E周注意到-安全威胁情报（2022.5.14~5.20）

4.UpdateAgent蓄意应用软件种系统性

UpdateAgent是一种蓄意应用软件特赦器，可有利于广告应用软件等第二收尾有效负载的发给。科学研究执法人员最近辨认出了UpdateAgent蓄意应用软件特赦器的变更，这些变更主要集当中在用 Swift 编纂的原先可督导副本上，可督导副本与伺服器建立联系以受益要督导的 bash CGI。

参看客户端

5.接收者透过蓄意程序预定义的HTML副本下线Agent Tesla

据悉，科学研究执法人员辨认出了接收者透过蓄意程序预定义的HTML帮助副本下线Agent Tesla的蓄意户内外活动。Agent Tesla可以从被害者的集成电路当中伪造敏感资讯，并通过 FTP、SMTP 或 HTTP 将伪造到的资讯发送给接收者。

参看客户端

6.RedLine Stealer通过YouTube摄像机传布

2022 年 4 同月，科学研究执法人员在 YouTube上辨认出了一个原先的 RedLine Stealer 户内外活动。蓄意应用软件通过 YouTube 摄像机传布，诱使被害者完整版事实bot以系统会卖给Binance NFT Mystery Box。所有摄像机都朝向同一个 GitHub URL，完整版一个叫作“ BinanceNFT.bot v.1.3.zip ”的副本，读取ZIP副本后可以给与包的RedLine样品（“ BinanceNFT.bot v.1.3.exe ”）和一个 Microsoft Visual C++ Redistributable 装设流程（“ VC_redist.x86.exe ”）。

参看客户端

7.XorDdos水瓶的突袭户内外活动持续上升254%

在过去的6个同月当中，Linux水瓶XorDdos的突袭户内外活动持续上升了254%。XorDdos于2014年首次被辨认出，该蓄意应用软件运应用于了多种绕过机制和保持稳定适度的策略，使其容易被清除。在同类型的户内外活动当中，XorDdos还通过用空元组覆盖敏感副本来隐藏蓄意户内外活动以防止被种系统性。此内外，除了发起DDoS突袭内外，XorDdos还被用来装设其它蓄意应用软件，如Tsunami上锁。

参看客户端

热点事件危害机密文件

1.北朝鲜IT执法人员骗自由职业者，以受益对美国子公司的访问职权

美国政府提醒称，北朝鲜 (DPRK) 正试图派遣其 IT 员工在世界各地的子公司当中取得自由职业，以取得应用于有利于的网络侵略的特权访问职权。这些员工运应用于编造的副本或伪造的履历来将自己编造成美国或非北朝鲜的远程工作执法人员，以避免美国和联合国对默许北朝鲜政权的个人和的组织的经济制裁。

参看客户端

诈骗专题

1.美国美利坚合众国调查局将Thanos和Jigsaw诈骗应用软件与法国内外科医生建立联系一起

5同月16日，美国美利坚合众国调查局回应，享有法国和巴拉圭居留的 55 岁肺炎内外科医生莫伊塞斯·路易斯·扎加拉·卡特 (Zagala) ，是Jigsaw 和 Thanos诈骗应用软件的创始者。Zagala不仅创始并向匿名销售诈骗应用软件产品，还但会培训匿名如何运应用于蓄意应用软件。如果罪名成立，Zagala 将因企图侵略集成电路而遭遇最多五年的监禁。

参看客户端

2.澳洲P-培训子公司扬言LockBit诈骗应用软件突袭

5同月11日，澳洲P-培训子公司Top Aces回应从未扬言致诈骗应用软件突袭。Top Aces总公司设在澳洲蒙特利尔市，自封其享有“全球数量较大的私营P-”。Top Aces子公司目前从未浮现在 LockBit 诈骗应用软件的组织的泄密网站上。LockBit诈骗软的组织将5同月15日设为先前有效期限，如未缴交赎金，则将内外泄其伪造的 44GB 样品。

参看客户端

车也从业执法人员危害机密文件

1.针对柏林车也公司和制造商的资讯伪造户内外活动

据悉，科学研究执法人员揭发了四人针对柏林企业的突袭户内外活动，其主要尽可能是车也公司，旨在部署各种类型的资讯伪造蓄意应用软件。接收者运应用于了旨在模仿现有柏林车也公司和制造商的基础设施，在的网络潜水因特网当中运应用于了ISO磁盘映像存档作为可用，其当中举例来说HTA副本，如果打开这些HTA副本，就但会完整版并督导各种资讯伪造蓄意应用软件以细菌感染被害者。

