概况 2024年3月，乌克兰CERT-UA政府计算机应急响应小组披露了Sandworm组织的恶意计划，旨在破坏能源、水和热力领域约20家企业信息和通信系统（ICS）的稳定运行乌克兰十个地区的供应工业（OKI）。 除了自 2022 年以来已知的 QUEUESEED（KNUCKLETOUCH、ICYWELL、WRONGSENS、KAPEKA）后门之外，在计算机上的即时事件响应过程中还发现了一个新的攻击

关键点 Avast 发现了一项通过捏造工作机会针对特定个人的新活动。 “FudModule 2.0”Avast 发现了从感染媒介到利用0day漏洞部署 rootkit 的完整攻击链Admin -> Kernel。 Avast 发现了一种以前未记录的KaolinRAT，除了标准 RAT 功能之外，它还可以更改所选文件的最后写入时间戳并加载从 C&C 服务器接收到的任何 DLL 二进制文

执行摘要 Palo Alto Networks 和 Unit 42 致力于跟踪与 CVE-2024-3400 相关的活动，并与外部研究人员、合作伙伴和客户合作，透明、快速地共享信息。 Palo Alto Networks PAN-OS 软件中的一个关键命令注入漏洞使未经身份验证的攻击者能够在防火墙上以 root 权限执行任意代码。该漏洞分配为 CVE-2024-3400，CVSS 评分为 10.0

Raspberry Robin于 2021 年底首次发现，是一种 Windows 蠕虫，最初针对技术和制造组织。此后，它已发展成为企业面临的最普遍的威胁之一。今年 3 月，惠普威胁研究团队发现网络犯罪分子传播 Raspberry Robin 的方式发生了变化。该恶意软件现在通过Windows 脚本文件 (WSF)传播。这些脚本高度混淆，并使用一系列反分析技术，使恶意软件能够逃避检测。从历史上看，R

Pupy是一种RAT恶意软件，其特点是跨平台支持。由于它是在 GitHub 上发布的开源代码，因此不断被包括 APT 组织在内的各种攻击者使用。例如，已知它过去曾被 APT35 组织使用过，该组织已知与伊朗有关，并且还被用于针对在线赌博网站的地球 Berberoka 行动 。最近，人们发现了一种名为 Decoy Dog 的恶意软件（一种更新版的 Pupy RAT），并被用于针对俄罗斯和东欧公司网络

在最近的一次攻击活动中，网络犯罪分子被发现巧妙地操纵 GitHub 的搜索功能，并使用精心设计的存储库来分发恶意软件。 关键点 GitHub 搜索操纵：攻击者使用流行的名称和主题创建恶意存储库，使用自动更新和假星等技术来提高搜索排名并欺骗用户。 恶意代码通常隐藏在 Visual Studio 项目文件（.csproj 或 .vcxproj）中以逃避检测，并在项目生成时自动执行。 攻击者已经设置了根

概述 Proofpoint 发现 TA547 以德国组织为目标，通过电子邮件活动传播了 Rhadamanthys 恶意软件。这是研究人员首次观察到 TA547 使用 Rhadamanthys，这是一种被多个网络犯罪威胁行为者使用的信息窃取程序。  此外，该演员似乎使用了 PowerShell 脚本，研究人员怀疑该脚本是由 ChatGPT、Gemini、CoPilot 等大型语言模型 (LLM) 生

威胁行为者不再墨守成规。如今，他们使用短信、电子邮件、虚假网页和受损的云帐户等多种渠道。他们利用这些不同的渠道来建立持久性和妥协的身份，以便他们可以提升特权并横向移动。 Proofpoint Threat Research 最近观察到威胁行为者使用多渠道攻击来针对零售行业的活动。攻击链和时间线显示了威胁行为者 (TA) 如何从一个目标组织转移到下一个目标组织。每次未经授权的访问被撤销或用尽时，攻击

在针对哈马斯恐怖分子的“Swords of Iron War”期间，伊朗威胁行为者加大了针对以色列私营企业的“黑客和泄密”假黑客活动的强度。这篇博文重点介绍了最近进行的一些攻击，并对 MuddyWater 武器库中最新的 C2 框架“DarkBeatC2”进行了分析。 执行摘要 伊朗威胁行为者继续合作，并利用先前违规事件中的信息，将受感染的目标移交给供应链攻击。 Deep Instinct 的威胁

我们看到的大多数恶意搜索广告都源自谷歌，但威胁行为者也在滥用其他搜索引擎。由于 Microsoft Bing 与 Windows 生态系统和 Edge 浏览器的密切联系，它可能是第二个最佳目标。 在这篇博文中，我们研究了最近一次冒充流行 VPN 软件 NordVPN 的恶意广告活动。恶意广告商正在捕获 Bing 搜索的流量，并将用户重定向到看起来与真实网站几乎一模一样的诱饵网站。 威胁行为者更进一

