PC.\""在下载的XML配置文件中，命令行和参数是以十六进制显示。解码之后显示如下，其主要功能是使用cURL下载保存一个名为“tmp.jpg”文件，然后使用cmd执行后续载荷。--headless

组织，又被称“魔罗桫”，该组织自2013年开始活跃，攻击行动主要目的是获取敏感信息。我们在日常威胁狩猎中观察到该组织的持续活动，主要针对巴基斯坦地区进行攻击，并使用了ADS（Alternate

蔓灵花组织历史行动中使用的命令行可以看到本次使用的URL格式与历史蔓灵花回传URL格式一致，即都是将当前主机名、用户名回传到远端服务器上，其中主机名与用户名之间用’_’分割，这也符合蔓灵花组织习惯。

Payables.doc”是一个含有恶意宏代码，伪装成Shibli

函数代码示例receive_file函数负责连接C2服务器,随机生成AES密钥并发送给服务器,然后接收加密的文件名和大小,发送确认信息,最后接收加密的文件内容,解密并保存到本地。图23

在日常APT狩猎中我们发现了一组后门加载器，第一时间进行分析后确认了这组加载器是海莲花双重加载器的VMP版本。（以下对比图左侧均为无壳加载器，右侧均为VMP加载器代码中未被VM或混淆的部分。）模块1

Agent。鉴于该组织近期频繁使用这类具有完整签名的RMM软件进行渗透，因此我们在这里进行详细说明该组织利用此类软件攻击的过程，希望经过曝光披露，相关的企业和个人可以提高安全防范意识，以免遭受损失。

本次攻击事件使用的样本均为SpyNote家族变种，该家族样本的相关功能在我们很多报告中都有涉及，这里不再赘述。攻击样本的伪装对象都是文档、相册、通讯录，且部分样本的文件名也极具针对性。图

通过对样本整体分析，我们发现本次攻击行动与摩诃草组织之前使用的攻击手段相符合。1.恶意lnk的参数及使用方式和恶意载荷所携带的签名“RUNSWITHSCISSORS

我们以其中一个MacOS样本进行分析，基本信息如下：MD505957d98a75c04597649295dc846682d文件名称os_helper文件大小169

此外，下载的恶意载荷也为Poseidon组件，根据C2地址我们也关联到多个未披露的Poseidon组件，功能都基本一致，不再详细叙述。

组织的基础网络架构进行的深入监控与分析过程中，360高级威胁研究院成功捕获并详尽地分析了关于名为RandomQuery的攻击活动及其相关的信息窃取组件，而且还揭示了

Konni是一个活跃于朝鲜半岛的APT组织，其主要针对俄罗斯、韩国以及周边国家地区的政府机构进行网络攻击活动，以窃取敏感信息为主。该组织的攻击活动最早可追溯到2014年，近年来活动频繁，被数个国内外安全团队持续追踪和披露。近期，360高级威胁研究院发现该组织使用MSI载荷进行攻击，这类载荷在Konni之前攻击中很少使用，未被公开披露过。鉴于此，本文主要对此类伪装成政府安装包的样本进行分析，以便用户及时发现，避免中招。在本轮攻击中，Konni组织使用具有诱导性的文件名，如SpravkiBKsetup.msi，在运行MSI程序会释放正确的软件安装程序以迷惑用户，其恶意行为在后台静默执行，从而导致受害者中招，达到窃密目的。

2023年蔓灵花组织的鱼叉式攻击活动与其流程没有发生大的变化，主要如下图所示：

加强对电子邮件的筛选和审查措施。对未经请求的或来自不明来源的邮件保持警惕，尤其是那些附带有压缩文件的邮件。使用高级的电子邮件过滤解决方案可以帮助识别和隔离可疑邮件。2.员工培训和意识提升:

Kasablanka（卡萨布兰卡）是由思科命名的一个APT组织，攻击对象主要集中在中东、中亚以及东欧等地区。该组织开发出了LodaRAT等木马，并同时拥有Windows和Android双平台攻击能力。近期，360高级威胁研究院发现疑似该组织的钓鱼攻击活动，针对目标为纳卡地区（纳戈尔诺-卡拉巴赫），一个横在阿塞拜疆和亚美尼亚归属争议的地方，两国也常年因为争论此地爆而发冲突。本次攻击者利用携带宏的doc附件作为载体，通过层层下载的方式内存加载VenomRAT木马，从而完成信息窃取活动。

vdao.exe并执行，否则改名oleObject2.bin执行。最后将嵌入对象oleObject3.bin作为pptx文件打开显示诱饵文档。3.攻击组件分析

RAR类型RAR类型的样本均携带有恶意CHM文件，以其中之一分析说明，样本信息如下所示。MD5fa03b0248a109a86eaddba108ebfcb14文件大小311.11KB

根据360安全卫士监测，我们于2023年年初捕获到了该轮攻击活动，并关联出了肚脑虫与摩诃草之间存在一些关联。在攻击活动当天，我们发现两个巴基斯坦的受害者A和B。

通过信息挖掘，我们发现了所使用的恶意样本的源码仓库，名称为ChatApp，地址为：https://github.com/Hi*****/ChatApp，该仓库提交者为Hi***

