加强对电子邮件的筛选和审查措施。对未经请求的或来自不明来源的邮件保持警惕，尤其是那些附带有压缩文件的邮件。使用高级的电子邮件过滤解决方案可以帮助识别和隔离可疑邮件。2.员工培训和意识提升:

Kasablanka（卡萨布兰卡）是由思科命名的一个APT组织，攻击对象主要集中在中东、中亚以及东欧等地区。该组织开发出了LodaRAT等木马，并同时拥有Windows和Android双平台攻击能力。近期，360高级威胁研究院发现疑似该组织的钓鱼攻击活动，针对目标为纳卡地区（纳戈尔诺-卡拉巴赫），一个横在阿塞拜疆和亚美尼亚归属争议的地方，两国也常年因为争论此地爆而发冲突。本次攻击者利用携带宏的doc附件作为载体，通过层层下载的方式内存加载VenomRAT木马，从而完成信息窃取活动。

vdao.exe并执行，否则改名oleObject2.bin执行。最后将嵌入对象oleObject3.bin作为pptx文件打开显示诱饵文档。3.攻击组件分析

RAR类型RAR类型的样本均携带有恶意CHM文件，以其中之一分析说明，样本信息如下所示。MD5fa03b0248a109a86eaddba108ebfcb14文件大小311.11KB

根据360安全卫士监测，我们于2023年年初捕获到了该轮攻击活动，并关联出了肚脑虫与摩诃草之间存在一些关联。在攻击活动当天，我们发现两个巴基斯坦的受害者A和B。

通过信息挖掘，我们发现了所使用的恶意样本的源码仓库，名称为ChatApp，地址为：https://github.com/Hi*****/ChatApp，该仓库提交者为Hi***

IDos系统版本bi系统位数ar是否拥有管理员权限pc计算机名un用户名dm当前所在域av安装杀毒软件lvGetTaskContentog无而bat文件中攻击者使用base64加密

Gopher版本号等信息进行上传到配置数据中指定的C&C服务器对应目录上。测试得知C&C响应正常软件会进行http/https协议更换尝试。并选择从不同C&C服务器目录地址中请求后续载荷。于Arid

近日，国家计算机病毒应急处理中心和360公司对名为“二次约会”（SecondDate）的“间谍”软件进行了技术分析，该“间谍”软件针对基于FreeBSD、Linux、Sun

攻击者以冒充Microsoft的方式设计了诱饵文件，其目的在于诱导用户运行恶意宏代码。这些恶意宏首要任务是将内置二进制数据写入系统临时文件夹，具体路径为

意为打印带，域名主页是一家名为“汉索尔胶带”的公司主页，猜测该网站可能被Kimsuky组织攻占。接着从参数为idx=5的URL中进一步下载载荷，可以看出载荷是编码后的Powershell脚本。1.

新样本对关键的字符串比如文件名、远控指令等使用了新的编码方式，不再沿用之前base64编码或硬编码的方法，而是采用了AES加密算法对关键的字符串进行加密存放，增加了分析和查杀难度。图3

SideCopySideCopy组织自2020年被披露以来长期处于活跃之中，并主要针对印度国防、外交等部门持续发动网络攻击。近期，360高级威胁研究院发现了该组织针对印度政府部门的最新攻击行动，攻击者利用钓鱼邮件诱导下载含有恶意LNK的ZIP压缩文件，该LNK文件伪装成PDF或DOCX文件，受害者点击执行后会下载恶意代码从而开启一段复杂多阶段的攻击链，最终释放AllaKoreRAT或ReverseRAT远控组件，从而完成窃密活动。

石油管道信息向目标人员进行投递，该石油管道位于利比亚承担从利比亚Wadi

2022年9月公开威胁情报披露Lazarus组织使用武器化的TightVNC恶意软件发起攻击[1]，同时也披露了Lazarus组织使用开源项目sRDI反射加载BlindingCan恶意软件[2]。图

随同释放的PE文件为打包后的键盘记录工具。MD556ACA38D92559ED7CD1A393A90BB7D27文件名Protected01.exe文件大小1257472

