事件概述 本次山石情报中心通过智源平台大数据捕获到了疑似与上海某高校安全事件相关的病毒样本，该样本基于.Net平台进行编写，使用多重loader以及多种检测手法规避安全检测。 详细分析 该程序的核心代码将会以反射加载的方式被调用，其中对于核心代码模块的数据，程序使用了异或算法进行加密，加密伪代码如下： 解密之后可以看到核心代码模块使用SmartAssembly对代码进行的混淆。 核心模组中再次加载

概述 众所周知Mirai于2016年首次被发现，它通过利用物联网设备的弱密码和漏洞来感染它们。一旦设备感染，它们将成为网络的一部分，由攻击者控制，用于大规模的分布式拒绝服务攻击。Mirai僵尸网络通常根据感染方式或者被感染设备不同将Bot分为不同的组，以便攻击者更有效地管理和控制庞大的僵尸网络。近期我们注意到一个Mirai僵尸网络居然拥有100多个Bot分组，这引起了我们极大的兴趣。根据该僵尸网络

概述 2023 年12月5日，FortiGuard 的 AI 驱动的 OSS 恶意软件检测系统识别出三个有趣的 PyPI（Python 包索引）包。这些软件包在初次使用时会在 Linux 设备上部署 CoinMiner 可执行文件。利用我们的历史恶意软件数据库，我们注意到这些包的入侵指标 （IoC） 与今年 9 月初发现的“culturestreak”PyPI 包相似。Checkmarx的一篇博客

概述 在圣诞节前夕，Resecurity 的 HUNTER （HUMINT） 发现密码窃取者 Meduza 的作者发布了新版本 （2.2）。该产品在今年 6 月首次发布后已经引起了暗网的极大兴趣。其中一个关键的重大改进是支持更多的软件客户端（包括基于浏览器的加密货币钱包）、升级的信用卡 （CC） 抓取器，以及用于在各种平台上进行密码存储转储以提取凭据和令牌的其他高级机制。总而言之，Meduza 是

1. 概述 近日，奇安信病毒响应中心移动安全团队监测到一批伪装成韩国新韩储蓄银行的恶意软件。移动端针对韩国的金融类诈骗由来已久，韩国相关金融安全机构也相当重视，但随着恶意软件的不断升级，其功能在不断增强，攻击变得精细而复杂，对用户造成的威胁也与日俱增。 2. 软件分析 在此次监控到的恶意软件中，经过技术分析，该恶意软件远控架构是基于“AhMyth-Android-RAT”工具进行的升级改造，具有强

1. 概述 近期，安天CERT捕获到一个Mirai僵尸网络新变种，针对MIPS、ARM和X86等多种架构，利用弱口令感染目标，并等待控制指令进行DDoS攻击。由于该僵尸网络文件名以“Aqua*”命名，我们将其命名为Aquabot。 经分析，Aquabot僵尸网络至少迭代过2个版本。其中v1以Mirai开源框架为基础开发，主要功能为进程管理、弱口令扫描和DDoS攻击。2023年11月捕获的最新v2样

概述 2023 年 9 月 29 日，QBit 勒索软件即服务 （RaaS） 组织推出了一种用 Go 构建的新开发的勒索软件。 2023 年 10 月 9 日，QBit 团队推出了用 Go 语言开发的 qBit Stealer，强调了其无法被端点检测和响应解决方案 （EDR） 检测到的声明。 这个窃取者精通将任何文件上传到 Mega[.]NZ，利用先进的并发引擎进行快速上传。窃取程序可供购买，并且

一、概述 2023年8月份，绿盟科技伏影实验室全球威胁狩猎系统监测到一类未知的elf文件正在大范围传播，这引起了我们的警惕，经过进一步分析，我们确认了这批elf样本隶属于新的僵尸网络家族，伏影实验室将该僵尸网络木马命名为RDDoS。 RDDoS僵尸网络家族的主要功能为DDoS攻击，并且具备命令执行的能力，这也使得它具备的威胁性进一步提高。RDDoS还设置了上线参数来区分感染设备类型，同时通过上线包

概述 Bandook 恶意软件是一种远程访问木马，自 2007 年首次被发现以来一直在不断发展。多年来，它已被不同的威胁行为者用于各种活动。FortiGuard Labs 在去年 10 月发现了一种新的 Bandook 变体，该变体正在通过 PDF 文件分发。此 PDF 文件包含一个缩短的 URL，用于下载受密码保护的 .7z 文件。受害者使用 PDF 文件中的密码提取恶意软件后，恶意软件会将其有

摘要 Menorah 恶意软件被 APT34 组织使用，该组织以中东的组织为目标，并于今年 8 月被趋势科技发现。该恶意软件会创建一个互斥锁，以确保一次只运行一个副本。它提取主机名和用户名，并计算标识受感染计算机的哈希值。实现以下命令：创建新进程、列出特定目录中的文件和子目录、泄露任意文件以及下载主机上的文件。 分析和发现 SHA256： 64156f9ca51951a9bf91b5b74073d

