自 2023 年 2 月以来，Microsoft 观察到由我们追踪的 Peach Sandstorm (HOLMIUM) 攻击者针对数千个组织实施的密码喷洒活动。Peach Sandstorm 是伊朗民族国家威胁行为者，最近在全球范围内追捕卫星、国防和制药领域的组织。根据目标受害者组织的概况和观察到的后续入侵活动，微软评估这一初始访问活动可能用于促进情报收集，以支持伊朗国家利益。 在 Peach

威胁类型： 后门 简单描述： 近日，深盾实验室在运营工作中发现攻击者通过即时聊天软件传播Cobaltstrike。 恶意文件描述 近日，深盾实验室在运营工作中发现攻击者通过即时聊天软件传播Cobaltstrike。 事件分析 传播途径：攻击者通过即时聊天软件进入与目标人员相关的群聊，以获取目标人员的信息和行为习惯。一旦攻击者确定了目标人员，他们会通过私聊的方式向目标人员发送伪装成看似合法的文件，以

2021 年 1 月，威胁分析组织 (TAG)公开披露了朝鲜政府支持的参与者发起的一项活动，他们利用 0day 漏洞攻击从事漏洞研究和开发的安全研究人员。在过去的两年半中，TAG 持续跟踪和破坏这些行为者的活动，寻找 0day 漏洞并保护在线用户。最近，TAG 意识到一项新的活动可能来自同一行动者，因为该活动与之前的活动有相似之处。TAG 了解到，在过去几周内，至少有一个被积极利用的 0day 漏

介绍 严格来说，生成式人工智能已经存在了近十年，但该技术最近的繁荣激发了人们对其可能应用于信息安全社区面临的挑战的兴趣。找到这些挑战需要搜索一个非常大的大海捞针，其中包含每天充斥网络的全新二进制文件、文档、域和其他工件。 在这篇博文中，我们深入探讨了 Check Point 持续使用这种模型来排除大海捞针，并定期阻止滥用 DNS 协议与 C&C 服务器通信的恶意活动。我们重点关注 Coin

JPCERT/CC 已确认 7 月份发生的一次攻击中使用了一种新技术，通过将恶意 Word 文件嵌入到 PDF 文件中来绕过检测。这篇博客文章以下将该技术称为“PDF 中的 MalDoc”，并解释了该技术的详细信息和对策。 PDF 格式的 MalDoc 概述 使用 MalDoc 在 PDF 中创建的文件可以在 Word 中打开，即使它具有 PDF 的幻数和文件结构。如果该文件配置了宏，在Word中

当勒索软件在野外取得成功时，网络犯罪分子通常会使用相同的勒索软件样本（稍微调整其代码库）来试点其他项目。例如，他们可能会更改加密方案、勒索记录或命令与控制 (C2) 通信渠道，然后将自己重新标记为“新”勒索软件。 这些细微的调整可能会在分类过程中让安全研究人员感到困惑。将观察到/检测到的危害指标 (IOC) 归因于相应的恶意软件/勒索软件非常重要。然而，由于新重新命名的名称也与旧的恶意软件相关，因

如今，越来越多的人喜欢在网上购买商品。那么为何不？很方便，货物会送到您家门口，如果您选择众多在线市场之一，甚至可以节省一些钱。可悲的是，诈骗者滥用了这一点，将这些服务及其客户作为诈骗者的利益目标。他们可以为他们不拥有或不打算出售的商品创建列表。一旦受害者付款，他们似乎就消失在了以太里。 最近，我们发现了一个工具包的源代码，它可以为诈骗者提供很大的帮助，他们不需要特别精通 IT，只需要能说会道就可以

一般信息 2023 年 8 月 10 日，政府计算机应急响应小组 CERT-UA 记录了政府机构之间大量分发的钓鱼电子邮件，主题为“[CERT-UA#5086] 怀疑登录到您的邮箱”，据称是代表CERT-UA 使用国家特殊通信局的标志。 上述电子邮件包含更改密码的请求以及模拟 Roundcube 软件 Web 界面的 Web 资源链接。 如果单击链接并输入身份验证数据，登录名和密码将使用 HTTP

执行摘要 AdLoad 恶意软件在 2017 年首次出现多年后，仍在感染 Mac 系统。AdLoad 是一个软件包捆绑器，据观察，它在其存在期间提供了广泛的有效负载。AT&T Alien Labs 在对其最新有效负载进行调查期间发现，AdLoad 在过去一年中删除的最常见组件是代理应用程序，该代理应用程序将 MacOS AdLoad 受害者变成一个巨大的住宅代理僵尸网络。 要点： 1.Ad

概括 BlackBerry发现并记录了Cuba勒索软件威胁组织使用的新工具。 Cuba勒索软件目前已进入第四个年头，并且没有任何放缓的迹象。仅在 2023 年上半年，Cuba勒索软件背后的运营商就在不同行业发起了数起备受瞩目的攻击。 BlackBerry 威胁研究和情报团队调查了该威胁组织 6 月份发起的一项活动，该活动最终对美国关键基础设施部门的一家组织以及拉丁美洲的一家 IT 集成商发起了攻击