参看客户端

蓄意户内外活动危害机密文件

1.匿影黑帮突袭户内外活动原先变化

匿影为2019年3同月揭发的一个突袭黑帮，该黑帮酷爱运应用于为政府（图床、网盘等）存放其突袭载重以增加被防火墙回击的几率。同类型，该后裔活跃趋势显著增加且其突袭单链路再一次有了原先的变化。涉及后裔持久项完整版督导的载重动态变化借助于动态下发不同突袭的技能，该后裔有如下特点：

1. 酷爱透过破解流程、完整版器、触发工具等同步进行传布；

2. 透过永恒之橙防火墙+弱；也爆破同步进行横向扩散；

3. 每个失陷主机都被创始无副本持久项(计划任务/WMI)定时完整版督导蓄意载重。

参看客户端

2.接收者以摩尔多瓦政局为诱饵突袭柏林浏览器

一个未知的接收者正试图以对摩尔多瓦政局热衷的柏林浏览器为尽可能，运应用于可选 PowerShell RAT（远程访问水瓶）细菌感染并伪造被害者样品。户内外活动当中运应用于了内外表像黑森-符腾堡（柏林东部美利坚合众国的州）Facebook的行骗网站作为诱饵，声称提供者有关摩尔多瓦当前危害情况的最原先资讯，副本实际上装设默许远程军令督导和副本操作的用PowerShell编纂的可选RAT。

参看客户端

3.接收者通过DISCORD跨平台发给原先的SYK CrypterSSL器

接收者正试图运应用于 Discord 作为突袭单链的一大多，发给原先的SYK Crypter蓄意应用软件并伪造单张。突袭单链仅限于两个主要大多；一个 .NET 存储器DNetLoader，和一个.NETSSL器SYK Crypter。SYK CrypterSSL器可以提供者多种蓄意应用软件后裔，例如 AsyncRAT、njRAT、QuasarRAT、WarzoneRAT、NanoCore RAT 和 RedLine Stealer。

参看客户端

4.的网络潜水户内外活动提供者三种无副本蓄意应用软件

科学研究执法人员猎捕了一个的网络潜水户内外活动，该户内外活动将三个无副本蓄意应用软件传送到被害者的设备上。这三种无副本蓄意应用软件为AveMariaRAT、BitRAT、PandoraHVNC，一旦督导，就能够从被害者设备伪造敏感资讯。

参看客户端

突袭黑帮危害机密文件

1.Wizard Spider的网络犯罪黑帮的内部营运种系统性

5同月16日，科学研究执法人员引起争议了一个叫作“Wizard Spider”的的网络犯罪的组织的内部营运方在结构上设计将，揭示了其的组织在结构上和动机。Wizard Spider俗称Gold Blackburn，主要突袭尽可能为欧陆和美国的企业，该的组织与TrickBot 梦魇的网络的运营有关。

参看客户端

2.Operation Dragon Breath：针对从业执法人员的降维压制

金眼犬（ APT-Q-27）是一个针对在东南亚从事、犬推涉及执法人员以及海内外华人群体的匿名黑帮，其业务部门包含远控、挖矿、DDOS和容量涉及。样品主要在Telegram群组当中同步进行传布，样品免杀功效好，有些诱饵针对性强，且富于诱惑性。5同月16日，科学研究执法人员发布了金眼犬原先户内外活动的种系统性份文件。

在两年的水坑户内外活动当中，APT-Q-27运应用于了.net、c++、golang、delphi等主流语言开发计划蓄意应用软件，在结构上上免杀技术水平较高，体现出较高的战术素养。科学研究执法人员认为在APT-Q-27之上存在着一个数量更大、技术水平极低的集团，该集团执法人员众多，且流动性较少，目前不能证据证明与其他的组织密切彼此间存在关联，因此暂且将其叫作为Miuuti Group。

参看客户端

高级危害机密文件

1.摩尔多瓦CERT-UA提醒与Gamaredon APT涉及的突袭

摩尔多瓦集成电路应急响应小组（CERT-UA）份文件了一项的网络潜水户内外活动，其趣味为“On revenge in Kherson!（在日托米尔复仇）”。户内外活动当中举例来说“Plan Kherson.htm”可用，HTM副本将解码并创始一个叫作“Herson.rar”的档案，其当中举例来说一个.lnk副本。双击客户端副本后，但会存储并督导HTA副本“precarous.xml”，从而创始并督导副本“desktop.txt”和“user.txt”。