SideCopy组织自2020年被披露以来长期处于活跃之中，并主要针对印度国防、外交等部门持续发动网络攻击。近期，360高级威胁研究院发现了该组织针对Windows和Linux系统进行无差别攻击，并且部分载荷是支持Windows和Linux双平台的远控工具。 在Linux环境下，初始攻击样本为含有恶意ELF文件的ZIP压缩包文件，运行其中的ELF文件会下载关于印度国防部的诱饵文档，同时下载一个由P

FortiGuard Labs 最近发现了一个电子邮件网络钓鱼活动，该活动使用欺骗性的预订信息来诱使受害者点击恶意 PDF 文件。PDF 下载使用 PowerGUI 创建的 .NET 可执行文件，然后运行 PowerShell 脚本来获取最终恶意软件，称为 MrAnon Stealer。该恶意软件是一种基于 Python 的信息窃取程序，使用 cx-Freeze 进行压缩以逃避检测。MrAnon

概述 SophosX-Ops警告酒店行业，针对全球酒店使用密码窃取恶意软件的活动正在使用电子邮件投诉服务问题或信息请求作为社会工程诱饵，以获得活动目标的信任，然后再向他们发送指向恶意负载的链接。 攻击者使用的方法类似于SophosX-Ops在2023年4月美国联邦报税截止日期前几个月发现的方法：他们最初通过电子邮件联系目标，该电子邮件只包含文本，但主题是面向服务的企业（如酒店）希望快速响应。只有在

介绍 2023年1月，ChameleonBanking木马成为重大威胁，采用各种分发方法渗透到Android生态系统中，特别关注澳大利亚和波兰的用户。该木马恰如其分地命名为“Chameleon”，通过多个新命令（包括检查应用程序包名称）来展示其适应性。它的主要目标是移动银行应用程序，通过网络钓鱼页面伪装成合法应用程序进行分发。 在这次调查中，我们能够跟踪和分析与更新的Zombinder相关的样本。

我们最近发现了一种针对 macOS 的新型恶意加载程序，可能与BlueNoroff APT 团伙及其正在进行的名为RustBucket的活动有关。众所周知，威胁行为者会攻击金融组织，特别是其活动与加密货币有任何关系的公司，以及持有加密资产或对该主题感兴趣的个人。有关新加载程序变体的信息首先出现在 X（以前称为 Twitter）帖子中。 关于新装载机的原始 X（以前的 Twitter）帖子 早期的

在过去的一年中，我们发现恶意广告的使用有所增加，特别是通过搜索引擎投放针对企业的恶意软件的广告。事实上，如果我们包括社会工程活动，基于浏览器的攻击总体上要常见得多。 犯罪分子通过搜索广告成功获得了新的受害者；我们相信有专门的服务可以帮助恶意软件分发者和附属公司绕过谷歌的安全措施并帮助他们建立诱饵基础设施。特别是，我们看到了与之前用于删除 FakeBat 的恶意广告链的相似之处。 在过去的几天里，包

概述 据说得到朝鲜支持的Kimsuky威胁组织自2013年以来一直很活跃。对韩国与朝鲜相关的研究机构的最初攻击已经得到证实，随后是2014年对韩国能源机构的袭击，以及自2017年以来对韩国以外其他国家的袭击。鱼叉式网络钓鱼攻击主要旨在从国防、国防工业、媒体、外交、国家机构和学术界的组织窃取信息和技术。 Kimsuky组织通常使用鱼叉式网络钓鱼攻击作为初始渗透途径，但近年来，出现了许多使用LNK格式

概述 近期，火绒威胁情报系统监测到一款木马病毒正在网吧快速传播。该病毒被激活后，可接收并执行黑客下发的恶意模块，包括各种广告推广、DNS劫持、URL劫持、刷量控制、传奇登陆器劫持等。除此之外，该病毒还采用了多种对抗手段，隐蔽性极强。目前，火绒安全产品可对上述病毒进行拦截查杀，请用户及时更新病毒库以进行防御。 查杀图 该病毒被运行后，会先从C&C服务器接收一个主加载器MainProShell

恶意文件描述 在该起事件中，攻击者分别设计了三款以PDF与Word文档进行伪装的lnk文件，并使用特殊文件名以诱导用户点击，进而完成后续的感染链攻击。经分析，感染链的最终阶段都将释放一款由Gh0st改编而来的远控木马SugarGh0st，可以推断威胁行为者的最终目标是获取指定目标主机的访问及控制权限，进行敏感信息窃取活动以及其他危险行为。 恶意文件分析 在两条感染链中，攻击者均采用对lnk文件赋值

一、攻击活动分析 1.攻击流程分析 攻击者通过发送钓鱼邮件的方式下发恶意文档，受害者打开文档时会下载恶意可执行文件，该文件通过内存加载的方式执行Powershell脚本，脚本接着从远端下载dll并进行无文件加载，恶意dll最终解密释放出VenomRAT，从而完成窃密行动。 2.载荷投递分析   2.1.载荷投递方式   本次攻击中，攻击者是通过下发钓鱼邮件诱导受害者查看附件的方式投递载荷，捕获的邮