恶意软件加载程序（也称为植入程序或下载程序）是地下犯罪活动中的流行商品。他们的主要功能是成功危害一台机器并部署一个或多个额外的有效负载。 好的加载程序可以在推送其他恶意软件之前避免检测并将受害者识别为合法（即不是沙箱）。这部分非常关键，因为装载机的价值直接与其“客户”的满意度相关。 在这篇博文中，我们描述了一次使用对我们来说很陌生的加载程序的恶意广告活动。该程序是用 Go 语言编写的，并使用一种有

执行摘要 本文回顾了最近发现的 FalseFont 后门，该后门被疑似与伊朗有关联的威胁行为者使用，Unit 42 将其追踪为 Curious Serpens。Curious Serpens（又名Peach Sandstorm）是一个著名的间谍组织，此前曾以航空航天和能源领域为目标。FalseFont 是 Curious Serpens 的最新工具。我们分析的示例显示了威胁行为者如何模仿合法的人力

思科 Talos 提供了其最近两份报告的最新信息，该报告涉及俄罗斯间谍组织 Turla 部署的TinyTurla-NG (TTNG)植入程序。我们现在掌握了该攻击者使用的整个杀伤链的新信息，包括用于从受害者那里窃取有价值信息并通过受感染企业传播的策略、技术和程序 (TTP)。 Talos 与CERT.NGO合作进行的分析表明，Turla 感染了欧洲非政府组织 (NGO) 受感染网络中的多个系统。

概述 Proofpoint 研究人员最近观察到与伊朗结盟的威胁组织 TA450（也称为 MuddyWater、Mango Sandstorm 和 Static Kitten）的新活动，该组织使用与薪酬相关的社会工程诱惑来针对大型跨国组织的以色列员工。 TA450 以针对以色列实体而闻名，特别是自2023 年 10 月以色列与哈马斯战争爆发以来，这种趋势继续延续，重点关注全球制造、技术和信息安全公司

介绍 针对移动设备的恶意软件是我们经常遇到的。2023 年我们的技术阻止了移动设备上的 3380 万次恶意软件、广告软件和危险软件攻击。2023 年最引起共鸣的攻击之一是针对 iOS 的三角测量行动，但这是一个相当独特的案例。在移动平台中，Android 仍然是网络犯罪分子最流行的目标操作系统。上个月，我们总共撰写了四份有关 Android 恶意软件的私人犯罪软件报告，其中三份总结如下。 Tamb

概述 Mirai家族作为botnet的常青树，存在众多变种，但极少出现使用DGA的Mirai变种，据我们观测，上一个使用DGA（Domain Generation Algorithm）的Mirai变种出现于2016年。2024年3月，我们捕获到了新的可疑ELF样本，通过分析得知是另一个使用DGA的Mirai变种，分析关联的历史样本，我们不仅发现了没有使用DGA的版本（2024.02），还发现了漏洞

安实验室安全情报中心 (ASEC) 最近证实，Kimsuky 组织向国内公共机构分发了伪装成安装程序的恶意软件。所涉及的恶意软件是一个植入程序，它会创建Endoor ，这是在过去的文章“TrollAgent（Kimsuky 组织）在安全程序安装过程中感染”中讨论的攻击中使用的后门恶意软件。 虽然实际攻击中使用的植入式恶意软件的历史尚未得到证实，但使用植入式恶意软件生成的后门恶意软件的攻击案例在与植

Perception Point 安全研究人员最近发现了一项新出现的针对美国组织的活动。被称为“PhantomBlu”的新兴恶意软件活动采用新的 TTP 和行为来逃避检测并部署臭名昭著的 NetSupport RAT。此活动标志着恶意软件攻击方法的复杂性，利用远程管理工具的合法功能来达到邪恶目的。 Teaching an Old RAT Some New Tricks NetSupport RAT

间谍组织 Earth Kapre（又名 RedCurl 和 Red Wolf）一直在积极针对俄罗斯、德国、乌克兰、英国、斯洛文尼亚、加拿大、澳大利亚和美国的组织开展网络钓鱼活动。它使用包含恶意附件（.iso 和 .img）的网络钓鱼电子邮件，打开后就会成功感染。这会触发创建持久性计划任务，同时未经授权收集敏感数据并将其传输到命令和控制 (C&C) 服务器。 趋势科技托管扩展检测和响应 (M

执行摘要   2023 年 3 月，Lumen Black Lotus Labs 报告了一场名为“ HiatusRAT ”的复杂活动，该活动感染了全球 100 多个边缘网络设备。该活动利用边缘路由器或“生活在边缘”访问来被动收集流量，并充当指挥和控制 (C2) 基础设施的隐蔽网络。   在发布我们的初步研究后，Black Lotus Labs 继续跟踪该攻击者，从而产生了与 HiatusRAT 集

