概括 网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI) 正在发布此联合网络安全咨询 (CSA)，以传播截至 2023 年 8 月通过 FBI 调查确定的 QakBot 基础设施受损指标 (IOC)。 8 月 25 日，FBI和国际合作伙伴执行了协调行动，以破坏全球 QakBot 基础设施。针对 QakBot 基础设施的中断操作导致僵尸网络接管，从而切断了受害者计算机与 QakBot

AhnLab 安全紧急响应中心 (ASEC)确认，该恶意软件以前以 CHM 格式传播，现在以 LNK 格式传播。恶意代码通过mshta进程执行特定url中存在的附加脚本，从攻击者的服务器接收命令，并执行附加的恶意操作。 经确认，已确认的 LNK 文件是由攻击者将包含恶意代码的压缩文件上传到正常站点来分发的。 图1. hxxp://a*****fo.co.kr/member/ 页面发现恶意代码 恶意

BlueShell是一款用Go语言开发的后门恶意软件，发布在GitHub上，支持Windows、Linux和Mac操作系统。目前，原始的 GitHub 存储库据信已被删除，但 BlueShell 的源代码仍然可以从其他存储库获取。包含说明的ReadMe文件是中文的，这表明创建者可能是中国用户。 图 1. GitHub 上发布的 BlueShell 与 SparkRAT 或 Sliver C2 等

tl;dr 作为 DB#JAMMER 攻击活动一部分的威胁参与者正在使用暴力攻击破坏暴露的 MSSQL 数据库，并且似乎拥有良好的工具并准备好提供勒索软件和 Cobalt Strike 有效负载。 在一次有趣的攻击活动中，Securonix 威胁研究团队发现了威胁参与者使用暴力攻击来针对暴露的 Microsoft SQL (MSSQL) 服务。DB#JAMMER 脱颖而出的原因之一是攻击者的工具基

分析总结 Patchwork 是一个高级持续威胁 (APT) 组织，至少自 2014 年以来一直活跃。Patchwork 主要针对南亚和东南亚（包括印度、巴基斯坦和孟加拉国）的政府、国防和外交组织以及学术机构。然而，该组织也以其他地区的组织为目标，包括欧洲和北美。 据信该组织起源于印度，并与数起网络间谍活动有关。Patchwork 在其攻击中使用了一系列策略、技术和程序 (TTP)。一旦进入网络，

McAfee 实验室观察到 Remcos RAT 活动，其中恶意 VBS 文件通过网络钓鱼电子邮件传递。网络钓鱼电子邮件包含 ZIP/RAR 附件。在这个 ZIP 中，有一个严重混淆的 VBS 文件。 Remcos 是一种复杂的 RAT，它为攻击者提供对受感染系统的后门访问并收集各种敏感信息。Remcos 结合了不同的混淆和反调试技术来逃避检测。它定期更新其功能，使该恶意软件成为一个具有挑战性的对

AhnLab安全紧急响应中心（ASEC）最近确认，存在大量伪装成 PDF 文档查看器屏幕的网络钓鱼脚本文件通过电子邮件附件传播的情况。部分已确认的文件名如下，使用了采购订单（PO）/订单/收据/订单等关键字。 New order_20230831.html Salbo_PO_20230823.pdf.html WoonggiOrder-230731.pdf.html PO_BG20231608-0

最近，Rapid7 观察到假浏览器更新诱骗用户执行恶意二进制文件。在分析丢失的二进制文件时，Rapid7 确定使用了一个新的加载程序，以便在包括 StealC 和 Lumma 在内的受感染系统上执行信息窃取程序。 IDAT 加载程序是 Rapid7 于 2023 年 7 月首次发现的一种新型、复杂的加载程序。在该加载程序的早期版本中，它被伪装成提供 SecTop RAT 的 7-zip 安装程序。

AhnLab安全紧急响应中心（ASEC）分析团队捕捉到了被认为是由RedEyes攻击组织创建的CHM恶意软件最近重新传播的情况。最近传播的CHM恶意软件的运行方式与3月份推出的“冒充国内金融公司安全邮件的CHM恶意软件”类似 。经确认， “持久化”过程中使用的命令是相同的。 在这次攻击中，利用了福岛污染水的内容，攻击者通过成为国内问题的话题引起用户的好奇心，诱导用户运行恶意文件。如图1所示，可以在

恶意文件名称： 银狐 威胁类型： 后门木马 简单描述： “银狐”木马是一类针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的木马。攻击团伙通过投递远控木马，在获得受害者的计算机控制权限后会在其系统内长期驻留，并监控用户日常操作。待时机成熟时，攻击者会利用受感染设备中已登录的聊天工具软件（如微信等）发起诈骗。此外，该家族也经常使用高仿微信号进行诈骗。 恶意文件描述 深信服深盾终端实验

