乌克兰计算机应急响应小组 (CERT-UA) 发现了新的网络钓鱼尝试，这些尝试归因于被追踪为世界末日 (Gamaredon) 的俄罗斯威胁组织。恶意电子邮件试图以乌克兰战争为主题的诱饵来欺骗收件人，并用以间谍活动为重点的恶意软件感染目标系统。CERT-UA 已经确定了两个不同的案例，一个针对乌克兰组织，另一个针对欧盟的政府机构。谁是世界末日世界末日是俄罗斯国家支持的威胁行为者，至少自 2014 年以来一直以乌克兰为目标，被认为是 FSB（俄罗斯联邦安全局）的一部分。根据乌克兰特勤局2021 年 11 月发布的详细技术报告，世界末日已对该国 1,500

Conti 勒索软件运营商一年多来一直是一种威胁，在过去几个月中，对医疗保健提供者、911 系统和许多其他关键组织的攻击都与 Conti 关联公司有关。尽管该组织的内部剧本几周前在网上泄露，但 Conti 的攻击并没有放缓，FBI、CISA。和 NSA 正在警告企业，该组织的威胁仍在继续。Conti是近年来兴起的众多勒索软件即服务 (RaaS) 业务之一，其附属公司已表示愿意以几乎任何类型的组织为目标。今年早些时候，Conti 的一家附属公司破坏了爱尔兰的卫生服务执行机构，拆除了该服务的大部分基础设施，并迫使取消预约和大规模的护理延误。爱尔兰警方后来

自过去十年以来，勒索软件一直是网络攻击期间部署的最常见的恶意软件类型之一。但是，如果有人要求标志着勒索软件突然激增的一年，那就是2020年。根据最近的一份报告，在过去的一年中（从2019年下半年到2020年上半年），已经正式报告了超过45个国家的500多次成功的勒索软件攻击。这意味着全球每天都有不止一次勒索软件攻击。专家认为，如果报告所有攻击事件，这个数字甚至可能翻倍。在此期间，勒索软件攻击造成的经济损失已超过10亿美元（1,005,186,000美元），未来的预测表明，到2021年，这一数字将增长20倍，达到200亿美元。那么，您如何

背景：Qakbot银行木马是当前威胁形势下的顶级恶意软件家族之一。它在大规模垃圾邮件活动中分发，窃取机密信息，还提供了勒索软件运营商的访问权限。预防和检测到这种威胁已成为许多组织的首要任务，因为成功感染会导致代价高昂的网络事件。在此博客中，我旨在共享由开放源代码提供的有关此恶意软件的更多信息，并重点介绍用于应对这种威胁的情报收集过程。Qakbot（也称为Quakbot或Qbot）自2008年以来一直存在。它以全球各金融机构的客户为目标。尽管Qbot的目标基本上保持不变-旨在窃取银行详细信息并实现电汇欺诈-但其传播方式已在各种活动

艾斯文件病毒什么是艾斯病毒？Iiss被称为一种勒索软件感染，导致对计算机操作系统和个人数据的破坏。该恶意软件已在针对全球用户的积极活动中发布。安全研究人员已报告该病毒是臭名昭著的STOP勒索软件的一种。它似乎是另一个变种，旨在对可能存储有价值的个人信息的文件进行编码。它的名称来自该病毒附加到其锁定的每个文件的恶意扩展名.iiss。如何识别Iiss Ransomware病毒？攻击结束后，Iiss勒索软件病毒对其受害者可见。最初，它会诱使人们在自己的机器上运行它。然后，它执行了一系列恶意活动，这些恶意活动导致计算机操作系统及其上存

Mandiant看到涉及Microsoft 365（M365）和Azure Active Directory（Azure AD）的事件有所增加。这些事件大多数是网络钓鱼电子邮件强迫用户输入用于访问M365的凭据到网络钓鱼站点的结果。其他事件是由于对M365租户进行了密码喷洒，密码填充或简单的蛮力尝试导致的。在几乎所有这些事件中，用户或帐户都不受多因素身份验证（MFA）的保护。这些机会主义攻击肯定是M365和Azure AD折衷的最常见形式，并且通常是建立持久性的初始媒介。在事件响应（IR）参与和主动云评估中，我们经常被问到：Mandiant针对M365和Azure AD还会遇到哪些其他类型的攻

Rampant Kitten威胁小组针对电报凭证等进行的广泛监视活动的一部分，已经发现了一种新的Android恶意软件菌株。研究人员发现威胁组织发起了针对受害者的个人设备数据，浏览器凭据和电报消息应用程序文件的监视运动。该小组武器库中一个值得注意的工具是一个Android恶意软件，该恶意软件收集发送到设备的所有两因素身份验证（2FA）安全代码，嗅探Telegram凭据并发起Google帐户网络钓鱼攻击。研究人员发现，这个名为“ Rampant Kitten”的威胁组织以监视行动为目标，至少针对伊朗实体长达六年之久。它专门针对伊朗少数民族和反政权组织，包括

迷宫勒索软件操作者采用了Ragnar Locker团伙先前使用的策略；从虚拟机中加密计算机。虚拟机会将主机驱动器安装为远程共享，然后在虚拟机中运行勒索软件以加密共享文件。由于虚拟机未运行任何安全软件，并且正在安装主机的驱动器，因此主机的安全软件无法检测到恶意软件并将其阻止。与Ragnar Locker先前的攻击相比，这在磁盘大小方面是一种昂贵的攻击方法。由于Ragnar Locker的VM攻击使用Windows XP，因此总大小仅为404 MB。由于Maze使用Windows 7，因此占用空间大得多，总共为2.6 GB。通知本报告按“原样”提供，仅供参考。国土安全部（DH

什么是Lokibot恶意软件？Lokibot，也称为Loki-bot或Loki bot，是一种信息窃取恶意软件，可从最广泛使用的Web浏览器，FTP，电子邮件客户端以及被感染计算机上安装的一百多种软件工具收集数据。它是在前苏联国家之一开发的。它是由创作者发布的销售公告于2015年5月3日首次发现的，该恶意软件至今仍处于活动状态。Lokibot的一般描述Lokibot间谍软件的最初版本最初是由称为“ lokistov”或“ Carter”的黑客创建和出售的，最初售价高达400美元。但是，不久之后，几乎完全相同的恶意软件开始出现在黑客论坛上，许多卖家的价格仅为80美元。据认为

执行摘要在2020年7月6日和7月9日，我们观察到与对中东和北非的两个国有组织的攻击有关的文件，这些组织最终安装并运行了Thanos勒索软件的变体。Thanos变体创建了一个文本文件，该文件显示赎金消息，要求受害者将“ 20,000 $”转入指定的比特币钱包以恢复系统上的文件。我们无法了解这些攻击的总体影响，也无法了解威胁行为者是否成功从受害者那里获得了付款。图1.加密文件后显示的Thanos赎金记录。勒索软件还配置为覆盖主启动记录（MBR），该文件是计算机硬盘上加载的重要组件，计算机要找到并加载操作系统，该组件便是该组件。勒索软件会