AhnLab 安全紧急响应中心 (ASEC) 发现了一种通过垃圾邮件进行的无文件网络钓鱼活动，该活动会执行 PE 文件 (EXE)，而不在用户的 PC 上创建它。附加hta扩展名的恶意代码最终会执行AgentTesla、Remcos、LimeRAT等恶意代码。该博客解释了从垃圾邮件到最终二进制文件的操作流程和相关技术。 [图1]是传播恶意软件的垃圾邮件的文本。它被伪装成银行转账通知进行分发，所附I

执行摘要 攻击者增加了对 Linux 系统的针对性攻击，而 LaZagne（一种流行的开源密码恢复工具）等黑客工具实用程序的易于访问性使得威胁行为者越来越方便地在恶意软件攻击链中使用这种工具来转储密码。该工具给 Linux 用户带来了巨大的风险，因为它针对的是 Pidgin 等流行的聊天软件，使用 D-Bus API 提取包括密码在内的敏感信息。 本文简要概述了 LaZagne 如何利用 Pidg

1、SapphireStealer 是一种开源信息窃取程序，自 2022 年 12 月首次公开发布以来，在公共恶意软件存储库中出现的频率不断增加。 2、SapphireStealer 等信息窃取恶意软件可用于获取敏感信息，包括公司凭证，这些信息通常会转售给其他威胁行为者，这些威胁行为者利用该访问权限进行其他攻击，包括与间谍活动或勒索软件/勒索相关的操作。 3、我们以中等信心评估多个实体正在使用 S

受影响的平台： Windows 和 macOS 受影响方： Adobe ColdFusion 易受攻击版本的用户 影响：远程攻击者获得对易受攻击系统的控制 严重级别：严重 今年 7 月，Adobe 发布了一系列安全更新： APSB23-40 、 APSB23-41 和 APSB23-47 ，以回应其 ColdFusion 解决方案中针对预身份验证远程代码执行 (RCE )漏洞的利用报告。Proje

Sophos X-Ops 正在跟踪针对暴露在互联网上的未打补丁的 Citrix NetScaler 系统的威胁参与者。 根据研究，最近的攻击与使用CVE-2023 – 3519传播恶意软件的攻击有相似之处。 Citrix在其 Citrix NetScaler 应用程序交付控制器 (ADC) 上发现了一个零日漏洞，该漏洞允许威胁参与者在 8 月初执行远程代码。 根据 Fox-IT 本月早些时候的一份

Good Day 勒索软件是 ARCrypter 家族中的一个变体，于 2023 年 5 月首次在野外观察到。2023 年 6 月至 8 月期间，我们观察到 Good Day 勒索软件活动有所增加，并且公开的新勒索字条样本激增恶意软件存储库。这波新的 Good Day 攻击针对每个目标都有一个基于 TOR 的受害者门户。 在这篇文章中，我们将详细介绍几个独特的 Good Day 勒索信息和受害者门

概述 Confucius别名魔罗桫、Confucius、APT-Q-40。 该组织的命名最早出自国外安全厂商Palo Alto Networks在2016年发布的分析报告，在该报告中，Palo Alto Networks披露了一个印度攻击组织的攻击活动，该组织攻击活动最早可追溯至2013年，其擅长使用鱼叉式钓鱼邮件、水坑攻击以及钓鱼网站，配合丰富的社会工程学手段对中国、巴基斯坦、孟加拉国等印度周边

执行摘要 Key Group 勒索软件家族于 2023 年 1 月 6 日首次曝光，此后一直在继续运作。EclecticIQ 研究人员高度自信地评估，Key Group 勒索软件团伙主要是一个讲俄语、出于经济动机的威胁组织，使用 Telegram 频道keygroup777Tg 进行赎金谈判。Key Group 还有一个额外的私人（仅限受邀者）Telegram 频道来共享。 信息成员之间的人肉搜索

今年早些时候，我们发现了一个名为 Earth Estries 的黑客组织发起的新网络间谍活动。根据我们的观察，Earth Estries 至少自 2020 年起就一直活跃。我们还发现 Earth Estries 使用的战术、技术和程序 (TTP) 与另一个高级持续威胁 (APT) 组织 FamousSparrow 使用的战术、技术和程序 (TTP) 之间存在一些重叠。 从此次持续活动中使用的工具和

8 月初，ReversingLabs 发现了一个恶意供应链活动，研究团队将其称为“VMConnect”。该活动包括发布到 Python 包索引 (PyPI) 开源存储库的两打恶意 Python 包。这些软件包模仿了流行的开源Python工具，包括vConnector ，这是一个用于pyVmomi VMware vSphere绑定的包装模块；eth-tester，用于测试基于以太坊的应用程序的工具集