Qakbot 恶意软件背后的威胁行为者自 2023 年 8 月初以来一直在开展活动,通过网络钓鱼电子邮件分发 Ransom Knight 勒索软件和 Remcos 后门。值得注意的是,这项活动似乎在 FBI 于 8 月下旬占领 Qakbot 基础设施之前就开始了,并且此后一直在进行,这表明执法行动可
2023-10-07
2023 年 8 月活动中使用了之前未见过的 SysUpdate 版本。Budworm 高级持续威胁 (APT) 小组继续积极开发其工具集。最近,博通旗下赛门铁克的威胁追踪团队 发现Budworm 使用其关键工具之一的更新版本来针对中东电信组织和亚洲政府。两次攻击都发生在 2023 年 8 月。Bu
2023-10-07
介绍9 月初,Zscaler ThreatLabz 发现一种名为“BunnyLoader”的新恶意软件即服务 (MaaS) 威胁正在各个论坛上出售。BunnyLoader 提供各种功能,例如下载和执行第二阶段有效负载、窃取浏览器凭据和系统信息等等。BunnyLoader 使用键盘记录器来记录击键,并
2023-10-07
自 2022 年中期以来,我们一直在观察恶意软件家族 RedLine 和 Vidar,当时威胁行为者利用这两个恶意软件家族通过鱼叉式网络钓鱼诈骗来瞄准受害者。今年早些时候,RedLine将其信息窃取恶意软件瞄准了酒店业。我们的最新调查显示,RedLine 和 Vidar 背后的威胁行为者现在使用与传
2023-10-07
10 月 4 日更新:我们使用从高级威胁防护收集的数据添加了更多信息。7 月 7 日更新:我们涵盖了 MOVEit Transfer 以及 2023 年 7 月服务包中最近披露的漏洞。执行摘要5 月 31 日,Progress Software 发布通知,提醒客户其 MOVEit Transfer
2023-10-07
执行摘要我们在大规模分析 Android 应用程序包 (APK) 样本时面临的最大挑战之一是恶意软件作者使用的 Android 平台版本的多样性。当尝试在恶意软件检测领域利用静态和动态分析技术时,平台版本的多样性可能会让人感到不知所措。在本文中,我们将讨论恶意软件作者如何使用混淆来使分析 Andro
2023-10-07
介绍只要网络犯罪分子想要赚钱,他们就会继续制造恶意软件,只要他们继续制造恶意软件,我们就会继续对其进行分析、发布报告并提供保护。上个月我们讨论了广泛的网络犯罪主题。例如,我们发布了一份关于地下论坛上发现的新恶意软件的私人报告,我们将其称为 ASMCrypt(与DoubleFinger 加载程序相关)
2023-10-07
Reptile 是一个针对 Linux 系统的开源内核模块 Rootkit,可在 GitHub 上公开获取。Rootkit 是具有隐藏自身或其他恶意软件能力的恶意软件。它们主要针对文件、进程和网络通信进行隐藏。Reptile的隐藏能力不仅包括其自身的内核模块,还包括文件、目录、文件内容、进程和网络流
2023-09-28
2023 年 6 月,趋势科技观察到 Batloader 初始访问恶意软件使用的规避技术进行了升级,我们在之前的博客文章中对此进行了介绍。Batloader(我们将其命名为 Water Minyades)背后的团队已开始使用 Pyarmor Pro(常规 Pyarmor 保护器命令行工具的更复杂版本
2023-09-28
执行摘要EclecticIQ 分析师充满信心地评估,观察到的两份 PDF 文档是针对北约联盟国家外交部的持续活动的一部分。这些 PDF 文件伪装成来自德国大使馆,并包含两个外交邀请诱惑。 其中一个 PDF 提供了 Duke 的变种,这是一种与俄罗斯国家资助的 APT29 网络间谍活动相关的恶意软件。
2023-09-28
