大范围布局，已构成不小的威胁，这引起了我们的警惕。我们将通过本文来披露这三个新型Mirai变种的技术细节及全球威胁狩猎系统监测到的数据。 近年来，基于Mirai架构开发而来的僵尸网络木马越来越

8月，IB组威胁情报研究人员检测到一种以前未知的Android 木马，针对越南的金融组织。我们将其代号为 GoldDigger，以参考 APK 中的特定 GoldActivity 活动。 我们立即向越南及其他地区的客户通报了我们的发现。此外，我们的 24/7 CERT-GIB (IB组计算机应急响应小组）根据双方之间的数据共享协议，主动联系VNCERT （越南计算机应急响应小组）亚太计算机应急响应

Netskope 的研究人员正在跟踪一个使用恶意 Python 脚本窃取 Facebook 用户凭据与浏览器数据的攻击行动。攻击针对 Facebook 企业账户，包含虚假 Facebook 消息并带有恶意文件。攻击的受害者主要集中在南欧与北美，以制造业和技术服务行业为主。 2023 年 1 月，Meta 发现了名为 NodeStealer 的基于 JavaScript 开发的恶意软件，该恶意软件旨

分析总结 APT-17，也被称为“Bitter APT”或“DeputyDog”，是一个国家支持的网络间谍组织，据信在中国境外开展活动。它们至少自 2012 年起就一直活跃，主要针对航空航天、国防和技术行业的组织。他们以中国、巴基斯坦和沙特阿拉伯为目标而闻名，并已将目光扩大到孟加拉国政府机构。该组织以使用各种定制恶意软件和工具来执行其操作而闻名，包括远程访问木马 (RAT)、键盘记录程序和后门。众

LightSpy 恶意软件是针对香港 iOS 用户进行水坑攻击的恶意软件，被发现嵌入了 Android 植入 Core 及其来自 20 个活动服务器的 14 个相关插件，用于攻击移动用户。 LightSpy 是一种移动高级持续威胁 (mAPT)，它使用新的复杂技术来攻击移动用户。该恶意软件已被确认为国家资助的组织 APT41 所为。 最近的报告表明，该恶意软件一直在使用微信支付系统访问支付数据、监

执行摘要 Menlo Labs 最近发现了一个针对各行业高级管理人员的网络钓鱼活动，但主要针对银行和金融服务、保险提供商、物业管理和房地产以及制造业。 根据我们对网络钓鱼活动的研究，主要发现如下： 1、该活动从七月开始，一直持续到八月。 2、该活动使用了一种名为"EvilProxy"的复杂网络钓鱼工具包，它充当反向代理，拦截客户端和合法站点之间的请求。 3、"EvilProxy"能够收集会话 co

在广阔的开源生态系统中，影子偶尔会移动。虽然这个领域依靠协作和知识共享而蓬勃发展，但它也是掠夺者的游乐场，从新手黑客到协调良好的民族国家行为者。近几个月来，这样一种威胁不断出现、不断增长并完善其武器库。 自 4 月初以来，我们 Checkmarx 供应链安全团队一直在追踪该恶意行为者，记录其演变的每一步。我们一直在积极观察攻击者，他们似乎在不断完善自己的技术。 这是一个攻击者从简单到巧妙规避的故事

ESET 研究人员发现了针对西班牙一家航空航天公司的 Lazarus 攻击，该组织在该公司部署了多种工具，其中最引人注目的是一个未公开记录的后门，我们将其命名为 LightlessCan。Lazarus 运营商去年在一次成功的鱼叉式网络钓鱼活动后，伪装成 Meta（Facebook、Instagram 和 WhatsApp 背后的公司）的招聘人员，获得了对该公司网络的初步访问权限。 假冒招聘人员通

我们分析了一种新的恶意软件，我们将其归因于APT34高级持续威胁 (APT) 组织，该组织参与了网络钓鱼攻击。八月份，我们的威胁搜寻活动发现了我们调查的恶意文档，该文档是在该组织的有针对性的网络钓鱼攻击中使用的。该恶意文档负责投放我们称为 Menorah 的新恶意软件（取自恶意文档投放的可执行文件，被趋势科技检测为 Trojan.W97M.SIDETWIST.AB），并创建一个计划任务以实现持久性

在我们之前对涉及 Facebook 窃取者的活动进行分析时，我们发现了另一个有趣的窃取者。它是用Node.js编写的，打包成可执行文件，通过Telegram bot API 和命令与控制 (C&C) 服务器窃取被盗数据，并使用GraphQL作为 C&C 通信的通道。这篇博客文章调查了这个新的窃取程序，并对其例程和功能进行了深入分析。 感染载体 最近的活动 与之前的活动一样，我们注意

APT组织BITTER，又称蔓灵花，2013年以来频繁活跃在南亚地区，攻击目标主要为巴基斯坦、中国、孟加拉国和沙特阿拉伯等国家的政府、军工、能源等部门。2021年以来，国资国企在线监管安全运营中心（以下简称安全运营国家中心）持续捕获该组织针对我国重点单位的多轮攻击。 下面对该组织的最新RAT进行简要分析说明。 一、样本信息 上述样本为该组织最新启用的一个远控组件，伪装成微软Office的一个正常d

要点 威胁行为者 (TA) 越来越多地利用基于特定国家或地区禁止的应用程序的网络钓鱼活动。 在最近针对俄罗斯用户的案例中，助教模仿 ExpressVPN、微信和 Skype 等流行应用程序制作了网络钓鱼网站，所有这些在俄罗斯都是被禁止的。 有趣的是，这些站点被用来分发相同的 RMS（远程管理系统）可执行文件，这是一种合法的远程管理工具。 恶意软件二进制文件中存在俄语，表明该 TA 可能来自俄罗斯。