概括 Google 搜索的恶意广告以 Mac 用户为目标。 网络钓鱼网站诱骗受害者下载他们认为是他们想要的应用程序。 该恶意软件捆绑在一个临时签名的应用程序中，因此 Apple 无法撤销它。 有效负载是 OSX 最新 Atomic Stealer 的新版本。 介绍 我们过去几个月跟踪的大多数恶意广告活动都针对 Windows 用户。考虑到微软在台式机和笔记本电脑方面都拥有最大的市场份额，这并不奇怪

关键点 Silent Push 分析师使用专有扫描来发现与破产加密平台相关的消费者网络钓鱼域。 威胁行为者积极针对 Voyager 和摄氏度网络的前客户，通过提供全额退款的资产追回电子邮件。 恶意重定向用于通过欺骗合法域来窃取资产并从本地加密钱包获取凭证。 背景 威胁行为者经常关注热门新闻主题来构建冒充特定组织及其当前或以前客户的定制活动，其后果包括货币欺诈、大规模凭证和身份盗窃。 今年早些时候，

在当今的酒店业中，度假租赁软件已从奢侈品转变为酒店、度假村和小型企业的必备软件，简化了预订、宾客互动和物业管理。虽然度假租赁软件似乎专注于预订，但它包含信用卡信息、客人偏好和通信等有价值的数据。这些数据是网络犯罪分子寻求经济利益或未经授权访问的主要目标。 特别有吸引力的是信用卡信息，它吸引了出于经济动机的黑客的注意，占酒店违规行为的 41%（来源：Verizon 数据泄露调查报告）。酒店业的大量交

勒索软件格局的演变已经从涉及 Windows 有效负载的传统方法转变为针对其他平台（尤其是 Linux）的方法。在这种转变中，勒索软件运营商正在缩短不同有效负载发布之间的时间间隔，并在不同平台上实现功能对等。 勒索软件运营商战略性地利用Conti、Babuk或Lockbit等知名勒索软件系列的代码，重用和修改代码库来创建新颖的攻击技术。随着越来越多的此类案例曝光，安全团队在防御中保持警惕和适应性至

8 月 28 日，AhnLab 安全应急响应中心 (ASEC) 确认，伪装成侵犯版权的下载器恶意软件已分发给韩国境内不明人数的人。分布式恶意软件包含检测虚拟环境的代码，以避免基于沙箱的安全解决方案检测到，并且是一种下载名为 MainBot 的恶意软件的 .NET 恶意软件。根据该公司的 AhnLab 智能防御 (ASD) 基础设施和 VirusTotal 收集的文件信息，该病毒据信分布在韩国和台湾

网络犯罪分子正在滥用高级安装程序（一种用于创建软件包的合法 Windows 工具），在受感染的计算机上投放加密货币挖掘恶意软件。这项活动至少自 2021 年 11 月以来一直在持续进行。 攻击者利用Advanced Installer将其他合法软件安装程序（例如Adobe Illustrator、Autodesk 3ds Max和SketchUp Pro）与恶意脚本打包在一起，并利用Advance

最近，在日常的网络狩猎中捕获了Lone Wolf组织针对俄罗斯实体的多个攻击样本，据进一步了解发现该组织针对俄罗斯的攻击已长达三年。 隐蔽而复杂的Lone Wolf组织 安恒研究院猎影实验室捕获该组织攻击后，对攻击样本进行了仔细的分析和追溯，不仅发现了更多具有相似攻击流程的样本，并且还发现这一系列攻击的时间跨度非常长，最早的攻击可以追溯到2020年10月份。 该组织具有以下特点： 1. 对俄罗斯的

恶意软件分析最令人兴奋的方面之一是遇到一个对于逆向社区来说是新的或罕见的家族。确定恶意软件的功能、谁创建了它以及其背后的原因成为了一个需要解决的谜团。我们最近发现的前所未见的 dropper 变种名为 MidgeDropper，它具有复杂的感染链，其中包括代码混淆和侧面加载，这使其成为一个有趣的用例。尽管我们无法获得最终的有效负载，但本博客仍将探讨是什么让这个投放器发挥作用。 受影响的平台： Wi

严重性 高的 分析总结 APT-17，也被称为“Bitter APT”或“DeputyDog”，是一个国家支持的网络间谍组织，据信在中国境外开展活动。它们至少自 2012 年起就一直活跃，主要针对航空航天、国防和技术行业的组织。他们以中国、巴基斯坦和沙特阿拉伯为目标而闻名，并已将目光扩大到孟加拉国政府机构。该组织以使用各种定制恶意软件和工具来执行其操作而闻名，包括远程访问木马 (RAT)、键盘记录

Facebook 的 Messenger 平台在过去一个月遭到严重滥用，大量虚假和被劫持的个人账户不断传播带有恶意附件的消息。这些威胁行为者以 Facebook 平台上的数百万个企业帐户为目标——从高评价的市场卖家到大公司，通过虚假的商业查询，实现了惊人的“成功率”，大约每70 个人中就有1人被感染！ 该活动再次源自越南的一个组织，它使用一个微小的压缩文件附件，其中包含一个强大的基于 Python

