1. 概述 近期，安天CERT捕获到一个Mirai僵尸网络新变种，针对MIPS、ARM和X86等多种架构，利用弱口令感染目标，并等待控制指令进行DDoS攻击。由于该僵尸网络文件名以“Aqua*”命名，我们将其命名为Aquabot。 经分析，Aquabot僵尸网络至少迭代过2个版本。其中v1以Mirai开源框架为基础开发，主要功能为进程管理、弱口令扫描和DDoS攻击。2023年11月捕获的最新v2样

概述 2023 年 9 月 29 日，QBit 勒索软件即服务 （RaaS） 组织推出了一种用 Go 构建的新开发的勒索软件。 2023 年 10 月 9 日，QBit 团队推出了用 Go 语言开发的 qBit Stealer，强调了其无法被端点检测和响应解决方案 （EDR） 检测到的声明。 这个窃取者精通将任何文件上传到 Mega[.]NZ，利用先进的并发引擎进行快速上传。窃取程序可供购买，并且

一、概述 2023年8月份，绿盟科技伏影实验室全球威胁狩猎系统监测到一类未知的elf文件正在大范围传播，这引起了我们的警惕，经过进一步分析，我们确认了这批elf样本隶属于新的僵尸网络家族，伏影实验室将该僵尸网络木马命名为RDDoS。 RDDoS僵尸网络家族的主要功能为DDoS攻击，并且具备命令执行的能力，这也使得它具备的威胁性进一步提高。RDDoS还设置了上线参数来区分感染设备类型，同时通过上线包

概述 Bandook 恶意软件是一种远程访问木马，自 2007 年首次被发现以来一直在不断发展。多年来，它已被不同的威胁行为者用于各种活动。FortiGuard Labs 在去年 10 月发现了一种新的 Bandook 变体，该变体正在通过 PDF 文件分发。此 PDF 文件包含一个缩短的 URL，用于下载受密码保护的 .7z 文件。受害者使用 PDF 文件中的密码提取恶意软件后，恶意软件会将其有

摘要 Menorah 恶意软件被 APT34 组织使用，该组织以中东的组织为目标，并于今年 8 月被趋势科技发现。该恶意软件会创建一个互斥锁，以确保一次只运行一个副本。它提取主机名和用户名，并计算标识受感染计算机的哈希值。实现以下命令：创建新进程、列出特定目录中的文件和子目录、泄露任意文件以及下载主机上的文件。 分析和发现 SHA256： 64156f9ca51951a9bf91b5b74073d

SideCopy组织自2020年被披露以来长期处于活跃之中，并主要针对印度国防、外交等部门持续发动网络攻击。近期，360高级威胁研究院发现了该组织针对Windows和Linux系统进行无差别攻击，并且部分载荷是支持Windows和Linux双平台的远控工具。 在Linux环境下，初始攻击样本为含有恶意ELF文件的ZIP压缩包文件，运行其中的ELF文件会下载关于印度国防部的诱饵文档，同时下载一个由P

FortiGuard Labs 最近发现了一个电子邮件网络钓鱼活动，该活动使用欺骗性的预订信息来诱使受害者点击恶意 PDF 文件。PDF 下载使用 PowerGUI 创建的 .NET 可执行文件，然后运行 PowerShell 脚本来获取最终恶意软件，称为 MrAnon Stealer。该恶意软件是一种基于 Python 的信息窃取程序，使用 cx-Freeze 进行压缩以逃避检测。MrAnon

概述 SophosX-Ops警告酒店行业，针对全球酒店使用密码窃取恶意软件的活动正在使用电子邮件投诉服务问题或信息请求作为社会工程诱饵，以获得活动目标的信任，然后再向他们发送指向恶意负载的链接。 攻击者使用的方法类似于SophosX-Ops在2023年4月美国联邦报税截止日期前几个月发现的方法：他们最初通过电子邮件联系目标，该电子邮件只包含文本，但主题是面向服务的企业（如酒店）希望快速响应。只有在

介绍 2023年1月，ChameleonBanking木马成为重大威胁，采用各种分发方法渗透到Android生态系统中，特别关注澳大利亚和波兰的用户。该木马恰如其分地命名为“Chameleon”，通过多个新命令（包括检查应用程序包名称）来展示其适应性。它的主要目标是移动银行应用程序，通过网络钓鱼页面伪装成合法应用程序进行分发。 在这次调查中，我们能够跟踪和分析与更新的Zombinder相关的样本。

我们最近发现了一种针对 macOS 的新型恶意加载程序，可能与BlueNoroff APT 团伙及其正在进行的名为RustBucket的活动有关。众所周知，威胁行为者会攻击金融组织，特别是其活动与加密货币有任何关系的公司，以及持有加密资产或对该主题感兴趣的个人。有关新加载程序变体的信息首先出现在 X（以前称为 Twitter）帖子中。 关于新装载机的原始 X（以前的 Twitter）帖子 早期的

