要点 自 2023 年 3 月以来，Proofpoint 研究人员观察到定期的 TA422 (APT28) 网络钓鱼活动，其中威胁行为者利用修补后的漏洞有时向欧洲和北美的目标发送大量活动。 TA422 使用这些漏洞作为针对政府、航空航天、教育、金融、制造和技术部门目标的初始访问权限，可能会泄露用户凭据或发起后续活动。 这些漏洞包括CVE-2023-23397（一个 Microsoft Outloo

概述 近期一直在跟踪众多勒索软件的分发商，我们在今年四月份曾详细披露过Conti勒索软件和Quantum勒索软件的运营商Karakurt Group针对我国OT单位的攻击活动，报告发布后该团伙在国内的活动骤减，但仍然在使用exchange漏洞入侵一些金融公司并进行横向移动，我们已经给对应的客户发出了相应的通报。 最近我们观察到blackcat在暗网公布了台湾本地石油化学开发公司的相关数据，勒索软件

1. 背景概述 移动威胁情报团队在日常狩猎活动中发现伪装成MoviesWatch的恶意样本攻击活动，该样本基于DogRat开源间谍木马V3版本开发而来，并在DogRat木马的基础上削减了恶意功能模块且攻击者能够直接下达远控指令，以降低受害者的警惕性。 一旦安装，样本会窃取受害设备的通讯录、短信、图片、录音、装机应用列表、剪贴板和地理位置等大量隐私数据。攻击者利用Replit服务器搭建的Telegr

APT-C-28（ScarCruft） APT-C-28（ScarCruft）亦被称为APT37（Reaper）、Group123等，是一个来自朝鲜半岛的APT组织。该组织自被披露以来，其攻击活动一直持续至今，并维持着较高的活跃度。APT-C-28的主要目标是韩国等亚洲国家，且在多个领域开展网络间谍活动，其中涵盖化学、电子、制造、航空航天、汽车和医疗保健等行业。 近期，360高级威胁研究院发现该组

1. 概述 据称受到朝鲜支持的 Kimsuky 威胁组织自 2013 年以来一直活跃。最初是针对韩国涉朝研究机构进行的攻击，2014年确认了针对韩国能源机构的攻击，自2017年起也确认了针对韩国以外国家的攻击。主要通过鱼叉式网络钓鱼攻击攻击国防、军工、媒体、外交、政府机构、学术领域，旨在窃取组织内部信息和技术。 直到最近，Kimsuky 组织主要使用鱼叉式网络钓鱼攻击作为初始渗透路线。与过去相比，

近期，火绒威胁情报系统监测到一种针对Linux系统的后门型病毒，经排查分析后，确定其与HelloBot家族有关。HelloBot是一个针对Linux系统的恶意软件家族，执行远程控制受害者计算机等恶意活动，因其配置测试中输出“hello world”而得名。 该病毒自2019年被披露后，被多个犯罪团伙和APT组织使用，对用户构成较大的威胁。目前，火绒安全产品可对上述病毒进行拦截查杀，请企业用户及时更

受影响的平台：运行 5.15.16、5.16.7、5.17.6 和 5.18.3 之前版本的 Apache Active MQ 的任何操作系统 受影响方：任何组织 影响：远程攻击者获得对易受攻击的系统的控制 严重级别：严重 去年 10 月，Apache 发布了一份针对 CVE-2023-46604 的重要公告，该漏洞涉及 Apache 中不受信任数据的反序列化。11 月 2 日，网络安全和基础设施

针对 macOS 的与朝鲜结盟的威胁行为者在 2023 年度过了忙碌的一年，迄今为止发生了两项主要活动：RustBucket 和 KandyKorn。最初的RustBucket活动使用了名为“SwiftLoader”的第二阶段恶意软件，该恶意软件在外部充当 PDF 查看器，用于发送到目标的诱饵文档。当受害者看到诱饵时，SwiftLoader 检索并执行了用 Rust 编写的进一步阶段的恶意软件。与

主要发现 Check Point Research 正在积极跟踪 SysJoker 的演变，这是一个先前未公开的多平台后门，我们评估它被哈马斯附属的 APT 用于针对以色列。 其中最显着的变化是转向 Rust 语言，这表明恶意软件代码被完全重写，同时仍然保持类似的功能。此外，攻击者转而使用 OneDrive 而不是 Google Drive 来存储动态 C2（命令和控制服务器）URL。 对新发现的

团伙背景 摩诃草，又名Patchwork、白象、Hangover、Dropping Elephant等，奇安信内部跟踪编号APT-Q-36。该组织被普遍认为具有南亚地区背景，其最早攻击活动可追溯到2009年11月，已持续活跃10余年。该组织主要针对亚洲地区的国家进行网络间谍活动，攻击目标包括政府、军事、电力、工业、科研教育、外交和经济等领域的组织机构。 事件概述 Spyder恶意软件与摩诃草组织存

