APT-C-52（焰魔蛇）组织是一个来自南亚的APT组织，主要针对巴基斯坦进行有组织、有计划、针对性的网络攻击行动。该组织攻击活动开始于2021年初，至今仍处于活跃状态。我们获取攻击者服务器泄露的部分数据，受害者主要为巴基斯坦军事人员。 APT-C-52（焰魔蛇）组织主要通过Google Play应用商店传播恶意应用，首先利用Facebook获取攻击目标联系方式，然后通过WhatsApp或短信等社

仅2023年10月28日至11月1日这5天时间，受到攻击的企业达到了数十家，触发告警近万次。 1、概述 近期，微步情报局监测发现一个针对政府、能源和教育等行业发起 “爆发式”攻击的黑产团伙：仅2023年10月28日至11月1日这5天时间，受到攻击的企业达到了数十家，触发告警近万次。经过对该团伙历史攻击行为和资产特征进行分析，结合各维度特征，微步将其命名为“山猫”。关于该事件当前的分析结论如下： 经

恶意文件名称： AsyncRAT 威胁类型： 远控木马 简单描述： AsyncRAT是一款由C#编写的远控工具，拥有反虚拟化、文件/进程管理、持久化、信息窃取、横向移动等威胁性极高的功能，达到任意操控目标主机的目的。 恶意文件描述 近期，深盾实验室在运营工作中发现一批通过邮件劫持进行传播的JS恶意样本，该类样本中充斥大量的垃圾信息并进行混淆以逃避防御引擎检测，截止发文时间，VT上仅有两家引擎检出。

介绍 Gamaredon，又称为 Primitive Bear、ACTINIUM 和 Shuckworm，主要目标是乌克兰地区。一般情况下，研究人员很难发现俄罗斯间谍活动的证据，但近期的Gamaredon却明显可疑，其在以乌克兰地区为主要目标进行了大规模的攻击活动。乌克兰安全局 (SSU) 确认 Gamaredon的人员是俄罗斯联邦安全局(FSB)的官员。 Gamaredon组织从事大规模网络活动

ASEC（AhnLab 安全紧急响应中心）最近确认 Phobos 勒索软件正在积极传播。Phobos 勒索软件是一种已知的勒索软件变种，与 Dharma 和 CrySis 勒索软件在技术和操作上有相似之处。它们普遍具有利用暴露在外部作为攻击媒介的安全性较弱的RDP服务进行分发的特点，因此，利用安全性较弱的RDP作为初始访问的勒索软件的分发现象非常频繁地发生，因此管理员必须特别小心需要。 1.Pho

AhnLab 安全紧急响应中心 (ASEC) 确认存在包含恶意 URL 的 PDF 文件的分发。当我们检查与 PDF 文件相关的域时，我们可以看到类似的 PDF 文件以 PDF 的形式分发，伪装成特定游戏或程序的破解文件下载。已确认流通的 PDF 文件的部分列表如下。 Far-Cry-3-Multiplayer-Crack-Fix.pdf STDISK-Activator-Free-Downloa

攻击描述 近期国外攻击者在出售一款名为“BunnyLoader”的恶意软件即服务（Malware-as-a-Service, MaaS）。山石网科情报中心获取了一批恶意样本，分析发现BunnyLoader可窃取包括加密货币钱包地址在内的敏感信息，以及下载执行其他恶意负载，并且攻击者在不断更新提供新的恶意功能。 简要分析 恶意样本启动后首先修改注册表，在HKEY_LOCAL_MACHINESoftw

一、攻击活动分析   在日常的狩猎活动中我们发现APT-C-36组织近期活动中尝试在其惯用的PDF鱼叉钓鱼攻击流中添加Amadey僵尸网络木马。Amadey僵尸网络木马是一个2018年10月左右出现的在俄语黑客论坛上出售的模块化僵尸网络木马，具备内网横移、信息窃取、远程指令执行、脚本执行、DDos攻击等能力。 1.攻击流程分析 此次活动中使用Amadey僵尸网络木马的攻击流。 2.载荷投递分析 诱

近期，火绒安全团队发现黑客正通过 MSSQL 暴破进行大规模网络攻击。一旦黑客攻击成功，其不仅可以远控用户电脑进行任意操作，还可以下发 Mallox 勒索和挖矿软件，并且这些软件都经过了多层混淆加密，进一步增加了杀毒软件的检测难度，对用户构成较大的威胁。目前，火绒安全产品可对上述病毒进行拦截查杀，请用户及时更新病毒库以进行防御。 查杀图 黑客团伙对目标 MSSQL 数据库暴破成功后，会下发 Mal

一、概 述 近期，启明星辰ADLab捕获到一起以某摄像头公司为目标的攻击活动，该攻击活动所使用的攻击载荷异常复杂，远超寻常攻击。为了查明该攻击来源及其载荷的技术实现，我们对其进行了深入的技术分析和溯源追踪分析。通过分析，我们发现该攻击在多个维度上都采用了高强度的对抗手段以防止被逆向工程，同时采用了多模块多阶段的内嵌式套娃模式，其中包含多达10个环环相扣层层相嵌的Loader和DLL模块，这些模块依

