在最近的一次攻击活动中，网络犯罪分子被发现巧妙地操纵 GitHub 的搜索功能，并使用精心设计的存储库来分发恶意软件。 关键点 GitHub 搜索操纵：攻击者使用流行的名称和主题创建恶意存储库，使用自动更新和假星等技术来提高搜索排名并欺骗用户。 恶意代码通常隐藏在 Visual Studio 项目文件（.csproj 或 .vcxproj）中以逃避检测，并在项目生成时自动执行。 攻击者已经设置了根

概述 Proofpoint 发现 TA547 以德国组织为目标，通过电子邮件活动传播了 Rhadamanthys 恶意软件。这是研究人员首次观察到 TA547 使用 Rhadamanthys，这是一种被多个网络犯罪威胁行为者使用的信息窃取程序。  此外，该演员似乎使用了 PowerShell 脚本，研究人员怀疑该脚本是由 ChatGPT、Gemini、CoPilot 等大型语言模型 (LLM) 生

威胁行为者不再墨守成规。如今，他们使用短信、电子邮件、虚假网页和受损的云帐户等多种渠道。他们利用这些不同的渠道来建立持久性和妥协的身份，以便他们可以提升特权并横向移动。 Proofpoint Threat Research 最近观察到威胁行为者使用多渠道攻击来针对零售行业的活动。攻击链和时间线显示了威胁行为者 (TA) 如何从一个目标组织转移到下一个目标组织。每次未经授权的访问被撤销或用尽时，攻击

在针对哈马斯恐怖分子的“Swords of Iron War”期间，伊朗威胁行为者加大了针对以色列私营企业的“黑客和泄密”假黑客活动的强度。这篇博文重点介绍了最近进行的一些攻击，并对 MuddyWater 武器库中最新的 C2 框架“DarkBeatC2”进行了分析。 执行摘要 伊朗威胁行为者继续合作，并利用先前违规事件中的信息，将受感染的目标移交给供应链攻击。 Deep Instinct 的威胁

我们看到的大多数恶意搜索广告都源自谷歌，但威胁行为者也在滥用其他搜索引擎。由于 Microsoft Bing 与 Windows 生态系统和 Edge 浏览器的密切联系，它可能是第二个最佳目标。 在这篇博文中，我们研究了最近一次冒充流行 VPN 软件 NordVPN 的恶意广告活动。恶意广告商正在捕获 Bing 搜索的流量，并将用户重定向到看起来与真实网站几乎一模一样的诱饵网站。 威胁行为者更进一

要点 Proofpoint 发现多个 YouTube 频道通过推广破解和盗版视频游戏及相关内容来传播恶意软件。 视频描述包含可下载信息窃取程序的链接。 该活动可能针对的是家庭计算机上无法享受企业级安全优势的消费者用户。 概述 威胁行为者通常以家庭用户为目标，因为与企业相比，他们没有相同的资源或知识来防御攻击者。虽然经济收益可能不如对公司的攻击那么大，但个人受害者可能仍然在其计算机上存储信用卡、加密

Cisco Talos 发现了一个新的威胁行为者，我们将其称为“CoralRaider”，我们认为该威胁行为者源自越南并具有经济动机。 CoralRaider 至少自 2023 年以来一直在运营，目标是多个亚洲和东南亚国家的受害者。 该组织专注于窃取受害者的凭据、财务数据和社交媒体帐户，包括商业和广告帐户。 他们使用 RotBot（QuasarRAT 的定制变体）和 XClient 窃取程序作为我

在过去的一个月里，我们调查了一次网络间谍攻击，我们将其归因于 Earth Freybug（也称为APT41的子集）。 Earth Freybug 是一个网络威胁组织，至少自 2012 年以来一直活跃，专注于间谍活动和经济动机活动。据观察，该攻击针对的是不同国家不同部门的组织。 Earth Freybug 攻击者使用多种工具和技术，包括 LOLBins 和自定义恶意软件。本文深入研究了 Earth

Remcos RAT 通常通过恶意附件、偷渡式下载或社交工程进行传播，自 2016 年以来一直活跃。最初由欧洲公司BreakingSecurity提出，作为合法的远程控制工具，此后被威胁行为者用于邪恶目的，尽管声称限制合法使用的访问。 在分析 VirusTotal 中的一些样本时，我们得到了一个有趣的样本，它是一个 .vhd 文件。让我们分析一下威胁者是如何制作 VHD（虚拟硬盘）的。 提取 .v

最近，Morphisec Labs 发现与 Mispadu（也称为 URSA）相关的活动显着增加，Mispadu 是 ESET 于 2019 年首次标记的银行木马。Mispadu 最初主要集中在拉丁美洲国家和讲西班牙语的个人，但在最新的活动中扩大了其范围。   介绍 Mispadu 是一种高度活跃的银行木马和信息窃取者，现在针对不同地区，包括以前没有针对的欧洲国家。 Morphisec 已阻止来自