近期在江西、湖北、湖南、福建等多地机关单位发现了“银狐”木马,经过研判发现,这些木马样本是境外黑灰产组织“银狐”团伙制作完成,主要通过微信、QQ、赣政通、闽政通、长政通等多个即时通讯软件进行传播,主要针对党机关单位和企事业单位,钓鱼攻击对象主要是财务人员、人力资源管理人员以及销售人员;攻击者利用这些
2023-09-28
AhnLab 安全紧急响应中心 (ASEC) 发现 AgentTesla 信息窃取恶意软件通过电子邮件以恶意 BAT 文件形式传播。执行 BAT 文件时,会使用无文件技术执行 AgentTesla (EXE),而无需在用户 PC 上创建它。本博客解释了从垃圾邮件到最终二进制文件(AgentTesla
2023-09-28
研究人员发现,与俄罗斯有关的 APT 组织 BlueCharlie 正在改变其基础设施,以响应最近有关其活动的报道。该 APT 组织也称为 Blue Callisto、Callisto、COLDRIVER 和 Star Blizzard、TA446,至少自 2017 年以来一直活跃。其活动涉及持续的
2023-09-28
ESET 研究人员分析了 OilRig APT 组织的两项活动:Outer Space (2021) 和 Juicy Mix (2022)。这两项网络间谍活动均专门针对以色列组织,这符合该组织对中东的关注,并使用相同的策略:OilRig 首先入侵一个合法网站用作 C&C 服务器,然后使用 V
2023-09-27
2022 年,DFIR 报告发现,远程管理和监控 (RMM) 工具的对抗性使用有所增加。与严重依赖终端的后开发通道(例如 Cobalt Strike 或 Metasploit)相比,RMM 提供的图形用户界面更加用户友好。随着SaaS(软件即服务)模式的流行,许多RMM进一步作为基于云的服务提供。通
2023-09-27
一、概述2023年九月份,绿盟科技伏影实验室全球威胁狩猎系统监测到多个基于Mirai开发而来的新型僵尸网络变种家族来势汹汹,其中以hailBot, kiraiBot以及CatDDoS最为活跃,正在加速传播,大范围布局,已构成不小的威胁,这引起了我们的警惕。我们将通过本文来披露这三个新型Mirai变种
2023-09-27
新的异形战役熟悉雷德利·斯科特 1979 年执导的著名电影《异形》的人都知道,要摆脱这部系列电影中的怪物是多么困难。尽管主角们竭尽全力,怪物似乎总是会回来。当我们在 2022 年 2 月发现并命名Xenomorph 时,我们永远无法预测这个恶意软件家族与电影中的对应恶意软件有多么相似。早 在 202
2023-09-27
介绍恶意软件领域不断发展。新的家庭诞生,而另一些家庭则消失。有些家庭是短暂的,而另一些家庭则可以长期活跃。为了跟踪这一演变,我们既依赖我们检测到的样本,也依赖我们的监控工作,其中包括僵尸网络和地下论坛。在此过程中,我们发现了新的Emotet样本、一个名为“DarkGate”的新加载程序以及一个新的L
2023-09-27
事件背景ScarCruft是Kaspersky于2016年披露的东亚地区APT组织,该组织擅长在攻击活动中使用0-day漏洞、图片隐写术以及合法云服务等。2023年8月24日,日本政府将经过处理的福岛核废水排入太平洋,这项决定引发国际社会的广泛关注和争议。该核废水总量超过100万吨,曾经受到放射性核
2023-09-27
执行摘要研究人员应该意识到威胁行为者会重新利用旧的概念验证 (PoC) 代码,为新发布的漏洞快速制作虚假的 PoC。2023 年 8 月 17 日,零日计划公开报告了 WinRAR 中的一个远程代码执行 (RCE) 漏洞,编号为CVE-2023-40477。他们已于 2023 年 6 月 8 日向供
2023-09-27