当勒索软件在野外取得成功时，网络犯罪分子通常会使用相同的勒索软件样本（稍微调整其代码库）来试点其他项目。例如，他们可能会更改加密方案、勒索记录或命令与控制 (C2) 通信渠道，然后将自己重新标记为“新”勒索软件。 这些细微的调整可能会在分类过程中让安全研究人员感到困惑。将观察到/检测到的危害指标 (IOC) 归因于相应的恶意软件/勒索软件非常重要。然而，由于新重新命名的名称也与旧的恶意软件相关，因

如今，越来越多的人喜欢在网上购买商品。那么为何不？很方便，货物会送到您家门口，如果您选择众多在线市场之一，甚至可以节省一些钱。可悲的是，诈骗者滥用了这一点，将这些服务及其客户作为诈骗者的利益目标。他们可以为他们不拥有或不打算出售的商品创建列表。一旦受害者付款，他们似乎就消失在了以太里。 最近，我们发现了一个工具包的源代码，它可以为诈骗者提供很大的帮助，他们不需要特别精通 IT，只需要能说会道就可以

一般信息 2023 年 8 月 10 日，政府计算机应急响应小组 CERT-UA 记录了政府机构之间大量分发的钓鱼电子邮件，主题为“[CERT-UA#5086] 怀疑登录到您的邮箱”，据称是代表CERT-UA 使用国家特殊通信局的标志。 上述电子邮件包含更改密码的请求以及模拟 Roundcube 软件 Web 界面的 Web 资源链接。 如果单击链接并输入身份验证数据，登录名和密码将使用 HTTP

执行摘要 AdLoad 恶意软件在 2017 年首次出现多年后，仍在感染 Mac 系统。AdLoad 是一个软件包捆绑器，据观察，它在其存在期间提供了广泛的有效负载。AT&T Alien Labs 在对其最新有效负载进行调查期间发现，AdLoad 在过去一年中删除的最常见组件是代理应用程序，该代理应用程序将 MacOS AdLoad 受害者变成一个巨大的住宅代理僵尸网络。 要点： 1.Ad

概括 BlackBerry发现并记录了Cuba勒索软件威胁组织使用的新工具。 Cuba勒索软件目前已进入第四个年头，并且没有任何放缓的迹象。仅在 2023 年上半年，Cuba勒索软件背后的运营商就在不同行业发起了数起备受瞩目的攻击。 BlackBerry 威胁研究和情报团队调查了该威胁组织 6 月份发起的一项活动，该活动最终对美国关键基础设施部门的一家组织以及拉丁美洲的一家 IT 集成商发起了攻击

AhnLab 安全紧急响应中心 (ASEC) 发现了一种通过垃圾邮件进行的无文件网络钓鱼活动，该活动会执行 PE 文件 (EXE)，而不在用户的 PC 上创建它。附加hta扩展名的恶意代码最终会执行AgentTesla、Remcos、LimeRAT等恶意代码。该博客解释了从垃圾邮件到最终二进制文件的操作流程和相关技术。 [图1]是传播恶意软件的垃圾邮件的文本。它被伪装成银行转账通知进行分发，所附I

执行摘要 攻击者增加了对 Linux 系统的针对性攻击，而 LaZagne（一种流行的开源密码恢复工具）等黑客工具实用程序的易于访问性使得威胁行为者越来越方便地在恶意软件攻击链中使用这种工具来转储密码。该工具给 Linux 用户带来了巨大的风险，因为它针对的是 Pidgin 等流行的聊天软件，使用 D-Bus API 提取包括密码在内的敏感信息。 本文简要概述了 LaZagne 如何利用 Pidg

1、SapphireStealer 是一种开源信息窃取程序，自 2022 年 12 月首次公开发布以来，在公共恶意软件存储库中出现的频率不断增加。 2、SapphireStealer 等信息窃取恶意软件可用于获取敏感信息，包括公司凭证，这些信息通常会转售给其他威胁行为者，这些威胁行为者利用该访问权限进行其他攻击，包括与间谍活动或勒索软件/勒索相关的操作。 3、我们以中等信心评估多个实体正在使用 S

受影响的平台： Windows 和 macOS 受影响方： Adobe ColdFusion 易受攻击版本的用户 影响：远程攻击者获得对易受攻击系统的控制 严重级别：严重 今年 7 月，Adobe 发布了一系列安全更新： APSB23-40 、 APSB23-41 和 APSB23-47 ，以回应其 ColdFusion 解决方案中针对预身份验证远程代码执行 (RCE )漏洞的利用报告。Proje

Sophos X-Ops 正在跟踪针对暴露在互联网上的未打补丁的 Citrix NetScaler 系统的威胁参与者。 根据研究，最近的攻击与使用CVE-2023 – 3519传播恶意软件的攻击有相似之处。 Citrix在其 Citrix NetScaler 应用程序交付控制器 (ADC) 上发现了一个零日漏洞，该漏洞允许威胁参与者在 8 月初执行远程代码。 根据 Fox-IT 本月早些时候的一份

