执行摘要 Akamai 安全情报组 (SIG) 发现了 FritzFrog 僵尸网络新变种的详细信息，该变种滥用 2021 Log4Shell 漏洞。 多年来，我们已经目睹了超过 20,000 起 FritzFrog 攻击事件，以及超过 1,500 名受害者。 该恶意软件通过暴力破解弱 SSH 凭据来感染面向互联网的服务器。较新的变体现在会读取受感染主机上的多个系统文件，以检测很可能易受攻击的潜在

FortiGuard 实验室每两周收集有关勒索软件变体的数据，这些变体在我们的数据集和 OSINT 社区中越来越受到关注。勒索软件综述报告旨在为读者提供有关不断演变的勒索软件格局以及防范这些变体的 Fortinet 解决方案的简要见解。 本版勒索软件综述涵盖了 Albabat 勒索软件。 受影响的平台：  Microsoft Windows 受影响方：  Microsoft Windows 用户

2024 年 1 月 12 日，Phylum 的自动风险检测平台提醒我们注意 npm 上的可疑出版物。相关软件包oscompatible包含一些奇怪的二进制文件，其中包括一个 exe 文件、一个 DLL 文件和一个加密的 dat 文件。唯一存在的 JavaScript 文件 ，index.js只是执行了一个尝试启动可执行文件的批处理文件。在逆向可执行文件后，我们最终通过一个相对复杂的过程发现了 R

山石情报团队通过对云上威胁日志遥测发现，一起定向的针对某医药企业的攻击正在悄悄进行，针对钓鱼信息部分分析内容如下，供参考。 钓鱼TTP整体流程如下： 详细分析 在本次事件中，攻击者在钓鱼邮件中使用“紧急通知！”配合仅有一半的图片来吸引用户注意，诱使用户点击该图片，从而触发超链接跳转。 翻看邮件代码可以看到图片链接到"flowcode.com"。 关于 Flowcode 这是一个免费的设计生成二维码

迄今为止，BI.ZONE 威胁情报团队已将至少十个活动与 Scaly Wolf 组织联系起来。俄罗斯各行业的组织，包括制造业和物流业，都受到了攻击。 该组织的特点之一是，为了获得初始访问权限，他们代表俄罗斯政府部门发送网络钓鱼电子邮件。犯罪分子的网络钓鱼武器库包括 Roskomnadzor、俄罗斯联邦调查委员会和俄罗斯联邦军事检察官办公室的要求。在极少数情况下，攻击者会将电子邮件伪装成商业报价。值

LODEINFO 恶意软件是什么？ LODEINFO 是一种无文件恶意软件，自 2019 年 12 月以来在以鱼叉式网络钓鱼电子邮件开始的活动中观察到。已知当用户打开鱼叉式网络钓鱼电子邮件中附加的恶意 Word 文件（以下简称 Maldoc）时就会发生感染。 （Excel 文件在早期也被滥用。） 根据安全厂商公布的信息，利用LODEINFO的APT活动主要针对日本媒体、外交、公共机构、国防工业和智

概述 Unit 42 研究人员发现了一个大规模的活动，他们将其命名为 ApateWeb。ApateWeb 使用超过 130,000 个域的网络来分发诈骗页面，例如恐吓软件和潜在有害程序 (PUP)。我们在这些 PUP 中发现了多个广告软件程序。其中包括恶意浏览器和各种浏览器扩展。 此活动中使用的程序不是传统的恶意软件。然而，这些可能成为网络犯罪分子获得初始访问权限的一种手段，最终可能使受害者面临更

Phobos 勒索软件系列是一组臭名昭著的恶意软件，旨在加密受害者计算机上的文件。它于 2019 年出现，此后参与了多次网络攻击。这种勒索软件通常会附加带有唯一扩展名的加密文件，并要求以加密货币支付赎金以获得解密密钥。FortiGuard Labs 捕获并报告了 Phobos 系列的多个勒索软件变体，包括EKING和8Base。 最近，FortiGuard 实验室发现了一份 Office 文档，其

概述 Kimsuky疑似是位于朝鲜半岛地区的威胁组织，国外研究人员发现了该组织针对韩国军事智库的大规模网络间谍活动，并引用恶意代码中词语“Kimsuky”对其命名。Kimsuky APT组织作为一个十分活跃的APT组织，其针对南韩的活动次数也愈来愈多，主要针对韩国政府机构、世宗研究所、韩国外交部门、韩国国防分析研究所（KIDA）、韩国统一部、北朝鲜相关研究领域，同时该组织不断的使用hwp文件、Ln

一、摘   要 本次发现的攻击样本伪装成聊天软件，远程控制工具采用Lazaspy。 Lazaspy是基于 XploitSPY 构建的自定义Android RAT，在XploitSPY的基础上定制了关键信息的序列化采集功能，该工具具有窃取通讯录、麦克风录音、实时剪切板、窃取短信和窃取设备文件等功能。 在其泄露的受害者用户信息表中，可以看到大部分号码归属地为印度，同时从数据中也可以发现此次攻击从202

