概述 AhnLab 安全情报中心 （ASEC） 最近观察到一个名为 Mimo 的 CoinMiner 威胁行为者利用各种漏洞安装恶意软件的情况。Mimo，也被称为 Hezb，是在 2022 年 3 月通过 Log4Shell 漏洞利用安装 CoinMiners 时首次被发现的。 到目前为止，所有攻击案例都涉及在最后阶段安装名为 Mimo Miner Bot 的 XMRig CoinMiner。但是

1 概述 近期，安天CERT发现一组利用非官方软件下载站进行投毒和攻击下游用户案例，并深入分析了攻击者在网管运维工具上捆绑植入macOS平台远控木马，利用国内非官方下载站发布，以此取得政企机构内部关键主机桥头堡，进行横向渗透的攻击活动。 此下载站目前可下载数十个破解软件，其中五款运维工具包含恶意文件，这五款运维工具集中在服务运维工具分类中，安天CERT判断该事件针对的目标为国内IT运维人员。当运维

事件概述 近期，360安全大脑接到用户反馈称自己在使用某款“注册机”软件时候，系统中文件被不行加密。通过对受害用户提供的线索和样本进行综合分析研判，发现了一款借助破解类工具进行传播的新型勒索软件，其会通过向桌面释放勒索信与收款码图片的方式向用户索要2000元人民币的赎金。根据360云平台的大数据分析发现，该勒索软件在其开始传播的短短数日内，就已对数十位受害用户成功进行了 勒索攻击。 下图是受害用户

概述 AhnLab 安全情报中心 （ASEC） 最近证实了 Zephyr 硬币矿工的流通。该文件由Autoit生成，并以包含coinminer的压缩文件的形式分发。 正在流传的文件以“WINDOWS_PY_M3U_EXPLOIT_2024.7z”的名义流传，解压缩后会生成多个脚本和可执行文件。其中，“ComboIptvExploit.exe”文件是一个NSIS（Nullsoft Scriptabl

概述 Python 包索引 （PyPI） 是一个平台，它提供了广泛的包来简化和增强开发过程。恶意行为者定期在平台存储库中上传网络钓鱼包，旨在提供恶意软件以窃取受害者的信息，或者更频繁地破坏他们的环境。最近，据报道，来自 PyPI 的几个软件包是供应链攻击的一部分。 作为我们提高互联网安全性的持续研究的一部分，Imperva Threat Research 发现并报告了一个名为“sellpass-s

概述 在 2023 年 12 月的第二周，Volexity 在其网络安全监控服务客户之一的网络上检测到可疑的横向移动。经过仔细检查，Volexity 发现攻击者在多个面向内部和外部的 Web 服务器上放置了 Webshell。这些检测启动了跨多个系统的事件响应调查，Volexity 最终将其追溯到该组织面向互联网的 Ivanti Connect Secure （ICS） VPN 设备（以前称为 P

概述 据Doctor Web公司报道，在Telegram和一些网站上发现的盗版软件中隐藏着加密货币挖矿木马的案例有所增加。 2023年12月，Doctor Web公司的病毒分析人员注意到Trojan.BtcMine.3767及其配套恶意软件Trojan.BtcMine.2742的检出率有所提高，事实证明，这些恶意软件最终被盗版软件入侵了用户的电脑。 Trojan.BtcMine.3767是用C++

概述 AhnLab 安全情报中心 （ASEC） 证实，大量 SmokeLoader 恶意软件正在针对乌克兰政府和公司进行分发，最近针对乌克兰的攻击似乎有所增加。到目前为止，确定的目标包括乌克兰的司法部、公共机构、保险、医疗、建筑和制造公司。 电子邮件的格式与图 1 所示相同，电子邮件的内容是用乌克兰语编写的。正文包含与发票相关的短语，并提示您运行附加的文件。 [图1] 网络钓鱼诈骗 附件是一个压缩

介绍 Zscaler 的 ThreatLabz 研究团队一直在跟踪基于 Linux 的恶意软件家族，称为 DreamBus。在过去的几年里，除了一些小的错误修复，以及为了逃避安全软件的检测而进行的轻微修改外，没有太大的变化。然而，在过去的 6 个月里，操作 DreamBus 的威胁行为者引入了两个新模块来针对 Metabase 和 Apache RocketMQ 中的漏洞。这可能是为了应对 Dre

近日，瑞星威胁情报中心捕获到“蔓灵花”APT组织针对我国军工行业发起的APT攻击事件。通过分析发现，攻击者试图通过鱼叉式钓鱼攻击来投递wmRAT后门程序，以达到窃取我国军事机密的目的。在此，瑞星公司提醒相关政府部门及企业应提高警惕，加强防范。 APT组织介绍 “蔓灵花”组织又称为“BITTER”，是一支具有南亚背景的APT组织，疑似来自印度。它至少自2013年起就开始对目标发动网络攻击，攻击目标包

