TLDR： Securonix 威胁研究最近发现，一场攻击活动似乎源自威胁组织 UAC-0154，其目标是使用指挥员 (PIC) 无人机手动文档诱饵来传播恶意软件。 随着俄罗斯和乌克兰之间的战争愈演愈烈，两国之间的网络战格局也没有任何放缓的迹象。随着冲突进入一年半的时间，新的策略和恶意软件变种不断出现。 我们的团队发现了一个有趣的活动（由 Securonix 跟踪为 STARK#VORTEX），该

一、概述 近年来，僵尸网络发起的攻击活动日益猖獗，越来越多僵尸网络攻击团伙浮出水面，这些团伙的背后也透漏着更高级势力的参与的痕迹，已对国家安全造成严重威胁，加强对僵尸网络的治理迫在眉睫。绿盟科技伏影实验室依托全球威胁狩猎系统对全网僵尸网络家族进行了长期的监测，积累了大量的情报数据。我们拟发布系列文章对活跃僵尸网络家族及其背后控制团伙发展情况逐个进行披露，绘制一幅僵尸网络家族及其团伙攻击活动的全景图

据观察，一名身份不明的威胁行为者来自越南，据观察参与了不晚于 6 月 4 日开始的勒索软件活动，并使用 Yashma 勒索软件的变体，与臭名昭著的 WannaCry 勒索软件有相似之处。 根据思科 Talos 周一发布的一份新公告，此次行动的与众不同之处在于提供赎金的新颖方法。 攻击者不是在恶意软件二进制文件中嵌入勒索字条字符串，而是执行批处理文件从其 GitHub 存储库检索勒索字条。这种策略提

近期，多起利用异常证书的恶意软件被传播。 恶意代码经常将自己伪装成正常的证书，但恶意软件随机输入证书信息，并且Subject Name和Issuer Name项的字符串长度异常长。 因此，证书信息在Windows操作系统上是不可见的，只能通过特定的工具或基础设施来确认证书结构。 当然，因为证书不正确，导致签名验证失败，也就没有作为签名功能的好处了。然而，如果你看签名字符串，它具有使用阿拉伯语和日语

一、受影响情况   通过对受害者的地理位置进行分析我们发现，攻击活动受影响的地区主要是孟加拉国和斯里兰卡，受影响的时间范围从2022年6月至2023年2月。 二、攻击活动分析 1.载荷投递分析   1.1.载荷投递方式   我们在该组织近期的攻击活动中观察到两种载荷投递方式： 1)通过社交应用直接传播 2)通过PDF诱饵文档联网下载 第一种方式最常用，通过受害者设备上落地的攻击样本路径可以知道，攻

近日，国家计算机病毒应急处理中心和360公司对名为“二次约会”（SecondDate）的“间谍”软件进行了技术分析，该“间谍”软件针对基于FreeBSD、Linux、Sun Solaris、Juniper JunOS等平台的路由器等网关设备平台，可实现网络流量窃听劫持、中间人攻击、插入恶意代码等恶意功能，从而与其它“间谍”软件配合完成复杂的网络“间谍”活动。 根据“影子经纪人”泄露的NSA内部文件

最近，Telekom Security CTI 通过我们参与的信任小组获悉了通过网络钓鱼电子邮件分发的新恶意软件活动。恶意垃圾邮件活动使用窃取的电子邮件线程来引诱受害者用户单击其中包含的超链接，从而下载恶意软件。 其中一个恶意软件样本被错误归因于 Emotet，也加剧了人们对这一恶意软件活动的关注。尽管这种归因后来被证明是自动检测规则的误报匹配，但它还是引起了安全研究社区对这一新活动的关注。 基于

概括 Secureworks® Counter Threat Unit™ (CTU) 分析表明，GOLD MELODY威胁组织充当初始访问代理 (IAB)，向受感染组织出售访问权限，供其他网络犯罪分子利用。这个出于经济动机的组织至少自 2017 年以来一直活跃，通过利用未修补的面向互联网的服务器中的漏洞来危害组织。受害者学表明，这是为了经济利益而进行的机会主义攻击，而不是由国家支持的威胁组织进行的

FortiGuard 实验室每两周收集有关勒索软件变体的数据，这些变体在我们的数据集和 OSINT 社区中越来越受到关注。勒索软件综述报告旨在为读者提供有关不断演变的勒索软件格局以及防范这些变体的 Fortinet 解决方案的简要见解。 本版勒索软件综述涵盖了 Retch 和 SHO 勒索软件。 受影响的平台：Microsoft Windows 受影响方：Microsoft Windows 用户

多年来，中东一直享有高级持续威胁（APT）沃土的声誉。在对知名客户（其中一些位于该地区）系统上的可疑活动进行例行监控时，ESET Research 偶然发现了一个非常复杂且未知的后门，我们将其命名为 Deadglyph。我们从后门中发现的工件（例如0x DEAD B001，也显示在表1中）中得出了这个名称，再加上同形字形的存在攻击。据我们所知，这是对这个先前未记录的后门的首次公开分析，该后门由一个

