Rampant Kitten威胁小组针对电报凭证等进行的广泛监视活动的一部分，已经发现了一种新的Android恶意软件菌株。研究人员发现威胁组织发起了针对受害者的个人设备数据，浏览器凭据和电报消息应用程序文件的监视运动。该小组武器库中一个值得注意的工具是一个Android恶意软件，该恶意软件收集发送到设备的所有两因素身份验证（2FA）安全代码，嗅探Telegram凭据并发起Google帐户网络钓鱼攻击。研究人员发现，这个名为“ Rampant Kitten”的威胁组织以监视行动为目标，至少针对伊朗实体长达六年之久。它专门针对伊朗少数民族和反政权组织，包括

迷宫勒索软件操作者采用了Ragnar Locker团伙先前使用的策略；从虚拟机中加密计算机。虚拟机会将主机驱动器安装为远程共享，然后在虚拟机中运行勒索软件以加密共享文件。由于虚拟机未运行任何安全软件，并且正在安装主机的驱动器，因此主机的安全软件无法检测到恶意软件并将其阻止。与Ragnar Locker先前的攻击相比，这在磁盘大小方面是一种昂贵的攻击方法。由于Ragnar Locker的VM攻击使用Windows XP，因此总大小仅为404 MB。由于Maze使用Windows 7，因此占用空间大得多，总共为2.6 GB。通知本报告按“原样”提供，仅供参考。国土安全部（DH

什么是Lokibot恶意软件？Lokibot，也称为Loki-bot或Loki bot，是一种信息窃取恶意软件，可从最广泛使用的Web浏览器，FTP，电子邮件客户端以及被感染计算机上安装的一百多种软件工具收集数据。它是在前苏联国家之一开发的。它是由创作者发布的销售公告于2015年5月3日首次发现的，该恶意软件至今仍处于活动状态。Lokibot的一般描述Lokibot间谍软件的最初版本最初是由称为“ lokistov”或“ Carter”的黑客创建和出售的，最初售价高达400美元。但是，不久之后，几乎完全相同的恶意软件开始出现在黑客论坛上，许多卖家的价格仅为80美元。据认为

执行摘要在2020年7月6日和7月9日，我们观察到与对中东和北非的两个国有组织的攻击有关的文件，这些组织最终安装并运行了Thanos勒索软件的变体。Thanos变体创建了一个文本文件，该文件显示赎金消息，要求受害者将“ 20,000 $”转入指定的比特币钱包以恢复系统上的文件。我们无法了解这些攻击的总体影响，也无法了解威胁行为者是否成功从受害者那里获得了付款。图1.加密文件后显示的Thanos赎金记录。勒索软件还配置为覆盖主启动记录（MBR），该文件是计算机硬盘上加载的重要组件，计算机要找到并加载操作系统，该组件便是该组件。勒索软件会

概述近日，奇安信病毒响应中心在日常黑产挖掘过程中发现一种利用支付宝支付和微信支付进行诱导诈骗的新型黑产项目，在地下论坛中被称为“暗雷”和“明雷”。

【文章摘要】腾讯安全威胁情报中心检测到ID为LaoXinWon的勒索病毒攻击者在国内活跃，攻击者疑通过弱口令爆破方式投递勒索病毒。该攻击者同时携带2款勒索病毒样本，一款为C#编写的勒索模块，加密添加.aes扩展后缀。另一款为Delphi编写的Scarab勒索模块，加密添加.lampar扩展后缀。腾讯电脑管家可查杀拦截此病毒。一、概述腾讯安全威胁情报中心检测到ID为LaoXinWon的勒索病毒攻击者在国内活跃，攻击者疑通过弱口令爆破方式投递勒索病毒。不同以往的单一家族勒索攻击案例，经溯源后我们发现该攻击者同时携带2款勒索病毒样本，一款为C#编写的勒

【文章摘要】腾讯洋葱反入侵系统检测发现PyPI官方仓库被恶意上传了request钓鱼包，攻击者通过钓鱼包实施窃取用户敏感信息及数字货币密钥、种植持久化后门、远程控制等一系列攻击活动。腾讯安全应急响应中心（TSRC）建议各开源镜像站以及对开源镜像站有依赖的公司尽快自查处理，确保清除恶意库，保障用户系统安全。一、概述8月5日，腾讯洋葱反入侵系统检测发现PyPI官方仓库被恶意上传了request钓鱼包，攻击者通过钓鱼包实施窃取用户敏感信息及数字货币密钥、种植持久化后门、远程控制等一系列攻击活动。腾讯安全威胁情报中心回溯本次软件供

Zix / AppRiver威胁团队对Phorphiex / Trik僵尸网络及其广泛的攻击并不陌生。在6月4日（星期四），我们开始捕获由同一僵尸网络分发的活动，该活动反映了我们在去年4月防御和分析的僵尸网络所使用的技术，战术和程序。但是，此活动提供了新的Avaddon勒索软件，该软件转换为Abaddon，意味着厄运或破坏。这些消息的主题非常简单。所有这些都包含各种主题行，试图诱使收件人打开“照片”以及电子邮件正文中的眨眼表情符号。该活动的显示名称似乎全是男性发件人姓名，与去年在该活动中观察到的女性姓名不同。与去年相似，攻击者再次使用四个数字

7月2日，我们找到了一个带有嵌入式文件的存档文件，该文件伪装成来自印度政府。此文件使用模板注入来删除加载了Cobalt Strike变体的恶意模板。一天后，同一威胁参与者更改了模板，并放下了一个名为MgBot的加载程序，通过使用Windows上的应用程序管理（AppMgmt）服务来执行并注入其最终有效负载。7月5日，我们观察到另一个带有嵌入式文件的存档文件，该文件借用了英国首相鲍里斯·约翰逊（Boris Johnson）关于香港的声明。本文档使用相同的TTP来丢弃和执行相同的有效负载。考虑到印度和中国之间的持续紧张局势以及香港的新安全法，我们认为

在该博客的第一部分中，我完成了对新发现的Rootnik恶意软件变体的本机层的分析，并获得了解密后的真实DEX文件。在第二部分中，我们将继续进行分析。看解密的真实DEX文件解密的DEX文件的条目是demo.outerappshell.OuterShellApp类。类OuterShellApp的定义如下所示。图1.类demo.outerappshell.OuterShellApp我们将首先分析函数attachBaseContext（）。以下是LinkInnerShell类中的函数aBC（）。图2.类LinkInnerShell中的函数aBC（）该程序使用DexClassLoader动态加载DEX文件并在demo.innerappshell.LoadTargetApp类中执行load（）函数。函数m