概述 Mirai家族作为botnet的常青树，存在众多变种，但极少出现使用DGA的Mirai变种，据我们观测，上一个使用DGA（Domain Generation Algorithm）的Mirai变种出现于2016年。2024年3月，我们捕获到了新的可疑ELF样本，通过分析得知是另一个使用DGA的Mirai变种，分析关联的历史样本，我们不仅发现了没有使用DGA的版本（2024.02），还发现了漏洞

安实验室安全情报中心 (ASEC) 最近证实，Kimsuky 组织向国内公共机构分发了伪装成安装程序的恶意软件。所涉及的恶意软件是一个植入程序，它会创建Endoor ，这是在过去的文章“TrollAgent（Kimsuky 组织）在安全程序安装过程中感染”中讨论的攻击中使用的后门恶意软件。 虽然实际攻击中使用的植入式恶意软件的历史尚未得到证实，但使用植入式恶意软件生成的后门恶意软件的攻击案例在与植

Perception Point 安全研究人员最近发现了一项新出现的针对美国组织的活动。被称为“PhantomBlu”的新兴恶意软件活动采用新的 TTP 和行为来逃避检测并部署臭名昭著的 NetSupport RAT。此活动标志着恶意软件攻击方法的复杂性，利用远程管理工具的合法功能来达到邪恶目的。 Teaching an Old RAT Some New Tricks NetSupport RAT

间谍组织 Earth Kapre（又名 RedCurl 和 Red Wolf）一直在积极针对俄罗斯、德国、乌克兰、英国、斯洛文尼亚、加拿大、澳大利亚和美国的组织开展网络钓鱼活动。它使用包含恶意附件（.iso 和 .img）的网络钓鱼电子邮件，打开后就会成功感染。这会触发创建持久性计划任务，同时未经授权收集敏感数据并将其传输到命令和控制 (C&C) 服务器。 趋势科技托管扩展检测和响应 (M

执行摘要   2023 年 3 月，Lumen Black Lotus Labs 报告了一场名为“ HiatusRAT ”的复杂活动，该活动感染了全球 100 多个边缘网络设备。该活动利用边缘路由器或“生活在边缘”访问来被动收集流量，并充当指挥和控制 (C2) 基础设施的隐蔽网络。   在发布我们的初步研究后，Black Lotus Labs 继续跟踪该攻击者，从而产生了与 HiatusRAT 集

已确认从Discord、GitHub、Dropbox等处下载，并考虑到之前以类似方式分发的案例，推测该恶意页面伪装成特定程序下载页面，会通过多个途径指向下载网址重定向。 StealC恶意软件是一种信息窃取恶意软件，它窃取系统信息、浏览器、加密货币钱包、Discord、Telegram和邮件客户端等各种重要信息。 图1. 恶意代码上传至Github 其恶意代码及所采用的操作手法与伪装成现有漏洞传播的

介绍 Zscaler 的 ThreatLabz 最近发现了一项新活动，该活动针对 Roblox 用户分发名为 Tweaks（又名 Tweaker）的信息窃取程序。攻击者正在利用 YouTube 和 Discord 等流行平台向 Roblox 用户分发 Tweaks，利用合法平台的能力来逃避通常会阻止已知恶意服务器的 Web 过滤器阻止列表的检测。攻击者与用户共享伪装成每秒帧数 (FPS) 优化包的

AhnLab安全情报中心（ASEC）证实，基于开源创建并于2018年流行的CryptoWire勒索软件目前正在传播。 [图1] CryptoWire Github CryptoWire勒索软件主要通过钓鱼邮件传播，其特点是使用Autoit脚本创建。 主功能 勒索软件将自身复制到“CProgram FilesCommon Files”路径并注册任务调度程序以保持连续性。 [图2]登记工作日程 [图3

事件描述 近期，深信服深盾终端实验室在运营过程中发现，一款名为Mallox勒索病毒家族的新变种在客户侧传播，该变种使用复杂的控制流混淆技术修改二进制特征以突破安全软件的静态检测。 此次事件中，攻击者以爆破SqlServer弱密码的方式进入客户系统，进行前期打点，搜集必要信息。随后安装anydesk等远控软件接管客户系统，执行勒索病毒，攻击者进行双重勒索，加密并上传系统文件。加密后缀为.Mallox

介绍 2023 年 10 月，一家俄罗斯机械工程企业联系 Doctor Web，怀疑其一台计算机上存在恶意软件。我们的专家对这一事件进行了调查，确定受影响的公司遭遇了有针对性的攻击。在这次攻击中，恶意行为者发送了带有附件的网络钓鱼电子邮件，其中包含负责初始系统感染并在系统中安装其他恶意工具的恶意程序。 这次攻击的目的是收集有关员工的敏感信息以及有关公司基础设施和内部网络的数据。此外，我们检测到数据