1. 概述 摩诃草(360安全)，别名白象(安天)、Patchwork(Cymmetria)、Dropping Elephant(Kaspersky)、Chinastrats(Kaspersky)、APT-C-09(360)、Monsoon(Forcepoint)、Quilted Tiger(CrowdStrike)、ATK 11(Thales)、ZINC EMERSON、Hangover(Pal

一、攻击活动分析   1.攻击流程分析   在我们的观察中，疑似攻击者通过Skype发送诱饵文件下载链接，之后用户通过谷歌浏览器下载了含有恶意文档的压缩文件。一旦用户被诱导打开该文件，攻击者则利用伪装成Microsoft信息的技巧，诱使用户启用宏功能。一旦用户上钩，宏将被激活并释放EarlyRat，然后开始窃取用户信息和执行恶意命令。 图1 攻击流程图 2.载荷投递分析   攻击者以冒充Micro

背景 威胁行为者经常关注热门新闻主题来构建冒充特定组织及其当前或以前客户的定制活动，其后果包括货币欺诈、大规模凭证和身份盗窃。 今年早些时候，我们发布了一篇博客，详细介绍了威胁行为者如何利用硅谷银行的倒闭，部署一系列使用退款诱饵的域来传播凭证盗窃行为。 我们的威胁分析师跟踪了一项活动，该活动试图欺骗两家破产加密公司（资产经纪公司Voyager和摄氏度贷方网络）的前客户，让攻击者能够访问他们的加密钱

介绍 Zscaler ThreatLabz 最近发现了一种新的窃取活动，称为“Steal-It”活动。在此活动中，威胁行为者使用 Nishang 的 Start-CaptureServer PowerShell 脚本的自定义版本窃取和泄露 NTLMv2 哈希值，执行各种系统命令，并通过 Mockbin API 泄​​露检索到的数据。 通过对恶意负载的深入分析，我们的团队观察到该活动采用的地理围栏策

最近，我们观察到了一种名为"Fake Browser Update"的诱骗策略，让用户执行恶意二进制文件。在分析这些二进制文件时，我们确定使用了一个新的加载程序，用于在受感染的系统上执行信息窃取程序，其中包括StealC和Lumma。 IDAT 加载程序是我们于2023 年 7 月首次发现的一种新型、复杂的加载程序。在较早版本的加载器中，它被伪装成一个7-zip安装程序，传送SecTop RAT。

1.朝方APT组织攻击综述 2023年8月，知道创宇404高级威胁情报团队在日常高级威胁狩猎中发现朝方APT组织针对韩方攻击活动有明显的增长，相较于以往的常态化热点攻击来看，本次8月份攻击活动更偏向于大范围批量攻击活动。 朝方组织此异常引发我们格外关注，随即我们加强对朝方组织的跟踪强度，根据我们对朝方组织持续一个月的密切跟踪情况来看，本次攻击活动类似于我们先前所披露的俄方APT组织Gamaredo

1. 攻击活动综述 近期知道创宇404 高级威胁情报团队的研究报告《韩美大规模联合军演挑衅升级？朝方 APT 组织近期攻击活动分析》中分享了APT37 & Konni组织近期针对韩方的攻击活动，其中Konni组织所使用的新技战术、程序（TTP）更偏向于针对韩方的惯用TTP，我们在狩猎过程也发现Konni在针对非韩方地区所使用的TTP有所调整。 众所周知，朝方APT组织早已将数字货币行业作为

介绍 2023 年 7 月，Zscaler ThreatLabz 发现巴基斯坦高级持续威胁组织 (APT36) 持续进行的新恶意活动。APT36 是一个复杂的网络威胁组织，有在南亚开展有针对性的间谍活动的历史。我们观察到 APT36 针对印度政府部门使用了以前未记录的 Windows RAT、新的 Linux 网络间谍实用程序、新的分发机制以及针对 Linux 环境的新攻击向量。 在本博客中，我们

AhnLab实验室安全紧急响应中心 (ASEC) 确认，冒充国税厅的恶意 LNK 文件正在国内传播。过去已经使用过使用LNK的分发方法，并且最近已经确认了许多针对国内用户的分发。 最近确认的恶意 LNK 文件据信是通过电子邮件中附加的 URL 进行分发的。通过我们的基础设施确认的URL如下，下载名为“综合所得税申报表相关说明材料提交指南.zip”的压缩文件。经分析，下载的压缩文件中存在两个恶意LN

8 月，FortiGuard Labs 获得了一份包含恶意 URL 的 Word 文档，旨在诱骗受害者下载恶意软件加载程序。该加载程序采用二进制填充规避策略，添加空字节以将文件大小增加到 400 MB。该加载程序的有效负载包括用于键盘记录和密码恢复的 OriginBotnet、用于加密货币盗窃的 RedLine Clipper 以及用于收集敏感信息的 AgentTesla。图 1 展示了综合攻击流