IDos系统版本bi系统位数ar是否拥有管理员权限pc计算机名un用户名dm当前所在域av安装杀毒软件lvGetTaskContentog无而bat文件中攻击者使用base64加密

Gopher版本号等信息进行上传到配置数据中指定的C&C服务器对应目录上。测试得知C&C响应正常软件会进行http/https协议更换尝试。并选择从不同C&C服务器目录地址中请求后续载荷。于Arid

近日，国家计算机病毒应急处理中心和360公司对名为“二次约会”（SecondDate）的“间谍”软件进行了技术分析，该“间谍”软件针对基于FreeBSD、Linux、Sun

攻击者以冒充Microsoft的方式设计了诱饵文件，其目的在于诱导用户运行恶意宏代码。这些恶意宏首要任务是将内置二进制数据写入系统临时文件夹，具体路径为

意为打印带，域名主页是一家名为“汉索尔胶带”的公司主页，猜测该网站可能被Kimsuky组织攻占。接着从参数为idx=5的URL中进一步下载载荷，可以看出载荷是编码后的Powershell脚本。1.

新样本对关键的字符串比如文件名、远控指令等使用了新的编码方式，不再沿用之前base64编码或硬编码的方法，而是采用了AES加密算法对关键的字符串进行加密存放，增加了分析和查杀难度。图3

SideCopySideCopy组织自2020年被披露以来长期处于活跃之中，并主要针对印度国防、外交等部门持续发动网络攻击。近期，360高级威胁研究院发现了该组织针对印度政府部门的最新攻击行动，攻击者利用钓鱼邮件诱导下载含有恶意LNK的ZIP压缩文件，该LNK文件伪装成PDF或DOCX文件，受害者点击执行后会下载恶意代码从而开启一段复杂多阶段的攻击链，最终释放AllaKoreRAT或ReverseRAT远控组件，从而完成窃密活动。

石油管道信息向目标人员进行投递，该石油管道位于利比亚承担从利比亚Wadi

2022年9月公开威胁情报披露Lazarus组织使用武器化的TightVNC恶意软件发起攻击[1]，同时也披露了Lazarus组织使用开源项目sRDI反射加载BlindingCan恶意软件[2]。图

随同释放的PE文件为打包后的键盘记录工具。MD556ACA38D92559ED7CD1A393A90BB7D27文件名Protected01.exe文件大小1257472

0x011d6004，远大于文件本身的大小。因此在函数中对文件的音频数据块中的内容进行解析时，造成越界数据访问，访问了原本不应访问的内存区域，导致触发漏洞。在这个案例中，此漏洞在

在我们的发现中，攻击者使用了伪装成“生日祝福”信息的CHM文件作为初始载荷。当此CHM文件被受害者执行时，其内部的恶意脚本便会被加载运行。图

C1219F58EC19BFA51F4D550128482AF6C1219F58EC19BFA51F4D550128482AF68C6ED47B1E012C368B5406B39C425FA6

Credwiz.exe是一个合法的Windows文件，被拷贝到C:\ProgramData\MicrosoftSDK后当Credwiz被执行时，它会以DLL

Security收购）合作开发，可以通过远程安装、供应链攻击、中间人劫持攻击和物理接触安装等方式植入，以微软Windows服务方式驻留。所有攻击功能模块均以插件形式在内存中解密执行。2.3

基于我们捕获的攻击样本显示，攻击者主要伪装成哥伦比亚海关局、援助局、国家司法部门，对哥伦比亚的政府机构及实体公司进行攻击，部分伪装内容如下图所示：当受害者单击PDF文件的链接时，他们将被重定向到

字节)MD57b27586c4b332c5e87784c8d3e45a523该样本执行时会从地址http://k22012.c1.biz/paypal.dotm下载恶意宏模板文档（MD5:

Play上需要付费下载，其下载量超过10万。APT-C-23（双尾蝎）组织修改合法的OPlayer应用的名称和图标，并制作了相应的钓鱼网站进行载荷投递，如图1所示，钓鱼网站的证书信息如图2所示。

C:\\Users\\***\\AppData\\Local\\Temp\\wct1FDA.tmp\"该项主要是通过powershell启动MSBild.exe运行解密出的project

进行了漏洞复现与分析，并就此漏洞的触发路径和指令在沙箱云检测引擎中增加检测方案，保护用户免遭此漏洞的威胁。分析环境Windows

在我们分析钓鱼网站过程中，发现了一些或许能够证明透明部落组织真实归属的线索，现进行披露，仅供安全研究人员参考。域名注册厂商注册日期解析IPgovscholarships.inNameSilo,

腾云蛇组织的攻击活动范围主要围绕巴基斯坦、孟加拉等国，并且在2021年末开始，腾云蛇将活动范围扩大到了伊朗以及土耳其，针对这两个国家的外交人员进行了一系列攻击活动。

