在 Bitdefender，我们不断致力于提高 macOS 网络安全产品的检测能力；这项工作的一部分涉及重新审视我们的恶意软件动物园中的旧样本（或挖掘新样本）。在例行验证过程中，我们能够隔离多个可疑且未被检测到的 macOS 磁盘映像文件，对于此类文件来说，这些文件小得惊人（每个文件 1.3 MB）。 对代码的简短查看表明，这些文件与过去几个月分析的其他样本非常相似，这使我们相信这是 AMOS（原

自银狐钓鱼攻击事件爆发以来，该家族以及其同类变种家族持续活跃，样本对抗形式多样并且变化迅速，往往在发现攻击样本的第二天，新样本已经替换了旧样本。在这种态势之下，安全防御产品除了需要及时提取特征更新引擎病毒库以外来，还需要通过样本动态行为特征检测来提升识别率和识别速度。 腾讯安全科恩实验室与腾讯安全电脑管家安全产品运营侧进行联动，将可疑灰样本投递到科恩实验室云沙箱进行模拟执行，待样本产生行为日志后，

介绍 攻击者通常通过电子邮件附件或恶意网站分发 Bifrost。一旦安装在受害者的计算机上，Bifrost 就允许攻击者收集敏感信息，例如受害者的主机名和 IP 地址。 最新版本的 Bifrost 会访问具有欺骗性名称download.vmfare[.]com 的命令和控制 (C2) 域，该域看起来与合法的 VMware 域类似。这种做法被称为“误植”。通过利用这个欺骗性域，Bifrost 背后的

执行摘要 DNS 威胁行为者总是让我们感到惊讶。每天，我们都会了解到他们为剥削受害者而设计的富有创意的新活动。投资诈骗就是其中之一。美国联邦贸易委员会报告称，2023 年美国投资诈骗造成的损失比任何其他类型的诈骗都多，受害者被盗的金额总计超过 46 亿美元。 Savvy Seahorse 是 DNS 威胁行为者，他说服受害者在虚假投资平台上创建账户，向个人账户存款，然后将这些存款转移到俄罗斯的银行

JPCERT/CC 已确认 Lazarus 已向官方 Python 包存储库 PyPI 发布了恶意 Python 包（图 1）。本次确认的Python包如下： pycryptoenv pycryptoconf quasarlib swapmempool 包名pycryptoenv和pycryptoconf类似pycrypto，是Python中用于加密算法的Python包。因此，攻击者很可能是为了针

Morphisec 威胁实验室最近发现了导致威胁行为者 UAC-0184 的多个攻击指标。这一发现揭示了臭名昭著的 IDAT 加载程序向位于芬兰的乌克兰实体传送 Remcos 远程访问木马 (RAT) 的情况。   介绍 本博客探讨了攻击的更广泛的执行过程，强调了关键的独特方面，包括 IDAT 加载程序的使用以及针对芬兰乌克兰实体的攻击。CERT-UA（在乌克兰编写）和Uptycs之前已审查了相关

介绍 趋势科技此前发表了一些文章，讨论与中国有关的威胁行为者（我们追踪为“Earth Lusca”）的运作。该组织至少自 2020 年以来一直活跃，并定期改变其作案方式，已知会同时发起多项不同的活动。 在我们对这个威胁行为者的监控过程中，我们注意到一项新的活动利用中国与台湾的关系作为社会工程诱饵来感染选定的目标。根据我们在之前的研究中观察到的工具、技术和程序 (TTP)，我们非常有信心地将这次活动

执行摘要 自从针对 ConnectWise ScreenConnect 中的两个漏洞发布了概念验证代码以来，多个威胁参与者已经开始进行大规模利用。安全行业的研究人员报告了他们观察到的攻击链，其中包括使用 ScreenConnect 部署密码窃取程序、其他远程管理软件和商业后利用框架。有些入侵甚至以勒索软件部署而告终。 ShadowServer 基金会等互联网扫描仪报告称，截至 2024 年 2 月

今年早些时候，DCSO 观察到一个有趣的恶意软件样本，该样本于 2024 年 1 月中旬首次上传到 VirusTotal，我们认为该样本是针对俄罗斯外交部的与朝鲜相关活动的一部分。 该恶意软件本身似乎是 KONNI，这是一种朝鲜 (DPRK) 关系工具，据信早在 2014 年就开始使用。此前，多位研究人员在 2021 年的一次活动中观察 到 KONNI 在针对俄罗斯外交部的高度类似活动中的使用。我

​ 遭受DDoS（分布式拒绝服务）恶意攻击是一种常见的网络安全威胁，可能会导致服务器性能下降甚至完全不可用。以下是处理帕鲁服务器遭受DDoS攻击的一些应对措施： 实施流量过滤： 使用防火墙或专业的DDoS防护设备来过滤恶意流量，将合法用户的请求传递到服务器，而阻止恶意流量。 增加带宽和资源： 扩展帕鲁服务器的带宽和资源，以应对更大规模的DDoS攻击。这可以通过升级服务器或增加服务器集群来实现。 使