受影响平台：可以安装 PyPI 软件包的所有平台 受影响方：安装了这些恶意软件包的任何个人或机构 影响：凭证、敏感信息等泄露 严重级别：高 Python Package Index (PyPI) 是 Python 社区开发的一个开放的软件包存储库，旨在帮助人们快速开发或更新应用程序。虽然上传到 PyPI 的大多数软件包都是由希望支持 Python 社区的专门人员发布的，但威胁行为者也会定期发布受恶

近期缅甸发生的少数民族叛乱袭击事件，让缅甸军政府及周边国家处于高度戒备状态。自 2023 年 10 月以来，一个名为三兄弟联盟 (3BHA) 的反叛联盟一直在缅甸北部地区攻击缅甸军队，据报道占领了其军政府前哨基地和军事阵地。这一活动引起了中国的关注，因为重要的贸易路线已被3BHA控制并摧毁，导致中国呼吁停火。袭击事件发生后，缅甸国防与安全委员会 (NSDC) 于 11 月 8 日召开会议，军政府领

背景 Arctic Wolf Labs 一直在跟踪最近的两次入侵，其中威胁行为者利用了一种新的基于 Go 的恶意软件下载器（我们称之为“CherryLoader”），该下载器允许他们在不重新编译代码的情况下交换漏洞。加载程序的图标和名称伪装成合法的CherryTree笔记应用程序来欺骗受害者。在我们调查的入侵中，CherryLoader 用于删除两个权限升级工具PrintSpoofer或Juicy

近期，火绒威胁情报系统发现一款伪装成Windows非法激活程序的窃密病毒正在传播。该病毒以Windows_Loader.zip包形式诱导用户，内含病毒程序，可以获取用户电脑和程序信息并且盗取资金，对用户构成较大安全威胁。 查杀图 火绒工程师对样本进行分析发现，该病毒与CryptBot家族有关。CryptBot是一个窃密软件，最早出现在2019年，主要在Windows系统中通过钓鱼邮件和破解软件进行

ESET 研究人员对先前未公开的与中国结盟的威胁行为者（我们将其命名为 Blackwood）进行的攻击进行了分析，我们认为该攻击者至少自 2018 年以来一直在运作。攻击者通过对手提供了复杂的植入程序，我们将其命名为 NSPX30中间人 (AitM) 攻击劫持来自合法软件的更新请求。 这篇博文的要点：我们发现 NSPX30 植入程序是通过腾讯 QQ、WPS Office 和搜狗拼音等合法软件的更新

执行摘要 FBot 是一种基于 Python 的黑客工具，与其他云恶意软件系列不同，其目标是 Web 服务器、云服务和 SaaS 平台，例如 AWS、Office365、PayPal、Sendgrid 和 Twilio。 FBot 没有使用广泛使用的 Androxgh0st 代码，但在功能和设计上与 Legion 云信息窃取器有相似之处。 主要功能包括垃圾邮件攻击的凭证收集、AWS 帐户劫持工具以

AhnLab 安全情报中心 （ASEC） 最近证实了 XMRig 硬币矿工通过 GameHack 流通。 这个过程类似于过去引入的使用 webhard 平台分发 XMRig 币矿工的方法。 1. 扩散途径 Coinminer的分发路线被确定为分发著名游戏游戏黑客的网站，并伪装成许多著名游戏黑客的压缩文件被上传到该网站。此外，为了防止下载被浏览器和防病毒软件阻止，该网站通过在页面上指定如何阻止浏览器

AhnLab 安全情报中心 （ASEC） 最近发现了一项新活动，其中 Trigona 勒索软件攻击者安装了 Mimic 勒索软件。这次确定的攻击案例针对 MS-SQL 服务器，与以前的案例类似，其特点是在安装恶意软件期间利用 MS-SQL 服务器的大容量复制程序 （BCP） 实用程序。 Trigona 勒索软件：它至少从 2022 年 6 月开始活跃， 并且一直持续到最近，主要针对 MS-SQL

概述 奇安信威胁情报中心观察到一伙较为勤奋的勒索运营商，工作时间主要在周末，可以在物理上绕过安全人员对告警的发现。周六的时候使用一些Nday漏洞进行入侵，全天无休的进行内网信息收集，控制机器数量评估，并在周日晚上控制木马批量投递勒索软件，为了给第二天要上班的受害者一个“惊喜”，攻击者在横向移动所使用的工具主要有Cobalt Strike、fscan、frp、勒索投递包等，攻击手法与护网期间的国内红

概述 多年来，TAG分析了一系列持续性威胁，包括COLDRIVER（也称为UNC4057，Star Blizzard和Callisto），这是一个俄罗斯威胁组织，专注于针对非政府组织，前情报和军官以及北约政府的知名人士的凭据网络钓鱼活动。多年来，TAG一直在反击和报道该组织进行符合俄罗斯政府利益的间谍活动。为了增加社区对 COLDRIVER 活动的理解，我们将重点介绍它们的扩展功能，现在包括使用恶