要点 Cyble 研究与情报实验室 (CRIL) 最近发现了一个名为 Persian Remote World 的网站，该网站从事销售各种恶意工具。 Persian Remote World 提供了广泛的恶意工具，包括远程访问木马 (RAT)、加载程序和加密程序。 网站开发人员以不同的订阅模式以不同的价格提供这些恶意工具。 据该网站称，该 RAT 可以执行多种权限升级和防御规避操作。 除了传统 R

作为一个加密货币挖矿软件，StripedFly常年隐藏在一个支持Linux和Windows的复杂模块化框架后面。它配备了一个内置的TOR网络隧道，用于与命令控制（C2）服务器通信，同时通过可信服务（如GitLab、GitHub和Bitbucket）运行更新和交付功能，所有这一切都使用自定义加密归档。可以说，创建这个框架所付诸的努力确实十分了不起，同样地，它所披露的真相也相当惊人。 背景介绍 202

摘要 近日，奇安信病毒响应中心移动安全团队监测到一款伪装成叙利亚发展信托基金应用的恶意软件。 其为针对叙利亚军人的钓鱼和木马复合式攻击，会窃取受害者隐私信息和社交账号信息。 钓鱼页面宣称是叙利亚发展信托基金支持叙利亚军队中英雄的一个新项目，要求填写个人信息和家庭信息，如姓名、电话、军衔、服务地点及妻子姓名、子女信息等。 SpyMax的功能非常全面，包含监控SMS、访问麦克风、录制音视频、窃取通讯录

WordPress 真的安全吗？这可能是许多新用户心中的一个问题，尤其是当他们听说这是一个开源项目时。那么，有没有关于 WordPress 安全性的统计数据可以提供答案呢？ 事实上，是有的，在这篇文章中，我们试图就这个主题收集尽可能多的有意义的数字。下面，我们将检查有关 WordPress 核心、主题和插件、登录信息和托管环境安全性的行业报告和统计数据。 最后，我们希望您不仅对 WordPress

受影响的平台： Microsoft Windows 受影响的用户： Microsoft Windows 影响：远程攻击者获得受感染系统的控制权 严重级别：严重 FortiGuard 实验室最近发现，在正在进行的 Konni 活动中使用了带有恶意宏的俄语 Word 文档。尽管该文档的创建日期是 9 月，但内部遥测数据显示该活动的 C2 服务器上正在进行的活动，如图 1 所示。 此活动依赖于能够提取信

APT-C-35 肚脑虫 APT-C-35（肚脑虫）组织，又称Donot，是一个针对巴基斯坦、斯里兰卡等印度周边国家政府机构等领域进行网络间谍活动，以窃取敏感信息为主的攻击组织。 在对该组织追踪溯源的过程中，我们通过360安全卫士检测到有一批针对巴基斯坦地区的攻击活动，通过对其的跟踪、分析和研判，初步将这次的攻击者归属于肚脑虫。同时在挖掘中，我们还发现了APT-C-35（肚脑虫）与APT-C-09

攻击描述 山石网科情报中心近期获取了一批挖矿恶意样本。其在受害主机上执行后除了挖矿还会进行漏洞利用、清除其他挖矿进程等活动。分析对比发现这些样本疑似Watchdog挖矿活动脚本。Watchdog攻击团伙最早于2019年被披露，目前仍在活跃中。其常用攻击方式是利用redis漏洞入侵受害主机，随后进行挖矿、漏洞利用等恶意活动。 简要分析 样本为一个PowerShell脚本。其中定义了多个恶意程序与脚本

执行摘要 过去几个月，中国和菲律宾之间的紧张局势急剧升级。8月初，一艘中国海警船向一艘正在南沙群岛有争议的仁爱礁执行补给任务的菲律宾船只发射水炮。此后，菲律宾宣布与美国联合巡逻，与澳大利亚举行海军演习。据报道，菲律宾海岸警卫队已终止与中国海岸警卫队建立的热线电话，并采取行动拆除中国在有争议的黄岩岛附近设置的障碍。 与这些现实世界事件同时发生，Unit 42 的研究人员在 8 月份观察到了三场“St

AhnLab 安全应急响应中心 (ASEC) 在监控 Andariel 威胁组织最近的攻击时，发现了一个攻击案例，其中 Andariel 组织被认为利用 Apache ActiveMQ 远程代码执行漏洞 (CVE-2023-46604) 安装恶意软件。 据了解，Andariel 威胁组织主要针对国内公司和机构，与 Lazarus 威胁组织或 Lazarus 组织的子组织合作。针对国内目标的攻击首次

Cisco Talos 最近观察到 8Base 进行的活动有所增加，该勒索软件组织使用Phobos 勒索软件的变体和其他公开可用的工具来促进其操作。 该组织的大多数 Phobos 变体都是由后门木马SmokeLoader分发的。这种商品加载器通常在部署时丢弃或下载额外的有效负载。然而，在 8Base 活动中，它的加密有效负载中嵌入了勒索软件组件，然后解密并加载到 SmokeLoader 进程的内存