APT-C-35 肚脑虫 APT-C-35（肚脑虫）组织，又称Donot，是一个针对巴基斯坦、斯里兰卡等印度周边国家政府机构等领域进行网络间谍活动，以窃取敏感信息为主的攻击组织。 在对该组织追踪溯源的过程中，我们通过360安全卫士检测到有一批针对巴基斯坦地区的攻击活动，通过对其的跟踪、分析和研判，初步将这次的攻击者归属于肚脑虫。同时在挖掘中，我们还发现了APT-C-35（肚脑虫）与APT-C-09

攻击描述 山石网科情报中心近期获取了一批挖矿恶意样本。其在受害主机上执行后除了挖矿还会进行漏洞利用、清除其他挖矿进程等活动。分析对比发现这些样本疑似Watchdog挖矿活动脚本。Watchdog攻击团伙最早于2019年被披露，目前仍在活跃中。其常用攻击方式是利用redis漏洞入侵受害主机，随后进行挖矿、漏洞利用等恶意活动。 简要分析 样本为一个PowerShell脚本。其中定义了多个恶意程序与脚本

执行摘要 过去几个月，中国和菲律宾之间的紧张局势急剧升级。8月初，一艘中国海警船向一艘正在南沙群岛有争议的仁爱礁执行补给任务的菲律宾船只发射水炮。此后，菲律宾宣布与美国联合巡逻，与澳大利亚举行海军演习。据报道，菲律宾海岸警卫队已终止与中国海岸警卫队建立的热线电话，并采取行动拆除中国在有争议的黄岩岛附近设置的障碍。 与这些现实世界事件同时发生，Unit 42 的研究人员在 8 月份观察到了三场“St

AhnLab 安全应急响应中心 (ASEC) 在监控 Andariel 威胁组织最近的攻击时，发现了一个攻击案例，其中 Andariel 组织被认为利用 Apache ActiveMQ 远程代码执行漏洞 (CVE-2023-46604) 安装恶意软件。 据了解，Andariel 威胁组织主要针对国内公司和机构，与 Lazarus 威胁组织或 Lazarus 组织的子组织合作。针对国内目标的攻击首次

Cisco Talos 最近观察到 8Base 进行的活动有所增加，该勒索软件组织使用Phobos 勒索软件的变体和其他公开可用的工具来促进其操作。 该组织的大多数 Phobos 变体都是由后门木马SmokeLoader分发的。这种商品加载器通常在部署时丢弃或下载额外的有效负载。然而，在 8Base 活动中，它的加密有效负载中嵌入了勒索软件组件，然后解密并加载到 SmokeLoader 进程的内存

APT-C-52（焰魔蛇）组织是一个来自南亚的APT组织，主要针对巴基斯坦进行有组织、有计划、针对性的网络攻击行动。该组织攻击活动开始于2021年初，至今仍处于活跃状态。我们获取攻击者服务器泄露的部分数据，受害者主要为巴基斯坦军事人员。 APT-C-52（焰魔蛇）组织主要通过Google Play应用商店传播恶意应用，首先利用Facebook获取攻击目标联系方式，然后通过WhatsApp或短信等社

仅2023年10月28日至11月1日这5天时间，受到攻击的企业达到了数十家，触发告警近万次。 1、概述 近期，微步情报局监测发现一个针对政府、能源和教育等行业发起 “爆发式”攻击的黑产团伙：仅2023年10月28日至11月1日这5天时间，受到攻击的企业达到了数十家，触发告警近万次。经过对该团伙历史攻击行为和资产特征进行分析，结合各维度特征，微步将其命名为“山猫”。关于该事件当前的分析结论如下： 经

恶意文件名称： AsyncRAT 威胁类型： 远控木马 简单描述： AsyncRAT是一款由C#编写的远控工具，拥有反虚拟化、文件/进程管理、持久化、信息窃取、横向移动等威胁性极高的功能，达到任意操控目标主机的目的。 恶意文件描述 近期，深盾实验室在运营工作中发现一批通过邮件劫持进行传播的JS恶意样本，该类样本中充斥大量的垃圾信息并进行混淆以逃避防御引擎检测，截止发文时间，VT上仅有两家引擎检出。

介绍 Gamaredon，又称为 Primitive Bear、ACTINIUM 和 Shuckworm，主要目标是乌克兰地区。一般情况下，研究人员很难发现俄罗斯间谍活动的证据，但近期的Gamaredon却明显可疑，其在以乌克兰地区为主要目标进行了大规模的攻击活动。乌克兰安全局 (SSU) 确认 Gamaredon的人员是俄罗斯联邦安全局(FSB)的官员。 Gamaredon组织从事大规模网络活动

ASEC（AhnLab 安全紧急响应中心）最近确认 Phobos 勒索软件正在积极传播。Phobos 勒索软件是一种已知的勒索软件变种，与 Dharma 和 CrySis 勒索软件在技术和操作上有相似之处。它们普遍具有利用暴露在外部作为攻击媒介的安全性较弱的RDP服务进行分发的特点，因此，利用安全性较弱的RDP作为初始访问的勒索软件的分发现象非常频繁地发生，因此管理员必须特别小心需要。 1.Pho