​　　服务器遭受 DDoS 攻击的现象很常见，并且有时不容易预防，有部分原因是它们的形式多种多样，而且黑客手段越来越隐蔽。如果您怀疑自己可能遭受 DDoS 攻击，可以寻找多种迹象。以下是 DDoS 攻击的5个常见迹象： 1.网络流量无法解释的激增 　　DDoS 攻击发生速度快且破坏性极强，它最常见的迹象之一是网络流量出现无法解释的峰值。这可以通过监控网站的服务器日志或使用网络分析工具来检测。合法流

数字化的世界中，恶意软件已成为企业和个人数据安全的一大威胁，其中.mallox勒索病毒是最为恶劣的之一。本文91数据恢复将介绍.mallox勒索病毒的特点，以及如何恢复被其加密的数据文件以及预防措施。 如果您正在经历勒索病毒的困境，欢迎联系我们的vx技术服务号（sjhf91），我们愿意与您分享我们的专业知识和经验。 数据泄露风险 数据泄露风险是.mallox勒索病毒攻击中一个严重的后果之一。当企业

介绍 2022 年 10 月，越南一家领先银行的一名员工通过当地广泛使用的通讯工具Zalo收到了欺骗性链接。单击该链接后，恶意 .zip 文件就会下载到他们的设备上，这随后会危及受害者网络浏览器中存储的敏感信息。 收到这一事件的信息后，Group-IB 专家立即采取行动。首先，我们的威胁情报研究人员立即分析了恶意软件样本。一旦得出初步结果，IB 组的高科技犯罪调查该部门加入了战斗，开始对该恶意软件

多年来，ESET 产品和研究一直在保护乌克兰 IT 基础设施。自 2022 年 2 月战争爆发以来，我们阻止并调查了与俄罗斯结盟的组织发起的大量袭击。我们还在 WeLiveSecurity 上发布了一些最有趣的发现： IsaacWiper 和 HermeticWizard：针对乌克兰的新型雨刮器和蠕虫病毒 Industroyer2：工业家重装上阵 乌克兰雨刮器袭击事件持续一年 庇护伏击：犯罪软件还

概述 奇安信威胁情报中心在日常终端运营过程中发现客户收到了定向的钓鱼邮件，附件名为“版權資訊及版權保護政策 Dentsu Taipei.zip”，内容包含恶意的lnk文件和正常的PDF诱饵，天擎EDR第一时间对脚本木马进行了拦截，虽然攻击者并未对我们的客户造成太大的损失，但该团伙使用的中文诱饵和后续木马引起了我们的兴趣。 经过一段时间调查，奇安信威胁情报中心将该犯罪团伙归为未知威胁组织类别，赋予其

APT-C-24 响尾蛇 APT-C-24 (响尾蛇)是一个活跃于南亚地区的APT组织，最早活跃可追溯到2012年，其主要攻击国家包括巴基斯坦、阿富汗、尼泊尔、不丹、缅甸等数十国，以窃取政府、能源、军事、矿产等领域的敏感信息为主要目的。 过去十年该组织展开了多次鱼叉式网络钓鱼活动窃取信息，为了配合这些行动，攻击者使用了各种编程语言（如C++、C#、Go、Python和 VBScript）开发载荷，

Google Cloud Run 目前在大量恶意软件分发活动中被滥用，将 Astaroth（又名 Guildma）、Mekotio 和 Ousaban 等多种银行木马传播到拉丁美洲和欧洲的目标。 自 2023 年 9 月以来，与这些活动相关的电子邮件数量显着增加，我们将继续定期观察新的电子邮件分发活动。 与这些恶意软件系列相关的感染链的特点是使用恶意 Microsoft 安装程序 (MSI)，这些

银行木马恶意软件的开发人员不断寻找创造性的方法来分发其植入程序并感染受害者。在最近的一项调查中，我们遇到了一种新的恶意软件，该恶意软件专门针对 60 多家银行机构的用户，其中主要来自巴西。引起我们注意的是利用各种先进技术的复杂感染链，使其与已知的银行木马感染区分开来。 该恶意软件利用Squirrel安装程序进行分发，利用NodeJS和一种名为Nim的相对较新的多平台编程语言作为加载程序来完成其感染

AhnLab 安全情报中心 (ASEC) 证实，RAT 恶意软件正在伪装成非法赌博相关文件进行传播。与上个月发布的 VenomRAT 分发方法相同，它通过快捷方式（.lnk）文件进行分发，并直接从 HTA 下载 RAT 恶意软件。 图1 操作流程 确认分发的快捷方式文件包含恶意Powershell命令，并运行MSHTA下载恶意脚本。 Powershell 命令 C:WindowsSystem32W

AhnLab安全情报中心（ASEC）此前在博客“针对韩国和泰国的APT攻击中使用的BlueShell恶意软件”中报道了针对泰国和国内Linux系统的攻击中使用的BlueShell恶意软件[1] 。攻击者定制了BlueShell这种后门恶意软件，并利用它进行攻击，设置条件使其只能在特定系统上运行。 即使在该博客发布后，由同一攻击者创建的 BlueShell 恶意软件仍然会通过 VirusTotal