Turla 简介 总部位于俄罗斯的 Turla 被视为高度复杂的高级持续威胁 (APT) 组织，至少从 2004 年起就被怀疑在运作。 Turla 的组织名称因其顶级 Rootkit 而臭名昭著，例如 Snake、Venomous Bear、WhiteBear、Uroburos、Group 88 和 Waterbug，所有这些都以政府实体、情报机构以及军事、教育、研究和组织为目标。世界各地的制药工

执行摘要 一个高级持续威胁 (APT) 组织被怀疑为 Stately Taurus，参与了针对东南亚政府的多起网络间谍入侵活动。这些入侵至少发生在 2021 年第二季度至 2023 年第三季度。根据我们的观察和分析，攻击者从受感染的网络中收集并窃取了敏感文档和其他类型的文件。 我们发现这一活动是对东南亚政府内部受损环境进行调查的一部分。我们将这组活动识别为 CL-STA-0044。 我们对这一系列

概述 近期我们注意到一个新兴的DDoS僵尸网络，该家族移植了部分Mirai代码，但是修改了上线方式与载荷结构，同时加入了OpenNIC域名作为C2。根据初始版本的C2字符串特征，我们将此家族称为CatDDoS 。 CatDDoS处在“创业初期”阶段，活跃度并不稳定，其每天的指令从几百到几千不等。不过自9月份发布了最新“2.0.4”版本，利用多个 N-Day 漏洞发起了新一轮传播，攻击指令数量随之也

概括 注意：此联合网络安全咨询 (CSA) 是 #StopRansomware 持续努力的一部分，旨在为网络防御者发布咨询，详细介绍各种勒索软件变体和勒索软件威胁行为者。这些#StopRansomware 公告包括最近和历史上观察到的策略、技术和程序 (TTP) 以及妥协指标 (IOC)，以帮助组织防范勒索软件。请访问 stopransomware.gov 查看所有 #StopRansomware

执行摘要 Unit 42 观察到的一组攻击东南亚政府目标的威胁行为者活动可以让我们深入了解一个罕见的隐秘 APT 组织——Gelsemium。 我们发现这一活动是对东南亚政府内部受损环境进行调查的一部分。我们将该簇识别为 CL-STA-0046。 这个独特的集群在 2022 年至 2023 年间的活动持续了六个月以上。它结合了罕见的工具和技术，威胁行为者利用这些工具和技术获得秘密立足点，并从属于东

一、概述 近期，绿盟科技伏影实验室在日常威胁狩猎过程中发现了一种依托钓鱼文档的新型攻击流程，并通过深入研究确认了两种新型木马程序以及多种少见的攻击技战术。 伏影实验室认为该新型攻击流程来自一个新型攻击者，该攻击者具备较高技术水平与谨慎的攻击态度，而本次捕获到的钓鱼攻击活动是该攻击者对特定目标进行定向打击的一部分，是其实现域内渗透的主要手段。 伏影实验室将该攻击者命名为AtlasCross，并将新型

一、背景 8月，绿盟科技伏影实验室全球威胁狩猎系统监测到针对利比亚的DDoS攻击趋势异常，伏影实验室整理了本轮DDoS攻击的流量变化，通过与利比亚在8月发生的重点事件进行对照，研判此次攻击或与8月利比亚局势动荡有关，具体攻击走势如下： 伏影实验室观测发现，8月6日，利比亚新任高级国务委员会主席当选，而在8月2日和8月5日，利比亚受到的DDoS攻击出现井喷态势；8月9日，利比亚与印度会晤讨论恢复两国

摘 要 奇安信病毒响应中心移动安全团队监测到一批伪装成伊朗股权交易平台的复合型恶意软件，其在使用钓鱼页面进行金融诈骗的同时，会远程控制受害者设备并窃取隐私信息。木马家族起于2022年7月，于2023年5月份呈现爆发式增长趋势，收录样本量达148个。欺骗受害者若要领取账户股利，需先缴纳50000里亚尔的查询税。木马具有35项主要远程控制功能。 关键词：伊朗、正义股份、金融诈骗、隐私窃取 序 近日，奇

执行摘要 SentinelLabs 观察到由未知威胁行为者发起的新威胁活动集群，我们将其称为“Sandman”。 Sandman 主要针对中东、西欧和南亚次大陆的电信提供商。 这些活动的特点是战略性横向移动和最少的接触，可能最大限度地降低被发现的风险。 Sandman 利用 LuaJIT 平台部署了一种新颖的模块化后门，这在威胁环境中相对罕见。我们将此恶意软件称为 LuaDream。 LuaDre

要点 1. Proofpoint 观察到针对中文使用者的特定恶意软件系列的活动有所增加。 2. 活动包括通常与中国网络犯罪活动相关的中文诱饵和恶意软件。 3. 新观察到的 ValleyRAT 正在成为以中国为主题的网络犯罪活动中的一种新恶意软件，而 Sainbox RAT 和相关变体最近也很活跃。 4. 中文恶意软件活动的增加表明中国恶意软件生态系统的扩张，无论是通过增加可用性还是轻松访问有效负载