AhnLab 安全紧急响应中心 (ASEC) 确认存在包含恶意 URL 的 PDF 文件的分发。当我们检查与 PDF 文件相关的域时，我们可以看到类似的 PDF 文件以 PDF 的形式分发，伪装成特定游戏或程序的破解文件下载。已确认流通的 PDF 文件的部分列表如下。 Far-Cry-3-Multiplayer-Crack-Fix.pdf STDISK-Activator-Free-Downloa

攻击描述 近期国外攻击者在出售一款名为“BunnyLoader”的恶意软件即服务（Malware-as-a-Service, MaaS）。山石网科情报中心获取了一批恶意样本，分析发现BunnyLoader可窃取包括加密货币钱包地址在内的敏感信息，以及下载执行其他恶意负载，并且攻击者在不断更新提供新的恶意功能。 简要分析 恶意样本启动后首先修改注册表，在HKEY_LOCAL_MACHINESoftw

一、攻击活动分析   在日常的狩猎活动中我们发现APT-C-36组织近期活动中尝试在其惯用的PDF鱼叉钓鱼攻击流中添加Amadey僵尸网络木马。Amadey僵尸网络木马是一个2018年10月左右出现的在俄语黑客论坛上出售的模块化僵尸网络木马，具备内网横移、信息窃取、远程指令执行、脚本执行、DDos攻击等能力。 1.攻击流程分析 此次活动中使用Amadey僵尸网络木马的攻击流。 2.载荷投递分析 诱

近期，火绒安全团队发现黑客正通过 MSSQL 暴破进行大规模网络攻击。一旦黑客攻击成功，其不仅可以远控用户电脑进行任意操作，还可以下发 Mallox 勒索和挖矿软件，并且这些软件都经过了多层混淆加密，进一步增加了杀毒软件的检测难度，对用户构成较大的威胁。目前，火绒安全产品可对上述病毒进行拦截查杀，请用户及时更新病毒库以进行防御。 查杀图 黑客团伙对目标 MSSQL 数据库暴破成功后，会下发 Mal

一、概 述 近期，启明星辰ADLab捕获到一起以某摄像头公司为目标的攻击活动，该攻击活动所使用的攻击载荷异常复杂，远超寻常攻击。为了查明该攻击来源及其载荷的技术实现，我们对其进行了深入的技术分析和溯源追踪分析。通过分析，我们发现该攻击在多个维度上都采用了高强度的对抗手段以防止被逆向工程，同时采用了多模块多阶段的内嵌式套娃模式，其中包含多达10个环环相扣层层相嵌的Loader和DLL模块，这些模块依

严重性 高的 分析总结 Lazarus APT 是朝鲜最老练的威胁组织之一，至少从 2009 年开始运作。最初，他们主要针对韩国。它最近将重点转向全球目标，并开始发起攻击以获取金钱利益。该攻击者与韩国、美国、日本和其他一些国家的袭击事件有关。Lazarus APT 被怀疑是许多不同活动的幕后黑手，包括网络间谍活动以及对金融机构、政府机构和军队的攻击。 众所周知，Lazarus 组织在其行动中使用各

1、简述 近期，接到大量Linux系统用户反馈，电脑中的文件被勒索软件加密，被加密后的文件后缀均为.L0CK3D。经分析，这些用户感染的均是隶属于Cerber家族的勒索软件。本轮攻击主要是通过Confluence 数据中心和服务器中的不当授权漏洞进行传播（漏洞编号为CVE-2023-22518）。受该漏洞影响而遭到攻击的平台，覆盖了Linux与Windows等主流服务器操作系统。 2、 CVE-2

近期，火绒威胁情报系统检测到一种新型后门病毒伪装成常用软件，通过Google搜索引擎传播，主要针对中文用户。该病毒利用多种方式对抗杀软查杀，被运行后，黑客会立即控制受害者终端并进行任意恶意行为。目前，火绒安全产品可对上述病毒进行拦截查杀，请用户及时更新病毒库以进行防御。 以假冒"QQ音乐"为例，在Google中搜索“QQ音乐”，搜索结果的第一名就是该病毒，如下图所示： 该网站内容与QQ音乐原始官方

一、概 述 近期，启明星辰ADLab捕获到一起以某摄像头公司为目标的攻击活动，该攻击活动所使用的攻击载荷异常复杂，远超寻常攻击。为了查明该攻击来源及其载荷的技术实现，我们对其进行了深入的技术分析和溯源追踪分析。通过分析，我们发现该攻击在多个维度上都采用了高强度的对抗手段以防止被逆向工程，同时采用了多模块多阶段的内嵌式套娃模式，其中包含多达10个环环相扣层层相嵌的Loader和DLL模块，这些模块依

背景 近期，深信服深瞻情报实验室在日常的威胁狩猎活动中，发现多个来源为白俄罗斯，俄罗斯的压缩包文件。经过分析发现这些压缩包文件均为精心构造的，利用WinRAR漏洞(CVE-2023-38831)进行恶意攻击的样本。 分析 攻击者向目标发送钓鱼邮件，邮件带有漏洞利用的压缩包附件，当目标用户使用存在漏洞的WinRAR应用程序打开压缩包，并点击其中的PDF文件时，压缩包内的恶意代码将会执行。该恶意代码为