已确认从Discord、GitHub、Dropbox等处下载，并考虑到之前以类似方式分发的案例，推测该恶意页面伪装成特定程序下载页面，会通过多个途径指向下载网址重定向。 StealC恶意软件是一种信息窃取恶意软件，它窃取系统信息、浏览器、加密货币钱包、Discord、Telegram和邮件客户端等各种重要信息。 图1. 恶意代码上传至Github 其恶意代码及所采用的操作手法与伪装成现有漏洞传播的

介绍 Zscaler 的 ThreatLabz 最近发现了一项新活动，该活动针对 Roblox 用户分发名为 Tweaks（又名 Tweaker）的信息窃取程序。攻击者正在利用 YouTube 和 Discord 等流行平台向 Roblox 用户分发 Tweaks，利用合法平台的能力来逃避通常会阻止已知恶意服务器的 Web 过滤器阻止列表的检测。攻击者与用户共享伪装成每秒帧数 (FPS) 优化包的

AhnLab安全情报中心（ASEC）证实，基于开源创建并于2018年流行的CryptoWire勒索软件目前正在传播。 [图1] CryptoWire Github CryptoWire勒索软件主要通过钓鱼邮件传播，其特点是使用Autoit脚本创建。 主功能 勒索软件将自身复制到“CProgram FilesCommon Files”路径并注册任务调度程序以保持连续性。 [图2]登记工作日程 [图3

事件描述 近期，深信服深盾终端实验室在运营过程中发现，一款名为Mallox勒索病毒家族的新变种在客户侧传播，该变种使用复杂的控制流混淆技术修改二进制特征以突破安全软件的静态检测。 此次事件中，攻击者以爆破SqlServer弱密码的方式进入客户系统，进行前期打点，搜集必要信息。随后安装anydesk等远控软件接管客户系统，执行勒索病毒，攻击者进行双重勒索，加密并上传系统文件。加密后缀为.Mallox

介绍 2023 年 10 月，一家俄罗斯机械工程企业联系 Doctor Web，怀疑其一台计算机上存在恶意软件。我们的专家对这一事件进行了调查，确定受影响的公司遭遇了有针对性的攻击。在这次攻击中，恶意行为者发送了带有附件的网络钓鱼电子邮件，其中包含负责初始系统感染并在系统中安装其他恶意工具的恶意程序。 这次攻击的目的是收集有关员工的敏感信息以及有关公司基础设施和内部网络的数据。此外，我们检测到数据

AhnLab安全情报中心（ASEC）近日证实，Andariel组织正在对国内企业进行持续攻击。此次确认的攻击的一个特点是，确认了攻击过程中安装了MeshAgent的情况。MeshAgent是一款远程管理工具，提供多种远程控制功能，因此与其他远程管理工具一样，被攻击者滥用的案例也时有发生。 与之前的案例一样，攻击者利用国内资产管理解决方案安装恶意代码，最明显的是AndarLoader和ModeLoa

Intel-Ops 正在积极跟踪经评估属于 8Base 勒索软件组织（Phobos 勒索软件运营商）的基础设施。我们的威胁英特尔客户将主动阻止这一威胁。 Phobos 运营勒索软件即服务模式，利用该勒索软件的组织的目标是： “县政府、紧急服务、教育、公共医疗和其他关键基础设施实体成功赎回数百万美元。” 据评估，Phobos 是一种勒索软件即服务 (RaaS)，具有多种变体（Eking、Eight、

关键点 Magnet Goblin 是一个出于经济动机的威胁行为者，它迅速采用并利用面向公众的服务中的 1 天漏洞作为初始感染媒介。至少在 Ivanti Connect Secure VPN (CVE-2024-21887) 的一个案例中，该漏洞在发布 POC 后 1 天内就进入了该组织的武器库。 我们认为该攻击者发起的活动针对的是 Ivanti、Magento、Qlink Sense，可能还包括

针对韩国的APT组织 APT37组织又名Group123、InkySquid、Operation Daybreak、Operation Erebus、Reaper Group、Red Eyes、ScarCruft、Venus 121。 该组织至少从2012年开始活跃，主要针对韩国的公共和私营部门。2017年，APT37将其目标扩展到朝鲜半岛之外，包括日本、越南和中东，并扩展到更广泛的垂直行业，包括

执行摘要 2023 年，账户接管 (ATO) 被确认为对网上银行客户危害最大的欺诈类型之一。在 Cleafy，我们发现90% 的欺诈企图仍然是通过账户接管进行的，我们预测这一数字到 2024 年将保持不变。银行和金融机构一直是 ATO 攻击的最优先目标，因为网络犯罪分子的目标是从他们的非法活动中立即获得经济利益。 设备上欺诈 (ODF)是一个复杂且日益增长的威胁。这种欺诈行为给银行业的反欺诈团队带