0x011d6004，远大于文件本身的大小。因此在函数中对文件的音频数据块中的内容进行解析时，造成越界数据访问，访问了原本不应访问的内存区域，导致触发漏洞。在这个案例中，此漏洞在

在我们的发现中，攻击者使用了伪装成“生日祝福”信息的CHM文件作为初始载荷。当此CHM文件被受害者执行时，其内部的恶意脚本便会被加载运行。图

C1219F58EC19BFA51F4D550128482AF6C1219F58EC19BFA51F4D550128482AF68C6ED47B1E012C368B5406B39C425FA6

Credwiz.exe是一个合法的Windows文件，被拷贝到C:\ProgramData\MicrosoftSDK后当Credwiz被执行时，它会以DLL

Security收购）合作开发，可以通过远程安装、供应链攻击、中间人劫持攻击和物理接触安装等方式植入，以微软Windows服务方式驻留。所有攻击功能模块均以插件形式在内存中解密执行。2.3

基于我们捕获的攻击样本显示，攻击者主要伪装成哥伦比亚海关局、援助局、国家司法部门，对哥伦比亚的政府机构及实体公司进行攻击，部分伪装内容如下图所示：当受害者单击PDF文件的链接时，他们将被重定向到

字节)MD57b27586c4b332c5e87784c8d3e45a523该样本执行时会从地址http://k22012.c1.biz/paypal.dotm下载恶意宏模板文档（MD5:

Play上需要付费下载，其下载量超过10万。APT-C-23（双尾蝎）组织修改合法的OPlayer应用的名称和图标，并制作了相应的钓鱼网站进行载荷投递，如图1所示，钓鱼网站的证书信息如图2所示。

C:\\Users\\***\\AppData\\Local\\Temp\\wct1FDA.tmp\"该项主要是通过powershell启动MSBild.exe运行解密出的project

进行了漏洞复现与分析，并就此漏洞的触发路径和指令在沙箱云检测引擎中增加检测方案，保护用户免遭此漏洞的威胁。分析环境Windows

在我们分析钓鱼网站过程中，发现了一些或许能够证明透明部落组织真实归属的线索，现进行披露，仅供安全研究人员参考。域名注册厂商注册日期解析IPgovscholarships.inNameSilo,

腾云蛇组织的攻击活动范围主要围绕巴基斯坦、孟加拉等国，并且在2021年末开始，腾云蛇将活动范围扩大到了伊朗以及土耳其，针对这两个国家的外交人员进行了一系列攻击活动。

2021年10月期间，网络上出现了一支名为AgainstTheWest（以下简称“ATW”）的黑客组织，特别针对中国、朝鲜和俄罗斯为主要目标，实施有组织的大规模网络攻击，窃取相关受害企业和组织机构的数据和源代码等，进行公开贩卖、公开敲诈和媒体恶意炒作活动，对我国的数据安全和网络安全声誉造成了恶劣影响。这个ATW到底是何方神圣？让我们来一点点撕开他们的真实面目。