在突袭单链的先前收尾，将在被害者的集成电路上完整版并督导GammaLoad.PS1_v2蓄意应用软件。摩尔多瓦政府专业人士将此次突袭归因于与俄罗斯有关的Armageddon APT的组织（UAC-0010，俗称Gamaredon、Primitive Bear、Armageddon、Winterflounder或Iron Tilden）。

参看客户端

2.Gamaredon的组织的的网络踪迹

Gamaredon的组织俗称Primitive Bear、Shuckworm和ACTINIUM，是设在俄罗斯的高级适度危害的组织 (APT)，其户内外活动雏形可以追溯2013年。此前，GamaredonDNS主要由REG[.]RU注册，而后注册人因特网逐渐发生了变化。最近的WHOIS记录当中的域创始迟于为2022 年 3 同月。参看副本类型，科学研究执法人员辨认出Gamaredon的组织平常透过带有宏的蓄意文档。此内外，该的组织还运应用于了Pterodo可选上锁。

参看客户端

3.Operation RestyLink：针对厂家的 APT 户内外活动

2022 年 4 同月当中旬，科学研究执法人员判读到四人针对厂家的APT户内外活动。接收者发给快艇在结构上设计的网络潜水因特网，一旦浏览器双击其当中的 URL，就但会从接收者操作的伺服器完整版一个 ZIP 副本。督导 ZIP 副本当中举例来说的 LNK 副本后，但会运应用于Windows军令从伺服器完整版一个 DOT 副本，并将其放置在 Microsoft Word 重启副本夹当中。在此收尾，但会显示诱饵 PDF 副本以众多浏览器同样。

参看客户端

4.Lazarus的组织透过Log4Shell防火墙针对韩国尽可能

Apache Log4j 2 防火墙 (CVE-2021-44228) 是 Log4j 应用软件当中的远程预定义督导 (RCE) 防火墙。科学研究执法人员推论，Lazarus的组织在其突袭户内外活动当中透过了Log4j防火墙 (CVE-2021-44228)，以传布NukeSped蓄意应用软件。NukeSped 是一种上锁蓄意应用软件，Lazarus的组织在此次突袭运应用于的是 NukeSped var之一。

参看客户端

5.APT29的组织不当合法性应用软件突袭欧陆尽可能

Cozy Bear的组织俗称Nobelium、APT29、The Dukes，是一个俄罗斯APT的组织，主要针对东西方政府和涉及的组织，尤其关注政府、驻内外、政治和研究中心机构。科学研究执法人员种系统性了几个与Cozy Bear涉及的快艇在结构上设计的网络潜水户内外活动，这些户内外活动通过单张应用软件（如Adobe 套件）和合法性的 Web客户服务（如Dropbox）作为军令和支配(C&C) 的通信系统表现形在结构上设计，以规避系统会种系统性应用软件的检测。

参看客户端

6.Lyceum的组织针对高技术笔记本电脑从业执法人员突袭户内外活动的详细种系统性

Lyceum是一个很少被引起争议的危害的组织，在差不多的几次突袭揭发当中，主要以当中亚和马达加斯加为主要尽可能。该的组织的户内外活动雏形源于2018年4同月，因为突袭当中亚石油和油气、电信子公司而逐渐被辨认出。科学研究执法人员辨认出，Lyceum在其最近的户内外活动当中针对摩洛哥同步进行了集当中的资讯伪造，且Lyceum与APT34等伊朗危害的组织具有移动性同源。

参看客户端

7.APT-C-24蓝鸟最原先突袭户内外活动简介

科学研究执法人员猎捕了四人前段特殊的突袭户内外活动事件。该突袭户内外活动由APT-C-24（蓝鸟SideWinder）的组织发起，一改往日的突袭前提，运应用于了全原先的突袭方在结构上设计将和流程。在这次突袭户内外活动当中，因为应用软件版本可能，避免按照出现异常预定义督导直觉无法出现异常完成突袭户内外活动，却是是蓝鸟APT的组织在预定义的测试生态系统上并未完全与当内外文生态系统实时。

蓝鸟的组织在本次突袭户内外活动围绕FileSyncShell.dll借助于了前期的督导流程，运应用于蓄意流程更换FileSyncShell.dll，以DLL内外侧存储的方在结构上设计将通过explorer.exe来重启FileSyncShell.dll，从而借助于突袭流程。

参看客户端

3年，美国近200数万人资讯扬言致内外泄

2022.05.20

最原先动作！欧美发布联合申明，的网络彼此间更加的关系

2022.05.19

匿名瞄准Tatsu WordPress插件防火墙，发起数百万次突袭

2022.05.19

注：本文由E安全程序预定义报道，转贴商量建立联系许可证并标明来源。