McAfee 实验室观察到 Remcos RAT 活动，其中恶意 VBS 文件通过网络钓鱼电子邮件传递。网络钓鱼电子邮件包含 ZIP/RAR 附件。在这个 ZIP 中，有一个严重混淆的 VBS 文件。 Remcos 是一种复杂的 RAT，它为攻击者提供对受感染系统的后门访问并收集各种敏感信息。Remcos 结合了不同的混淆和反调试技术来逃避检测。它定期更新其功能，使该恶意软件成为一个具有挑战性的对

AhnLab安全紧急响应中心（ASEC）最近确认，存在大量伪装成 PDF 文档查看器屏幕的网络钓鱼脚本文件通过电子邮件附件传播的情况。部分已确认的文件名如下，使用了采购订单（PO）/订单/收据/订单等关键字。 New order_20230831.html Salbo_PO_20230823.pdf.html WoonggiOrder-230731.pdf.html PO_BG20231608-0

最近，Rapid7 观察到假浏览器更新诱骗用户执行恶意二进制文件。在分析丢失的二进制文件时，Rapid7 确定使用了一个新的加载程序，以便在包括 StealC 和 Lumma 在内的受感染系统上执行信息窃取程序。 IDAT 加载程序是 Rapid7 于 2023 年 7 月首次发现的一种新型、复杂的加载程序。在该加载程序的早期版本中，它被伪装成提供 SecTop RAT 的 7-zip 安装程序。

AhnLab安全紧急响应中心（ASEC）分析团队捕捉到了被认为是由RedEyes攻击组织创建的CHM恶意软件最近重新传播的情况。最近传播的CHM恶意软件的运行方式与3月份推出的“冒充国内金融公司安全邮件的CHM恶意软件”类似 。经确认， “持久化”过程中使用的命令是相同的。 在这次攻击中，利用了福岛污染水的内容，攻击者通过成为国内问题的话题引起用户的好奇心，诱导用户运行恶意文件。如图1所示，可以在

恶意文件名称： 银狐 威胁类型： 后门木马 简单描述： “银狐”木马是一类针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的木马。攻击团伙通过投递远控木马，在获得受害者的计算机控制权限后会在其系统内长期驻留，并监控用户日常操作。待时机成熟时，攻击者会利用受感染设备中已登录的聊天工具软件（如微信等）发起诈骗。此外，该家族也经常使用高仿微信号进行诈骗。 恶意文件描述 深信服深盾终端实验

执行摘要 2023 年 8 月 28 日，Interlab 收到了发送给一名记者的样本，其中包含高度针对性的内容，诱使收件人打开该文档。记者收到了一封来自一名活动人士的电子邮件，该活动人士通过一个冒充该组织成员的地址与恶意文件联系。该文档采用 .LNK 格式，执行后会加载恶意 powershell 命令和与该组织相关的合法 DOCX。 经过分析，Interlab发现，在最初的妥协后，执行了一个Au

五月份， 我们对 PYTA31 发出了警报，PYTA31 是一种传播“WhiteSnake”恶意软件的高级持续威胁行为者。从那时起，我们一直在严格监控该组织，该组织从 4 月到 8 月中旬一直活跃，分发带有“WhiteSnake 恶意软件”的恶意 PyPI 软件包。 WhiteSnake Malware，也称为“WhiteSnake Stealer”，于 2022 年初首次出现在黑客论坛上。其主要

Doctor Web 发现了一系列 Android.Pandora 木马，这些木马会在固件更新期间或安装用于查看盗版视频内容的应用程序时危害 Android 设备。该后门继承了其祖先著名的Linux.Mirai木马的先进 DDoS 攻击能力。 Doctor Web 收到了一些用户的报告，称 /system 目录中的文件被修改。SpIDer Guard 提醒他们文件系统中存在以下对象： /syste

关键点 1. 在正在进行的活动中，威胁参与者正在利用 npm 包来瞄准开发人员窃取源代码和机密。 2. 该活动背后的攻击者疑似与早在 2021 年就已被发现的恶意活动有关。 3. 在本报告中，我们将分享与此攻击相关的新软件包和 IOC。 介绍 随着又一个威胁行为者的曝光，加密货币领域的开发人员再次成为攻击目标。该用户一直在发布恶意 NPM 软件包，目的是从受害者的计算机中窃取源代码和配置文件等敏感

一、组织信息 APT34，又名OilRig或Helix Kitten，是一个疑似来自伊朗的APT组织。该组织自2014年以来保持活跃，主要针对中东各国开展网络间谍和网络破坏行动，主要目标包括金融、政府、能源、化工和电信等多个行业。 APT34具备较高的攻击技术水平，能够针对不同类型的目标设计不同的入侵方式，并且具备供应链攻击能力。该组织的主要攻击工具曾在2019年的一次泄露事件中披露，此后该组织开