1.攻击流程分析利用伪装简历的诱饵文档进行攻击活动。通过Dropper释放CrimsonRAT对中招用户持续监控。2.载荷投递分析2.1

KBMD5676a10be289cf8978af6cdbdba536678编译时间2022-11-01该文件与上一阶段具有相同的数字签名信息，

2022年高级持续性威胁概览在经历了新冠肺炎疫情肆虐，当今世界正处在大发展大变革时期。俄乌冲突爆发、全球经济衰退加之国际间各种力量的较量，使得国际局势日益错综复杂。2022年全球高级持续性威胁（APT）形势依然严峻。全年全球网络安全厂商公开发布的APT报告累计742篇，报告中披露的攻击活动涉及APT组织141个，其中首次披露的APT组织54个，均比2021年明显增加。全球范围内APT攻击活动依然紧跟政治、经济等时事热点，攻击目标集中分布于政府、国防军工、教育、金融等行业领域。依托自身“看见”的能力，360已累计发现了51个境外APT组织，监测到5800多起针对中国的网络渗透攻击。2022年，360高级威胁研究院捕获到境外新组织：APT-C-63（沙鹰），另外在全球范围内率先监测到APT-C-06（DarkHotel）组织利用Firefox浏览器的2个在野0day漏洞（CVE-2022-26485、CVE-2022-26486）针对特定目标进行水坑攻击。这也是2022年国内唯一一家捕获APT攻击活动中利用0day漏洞的安全厂商。2022年全球APT组织利用0day漏洞展开攻击活动的增长趋势放缓，但仍处高位。2022年2月24日俄乌冲突爆发，成为全球关注的焦点。俄乌冲突期间，与俄乌冲突相关的APT攻击、大规模DDoS攻击、黑客组织网络攻击、网络信息舆论对抗等一系列网络攻击和对抗活动，将网络空间战争形态展现在了世人面前。网络空间已经成为俄乌间冲突对抗的重要战场，在军事冲突之外产生着愈发深刻的影响。2022年是我国“十四五”规划的第二年，在全面建设社会主义现代化国家新征程中，一批5G、工业互联网等新基建项目扎实推进，为数字经济发展开拓新空间、增添新动能。新基建的背后是产业、经济、政府、社会的全面数字化，而数字化安全将成为发展数字经济、建设数字中国的底座，成为新基建的安全基建。通过2022年全球高级持续性威胁态势分析看，我国数字化转型和自主可控领域的发展面临更加严峻和复杂的网络威胁形势。需要网络安全从业者保持网络空间常态实战化的状态应对网络空间的攻防对抗，不断提升我国网络安全和数据安全保护能力，保障国家网络空间安全。2022年全球典型APT组织分布2022年针对中国地区TOP10境外APT组织2022年中国地区受APT攻击影响行业分布2022年APT攻击态势总结APT攻击利用0day漏洞的攻击活动增长势头放缓，但仍处高位。2022年APT组织在0day漏洞的利用上呈现出利用0day漏洞修复不全或者0day漏洞变种发起攻击的趋势，同时需要关注APT和网络犯罪组织利用Log4j2漏洞展开的网络攻击。APT组织针对移动平台私有化武器趋势显露，2022年，针对iOS平台的攻击活动保持活跃。2022年，APT组织针对我国重点行业领域的攻击活动仍旧保持较高热度，360高级威胁研究院监测到，2022年针对中国发起的攻击活动共涉及14个APT组织，政府、教育、信息技术、科研和国防军工等15个行业领域依然是APT组织攻击活动主要的目标领域。2022年APT组织涉及挖矿勒索攻击、窃取加密货币等形式的攻击活动持续被披露，呈现不断上升的趋势。APT组织展开勒索攻击或窃取加密货币攻击活动的真实意图，既存在本身以牟利为目的，也包含利用勒索加密攻击做真实攻击目的掩护。关键威胁形势分析2022年俄乌冲突期间，APT攻击急剧增加，地缘归属东欧的APT组织异常活跃，网络攻击活动也不断上演。与此同时，APT组织利用正在进行的俄乌冲突话题作为诱饵展开的定向攻击活动不断被披露。面对传统网络安全强国在网络安全领域常态化的攻击渗透这一实际威胁，需保持网络空间常态化战时状态思维，应对网络间的攻防对抗，来保障国家网络空间安全。国与国之间的网络对抗愈演愈烈，成为了国家间对抗的重要形式。一系列网络犯罪组织逐渐将以往的“技术对抗”不断扩展到“舆论对抗”、“舆论造势”。在2022年APT组织针对我国展开的攻击活动目标中，包含我国国产化操作系统和自主软件供应商，显示出了攻击活动瞄准我国自主可控领域发展的趋势。在数字化转型进程中，网络安全威胁风险日益凸显，数字化转型面临更加复杂多样的网络威胁，网络威胁或将超越传统安全威胁，成为数字时代最大的威胁。（完整版报告请点击下方“阅读原文”查看）

