网络犯罪分子正在滥用高级安装程序（一种用于创建软件包的合法 Windows 工具），在受感染的计算机上投放加密货币挖掘恶意软件。这项活动至少自 2021 年 11 月以来一直在持续进行。 攻击者利用Advanced Installer将其他合法软件安装程序（例如Adobe Illustrator、Autodesk 3ds Max和SketchUp Pro）与恶意脚本打包在一起，并利用Advance

最近，在日常的网络狩猎中捕获了Lone Wolf组织针对俄罗斯实体的多个攻击样本，据进一步了解发现该组织针对俄罗斯的攻击已长达三年。 隐蔽而复杂的Lone Wolf组织 安恒研究院猎影实验室捕获该组织攻击后，对攻击样本进行了仔细的分析和追溯，不仅发现了更多具有相似攻击流程的样本，并且还发现这一系列攻击的时间跨度非常长，最早的攻击可以追溯到2020年10月份。 该组织具有以下特点： 1. 对俄罗斯的

恶意软件分析最令人兴奋的方面之一是遇到一个对于逆向社区来说是新的或罕见的家族。确定恶意软件的功能、谁创建了它以及其背后的原因成为了一个需要解决的谜团。我们最近发现的前所未见的 dropper 变种名为 MidgeDropper，它具有复杂的感染链，其中包括代码混淆和侧面加载，这使其成为一个有趣的用例。尽管我们无法获得最终的有效负载，但本博客仍将探讨是什么让这个投放器发挥作用。 受影响的平台： Wi

严重性 高的 分析总结 APT-17，也被称为“Bitter APT”或“DeputyDog”，是一个国家支持的网络间谍组织，据信在中国境外开展活动。它们至少自 2012 年起就一直活跃，主要针对航空航天、国防和技术行业的组织。他们以中国、巴基斯坦和沙特阿拉伯为目标而闻名，并已将目光扩大到孟加拉国政府机构。该组织以使用各种定制恶意软件和工具来执行其操作而闻名，包括远程访问木马 (RAT)、键盘记录

Facebook 的 Messenger 平台在过去一个月遭到严重滥用，大量虚假和被劫持的个人账户不断传播带有恶意附件的消息。这些威胁行为者以 Facebook 平台上的数百万个企业帐户为目标——从高评价的市场卖家到大公司，通过虚假的商业查询，实现了惊人的“成功率”，大约每70 个人中就有1人被感染！ 该活动再次源自越南的一个组织，它使用一个微小的压缩文件附件，其中包含一个强大的基于 Python

1. 概述 摩诃草(360安全)，别名白象(安天)、Patchwork(Cymmetria)、Dropping Elephant(Kaspersky)、Chinastrats(Kaspersky)、APT-C-09(360)、Monsoon(Forcepoint)、Quilted Tiger(CrowdStrike)、ATK 11(Thales)、ZINC EMERSON、Hangover(Pal

一、攻击活动分析   1.攻击流程分析   在我们的观察中，疑似攻击者通过Skype发送诱饵文件下载链接，之后用户通过谷歌浏览器下载了含有恶意文档的压缩文件。一旦用户被诱导打开该文件，攻击者则利用伪装成Microsoft信息的技巧，诱使用户启用宏功能。一旦用户上钩，宏将被激活并释放EarlyRat，然后开始窃取用户信息和执行恶意命令。 图1 攻击流程图 2.载荷投递分析   攻击者以冒充Micro

背景 威胁行为者经常关注热门新闻主题来构建冒充特定组织及其当前或以前客户的定制活动，其后果包括货币欺诈、大规模凭证和身份盗窃。 今年早些时候，我们发布了一篇博客，详细介绍了威胁行为者如何利用硅谷银行的倒闭，部署一系列使用退款诱饵的域来传播凭证盗窃行为。 我们的威胁分析师跟踪了一项活动，该活动试图欺骗两家破产加密公司（资产经纪公司Voyager和摄氏度贷方网络）的前客户，让攻击者能够访问他们的加密钱

介绍 Zscaler ThreatLabz 最近发现了一种新的窃取活动，称为“Steal-It”活动。在此活动中，威胁行为者使用 Nishang 的 Start-CaptureServer PowerShell 脚本的自定义版本窃取和泄露 NTLMv2 哈希值，执行各种系统命令，并通过 Mockbin API 泄​​露检索到的数据。 通过对恶意负载的深入分析，我们的团队观察到该活动采用的地理围栏策

最近，我们观察到了一种名为"Fake Browser Update"的诱骗策略，让用户执行恶意二进制文件。在分析这些二进制文件时，我们确定使用了一个新的加载程序，用于在受感染的系统上执行信息窃取程序，其中包括StealC和Lumma。 IDAT 加载程序是我们于2023 年 7 月首次发现的一种新型、复杂的加载程序。在较早版本的加载器中，它被伪装成一个7-zip安装程序，传送SecTop RAT。