“Boat”僵尸网络家族于2022年6月由绿盟安全实验室首次发现，因其早期版本的恶意样本以“boat”文件名传播而得名。同时，由于该家族后期版本的部分恶意样本保留了符号信息，且存在大量以“ripper_*”命名的函数，因此也被称为僵尸网络家族“Ripper”。 2023年8月，绿盟科技全球威胁追踪系统检测到Boat家族加速版本升级，活跃度也明显增加。它已成长为一个不可忽视的威胁源。经过一年多的成长

近期，捕获了一次传播新 Agent Tesla 变种的网络钓鱼活动。这个著名的恶意软件家族使用基于 .Net 的远程访问木马 (RAT) 和数据窃取程序来获得初始访问权限。它通常用于恶意软件即服务 (MaaS)。 我对该活动进行了深入分析，从最初的网络钓鱼电子邮件到安装在受害者计算机上的 Agent Tesla 的操作，再到从受影响的设备收集敏感信息。在本次分析中，您将了解该攻击的内容，例如钓鱼邮

背景 Gamaredon（也称为 Primitive Bear、Actinium 或 Shuckworm）是一个俄罗斯高级持续威胁 (APT) 组织，至少自 2013 年以来一直活跃，历史上遍及美国和印度次大陆，最近又在乌克兰，包括据报道对乌克兰发动的攻击西方政府实体： 资料来源：Talos，2021 年 Gamaredon 是一个高度好战的威胁组织，他们与其他 APT 组织使用的打了就跑的战术不

一、概述 近日检测到，一个兼具DDoS和挖矿功能的新型僵尸网络家族KmsdBot再次活跃。攻击者不断更换C&C基础设施并更新木马版本。与传统的类僵尸网络家族相比，KmsdBot采用了全新的架构，并采用Go编程语言开发。Go的简单、高效和良好的跨平台性大大降低了恶意代码的开发成本。同时，Go语言的原生特性也给分析师带来了极大的烦恼。 该家族于2022年9月首次引起人们的关注，当时样本功能尚不

2023 年 9 月 11 日更新。Google 已通知我们所有应用程序均已从 Google Play 商店中删除。 不久前，我们在 Google Play 上发现了一堆带有繁体中文、简体中文和维吾尔文描述的 Telegram 模组。该供应商表示，这些是最快的应用程序，使用世界各地的分布式数据处理中心网络。 经过 Google Play 正式测试并可通过官方商店购买的 Telegram 模组可能存

概括 Google 搜索的恶意广告以 Mac 用户为目标。 网络钓鱼网站诱骗受害者下载他们认为是他们想要的应用程序。 该恶意软件捆绑在一个临时签名的应用程序中，因此 Apple 无法撤销它。 有效负载是 OSX 最新 Atomic Stealer 的新版本。 介绍 我们过去几个月跟踪的大多数恶意广告活动都针对 Windows 用户。考虑到微软在台式机和笔记本电脑方面都拥有最大的市场份额，这并不奇怪

关键点 Silent Push 分析师使用专有扫描来发现与破产加密平台相关的消费者网络钓鱼域。 威胁行为者积极针对 Voyager 和摄氏度网络的前客户，通过提供全额退款的资产追回电子邮件。 恶意重定向用于通过欺骗合法域来窃取资产并从本地加密钱包获取凭证。 背景 威胁行为者经常关注热门新闻主题来构建冒充特定组织及其当前或以前客户的定制活动，其后果包括货币欺诈、大规模凭证和身份盗窃。 今年早些时候，

在当今的酒店业中，度假租赁软件已从奢侈品转变为酒店、度假村和小型企业的必备软件，简化了预订、宾客互动和物业管理。虽然度假租赁软件似乎专注于预订，但它包含信用卡信息、客人偏好和通信等有价值的数据。这些数据是网络犯罪分子寻求经济利益或未经授权访问的主要目标。 特别有吸引力的是信用卡信息，它吸引了出于经济动机的黑客的注意，占酒店违规行为的 41%（来源：Verizon 数据泄露调查报告）。酒店业的大量交

勒索软件格局的演变已经从涉及 Windows 有效负载的传统方法转变为针对其他平台（尤其是 Linux）的方法。在这种转变中，勒索软件运营商正在缩短不同有效负载发布之间的时间间隔，并在不同平台上实现功能对等。 勒索软件运营商战略性地利用Conti、Babuk或Lockbit等知名勒索软件系列的代码，重用和修改代码库来创建新颖的攻击技术。随着越来越多的此类案例曝光，安全团队在防御中保持警惕和适应性至

8 月 28 日，AhnLab 安全应急响应中心 (ASEC) 确认，伪装成侵犯版权的下载器恶意软件已分发给韩国境内不明人数的人。分布式恶意软件包含检测虚拟环境的代码，以避免基于沙箱的安全解决方案检测到，并且是一种下载名为 MainBot 的恶意软件的 .NET 恶意软件。根据该公司的 AhnLab 智能防御 (ASD) 基础设施和 VirusTotal 收集的文件信息，该病毒据信分布在韩国和台湾