工业和信息化部网络安全管理局在1月13日发布了一篇名为《关于防范钓鱼邮件攻击的网络安全风险提示》的告警文章，指出：“利用仿冒电子邮箱发起的钓鱼邮件攻击事件频发。攻击者伪装成家人朋友、工作同事、合作伙伴等，发送特定主题的电子邮件，降低用户防备心理，诱使用户点击邮件中的恶意链接或者恶意程序，可能导致计算机、手机等终端设备被窃取信息或远程控制。”看到这篇告警文章，笔者联想到前段时间

3：释放的PDF推广信息Powershell进程执行了指令后，先后打开诱饵PDF文件以及调用rundll32.exe以指定导出函数和命令行执行落地在%temp%目录下的DLL文件。图

SideCopy组织自2020年被披露以来长期处于活跃之中，并主要针对印度等南亚国家持续发动网络攻击。近期，360高级威胁研究院发现了该组织的最新攻击活动，通过对其分析发现本次攻击行动呈现出如下特点：1、反射加载的DLL会向服务器反馈程序的执行流程，即主要功能是否成功执行，若失败则反馈异常;2、恶意文件托管在谷歌云端硬盘，并且其下载链接通过谷歌邮箱传播，极具迷惑性;3、在实际行动中罕见的发现该组织使用了基于Golang语言的Windows平台木马Spark

持久化该组件在程序运行开始sleep休眠，躲避沙箱检测。获取用户环境变量，随后释放lnk文件到startmenu目录来开机启动。通过com组件创建lnk文件，伪装成常用软件迷惑用户。3.

\\v4.0.30319

世界杯是世界上最高荣誉、最高规格、最高竞技水平、最高知名度的足球比赛，与奥运会并称为全球体育两大最顶级赛事，影响力和转播覆盖率超过奥运会的全球最大体育盛事，其全球电视转播观众超过35亿。世界杯每四年举办一次，今年正好是第22届世界杯，在卡塔尔举行，于北京时间2022年11月21日开始，至12月18日结束。四年一度的世界杯，让全世界球迷狂欢，而部分网络攻击组织也会利用这个契机，进行有针对性的网络攻击。2018年APT-C-23组织就通过将攻击样本伪装成世界杯直播类应用进行网络攻击，今年我们同样发现有组织将攻击样本伪装成世界杯相关应用针对阿拉伯语用户发起攻击，截止到目前（2022年12月9日），我们发现受感染的设备已经超过1000，主要分布在以色列和巴勒斯坦地区。与其他攻击不同的是此次攻击具有较高时效性，整个攻击活动的攻击时间围绕着世界杯的举办赛程时间。此次攻击的开始准备的时间为10月10号左右，开始进行攻击的时间为11月5号左右。为了赶在世界杯开始之前发起攻击，攻击者在一些细节方面出现准备不足的情况，这表明了此次攻击时效性非常高。图1展示了此次攻击行动中各时间段攻击者的各种行为，橙色区间为准备期，蓝色区间为实施攻击期。图1

平台使用了开源的AsyncRAT，该远控工具主要功能如下：屏幕查看和记录。反病毒以及完整性管理SFTP上传和下载聊天动态DNS和多服务器支持密码恢复jit编译键盘记录反分析自启动图7

本次攻击活动样本使用的解密算法而以IBM公司安全产品为诱饵的攻击活动中，所释放的包括恶意模板文件和各种恶意脚本特征都符合Kimsuky组织投递BabyShark组件发起攻击的特征，同时以The

