Qakbot 恶意软件背后的威胁行为者自 2023 年 8 月初以来一直在开展活动，通过网络钓鱼电子邮件分发 Ransom Knight 勒索软件和 Remcos 后门。 值得注意的是，这项活动似乎在 FBI 于 8 月下旬占领 Qakbot 基础设施之前就开始了，并且此后一直在进行，这表明执法行动可能没有影响 Qakbot 运营商的垃圾邮件传送基础设施，而只影响了他们的命令和控制 (C2) 服务

2023 年 8 月活动中使用了之前未见过的 SysUpdate 版本。 Budworm 高级持续威胁 (APT) 小组继续积极开发其工具集。最近，博通旗下赛门铁克的威胁追踪团队 发现Budworm 使用其关键工具之一的更新版本来针对中东电信组织和亚洲政府。 两次攻击都发生在 2023 年 8 月。Budworm（又名 LuckyMouse、Emissary Panda、APT27）部署了其 Sy

介绍 9 月初，Zscaler ThreatLabz 发现一种名为“BunnyLoader”的新恶意软件即服务 (MaaS) 威胁正在各个论坛上出售。BunnyLoader 提供各种功能，例如下载和执行第二阶段有效负载、窃取浏览器凭据和系统信息等等。BunnyLoader 使用键盘记录器来记录击键，并使用剪辑器来监视受害者的剪贴板，并将加密货币钱包地址替换为攻击者控制的加密货币钱包地址。获得信息后

自 2022 年中期以来，我们一直在观察恶意软件家族 RedLine 和 Vidar，当时威胁行为者利用这两个恶意软件家族通过鱼叉式网络钓鱼诈骗来瞄准受害者。今年早些时候，RedLine将其信息窃取恶意软件瞄准了酒店业。 我们的最新调查显示，RedLine 和 Vidar 背后的威胁行为者现在使用与传播信息窃取程序相同的交付技术来分发勒索软件有效负载。这表明威胁行为者正在通过使他们的技术具有多种用

10 月 4 日更新：我们使用从高级威胁防护收集的数据添加了更多信息。 7 月 7 日更新：我们涵盖了 MOVEit Transfer 以及 2023 年 7 月服务包中最近披露的漏洞。 执行摘要 5 月 31 日，Progress Software 发布通知，提醒客户其 MOVEit Transfer 产品中存在严重的结构化查询语言注入 (SQLi) 漏洞 (CVE-2023-34362)。MO

执行摘要 我们在大规模分析 Android 应用程序包 (APK) 样本时面临的最大挑战之一是恶意软件作者使用的 Android 平台版本的多样性。当尝试在恶意软件检测领域利用静态和动态分析技术时，平台版本的多样性可能会让人感到不知所措。 在本文中，我们将讨论恶意软件作者如何使用混淆来使分析 Android 恶意软件更具挑战性。我们将回顾两个此类案例研究，以说明这些混淆技术的实际应用。最后，我们将

介绍 只要网络犯罪分子想要赚钱，他们就会继续制造恶意软件，只要他们继续制造恶意软件，我们就会继续对其进行分析、发布报告并提供保护。上个月我们讨论了广泛的网络犯罪主题。例如，我们发布了一份关于地下论坛上发现的新恶意软件的私人报告，我们将其称为 ASMCrypt（与DoubleFinger 加载程序相关）。但网络犯罪领域正在发生更多事情，因此我们还发布了有关 Lumma 窃取程序和 Zanubis A

Reptile 是一个针对 Linux 系统的开源内核模块 Rootkit，可在 GitHub 上公开获取。Rootkit 是具有隐藏自身或其他恶意软件能力的恶意软件。它们主要针对文件、进程和网络通信进行隐藏。Reptile的隐藏能力不仅包括其自身的内核模块，还包括文件、目录、文件内容、进程和网络流量。 与其他通常仅提供隐藏功能的 Rootkit 恶意软件不同，Reptile 更进一步，提供反向

2023 年 6 月，趋势科技观察到 Batloader 初始访问恶意软件使用的规避技术进行了升级，我们在之前的博客文章中对此进行了介绍。Batloader（我们将其命名为 Water Minyades）背后的团队已开始使用 Pyarmor Pro（常规 Pyarmor 保护器命令行工具的更复杂版本）来混淆其主要恶意 Python 脚本。Batloader之前使用的是Pyarmor的标准版本，可以

执行摘要 EclecticIQ 分析师充满信心地评估，观察到的两份 PDF 文档是针对北约联盟国家外交部的持续活动的一部分。这些 PDF 文件伪装成来自德国大使馆，并包含两个外交邀请诱惑。 其中一个 PDF 提供了 Duke 的变种，这是一种与俄罗斯国家资助的 APT29 网络间谍活动相关的恶意软件。另一个文件很可能用于测试或侦察，因为它不包含有效负载，但如果受害者打开电子邮件附件，则会通知攻击者