摘要 FBot 是一种基于 Python 的黑客工具，与其他云恶意软件系列不同，针对 Web 服务器、云服务和 SaaS 平台，如 AWS、Office365、PayPal、Sendgrid 和 Twilio。 FBot 没有使用广泛使用的 Androxgh0st 代码，但在功能和设计上与 Legion 云信息窃取程序有相似之处。 主要功能包括针对垃圾邮件攻击的凭据收集、AWS 账户劫持工具以及针

概述 近期，火绒威胁情报系统监测到Shiz病毒的新变种正在快速传播。Shiz病毒主要针对国外用户群体，在被激活后能够窃取用户电脑上的敏感信息，并可以执行其他恶意操作。不仅如此，当受害者访问杀毒软件网址时，还会被劫持到google的网址，对用户构成较大干扰。病毒运行后，首先，会使用对抗手段检测虚拟机环境和杀毒软件，捕获的变种样本使用了多种对抗手段，除了采用shellcode分块执行外，还通过PUSH

在过去的一年里，亨特和哈克特观察到荷兰的网络攻击，据信这些攻击是由符合土耳其利益的网络威胁行为者策划的，这表明土耳其在西方国家追求目标的升级。Hunt & Hackett 已经开始追踪这个以 Sea Turtle、Teal Kurma、Marbled Dust、SILICON 和 Cosmic Wolf 等别名而闻名的团体。本博客旨在通过将我们的观察结果与该威胁行为者的已知作案手法保持一致

概述 加沙网络团伙至少自2012年以来一直活跃，是一个疑似与哈马斯结盟的集群，其行动主要针对巴勒斯坦实体和以色列，专注于情报收集和间谍活动。作为以色列-哈马斯战争背景下感兴趣的威胁行为者，我们将加沙网络团伙作为一个由几个相邻的子团体组成的团体进行跟踪，据观察，自 2018 年以来，这些子团体共享受害者、TTP 并使用相关的恶意软件菌株。其中包括加沙网络帮派第 1 组（Molerats）、加沙网络帮

概述 AhnLab 安全情报中心 （ASEC） 最近发现，Remcos Rat 恶意软件正在通过伪装成成人游戏的 webhard 进行分发，同时监控在韩国收集的恶意软件的分发情况。Webhard 和 torrent 是代表性平台，主要用于在家庭环境中分发恶意软件。 通常，攻击者使用现成的恶意软件（如 njRAT 或 UDP Rat），并将其伪装成成人内容或合法程序（如游戏）。下面的ASEC博客中已

事件概述 本次山石情报中心通过智源平台大数据捕获到了疑似与上海某高校安全事件相关的病毒样本，该样本基于.Net平台进行编写，使用多重loader以及多种检测手法规避安全检测。 详细分析 该程序的核心代码将会以反射加载的方式被调用，其中对于核心代码模块的数据，程序使用了异或算法进行加密，加密伪代码如下： 解密之后可以看到核心代码模块使用SmartAssembly对代码进行的混淆。 核心模组中再次加载

概述 众所周知Mirai于2016年首次被发现，它通过利用物联网设备的弱密码和漏洞来感染它们。一旦设备感染，它们将成为网络的一部分，由攻击者控制，用于大规模的分布式拒绝服务攻击。Mirai僵尸网络通常根据感染方式或者被感染设备不同将Bot分为不同的组，以便攻击者更有效地管理和控制庞大的僵尸网络。近期我们注意到一个Mirai僵尸网络居然拥有100多个Bot分组，这引起了我们极大的兴趣。根据该僵尸网络

概述 2023 年12月5日，FortiGuard 的 AI 驱动的 OSS 恶意软件检测系统识别出三个有趣的 PyPI（Python 包索引）包。这些软件包在初次使用时会在 Linux 设备上部署 CoinMiner 可执行文件。利用我们的历史恶意软件数据库，我们注意到这些包的入侵指标 （IoC） 与今年 9 月初发现的“culturestreak”PyPI 包相似。Checkmarx的一篇博客

概述 在圣诞节前夕，Resecurity 的 HUNTER （HUMINT） 发现密码窃取者 Meduza 的作者发布了新版本 （2.2）。该产品在今年 6 月首次发布后已经引起了暗网的极大兴趣。其中一个关键的重大改进是支持更多的软件客户端（包括基于浏览器的加密货币钱包）、升级的信用卡 （CC） 抓取器，以及用于在各种平台上进行密码存储转储以提取凭据和令牌的其他高级机制。总而言之，Meduza 是

1. 概述 近日，奇安信病毒响应中心移动安全团队监测到一批伪装成韩国新韩储蓄银行的恶意软件。移动端针对韩国的金融类诈骗由来已久，韩国相关金融安全机构也相当重视，但随着恶意软件的不断升级，其功能在不断增强，攻击变得精细而复杂，对用户造成的威胁也与日俱增。 2. 软件分析 在此次监控到的恶意软件中，经过技术分析，该恶意软件远控架构是基于“AhMyth-Android-RAT”工具进行的升级改造，具有强