2014年9月，也门爆发内战，参战双方分别为总统阿卜杜拉布·曼苏尔·哈迪领导的也门政府和胡塞武装。2015年3月，以沙特阿拉伯为首的阿拉伯国家针对也门内战进行干预行动。由于长期经历战乱，也门已是世界上经济最落后的国家之一。2022年3月30日，在海湾合作委员会（简称“海合会”）主持下，由也门国内多方参加的解决也门问题磋商会（简称“利雅得磋商”）在沙特首都利雅得正式开始，以结束持续7年的也门战争，翻开推动也门走向和平和发展的新篇章。然而就在“利雅得磋商”这一关键事件期间，我们发现了一起围绕这场磋商开展的移动端网络攻击活动。本次发现的攻击活动主要围绕“利雅得磋商”事件，针对参会的也门记者和媒体人等进行间谍活动。攻击者使用Android端SpyNote商业间谍软件，通过WhatsApp、短信、邮件等方式对特定人群进行定向攻击进而实施间谍活动。通过开源情报我们得知攻击者疑似为中东某国情报部门。另外，通过对本次攻击的网络基础设施进行扩线关联，我们发现这次攻击活动和我们前段时间发布的《Kasablanka组织针对中东地区政治团体和公益组织的攻击行动》报告中的事件存在关联。一、受影响情况通过对受害者的地理位置进行分析我们发现，受害者主要分布在位于西亚和北非的阿拉伯国家和地区，其中位于也门的受害者最多。这些受害者的机器语言涉及广泛，有阿拉伯语（埃及）、阿拉伯语（也门）、英语等，这也侧面说明了受害者可能来自不同的国家。图1

近日，360沙箱云和360安全情报中心监测到一起通过邮件传播的恶意程序攻击。恶意程序通过电子邮件发送给受害者，并通过邮件正文和附件诱导用户执行附件中的恶意程序，来实现入侵。经过360沙箱云高级威胁分析平台分析和安全专家分析确认，此攻击样本是臭名昭著的

LNK文件是Windows快捷方式，是基于ShellLink二进制文件格式，其中包含用于访问数据对象的信息。利用LNK文件执行恶意指令的攻击方式也常被APT组织滥用。在“DangerousPassword”攻击活动中，攻击者在压缩文件中附上带有加密文档的诱饵文件和一个名称中带有“password”的LNK恶意文件，再诱导用户点击恶意LNK文件后，从攻击者控制的基础设施中下载下一阶段载荷以执行后续恶意功能。360高级威胁研究院近期捕获了一些由黑产团伙发起的类似的攻击活动。攻击者模仿APT-C-26（Lazarus）组织下发加密PDF文档作为诱饵和具有诱惑性名称的LNK恶意文件手法，之后下发不同的恶意载荷，例如IceDid或挖矿木马等。我们以一些攻击活动作为案例展开分析以揭示诱惑性LNK恶意文件攻击的手法。在对一些案例进行分析后，我们仍不能将这些攻击活动归属为APT组织，但是这种模仿APT组织攻击手法的兴起值得我们关注和警惕，黑产团伙组织的技战术正在逐渐呈现APT化的趋势。一、案例分析

2022年6月22日，西北工业大学发布《公开声明》称，该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》，证实在西北工业大学的信息网络中发现了多款源于境外的木马和恶意程序样本，西安警方已对此正式立案调查。中国国家计算机病毒应急处理中心和360公司全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了木马程序样本，综合使用国内现有数据资源和分析手段，并得到欧洲、东南亚部分国家合作伙伴的通力支持，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头，初步判明相关攻击活动源自于美国国家安全局（NSA）的“特定入侵行动办公室”（即：Office

2022年6月22日，西北工业大学发布《公开声明》称，该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》，证实在西北工业大学的信息网络中发现了多款源于境外的木马程序样本，西安警方已对此正式立案调查。中国国家计算机病毒应急处理中心和360公司第一时间成立技术团队开展调查工作，全程参与此案技术分析。技术团队先后从多个信息系统和上网终端中捕获到了木马程序样本，综合使用国内现有数据资源和分析手段，并得到欧洲、南亚部分国家合作伙伴的通力支持，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头，初步判明相关攻击活动源自美国国家安全局（NSA）的“特定入侵行动办公室”（Office

WSAStartup()

“看见”的能力始终伴随着“不看见”的能力，正如“太极”的两部分。什么是看见？看见一片大海、一片星空、一片沙漠，是看见吗？正是由于有选择的不看见的能力，忽略过滤排除筛选，去除大量无效信息，才能拨云见日、从茫茫大海星空沙漠中看见更加有价值的东西。本文由我在互联网安全大会