AhnLab安全情报中心（ASEC）近日证实，Andariel组织正在对国内企业进行持续攻击。此次确认的攻击的一个特点是，确认了攻击过程中安装了MeshAgent的情况。MeshAgent是一款远程管理工具，提供多种远程控制功能，因此与其他远程管理工具一样，被攻击者滥用的案例也时有发生。 与之前的案例一样，攻击者利用国内资产管理解决方案安装恶意代码，最明显的是AndarLoader和ModeLoa

Intel-Ops 正在积极跟踪经评估属于 8Base 勒索软件组织（Phobos 勒索软件运营商）的基础设施。我们的威胁英特尔客户将主动阻止这一威胁。 Phobos 运营勒索软件即服务模式，利用该勒索软件的组织的目标是： “县政府、紧急服务、教育、公共医疗和其他关键基础设施实体成功赎回数百万美元。” 据评估，Phobos 是一种勒索软件即服务 (RaaS)，具有多种变体（Eking、Eight、

关键点 Magnet Goblin 是一个出于经济动机的威胁行为者，它迅速采用并利用面向公众的服务中的 1 天漏洞作为初始感染媒介。至少在 Ivanti Connect Secure VPN (CVE-2024-21887) 的一个案例中，该漏洞在发布 POC 后 1 天内就进入了该组织的武器库。 我们认为该攻击者发起的活动针对的是 Ivanti、Magento、Qlink Sense，可能还包括

针对韩国的APT组织 APT37组织又名Group123、InkySquid、Operation Daybreak、Operation Erebus、Reaper Group、Red Eyes、ScarCruft、Venus 121。 该组织至少从2012年开始活跃，主要针对韩国的公共和私营部门。2017年，APT37将其目标扩展到朝鲜半岛之外，包括日本、越南和中东，并扩展到更广泛的垂直行业，包括

执行摘要 2023 年，账户接管 (ATO) 被确认为对网上银行客户危害最大的欺诈类型之一。在 Cleafy，我们发现90% 的欺诈企图仍然是通过账户接管进行的，我们预测这一数字到 2024 年将保持不变。银行和金融机构一直是 ATO 攻击的最优先目标，因为网络犯罪分子的目标是从他们的非法活动中立即获得经济利益。 设备上欺诈 (ODF)是一个复杂且日益增长的威胁。这种欺诈行为给银行业的反欺诈团队带

AhnLab 安全情报中心 (ASEC) 最近发现通过免费在线记事本平台 aNotepad 传播后门恶意软件。该恶意软件既支持针对Windows系统的PE格式，又支持针对Linux系统的ELF格式。由于威胁行为者在恶意软件的开发过程中使用了字符串“WingOfGod”，因此它被归类为 WogRAT。 图1. 攻击中使用的aNotepad平台 1. 分销案例 据推测，自 2022 年底直到最近，Wo

FortiGuard Labs 最近发现一个威胁行为者利用恶意 PDF 文件来传播银行木马 CHAVECLOAK。这种复杂的攻击涉及 PDF 下载 ZIP 文件，然后利用 DLL 侧面加载技术来执行最终的恶意软件。值得注意的是，CHAVECLOAK 专门针对巴西用户而设计，旨在窃取与金融活动相关的敏感信息。 图 1 显示了该网络威胁的详细流程。 图1：攻击流程 在南美网络威胁领域，银行木马采用一系

恶意文件名称：JSBot 威胁类型：僵尸网络 简单描述：JSBot是一种利用多种漏洞，善于使用无文件方式加载恶意代码的新型僵尸网络病毒，其具备文件下载、上传、对外DDoS、挖矿、盗取密码等功能，对主机、用户资产危害极大。 事件描述 在近期的安全运营过程中，我们发现JSBot僵尸网络病毒使用某蝶云星空反序列化命令执行漏洞在办公系统内进行传播。 JSBot通过漏洞进入办公系统后，首先会执行一段远程Po

AhnLab 安全情报中心 (ASEC) 最近确认，伪装成 Adob​​e Reader 安装文件的 Infostealer 恶意软件正在传播。该文件通过 PDF 形式分发，并鼓励用户下载并运行该文件。 [图1]中的伪装PDF指出，您需要安装Adobe Reader才能查看葡萄牙语文档，并且您应该点击下载。通过假装用户需要 Adob​​e Reader 来查看文档，他们会诱骗用户下载并执行攻击者的

概括： Lookout 最近发现了一种先进的网络钓鱼工具包，该工具包展示了通过移动设备针对加密货币平台以及联邦通信委员会 (FCC) 的新颖策略。遵循Scattered Spider等组织的策略，该套件使攻击者能够构建单点登录 (SSO) 页面的副本，然后使用电子邮件、短信和语音网络钓鱼的组合来诱骗目标共享用户名、密码、密码重置数百名受害者的 URL 甚至照片 ID，其中大多数受害者在美国。 员工