严重性 高的 分析总结 Lazarus APT 是朝鲜最老练的威胁组织之一，至少从 2009 年开始运作。最初，他们主要针对韩国。它最近将重点转向全球目标，并开始发起攻击以获取金钱利益。该攻击者与韩国、美国、日本和其他一些国家的袭击事件有关。Lazarus APT 被怀疑是许多不同活动的幕后黑手，包括网络间谍活动以及对金融机构、政府机构和军队的攻击。 众所周知，Lazarus 组织在其行动中使用各

1、简述 近期，接到大量Linux系统用户反馈，电脑中的文件被勒索软件加密，被加密后的文件后缀均为.L0CK3D。经分析，这些用户感染的均是隶属于Cerber家族的勒索软件。本轮攻击主要是通过Confluence 数据中心和服务器中的不当授权漏洞进行传播（漏洞编号为CVE-2023-22518）。受该漏洞影响而遭到攻击的平台，覆盖了Linux与Windows等主流服务器操作系统。 2、 CVE-2

近期，火绒威胁情报系统检测到一种新型后门病毒伪装成常用软件，通过Google搜索引擎传播，主要针对中文用户。该病毒利用多种方式对抗杀软查杀，被运行后，黑客会立即控制受害者终端并进行任意恶意行为。目前，火绒安全产品可对上述病毒进行拦截查杀，请用户及时更新病毒库以进行防御。 以假冒"QQ音乐"为例，在Google中搜索“QQ音乐”，搜索结果的第一名就是该病毒，如下图所示： 该网站内容与QQ音乐原始官方

一、概 述 近期，启明星辰ADLab捕获到一起以某摄像头公司为目标的攻击活动，该攻击活动所使用的攻击载荷异常复杂，远超寻常攻击。为了查明该攻击来源及其载荷的技术实现，我们对其进行了深入的技术分析和溯源追踪分析。通过分析，我们发现该攻击在多个维度上都采用了高强度的对抗手段以防止被逆向工程，同时采用了多模块多阶段的内嵌式套娃模式，其中包含多达10个环环相扣层层相嵌的Loader和DLL模块，这些模块依

背景 近期，深信服深瞻情报实验室在日常的威胁狩猎活动中，发现多个来源为白俄罗斯，俄罗斯的压缩包文件。经过分析发现这些压缩包文件均为精心构造的，利用WinRAR漏洞(CVE-2023-38831)进行恶意攻击的样本。 分析 攻击者向目标发送钓鱼邮件，邮件带有漏洞利用的压缩包附件，当目标用户使用存在漏洞的WinRAR应用程序打开压缩包，并点击其中的PDF文件时，压缩包内的恶意代码将会执行。该恶意代码为

AhnLab 安全紧急响应中心 (ASEC) 发现通过电子邮件伪装成工资单的 Remcos 远程控制恶意软件的传播。 已确认的 Remcos RAT 恶意软件是通过电子邮件主题行“这是工资转移确认证书”欺骗收件人来分发的，如图 1 所示。在附加的cab压缩文件中，附加了一个伪装成PDF文件图标的EXE文件（Remcos RAT），如图2所示。 【图1】钓鱼邮件正文 【图2】附带的cab压缩文件内的

近期，火绒威胁情报系统监测到有黑客团伙针对金融行业进行钓鱼攻击。用户点击钓鱼文件后，其会下载多个文件进行互相关联，随后黑客可以远程控制受害者电脑。不仅如此，该病毒还使用包括 "白加黑"，"加壳"，"代码混淆" 在内的多种方式对抗杀软查杀。目前，火绒安全产品可对上述病毒进行拦截查杀，请用户及时更新病毒库以进行防御。 火绒查杀图 该病毒样本格式为CHM，被运行后会释放恶意js代码，用于从内部加载.NE

概述 天际友盟近几个月来发现大量钓鱼网站伪装成各类应用软件官网诱导国内用户下载恶意软件。这些钓鱼网站种类繁多，涉及办公软件、支付平台、游戏、短信验证平台等多类网站。通过分析，我们发现其中大量中文TG（Telegram）钓鱼站、以及一些涉及短信验证服务的网站如PaaSoo等传播同一类型的SiMayRAT远控木马新变种。SiMayRAT恶意软件家族从2022年开始出现，其功能包括远程控制、键盘记录、屏

介绍 在过去的几个月里，Check Point Research 一直在跟踪“Stayin' Alive”活动，这是一项至少自 2021 年以来一直活跃的持续活动。该活动在亚洲开展，主要针对电信行业以及政府组织。 “Stayin' Alive”活动主要由下载程序和加载程序组成，其中一些被用作针对知名亚洲组织的初始感染媒介。第一个被发现的下载器名为 CurKeep，目标是越南、乌兹别克斯坦和哈萨克斯

严重性 高的 分析总结 Shuckworm APT（又名 Actinium、Armageddon、Primitive Bear、Gamaredon 和 Trident Ursa）是俄罗斯支持的高级持续威胁 (APT)，至少自 2013 年以来一直在运作。众所周知，这个网络间谍组织的目标是政府、军队、和其他高价值目标，主要位于乌克兰，并与多个高级持续威胁 (APT) 活动有关。该APT的主要目标是利