在过去的一年中，我们发现恶意广告的使用有所增加，特别是通过搜索引擎投放针对企业的恶意软件的广告。事实上，如果我们包括社会工程活动，基于浏览器的攻击总体上要常见得多。 犯罪分子通过搜索广告成功获得了新的受害者；我们相信有专门的服务可以帮助恶意软件分发者和附属公司绕过谷歌的安全措施并帮助他们建立诱饵基础设施。特别是，我们看到了与之前用于删除 FakeBat 的恶意广告链的相似之处。 在过去的几天里，包

概述 据说得到朝鲜支持的Kimsuky威胁组织自2013年以来一直很活跃。对韩国与朝鲜相关的研究机构的最初攻击已经得到证实，随后是2014年对韩国能源机构的袭击，以及自2017年以来对韩国以外其他国家的袭击。鱼叉式网络钓鱼攻击主要旨在从国防、国防工业、媒体、外交、国家机构和学术界的组织窃取信息和技术。 Kimsuky组织通常使用鱼叉式网络钓鱼攻击作为初始渗透途径，但近年来，出现了许多使用LNK格式

概述 近期，火绒威胁情报系统监测到一款木马病毒正在网吧快速传播。该病毒被激活后，可接收并执行黑客下发的恶意模块，包括各种广告推广、DNS劫持、URL劫持、刷量控制、传奇登陆器劫持等。除此之外，该病毒还采用了多种对抗手段，隐蔽性极强。目前，火绒安全产品可对上述病毒进行拦截查杀，请用户及时更新病毒库以进行防御。 查杀图 该病毒被运行后，会先从C&C服务器接收一个主加载器MainProShell

恶意文件描述 在该起事件中，攻击者分别设计了三款以PDF与Word文档进行伪装的lnk文件，并使用特殊文件名以诱导用户点击，进而完成后续的感染链攻击。经分析，感染链的最终阶段都将释放一款由Gh0st改编而来的远控木马SugarGh0st，可以推断威胁行为者的最终目标是获取指定目标主机的访问及控制权限，进行敏感信息窃取活动以及其他危险行为。 恶意文件分析 在两条感染链中，攻击者均采用对lnk文件赋值

一、攻击活动分析 1.攻击流程分析 攻击者通过发送钓鱼邮件的方式下发恶意文档，受害者打开文档时会下载恶意可执行文件，该文件通过内存加载的方式执行Powershell脚本，脚本接着从远端下载dll并进行无文件加载，恶意dll最终解密释放出VenomRAT，从而完成窃密行动。 2.载荷投递分析   2.1.载荷投递方式   本次攻击中，攻击者是通过下发钓鱼邮件诱导受害者查看附件的方式投递载荷，捕获的邮

背景信息 Arid Viper组织很久以前就开始使用移动端恶意软件，其中涵盖至少四款Android间谍软件家族和一个针对iOS的植入程序Phenakite。SpyC23 Android恶意软件家族至少从2019年就已经存在，不过它跟Arid Viper间谍软件家族之间的共享代码可以追溯到2017年。ESET在2020年的一次活动中首次报道了这一消息，当时该组织使用了第三方应用商店来分发武器化的安卓

一、背景 2023年11月初，绿盟科技全球威胁狩猎系统监测到一类elf文件正在大范围传播并伴随着产生了大量疑似加密的外联通信流量，但主流杀毒引擎对该文件检出率却趋近于零，这引起了我们的好奇。经过进一步人工的分析，我们确认了一个具备较强隐匿性的新型僵尸网络家族。鉴于该家族在加解密算法中使用了多轮xor运算，伏影实验室将该木马命名为xorbot。 不同于大量基于开源代码二次开发而来的僵尸网络家族，xo

一、概述 2022年5月，绿盟科技伏影实验室披露了一起名为DarkCasino的大型APT攻击事件，确认了一个活跃且具有较高对抗能力的攻击者并对其进行持续跟踪。随着对该攻击者活动的深入研究，伏影实验室逐步排除了该攻击者与已知黑客组织的联系，确认了其高级持续性威胁性质，并沿用行动名称，将该攻击者命名为DarkCasino。 2023年8月，国外安全厂商跟进披露了一起DarkCasino针对加密货币论

团伙背景 Lazarus是疑似具有东北亚背景的APT组织，奇安信内部跟踪编号APT-Q-1。该组织因2014年攻击索尼影业开始受到广泛关注，其攻击活动最早可追溯到2007年。Lazarus早期主要针对政府机构，以窃取敏感情报为目的，但自2014年后，开始以全球金融机构、虚拟货币交易场等为目标，进行敛财为目的的攻击活动。此外，该组织还针对安全研究人员展开攻击。近年来，Lazarus频繁发起软件供应链

01概述 2023年下半年，安天CERT（安全研究与应急处理中心）在日常邮件监测中发现，境外APT攻击组织通过模仿我“慧眼行动”官方组织机构，向相关科研机构发送钓鱼邮件，以附件形式投放特洛伊木马，以实施后续攻击。邮件包含一个压缩包附件，压缩包内为一个构造的可执行文件。该文件基于文件名、图标和与正常文件捆绑三种伪装方式，模仿成相关活动的申报客户端。打开可执行文件后，会连接到攻击者服务器下载后续攻击载