执行摘要 我们在大规模分析 Android 应用程序包 (APK) 样本时面临的最大挑战之一是恶意软件作者使用的 Android 平台版本的多样性。当尝试在恶意软件检测领域利用静态和动态分析技术时，平台版本的多样性可能会让人感到不知所措。 在本文中，我们将讨论恶意软件作者如何使用混淆来使分析 Android 恶意软件更具挑战性。我们将回顾两个此类案例研究，以说明这些混淆技术的实际应用。最后，我们将

介绍 只要网络犯罪分子想要赚钱，他们就会继续制造恶意软件，只要他们继续制造恶意软件，我们就会继续对其进行分析、发布报告并提供保护。上个月我们讨论了广泛的网络犯罪主题。例如，我们发布了一份关于地下论坛上发现的新恶意软件的私人报告，我们将其称为 ASMCrypt（与DoubleFinger 加载程序相关）。但网络犯罪领域正在发生更多事情，因此我们还发布了有关 Lumma 窃取程序和 Zanubis A

Reptile 是一个针对 Linux 系统的开源内核模块 Rootkit，可在 GitHub 上公开获取。Rootkit 是具有隐藏自身或其他恶意软件能力的恶意软件。它们主要针对文件、进程和网络通信进行隐藏。Reptile的隐藏能力不仅包括其自身的内核模块，还包括文件、目录、文件内容、进程和网络流量。 与其他通常仅提供隐藏功能的 Rootkit 恶意软件不同，Reptile 更进一步，提供反向

2023 年 6 月，趋势科技观察到 Batloader 初始访问恶意软件使用的规避技术进行了升级，我们在之前的博客文章中对此进行了介绍。Batloader（我们将其命名为 Water Minyades）背后的团队已开始使用 Pyarmor Pro（常规 Pyarmor 保护器命令行工具的更复杂版本）来混淆其主要恶意 Python 脚本。Batloader之前使用的是Pyarmor的标准版本，可以

执行摘要 EclecticIQ 分析师充满信心地评估，观察到的两份 PDF 文档是针对北约联盟国家外交部的持续活动的一部分。这些 PDF 文件伪装成来自德国大使馆，并包含两个外交邀请诱惑。 其中一个 PDF 提供了 Duke 的变种，这是一种与俄罗斯国家资助的 APT29 网络间谍活动相关的恶意软件。另一个文件很可能用于测试或侦察，因为它不包含有效负载，但如果受害者打开电子邮件附件，则会通知攻击者

近期在江西、湖北、湖南、福建等多地机关单位发现了“银狐”木马，经过研判发现，这些木马样本是境外黑灰产组织“银狐”团伙制作完成，主要通过微信、QQ、赣政通、闽政通、长政通等多个即时通讯软件进行传播，主要针对党机关单位和企事业单位，钓鱼攻击对象主要是财务人员、人力资源管理人员以及销售人员；攻击者利用这些木马可以直接获得主机的控制权限，监控中毒人员的日常操作，窃取一些机密数据，进一步利用被控机器上面的即

AhnLab 安全紧急响应中心 (ASEC) 发现 AgentTesla 信息窃取恶意软件通过电子邮件以恶意 BAT 文件形式传播。执行 BAT 文件时，会使用无文件技术执行 AgentTesla (EXE)，而无需在用户 PC 上创建它。本博客解释了从垃圾邮件到最终二进制文件（AgentTesla）分发的操作流程和相关技术。 [图1] 是传播 AgentTesla 恶意软件的垃圾邮件的文本。收件

研究人员发现，与俄罗斯有关的 APT 组织 BlueCharlie 正在改变其基础设施，以响应最近有关其活动的报道。 该 APT 组织也称为 Blue Callisto、Callisto、COLDRIVER 和 Star Blizzard、TA446，至少自 2017 年以来一直活跃。其活动涉及持续的网络钓鱼和凭证盗窃活动，导致入侵和数据盗窃，并以北约国家为目标，这些活动针对波罗的海、北欧和东欧地

ESET 研究人员分析了 OilRig APT 组织的两项活动：Outer Space (2021) 和 Juicy Mix (2022)。这两项网络间谍活动均专门针对以色列组织，这符合该组织对中东的关注，并使用相同的策略：OilRig 首先入侵一个合法网站用作 C&C 服务器，然后使用 VBS droppers 传递 C# /.NET 后门给受害者，同时还部署了各种主要用于目标系统上的数

2022 年，DFIR 报告发现，远程管理和监控 (RMM) 工具的对抗性使用有所增加。与严重依赖终端的后开发通道（例如 Cobalt Strike 或 Metasploit）相比，RMM 提供的图形用户界面更加用户友好。随着SaaS（软件即服务）模式的流行，许多RMM进一步作为基于云的服务提供。通过让命令和控制渠道依赖于合法的云服务，对手使归因和破坏变得更加复杂。使用 RMM 还可能阻碍检测（即

