近日，国家计算机病毒应急处理中心和360公司对名为“二次约会”（SecondDate）的“间谍”软件进行了技术分析，该“间谍”软件针对基于FreeBSD、Linux、Sun Solaris、Juniper JunOS等平台的路由器等网关设备平台，可实现网络流量窃听劫持、中间人攻击、插入恶意代码等恶意功能，从而与其它“间谍”软件配合完成复杂的网络“间谍”活动。 根据“影子经纪人”泄露的NSA内部文件

最近，Telekom Security CTI 通过我们参与的信任小组获悉了通过网络钓鱼电子邮件分发的新恶意软件活动。恶意垃圾邮件活动使用窃取的电子邮件线程来引诱受害者用户单击其中包含的超链接，从而下载恶意软件。 其中一个恶意软件样本被错误归因于 Emotet，也加剧了人们对这一恶意软件活动的关注。尽管这种归因后来被证明是自动检测规则的误报匹配，但它还是引起了安全研究社区对这一新活动的关注。 基于

概括 Secureworks® Counter Threat Unit™ (CTU) 分析表明，GOLD MELODY威胁组织充当初始访问代理 (IAB)，向受感染组织出售访问权限，供其他网络犯罪分子利用。这个出于经济动机的组织至少自 2017 年以来一直活跃，通过利用未修补的面向互联网的服务器中的漏洞来危害组织。受害者学表明，这是为了经济利益而进行的机会主义攻击，而不是由国家支持的威胁组织进行的

FortiGuard 实验室每两周收集有关勒索软件变体的数据，这些变体在我们的数据集和 OSINT 社区中越来越受到关注。勒索软件综述报告旨在为读者提供有关不断演变的勒索软件格局以及防范这些变体的 Fortinet 解决方案的简要见解。 本版勒索软件综述涵盖了 Retch 和 SHO 勒索软件。 受影响的平台：Microsoft Windows 受影响方：Microsoft Windows 用户

多年来，中东一直享有高级持续威胁（APT）沃土的声誉。在对知名客户（其中一些位于该地区）系统上的可疑活动进行例行监控时，ESET Research 偶然发现了一个非常复杂且未知的后门，我们将其命名为 Deadglyph。我们从后门中发现的工件（例如0x DEAD B001，也显示在表1中）中得出了这个名称，再加上同形字形的存在攻击。据我们所知，这是对这个先前未记录的后门的首次公开分析，该后门由一个

Turla 简介 总部位于俄罗斯的 Turla 被视为高度复杂的高级持续威胁 (APT) 组织，至少从 2004 年起就被怀疑在运作。 Turla 的组织名称因其顶级 Rootkit 而臭名昭著，例如 Snake、Venomous Bear、WhiteBear、Uroburos、Group 88 和 Waterbug，所有这些都以政府实体、情报机构以及军事、教育、研究和组织为目标。世界各地的制药工

执行摘要 一个高级持续威胁 (APT) 组织被怀疑为 Stately Taurus，参与了针对东南亚政府的多起网络间谍入侵活动。这些入侵至少发生在 2021 年第二季度至 2023 年第三季度。根据我们的观察和分析，攻击者从受感染的网络中收集并窃取了敏感文档和其他类型的文件。 我们发现这一活动是对东南亚政府内部受损环境进行调查的一部分。我们将这组活动识别为 CL-STA-0044。 我们对这一系列

概述 近期我们注意到一个新兴的DDoS僵尸网络，该家族移植了部分Mirai代码，但是修改了上线方式与载荷结构，同时加入了OpenNIC域名作为C2。根据初始版本的C2字符串特征，我们将此家族称为CatDDoS 。 CatDDoS处在“创业初期”阶段，活跃度并不稳定，其每天的指令从几百到几千不等。不过自9月份发布了最新“2.0.4”版本，利用多个 N-Day 漏洞发起了新一轮传播，攻击指令数量随之也

概括 注意：此联合网络安全咨询 (CSA) 是 #StopRansomware 持续努力的一部分，旨在为网络防御者发布咨询，详细介绍各种勒索软件变体和勒索软件威胁行为者。这些#StopRansomware 公告包括最近和历史上观察到的策略、技术和程序 (TTP) 以及妥协指标 (IOC)，以帮助组织防范勒索软件。请访问 stopransomware.gov 查看所有 #StopRansomware

执行摘要 Unit 42 观察到的一组攻击东南亚政府目标的威胁行为者活动可以让我们深入了解一个罕见的隐秘 APT 组织——Gelsemium。 我们发现这一活动是对东南亚政府内部受损环境进行调查的一部分。我们将该簇识别为 CL-STA-0046。 这个独特的集群在 2022 年至 2023 年间的活动持续了六个月以上。它结合了罕见的工具和技术，威胁行为者利用这些工具和技术获得秘密立足点，并从属于东