1.朝方APT组织攻击综述 2023年8月，知道创宇404高级威胁情报团队在日常高级威胁狩猎中发现朝方APT组织针对韩方攻击活动有明显的增长，相较于以往的常态化热点攻击来看，本次8月份攻击活动更偏向于大范围批量攻击活动。 朝方组织此异常引发我们格外关注，随即我们加强对朝方组织的跟踪强度，根据我们对朝方组织持续一个月的密切跟踪情况来看，本次攻击活动类似于我们先前所披露的俄方APT组织Gamaredo

1. 攻击活动综述 近期知道创宇404 高级威胁情报团队的研究报告《韩美大规模联合军演挑衅升级？朝方 APT 组织近期攻击活动分析》中分享了APT37 & Konni组织近期针对韩方的攻击活动，其中Konni组织所使用的新技战术、程序（TTP）更偏向于针对韩方的惯用TTP，我们在狩猎过程也发现Konni在针对非韩方地区所使用的TTP有所调整。 众所周知，朝方APT组织早已将数字货币行业作为

介绍 2023 年 7 月，Zscaler ThreatLabz 发现巴基斯坦高级持续威胁组织 (APT36) 持续进行的新恶意活动。APT36 是一个复杂的网络威胁组织，有在南亚开展有针对性的间谍活动的历史。我们观察到 APT36 针对印度政府部门使用了以前未记录的 Windows RAT、新的 Linux 网络间谍实用程序、新的分发机制以及针对 Linux 环境的新攻击向量。 在本博客中，我们

AhnLab实验室安全紧急响应中心 (ASEC) 确认，冒充国税厅的恶意 LNK 文件正在国内传播。过去已经使用过使用LNK的分发方法，并且最近已经确认了许多针对国内用户的分发。 最近确认的恶意 LNK 文件据信是通过电子邮件中附加的 URL 进行分发的。通过我们的基础设施确认的URL如下，下载名为“综合所得税申报表相关说明材料提交指南.zip”的压缩文件。经分析，下载的压缩文件中存在两个恶意LN

8 月，FortiGuard Labs 获得了一份包含恶意 URL 的 Word 文档，旨在诱骗受害者下载恶意软件加载程序。该加载程序采用二进制填充规避策略，添加空字节以将文件大小增加到 400 MB。该加载程序的有效负载包括用于键盘记录和密码恢复的 OriginBotnet、用于加密货币盗窃的 RedLine Clipper 以及用于收集敏感信息的 AgentTesla。图 1 展示了综合攻击流

严重性 高的 分析总结 Konni APT（高级持续威胁）组织是一个网络间谍组织，至少自 2014 年以来一直活跃。据信该组织总部位于朝鲜，以韩国和美国的政府机构和组织为目标而闻名。 朝鲜黑客组织通过网络钓鱼消息或电子邮件分发 Konni RAT。当受害者访问武器化文件时，感染链就开始了。攻击者利用 Konni RAT 从受害者那里收集信息、捕获屏幕截图、窃取文件并构建远程交互式 shell。KO

攻击描述 Emotet是于2014年首次出现的一种著名银行木马，直至2023年早期仍然在全球范围内流行，其主要通过邮件附件传播。山石网科情报中心近期发现了一批恶意zip邮件附件。zip文件解压后释放一个大于500MB且带有VBA宏的word文档。受害者打开文档并启用宏后将下载并执行Emotet恶意软件。 简要分析 压缩文件解压后的word文档后缀为doc，大小超过500MB。攻击者在其中填充了大量

执行摘要 SentinelLabs 发现了三个与Transparent Tribe 的 CapraRAT 移动远程访问木马 (RAT) 链接的 Android 应用程序包 (APK)。 这些应用程序模仿 YouTube 的外观，尽管它们的功能不如合法的原生 Android YouTube 应用程序全面。 CapraRAT 是一种高度侵入性的工具，使攻击者能够控制其感染的 Android 设备上的大

Cisco Talos 最近发现了一个新的恶意软件家族，我们称之为“HTTPSnoop”，该家族正在针对中东的电信提供商进行部署。 HTTPSnoop 是一个简单但有效的后门，它包含与 Windows HTTP 内核驱动程序和设备交互的新技术，以侦听特定 HTTP(S) URL 的传入请求并在受感染端点上执行该内容。 我们还发现了“HTTPSnoop”的姐妹植入程序，我们将其命名为“PipeSno

要点 Cyble 研究和情报实验室 (CRIL) 观察到多个威胁参与者 (TA) 对开源 PySilon RAT 的使用情况。 自 2023 年 6 月以来，VirusTotal 上存在超过 300 个样本，这表明 PySilon 恶意软件的活动显着激增。 PySilon RAT 最初于 2022 年 12 月建立，版本为 1.0，此后已发展到当前的迭代版本 3.6。 当前版本拥有先进的恶意软件功