近期在江西、湖北、湖南、福建等多地机关单位发现了“银狐”木马，经过研判发现，这些木马样本是境外黑灰产组织“银狐”团伙制作完成，主要通过微信、QQ、赣政通、闽政通、长政通等多个即时通讯软件进行传播，主要针对党机关单位和企事业单位，钓鱼攻击对象主要是财务人员、人力资源管理人员以及销售人员；攻击者利用这些木马可以直接获得主机的控制权限，监控中毒人员的日常操作，窃取一些机密数据，进一步利用被控机器上面的即

AhnLab 安全紧急响应中心 (ASEC) 发现 AgentTesla 信息窃取恶意软件通过电子邮件以恶意 BAT 文件形式传播。执行 BAT 文件时，会使用无文件技术执行 AgentTesla (EXE)，而无需在用户 PC 上创建它。本博客解释了从垃圾邮件到最终二进制文件（AgentTesla）分发的操作流程和相关技术。 [图1] 是传播 AgentTesla 恶意软件的垃圾邮件的文本。收件

研究人员发现，与俄罗斯有关的 APT 组织 BlueCharlie 正在改变其基础设施，以响应最近有关其活动的报道。 该 APT 组织也称为 Blue Callisto、Callisto、COLDRIVER 和 Star Blizzard、TA446，至少自 2017 年以来一直活跃。其活动涉及持续的网络钓鱼和凭证盗窃活动，导致入侵和数据盗窃，并以北约国家为目标，这些活动针对波罗的海、北欧和东欧地

ESET 研究人员分析了 OilRig APT 组织的两项活动：Outer Space (2021) 和 Juicy Mix (2022)。这两项网络间谍活动均专门针对以色列组织，这符合该组织对中东的关注，并使用相同的策略：OilRig 首先入侵一个合法网站用作 C&C 服务器，然后使用 VBS droppers 传递 C# /.NET 后门给受害者，同时还部署了各种主要用于目标系统上的数

2022 年，DFIR 报告发现，远程管理和监控 (RMM) 工具的对抗性使用有所增加。与严重依赖终端的后开发通道（例如 Cobalt Strike 或 Metasploit）相比，RMM 提供的图形用户界面更加用户友好。随着SaaS（软件即服务）模式的流行，许多RMM进一步作为基于云的服务提供。通过让命令和控制渠道依赖于合法的云服务，对手使归因和破坏变得更加复杂。使用 RMM 还可能阻碍检测（即

一、概述 2023年九月份，绿盟科技伏影实验室全球威胁狩猎系统监测到多个基于Mirai开发而来的新型僵尸网络变种家族来势汹汹，其中以hailBot， kiraiBot以及CatDDoS最为活跃，正在加速传播，大范围布局，已构成不小的威胁，这引起了我们的警惕。我们将通过本文来披露这三个新型Mirai变种的技术细节及全球威胁狩猎系统监测到的数据。 近年来，基于Mirai架构开发而来的僵尸网络木马越来越

新的异形战役 熟悉雷德利·斯科特 1979 年执导的著名电影《异形》的人都知道，要摆脱这部系列电影中的怪物是多么困难。尽管主角们竭尽全力，怪物似乎总是会回来。 当我们在 2022 年 2 月发现并命名Xenomorph 时，我们永远无法预测这个恶意软件家族与电影中的对应恶意软件有多么相似。 早 在 2023 年 8 月，ThreatFabric 的网络欺诈分析师就再次发现了一些 Xenomorph

介绍 恶意软件领域不断发展。新的家庭诞生，而另一些家庭则消失。有些家庭是短暂的，而另一些家庭则可以长期活跃。为了跟踪这一演变，我们既依赖我们检测到的样本，也依赖我们的监控工作，其中包括僵尸网络和地下论坛。 在此过程中，我们发现了新的Emotet样本、一个名为“DarkGate”的新加载程序以及一个新的LokiBot 信息窃取活动。 DarkGate 2023 年 6 月，一位知名恶意软件开发者在一

事件背景 ScarCruft是Kaspersky于2016年披露的东亚地区APT组织，该组织擅长在攻击活动中使用0-day漏洞、图片隐写术以及合法云服务等。 2023年8月24日，日本政府将经过处理的福岛核废水排入太平洋，这项决定引发国际社会的广泛关注和争议。该核废水总量超过100万吨，曾经受到放射性核素污染，福岛第一核电站在日本政府批准和国际原子能机构监督下，将核污染水过滤和稀释后逐步排入海洋，

执行摘要 研究人员应该意识到威胁行为者会重新利用旧的概念验证 (PoC) 代码，为新发布的漏洞快速制作虚假的 PoC。2023 年 8 月 17 日，零日计划公开报告了 WinRAR 中的一个远程代码执行 (RCE) 漏洞，编号为CVE-2023-40477。他们已于 2023 年 6 月 8 日向供应商披露了该信息。在公开报告 CVE-2023-40477 四天后，一名攻击者使用别名halers