一、概述 近期，绿盟科技伏影实验室在日常威胁狩猎过程中发现了一种依托钓鱼文档的新型攻击流程，并通过深入研究确认了两种新型木马程序以及多种少见的攻击技战术。 伏影实验室认为该新型攻击流程来自一个新型攻击者，该攻击者具备较高技术水平与谨慎的攻击态度，而本次捕获到的钓鱼攻击活动是该攻击者对特定目标进行定向打击的一部分，是其实现域内渗透的主要手段。 伏影实验室将该攻击者命名为AtlasCross，并将新型

一、背景 8月，绿盟科技伏影实验室全球威胁狩猎系统监测到针对利比亚的DDoS攻击趋势异常，伏影实验室整理了本轮DDoS攻击的流量变化，通过与利比亚在8月发生的重点事件进行对照，研判此次攻击或与8月利比亚局势动荡有关，具体攻击走势如下： 伏影实验室观测发现，8月6日，利比亚新任高级国务委员会主席当选，而在8月2日和8月5日，利比亚受到的DDoS攻击出现井喷态势；8月9日，利比亚与印度会晤讨论恢复两国

摘 要 奇安信病毒响应中心移动安全团队监测到一批伪装成伊朗股权交易平台的复合型恶意软件，其在使用钓鱼页面进行金融诈骗的同时，会远程控制受害者设备并窃取隐私信息。木马家族起于2022年7月，于2023年5月份呈现爆发式增长趋势，收录样本量达148个。欺骗受害者若要领取账户股利，需先缴纳50000里亚尔的查询税。木马具有35项主要远程控制功能。 关键词：伊朗、正义股份、金融诈骗、隐私窃取 序 近日，奇

执行摘要 SentinelLabs 观察到由未知威胁行为者发起的新威胁活动集群，我们将其称为“Sandman”。 Sandman 主要针对中东、西欧和南亚次大陆的电信提供商。 这些活动的特点是战略性横向移动和最少的接触，可能最大限度地降低被发现的风险。 Sandman 利用 LuaJIT 平台部署了一种新颖的模块化后门，这在威胁环境中相对罕见。我们将此恶意软件称为 LuaDream。 LuaDre

要点 1. Proofpoint 观察到针对中文使用者的特定恶意软件系列的活动有所增加。 2. 活动包括通常与中国网络犯罪活动相关的中文诱饵和恶意软件。 3. 新观察到的 ValleyRAT 正在成为以中国为主题的网络犯罪活动中的一种新恶意软件，而 Sainbox RAT 和相关变体最近也很活跃。 4. 中文恶意软件活动的增加表明中国恶意软件生态系统的扩张，无论是通过增加可用性还是轻松访问有效负载

自 2023 年 2 月以来，Microsoft 观察到由我们追踪的 Peach Sandstorm (HOLMIUM) 攻击者针对数千个组织实施的密码喷洒活动。Peach Sandstorm 是伊朗民族国家威胁行为者，最近在全球范围内追捕卫星、国防和制药领域的组织。根据目标受害者组织的概况和观察到的后续入侵活动，微软评估这一初始访问活动可能用于促进情报收集，以支持伊朗国家利益。 在 Peach

威胁类型： 后门 简单描述： 近日，深盾实验室在运营工作中发现攻击者通过即时聊天软件传播Cobaltstrike。 恶意文件描述 近日，深盾实验室在运营工作中发现攻击者通过即时聊天软件传播Cobaltstrike。 事件分析 传播途径：攻击者通过即时聊天软件进入与目标人员相关的群聊，以获取目标人员的信息和行为习惯。一旦攻击者确定了目标人员，他们会通过私聊的方式向目标人员发送伪装成看似合法的文件，以

2021 年 1 月，威胁分析组织 (TAG)公开披露了朝鲜政府支持的参与者发起的一项活动，他们利用 0day 漏洞攻击从事漏洞研究和开发的安全研究人员。在过去的两年半中，TAG 持续跟踪和破坏这些行为者的活动，寻找 0day 漏洞并保护在线用户。最近，TAG 意识到一项新的活动可能来自同一行动者，因为该活动与之前的活动有相似之处。TAG 了解到，在过去几周内，至少有一个被积极利用的 0day 漏

介绍 严格来说，生成式人工智能已经存在了近十年，但该技术最近的繁荣激发了人们对其可能应用于信息安全社区面临的挑战的兴趣。找到这些挑战需要搜索一个非常大的大海捞针，其中包含每天充斥网络的全新二进制文件、文档、域和其他工件。 在这篇博文中，我们深入探讨了 Check Point 持续使用这种模型来排除大海捞针，并定期阻止滥用 DNS 协议与 C&C 服务器通信的恶意活动。我们重点关注 Coin

JPCERT/CC 已确认 7 月份发生的一次攻击中使用了一种新技术，通过将恶意 Word 文件嵌入到 PDF 文件中来绕过检测。这篇博客文章以下将该技术称为“PDF 中的 MalDoc”，并解释了该技术的详细信息和对策。 PDF 格式的 MalDoc 概述 使用 MalDoc 在 PDF 中创建的文件可以在 Word 中打开，即使它具有 PDF 的幻数和文件结构。如果该文件配置了宏，在Word中