一、概述 2023年九月份，绿盟科技伏影实验室全球威胁狩猎系统监测到多个基于Mirai开发而来的新型僵尸网络变种家族来势汹汹，其中以hailBot， kiraiBot以及CatDDoS最为活跃，正在加速传播，大范围布局，已构成不小的威胁，这引起了我们的警惕。我们将通过本文来披露这三个新型Mirai变种的技术细节及全球威胁狩猎系统监测到的数据。 近年来，基于Mirai架构开发而来的僵尸网络木马越来越

新的异形战役 熟悉雷德利·斯科特 1979 年执导的著名电影《异形》的人都知道，要摆脱这部系列电影中的怪物是多么困难。尽管主角们竭尽全力，怪物似乎总是会回来。 当我们在 2022 年 2 月发现并命名Xenomorph 时，我们永远无法预测这个恶意软件家族与电影中的对应恶意软件有多么相似。 早 在 2023 年 8 月，ThreatFabric 的网络欺诈分析师就再次发现了一些 Xenomorph

介绍 恶意软件领域不断发展。新的家庭诞生，而另一些家庭则消失。有些家庭是短暂的，而另一些家庭则可以长期活跃。为了跟踪这一演变，我们既依赖我们检测到的样本，也依赖我们的监控工作，其中包括僵尸网络和地下论坛。 在此过程中，我们发现了新的Emotet样本、一个名为“DarkGate”的新加载程序以及一个新的LokiBot 信息窃取活动。 DarkGate 2023 年 6 月，一位知名恶意软件开发者在一

事件背景 ScarCruft是Kaspersky于2016年披露的东亚地区APT组织，该组织擅长在攻击活动中使用0-day漏洞、图片隐写术以及合法云服务等。 2023年8月24日，日本政府将经过处理的福岛核废水排入太平洋，这项决定引发国际社会的广泛关注和争议。该核废水总量超过100万吨，曾经受到放射性核素污染，福岛第一核电站在日本政府批准和国际原子能机构监督下，将核污染水过滤和稀释后逐步排入海洋，

执行摘要 研究人员应该意识到威胁行为者会重新利用旧的概念验证 (PoC) 代码，为新发布的漏洞快速制作虚假的 PoC。2023 年 8 月 17 日，零日计划公开报告了 WinRAR 中的一个远程代码执行 (RCE) 漏洞，编号为CVE-2023-40477。他们已于 2023 年 6 月 8 日向供应商披露了该信息。在公开报告 CVE-2023-40477 四天后，一名攻击者使用别名halers

TLDR： Securonix 威胁研究最近发现，一场攻击活动似乎源自威胁组织 UAC-0154，其目标是使用指挥员 (PIC) 无人机手动文档诱饵来传播恶意软件。 随着俄罗斯和乌克兰之间的战争愈演愈烈，两国之间的网络战格局也没有任何放缓的迹象。随着冲突进入一年半的时间，新的策略和恶意软件变种不断出现。 我们的团队发现了一个有趣的活动（由 Securonix 跟踪为 STARK#VORTEX），该

一、概述 近年来，僵尸网络发起的攻击活动日益猖獗，越来越多僵尸网络攻击团伙浮出水面，这些团伙的背后也透漏着更高级势力的参与的痕迹，已对国家安全造成严重威胁，加强对僵尸网络的治理迫在眉睫。绿盟科技伏影实验室依托全球威胁狩猎系统对全网僵尸网络家族进行了长期的监测，积累了大量的情报数据。我们拟发布系列文章对活跃僵尸网络家族及其背后控制团伙发展情况逐个进行披露，绘制一幅僵尸网络家族及其团伙攻击活动的全景图

据观察，一名身份不明的威胁行为者来自越南，据观察参与了不晚于 6 月 4 日开始的勒索软件活动，并使用 Yashma 勒索软件的变体，与臭名昭著的 WannaCry 勒索软件有相似之处。 根据思科 Talos 周一发布的一份新公告，此次行动的与众不同之处在于提供赎金的新颖方法。 攻击者不是在恶意软件二进制文件中嵌入勒索字条字符串，而是执行批处理文件从其 GitHub 存储库检索勒索字条。这种策略提

近期，多起利用异常证书的恶意软件被传播。 恶意代码经常将自己伪装成正常的证书，但恶意软件随机输入证书信息，并且Subject Name和Issuer Name项的字符串长度异常长。 因此，证书信息在Windows操作系统上是不可见的，只能通过特定的工具或基础设施来确认证书结构。 当然，因为证书不正确，导致签名验证失败，也就没有作为签名功能的好处了。然而，如果你看签名字符串，它具有使用阿拉伯语和日语

一、受影响情况   通过对受害者的地理位置进行分析我们发现，攻击活动受影响的地区主要是孟加拉国和斯里兰卡，受影响的时间范围从2022年6月至2023年2月。 二、攻击活动分析 1.载荷投递分析   1.1.载荷投递方式   我们在该组织近期的攻击活动中观察到两种载荷投递方式： 1)通过社交应用直接传播 2)通过PDF诱饵文档联网下载 第一种方式最常用，通过受害者设备上落地的攻击样本路径可以知道，攻