要点 Proofpoint 发现多个 YouTube 频道通过推广破解和盗版视频游戏及相关内容来传播恶意软件。 视频描述包含可下载信息窃取程序的链接。 该活动可能针对的是家庭计算机上无法享受企业级安全优势的消费者用户。 概述 威胁行为者通常以家庭用户为目标，因为与企业相比，他们没有相同的资源或知识来防御攻击者。虽然经济收益可能不如对公司的攻击那么大，但个人受害者可能仍然在其计算机上存储信用卡、加密

Cisco Talos 发现了一个新的威胁行为者，我们将其称为“CoralRaider”，我们认为该威胁行为者源自越南并具有经济动机。 CoralRaider 至少自 2023 年以来一直在运营，目标是多个亚洲和东南亚国家的受害者。 该组织专注于窃取受害者的凭据、财务数据和社交媒体帐户，包括商业和广告帐户。 他们使用 RotBot（QuasarRAT 的定制变体）和 XClient 窃取程序作为我

在过去的一个月里，我们调查了一次网络间谍攻击，我们将其归因于 Earth Freybug（也称为APT41的子集）。 Earth Freybug 是一个网络威胁组织，至少自 2012 年以来一直活跃，专注于间谍活动和经济动机活动。据观察，该攻击针对的是不同国家不同部门的组织。 Earth Freybug 攻击者使用多种工具和技术，包括 LOLBins 和自定义恶意软件。本文深入研究了 Earth

Remcos RAT 通常通过恶意附件、偷渡式下载或社交工程进行传播，自 2016 年以来一直活跃。最初由欧洲公司BreakingSecurity提出，作为合法的远程控制工具，此后被威胁行为者用于邪恶目的，尽管声称限制合法使用的访问。 在分析 VirusTotal 中的一些样本时，我们得到了一个有趣的样本，它是一个 .vhd 文件。让我们分析一下威胁者是如何制作 VHD（虚拟硬盘）的。 提取 .v

最近，Morphisec Labs 发现与 Mispadu（也称为 URSA）相关的活动显着增加，Mispadu 是 ESET 于 2019 年首次标记的银行木马。Mispadu 最初主要集中在拉丁美洲国家和讲西班牙语的个人，但在最新的活动中扩大了其范围。   介绍 Mispadu 是一种高度活跃的银行木马和信息窃取者，现在针对不同地区，包括以前没有针对的欧洲国家。 Morphisec 已阻止来自

执行摘要 在过去 90 天里，Unit 42 研究人员发现了两个中国高级持续威胁 (APT) 组织对东南亚国家联盟 (ASEAN) 附属实体和成员国进行网络间谍活动： 第一个 APT 组织 Stately Taurus 创建了两个恶意软件软件包，我们认为其目标是缅甸、菲律宾、日本和新加坡的实体。这些活动的时间恰逢 2024 年 3 月 4 日至 6 日举行的东盟-澳大利亚特别峰会。 中国的第二个

几个小时前，Python 包索引 (PyPi) 暂停了新项目创建和新用户注册，以缓解正在进行的恶意软件上传活动。 Checkmarx 研究团队同时调查了由多个恶意软件包组成的活动，这些软件包似乎与同一威胁参与者有关。 威胁行为者使用 CLI 安装 Python 包，通过域名仿冒攻击技术瞄准受害者。 这是一次多阶段攻击，恶意负载旨在窃取加密钱包、浏览器中的敏感数据（cookie、扩展数据等）以及各种

恶意软件加载程序对于部署恶意软件至关重要，它使威胁行为者能够传递和执行恶意负载，从而促进数据盗窃和勒索软件等犯罪活动。利用先进的规避技术，加载程序绕过安全措施并利用各种分发渠道产生广泛的影响，威胁组织增强了下载和执行各种恶意软件类型的能力，如 Smoke Loader 和 GuLoader 所示，突出了它们在广泛的恶意软件分发中的作用。 最近，SpiderLabs 在 2024 年 3 月 8 日

执行摘要 StrelaStealer 恶意软件从知名电子邮件客户端窃取电子邮件登录数据，并将其发送回攻击者的 C2 服务器。攻击成功后，威胁行为者将获得受害者的电子邮件登录信息，然后他们可以使用这些信息来执行进一步的攻击。自 2022 年该恶意软件首次出现以来，StrelaStealer 背后的威胁发起者已经发起了多次大规模电子邮件活动，而且没有任何放缓迹象。 最近，我们的研究人员发现了一波大规模

0x01   攻击概况 近日，360反勒索服务接到大量受害者反馈其设备中被植入了勒索软件。而这波勒索攻击的受害者都有着两个显著的共同特征： 1. 中招设备未安装360安全产品 2. 中招设备均为运行财务管理服务的计算机 经360安全智脑的分析研判，成功锁定了这一波攻击的来源为TellYouThePass勒索家族——一家擅长利用服务器漏洞进行规模化攻击的老 牌勒索软件家族。该家族仅在2023年就发动