执行摘要 在过去 90 天里，Unit 42 研究人员发现了两个中国高级持续威胁 (APT) 组织对东南亚国家联盟 (ASEAN) 附属实体和成员国进行网络间谍活动： 第一个 APT 组织 Stately Taurus 创建了两个恶意软件软件包，我们认为其目标是缅甸、菲律宾、日本和新加坡的实体。这些活动的时间恰逢 2024 年 3 月 4 日至 6 日举行的东盟-澳大利亚特别峰会。 中国的第二个

几个小时前，Python 包索引 (PyPi) 暂停了新项目创建和新用户注册，以缓解正在进行的恶意软件上传活动。 Checkmarx 研究团队同时调查了由多个恶意软件包组成的活动，这些软件包似乎与同一威胁参与者有关。 威胁行为者使用 CLI 安装 Python 包，通过域名仿冒攻击技术瞄准受害者。 这是一次多阶段攻击，恶意负载旨在窃取加密钱包、浏览器中的敏感数据（cookie、扩展数据等）以及各种

恶意软件加载程序对于部署恶意软件至关重要，它使威胁行为者能够传递和执行恶意负载，从而促进数据盗窃和勒索软件等犯罪活动。利用先进的规避技术，加载程序绕过安全措施并利用各种分发渠道产生广泛的影响，威胁组织增强了下载和执行各种恶意软件类型的能力，如 Smoke Loader 和 GuLoader 所示，突出了它们在广泛的恶意软件分发中的作用。 最近，SpiderLabs 在 2024 年 3 月 8 日

执行摘要 StrelaStealer 恶意软件从知名电子邮件客户端窃取电子邮件登录数据，并将其发送回攻击者的 C2 服务器。攻击成功后，威胁行为者将获得受害者的电子邮件登录信息，然后他们可以使用这些信息来执行进一步的攻击。自 2022 年该恶意软件首次出现以来，StrelaStealer 背后的威胁发起者已经发起了多次大规模电子邮件活动，而且没有任何放缓迹象。 最近，我们的研究人员发现了一波大规模

0x01   攻击概况 近日，360反勒索服务接到大量受害者反馈其设备中被植入了勒索软件。而这波勒索攻击的受害者都有着两个显著的共同特征： 1. 中招设备未安装360安全产品 2. 中招设备均为运行财务管理服务的计算机 经360安全智脑的分析研判，成功锁定了这一波攻击的来源为TellYouThePass勒索家族——一家擅长利用服务器漏洞进行规模化攻击的老 牌勒索软件家族。该家族仅在2023年就发动

恶意软件加载程序（也称为植入程序或下载程序）是地下犯罪活动中的流行商品。他们的主要功能是成功危害一台机器并部署一个或多个额外的有效负载。 好的加载程序可以在推送其他恶意软件之前避免检测并将受害者识别为合法（即不是沙箱）。这部分非常关键，因为装载机的价值直接与其“客户”的满意度相关。 在这篇博文中，我们描述了一次使用对我们来说很陌生的加载程序的恶意广告活动。该程序是用 Go 语言编写的，并使用一种有

执行摘要 本文回顾了最近发现的 FalseFont 后门，该后门被疑似与伊朗有关联的威胁行为者使用，Unit 42 将其追踪为 Curious Serpens。Curious Serpens（又名Peach Sandstorm）是一个著名的间谍组织，此前曾以航空航天和能源领域为目标。FalseFont 是 Curious Serpens 的最新工具。我们分析的示例显示了威胁行为者如何模仿合法的人力

思科 Talos 提供了其最近两份报告的最新信息，该报告涉及俄罗斯间谍组织 Turla 部署的TinyTurla-NG (TTNG)植入程序。我们现在掌握了该攻击者使用的整个杀伤链的新信息，包括用于从受害者那里窃取有价值信息并通过受感染企业传播的策略、技术和程序 (TTP)。 Talos 与CERT.NGO合作进行的分析表明，Turla 感染了欧洲非政府组织 (NGO) 受感染网络中的多个系统。

概述 Proofpoint 研究人员最近观察到与伊朗结盟的威胁组织 TA450（也称为 MuddyWater、Mango Sandstorm 和 Static Kitten）的新活动，该组织使用与薪酬相关的社会工程诱惑来针对大型跨国组织的以色列员工。 TA450 以针对以色列实体而闻名，特别是自2023 年 10 月以色列与哈马斯战争爆发以来，这种趋势继续延续，重点关注全球制造、技术和信息安全公司

介绍 针对移动设备的恶意软件是我们经常遇到的。2023 年我们的技术阻止了移动设备上的 3380 万次恶意软件、广告软件和危险软件攻击。2023 年最引起共鸣的攻击之一是针对 iOS 的三角测量行动，但这是一个相当独特的案例。在移动平台中，Android 仍然是网络犯罪分子最流行的目标操作系统。上个月，我们总共撰写了四份有关 Android 恶意软件的私人犯罪软件报告，其中三份总结如下。 Tamb