执行摘要 FBot 是一种基于 Python 的黑客工具，与其他云恶意软件系列不同，其目标是 Web 服务器、云服务和 SaaS 平台，例如 AWS、Office365、PayPal、Sendgrid 和 Twilio。 FBot 没有使用广泛使用的 Androxgh0st 代码，但在功能和设计上与 Legion 云信息窃取器有相似之处。 主要功能包括垃圾邮件攻击的凭证收集、AWS 帐户劫持工具以

AhnLab 安全情报中心 （ASEC） 最近证实了 XMRig 硬币矿工通过 GameHack 流通。 这个过程类似于过去引入的使用 webhard 平台分发 XMRig 币矿工的方法。 1. 扩散途径 Coinminer的分发路线被确定为分发著名游戏游戏黑客的网站，并伪装成许多著名游戏黑客的压缩文件被上传到该网站。此外，为了防止下载被浏览器和防病毒软件阻止，该网站通过在页面上指定如何阻止浏览器

AhnLab 安全情报中心 （ASEC） 最近发现了一项新活动，其中 Trigona 勒索软件攻击者安装了 Mimic 勒索软件。这次确定的攻击案例针对 MS-SQL 服务器，与以前的案例类似，其特点是在安装恶意软件期间利用 MS-SQL 服务器的大容量复制程序 （BCP） 实用程序。 Trigona 勒索软件：它至少从 2022 年 6 月开始活跃， 并且一直持续到最近，主要针对 MS-SQL

概述 奇安信威胁情报中心观察到一伙较为勤奋的勒索运营商，工作时间主要在周末，可以在物理上绕过安全人员对告警的发现。周六的时候使用一些Nday漏洞进行入侵，全天无休的进行内网信息收集，控制机器数量评估，并在周日晚上控制木马批量投递勒索软件，为了给第二天要上班的受害者一个“惊喜”，攻击者在横向移动所使用的工具主要有Cobalt Strike、fscan、frp、勒索投递包等，攻击手法与护网期间的国内红

概述 多年来，TAG分析了一系列持续性威胁，包括COLDRIVER（也称为UNC4057，Star Blizzard和Callisto），这是一个俄罗斯威胁组织，专注于针对非政府组织，前情报和军官以及北约政府的知名人士的凭据网络钓鱼活动。多年来，TAG一直在反击和报道该组织进行符合俄罗斯政府利益的间谍活动。为了增加社区对 COLDRIVER 活动的理解，我们将重点介绍它们的扩展功能，现在包括使用恶

概述 AhnLab 安全情报中心 （ASEC） 最近观察到一个名为 Mimo 的 CoinMiner 威胁行为者利用各种漏洞安装恶意软件的情况。Mimo，也被称为 Hezb，是在 2022 年 3 月通过 Log4Shell 漏洞利用安装 CoinMiners 时首次被发现的。 到目前为止，所有攻击案例都涉及在最后阶段安装名为 Mimo Miner Bot 的 XMRig CoinMiner。但是

1 概述 近期，安天CERT发现一组利用非官方软件下载站进行投毒和攻击下游用户案例，并深入分析了攻击者在网管运维工具上捆绑植入macOS平台远控木马，利用国内非官方下载站发布，以此取得政企机构内部关键主机桥头堡，进行横向渗透的攻击活动。 此下载站目前可下载数十个破解软件，其中五款运维工具包含恶意文件，这五款运维工具集中在服务运维工具分类中，安天CERT判断该事件针对的目标为国内IT运维人员。当运维

事件概述 近期，360安全大脑接到用户反馈称自己在使用某款“注册机”软件时候，系统中文件被不行加密。通过对受害用户提供的线索和样本进行综合分析研判，发现了一款借助破解类工具进行传播的新型勒索软件，其会通过向桌面释放勒索信与收款码图片的方式向用户索要2000元人民币的赎金。根据360云平台的大数据分析发现，该勒索软件在其开始传播的短短数日内，就已对数十位受害用户成功进行了 勒索攻击。 下图是受害用户

概述 AhnLab 安全情报中心 （ASEC） 最近证实了 Zephyr 硬币矿工的流通。该文件由Autoit生成，并以包含coinminer的压缩文件的形式分发。 正在流传的文件以“WINDOWS_PY_M3U_EXPLOIT_2024.7z”的名义流传，解压缩后会生成多个脚本和可执行文件。其中，“ComboIptvExploit.exe”文件是一个NSIS（Nullsoft Scriptabl

概述 Python 包索引 （PyPI） 是一个平台，它提供了广泛的包来简化和增强开发过程。恶意行为者定期在平台存储库中上传网络钓鱼包，旨在提供恶意软件以窃取受害者的信息，或者更频繁地破坏他们的环境。最近，据报道，来自 PyPI 的几个软件包是供应链攻击的一部分。 作为我们提高互联网安全性的持续研究的一部分，Imperva Threat Research 发现并报告了一个名为“sellpass-s