Good Day 勒索软件是 ARCrypter 家族中的一个变体，于 2023 年 5 月首次在野外观察到。2023 年 6 月至 8 月期间，我们观察到 Good Day 勒索软件活动有所增加，并且公开的新勒索字条样本激增恶意软件存储库。这波新的 Good Day 攻击针对每个目标都有一个基于 TOR 的受害者门户。 在这篇文章中，我们将详细介绍几个独特的 Good Day 勒索信息和受害者门

概述 Confucius别名魔罗桫、Confucius、APT-Q-40。 该组织的命名最早出自国外安全厂商Palo Alto Networks在2016年发布的分析报告，在该报告中，Palo Alto Networks披露了一个印度攻击组织的攻击活动，该组织攻击活动最早可追溯至2013年，其擅长使用鱼叉式钓鱼邮件、水坑攻击以及钓鱼网站，配合丰富的社会工程学手段对中国、巴基斯坦、孟加拉国等印度周边

执行摘要 Key Group 勒索软件家族于 2023 年 1 月 6 日首次曝光，此后一直在继续运作。EclecticIQ 研究人员高度自信地评估，Key Group 勒索软件团伙主要是一个讲俄语、出于经济动机的威胁组织，使用 Telegram 频道keygroup777Tg 进行赎金谈判。Key Group 还有一个额外的私人（仅限受邀者）Telegram 频道来共享。 信息成员之间的人肉搜索

今年早些时候，我们发现了一个名为 Earth Estries 的黑客组织发起的新网络间谍活动。根据我们的观察，Earth Estries 至少自 2020 年起就一直活跃。我们还发现 Earth Estries 使用的战术、技术和程序 (TTP) 与另一个高级持续威胁 (APT) 组织 FamousSparrow 使用的战术、技术和程序 (TTP) 之间存在一些重叠。 从此次持续活动中使用的工具和

8 月初，ReversingLabs 发现了一个恶意供应链活动，研究团队将其称为“VMConnect”。该活动包括发布到 Python 包索引 (PyPI) 开源存储库的两打恶意 Python 包。这些软件包模仿了流行的开源Python工具，包括vConnector ，这是一个用于pyVmomi VMware vSphere绑定的包装模块；eth-tester，用于测试基于以太坊的应用程序的工具集

概括 网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI) 正在发布此联合网络安全咨询 (CSA)，以传播截至 2023 年 8 月通过 FBI 调查确定的 QakBot 基础设施受损指标 (IOC)。 8 月 25 日，FBI和国际合作伙伴执行了协调行动，以破坏全球 QakBot 基础设施。针对 QakBot 基础设施的中断操作导致僵尸网络接管，从而切断了受害者计算机与 QakBot

AhnLab 安全紧急响应中心 (ASEC)确认，该恶意软件以前以 CHM 格式传播，现在以 LNK 格式传播。恶意代码通过mshta进程执行特定url中存在的附加脚本，从攻击者的服务器接收命令，并执行附加的恶意操作。 经确认，已确认的 LNK 文件是由攻击者将包含恶意代码的压缩文件上传到正常站点来分发的。 图1. hxxp://a*****fo.co.kr/member/ 页面发现恶意代码 恶意

BlueShell是一款用Go语言开发的后门恶意软件，发布在GitHub上，支持Windows、Linux和Mac操作系统。目前，原始的 GitHub 存储库据信已被删除，但 BlueShell 的源代码仍然可以从其他存储库获取。包含说明的ReadMe文件是中文的，这表明创建者可能是中国用户。 图 1. GitHub 上发布的 BlueShell 与 SparkRAT 或 Sliver C2 等

tl;dr 作为 DB#JAMMER 攻击活动一部分的威胁参与者正在使用暴力攻击破坏暴露的 MSSQL 数据库，并且似乎拥有良好的工具并准备好提供勒索软件和 Cobalt Strike 有效负载。 在一次有趣的攻击活动中，Securonix 威胁研究团队发现了威胁参与者使用暴力攻击来针对暴露的 Microsoft SQL (MSSQL) 服务。DB#JAMMER 脱颖而出的原因之一是攻击者的工具基

分析总结 Patchwork 是一个高级持续威胁 (APT) 组织，至少自 2014 年以来一直活跃。Patchwork 主要针对南亚和东南亚（包括印度、巴基斯坦和孟加拉国）的政府、国防和外交组织以及学术机构。然而，该组织也以其他地区的组织为目标，包括欧洲和北美。 据信该组织起源于印度，并与数起网络间谍活动有关。Patchwork 在其攻击中使用了一系列策略、技术和程序 (TTP)。一旦进入网络，