执行摘要 2023 年 8 月 28 日，Interlab 收到了发送给一名记者的样本，其中包含高度针对性的内容，诱使收件人打开该文档。记者收到了一封来自一名活动人士的电子邮件，该活动人士通过一个冒充该组织成员的地址与恶意文件联系。该文档采用 .LNK 格式，执行后会加载恶意 powershell 命令和与该组织相关的合法 DOCX。 经过分析，Interlab发现，在最初的妥协后，执行了一个Au

五月份， 我们对 PYTA31 发出了警报，PYTA31 是一种传播“WhiteSnake”恶意软件的高级持续威胁行为者。从那时起，我们一直在严格监控该组织，该组织从 4 月到 8 月中旬一直活跃，分发带有“WhiteSnake 恶意软件”的恶意 PyPI 软件包。 WhiteSnake Malware，也称为“WhiteSnake Stealer”，于 2022 年初首次出现在黑客论坛上。其主要

Doctor Web 发现了一系列 Android.Pandora 木马，这些木马会在固件更新期间或安装用于查看盗版视频内容的应用程序时危害 Android 设备。该后门继承了其祖先著名的Linux.Mirai木马的先进 DDoS 攻击能力。 Doctor Web 收到了一些用户的报告，称 /system 目录中的文件被修改。SpIDer Guard 提醒他们文件系统中存在以下对象： /syste

关键点 1. 在正在进行的活动中，威胁参与者正在利用 npm 包来瞄准开发人员窃取源代码和机密。 2. 该活动背后的攻击者疑似与早在 2021 年就已被发现的恶意活动有关。 3. 在本报告中，我们将分享与此攻击相关的新软件包和 IOC。 介绍 随着又一个威胁行为者的曝光，加密货币领域的开发人员再次成为攻击目标。该用户一直在发布恶意 NPM 软件包，目的是从受害者的计算机中窃取源代码和配置文件等敏感

一、组织信息 APT34，又名OilRig或Helix Kitten，是一个疑似来自伊朗的APT组织。该组织自2014年以来保持活跃，主要针对中东各国开展网络间谍和网络破坏行动，主要目标包括金融、政府、能源、化工和电信等多个行业。 APT34具备较高的攻击技术水平，能够针对不同类型的目标设计不同的入侵方式，并且具备供应链攻击能力。该组织的主要攻击工具曾在2019年的一次泄露事件中披露，此后该组织开

“Boat”僵尸网络家族于2022年6月由绿盟安全实验室首次发现，因其早期版本的恶意样本以“boat”文件名传播而得名。同时，由于该家族后期版本的部分恶意样本保留了符号信息，且存在大量以“ripper_*”命名的函数，因此也被称为僵尸网络家族“Ripper”。 2023年8月，绿盟科技全球威胁追踪系统检测到Boat家族加速版本升级，活跃度也明显增加。它已成长为一个不可忽视的威胁源。经过一年多的成长

近期，捕获了一次传播新 Agent Tesla 变种的网络钓鱼活动。这个著名的恶意软件家族使用基于 .Net 的远程访问木马 (RAT) 和数据窃取程序来获得初始访问权限。它通常用于恶意软件即服务 (MaaS)。 我对该活动进行了深入分析，从最初的网络钓鱼电子邮件到安装在受害者计算机上的 Agent Tesla 的操作，再到从受影响的设备收集敏感信息。在本次分析中，您将了解该攻击的内容，例如钓鱼邮

背景 Gamaredon（也称为 Primitive Bear、Actinium 或 Shuckworm）是一个俄罗斯高级持续威胁 (APT) 组织，至少自 2013 年以来一直活跃，历史上遍及美国和印度次大陆，最近又在乌克兰，包括据报道对乌克兰发动的攻击西方政府实体： 资料来源：Talos，2021 年 Gamaredon 是一个高度好战的威胁组织，他们与其他 APT 组织使用的打了就跑的战术不

一、概述 近日检测到，一个兼具DDoS和挖矿功能的新型僵尸网络家族KmsdBot再次活跃。攻击者不断更换C&C基础设施并更新木马版本。与传统的类僵尸网络家族相比，KmsdBot采用了全新的架构，并采用Go编程语言开发。Go的简单、高效和良好的跨平台性大大降低了恶意代码的开发成本。同时，Go语言的原生特性也给分析师带来了极大的烦恼。 该家族于2022年9月首次引起人们的关注，当时样本功能尚不

2023 年 9 月 11 日更新。Google 已通知我们所有应用程序均已从 Google Play 商店中删除。 不久前，我们在 Google Play 上发现了一堆带有繁体中文、简体中文和维吾尔文描述的 Telegram 模组。该供应商表示，这些是最快的应用程序，使用世界各地的分布式数据处理中心网络。 经过 Google Play 正式测试并可通过官方商店购买的 Telegram 模组可能存