概述 在 2023 年 12 月的第二周，Volexity 在其网络安全监控服务客户之一的网络上检测到可疑的横向移动。经过仔细检查，Volexity 发现攻击者在多个面向内部和外部的 Web 服务器上放置了 Webshell。这些检测启动了跨多个系统的事件响应调查，Volexity 最终将其追溯到该组织面向互联网的 Ivanti Connect Secure （ICS） VPN 设备（以前称为 P

概述 据Doctor Web公司报道，在Telegram和一些网站上发现的盗版软件中隐藏着加密货币挖矿木马的案例有所增加。 2023年12月，Doctor Web公司的病毒分析人员注意到Trojan.BtcMine.3767及其配套恶意软件Trojan.BtcMine.2742的检出率有所提高，事实证明，这些恶意软件最终被盗版软件入侵了用户的电脑。 Trojan.BtcMine.3767是用C++

概述 AhnLab 安全情报中心 （ASEC） 证实，大量 SmokeLoader 恶意软件正在针对乌克兰政府和公司进行分发，最近针对乌克兰的攻击似乎有所增加。到目前为止，确定的目标包括乌克兰的司法部、公共机构、保险、医疗、建筑和制造公司。 电子邮件的格式与图 1 所示相同，电子邮件的内容是用乌克兰语编写的。正文包含与发票相关的短语，并提示您运行附加的文件。 [图1] 网络钓鱼诈骗 附件是一个压缩

介绍 Zscaler 的 ThreatLabz 研究团队一直在跟踪基于 Linux 的恶意软件家族，称为 DreamBus。在过去的几年里，除了一些小的错误修复，以及为了逃避安全软件的检测而进行的轻微修改外，没有太大的变化。然而，在过去的 6 个月里，操作 DreamBus 的威胁行为者引入了两个新模块来针对 Metabase 和 Apache RocketMQ 中的漏洞。这可能是为了应对 Dre

近日，瑞星威胁情报中心捕获到“蔓灵花”APT组织针对我国军工行业发起的APT攻击事件。通过分析发现，攻击者试图通过鱼叉式钓鱼攻击来投递wmRAT后门程序，以达到窃取我国军事机密的目的。在此，瑞星公司提醒相关政府部门及企业应提高警惕，加强防范。 APT组织介绍 “蔓灵花”组织又称为“BITTER”，是一支具有南亚背景的APT组织，疑似来自印度。它至少自2013年起就开始对目标发动网络攻击，攻击目标包

摘要 FBot 是一种基于 Python 的黑客工具，与其他云恶意软件系列不同，针对 Web 服务器、云服务和 SaaS 平台，如 AWS、Office365、PayPal、Sendgrid 和 Twilio。 FBot 没有使用广泛使用的 Androxgh0st 代码，但在功能和设计上与 Legion 云信息窃取程序有相似之处。 主要功能包括针对垃圾邮件攻击的凭据收集、AWS 账户劫持工具以及针

概述 近期，火绒威胁情报系统监测到Shiz病毒的新变种正在快速传播。Shiz病毒主要针对国外用户群体，在被激活后能够窃取用户电脑上的敏感信息，并可以执行其他恶意操作。不仅如此，当受害者访问杀毒软件网址时，还会被劫持到google的网址，对用户构成较大干扰。病毒运行后，首先，会使用对抗手段检测虚拟机环境和杀毒软件，捕获的变种样本使用了多种对抗手段，除了采用shellcode分块执行外，还通过PUSH

在过去的一年里，亨特和哈克特观察到荷兰的网络攻击，据信这些攻击是由符合土耳其利益的网络威胁行为者策划的，这表明土耳其在西方国家追求目标的升级。Hunt & Hackett 已经开始追踪这个以 Sea Turtle、Teal Kurma、Marbled Dust、SILICON 和 Cosmic Wolf 等别名而闻名的团体。本博客旨在通过将我们的观察结果与该威胁行为者的已知作案手法保持一致

概述 加沙网络团伙至少自2012年以来一直活跃，是一个疑似与哈马斯结盟的集群，其行动主要针对巴勒斯坦实体和以色列，专注于情报收集和间谍活动。作为以色列-哈马斯战争背景下感兴趣的威胁行为者，我们将加沙网络团伙作为一个由几个相邻的子团体组成的团体进行跟踪，据观察，自 2018 年以来，这些子团体共享受害者、TTP 并使用相关的恶意软件菌株。其中包括加沙网络帮派第 1 组（Molerats）、加沙网络帮

概述 AhnLab 安全情报中心 （ASEC） 最近发现，Remcos Rat 恶意软件正在通过伪装成成人游戏的 webhard 进行分发，同时监控在韩国收集的恶意软件的分发情况。Webhard 和 torrent 是代表性平台，主要用于在家庭环境中分发恶意软件。 通常，攻击者使用现成的恶意软件（如 njRAT 或 UDP Rat），并将其伪装成成人内容或合法程序（如游戏）。下面的ASEC博客中已