2021年10月期间，网络上出现了一支名为AgainstTheWest（以下简称“ATW”）的黑客组织，特别针对中国、朝鲜和俄罗斯为主要目标，实施有组织的大规模网络攻击，窃取相关受害企业和组织机构的数据和源代码等，进行公开贩卖、公开敲诈和媒体恶意炒作活动，对我国的数据安全和网络安全声誉造成了恶劣影响。这个ATW到底是何方神圣？让我们来一点点撕开他们的真实面目。

1.攻击流程分析利用伪装简历的诱饵文档进行攻击活动。通过Dropper释放CrimsonRAT对中招用户持续监控。2.载荷投递分析2.1

KBMD5676a10be289cf8978af6cdbdba536678编译时间2022-11-01该文件与上一阶段具有相同的数字签名信息，

2022年高级持续性威胁概览在经历了新冠肺炎疫情肆虐，当今世界正处在大发展大变革时期。俄乌冲突爆发、全球经济衰退加之国际间各种力量的较量，使得国际局势日益错综复杂。2022年全球高级持续性威胁（APT）形势依然严峻。全年全球网络安全厂商公开发布的APT报告累计742篇，报告中披露的攻击活动涉及APT组织141个，其中首次披露的APT组织54个，均比2021年明显增加。全球范围内APT攻击活动依然紧跟政治、经济等时事热点，攻击目标集中分布于政府、国防军工、教育、金融等行业领域。依托自身“看见”的能力，360已累计发现了51个境外APT组织，监测到5800多起针对中国的网络渗透攻击。2022年，360高级威胁研究院捕获到境外新组织：APT-C-63（沙鹰），另外在全球范围内率先监测到APT-C-06（DarkHotel）组织利用Firefox浏览器的2个在野0day漏洞（CVE-2022-26485、CVE-2022-26486）针对特定目标进行水坑攻击。这也是2022年国内唯一一家捕获APT攻击活动中利用0day漏洞的安全厂商。2022年全球APT组织利用0day漏洞展开攻击活动的增长趋势放缓，但仍处高位。2022年2月24日俄乌冲突爆发，成为全球关注的焦点。俄乌冲突期间，与俄乌冲突相关的APT攻击、大规模DDoS攻击、黑客组织网络攻击、网络信息舆论对抗等一系列网络攻击和对抗活动，将网络空间战争形态展现在了世人面前。网络空间已经成为俄乌间冲突对抗的重要战场，在军事冲突之外产生着愈发深刻的影响。2022年是我国“十四五”规划的第二年，在全面建设社会主义现代化国家新征程中，一批5G、工业互联网等新基建项目扎实推进，为数字经济发展开拓新空间、增添新动能。新基建的背后是产业、经济、政府、社会的全面数字化，而数字化安全将成为发展数字经济、建设数字中国的底座，成为新基建的安全基建。通过2022年全球高级持续性威胁态势分析看，我国数字化转型和自主可控领域的发展面临更加严峻和复杂的网络威胁形势。需要网络安全从业者保持网络空间常态实战化的状态应对网络空间的攻防对抗，不断提升我国网络安全和数据安全保护能力，保障国家网络空间安全。2022年全球典型APT组织分布2022年针对中国地区TOP10境外APT组织2022年中国地区受APT攻击影响行业分布2022年APT攻击态势总结APT攻击利用0day漏洞的攻击活动增长势头放缓，但仍处高位。2022年APT组织在0day漏洞的利用上呈现出利用0day漏洞修复不全或者0day漏洞变种发起攻击的趋势，同时需要关注APT和网络犯罪组织利用Log4j2漏洞展开的网络攻击。APT组织针对移动平台私有化武器趋势显露，2022年，针对iOS平台的攻击活动保持活跃。2022年，APT组织针对我国重点行业领域的攻击活动仍旧保持较高热度，360高级威胁研究院监测到，2022年针对中国发起的攻击活动共涉及14个APT组织，政府、教育、信息技术、科研和国防军工等15个行业领域依然是APT组织攻击活动主要的目标领域。2022年APT组织涉及挖矿勒索攻击、窃取加密货币等形式的攻击活动持续被披露，呈现不断上升的趋势。APT组织展开勒索攻击或窃取加密货币攻击活动的真实意图，既存在本身以牟利为目的，也包含利用勒索加密攻击做真实攻击目的掩护。关键威胁形势分析2022年俄乌冲突期间，APT攻击急剧增加，地缘归属东欧的APT组织异常活跃，网络攻击活动也不断上演。与此同时，APT组织利用正在进行的俄乌冲突话题作为诱饵展开的定向攻击活动不断被披露。面对传统网络安全强国在网络安全领域常态化的攻击渗透这一实际威胁，需保持网络空间常态化战时状态思维，应对网络间的攻防对抗，来保障国家网络空间安全。国与国之间的网络对抗愈演愈烈，成为了国家间对抗的重要形式。一系列网络犯罪组织逐渐将以往的“技术对抗”不断扩展到“舆论对抗”、“舆论造势”。在2022年APT组织针对我国展开的攻击活动目标中，包含我国国产化操作系统和自主软件供应商，显示出了攻击活动瞄准我国自主可控领域发展的趋势。在数字化转型进程中，网络安全威胁风险日益凸显，数字化转型面临更加复杂多样的网络威胁，网络威胁或将超越传统安全威胁，成为数字时代最大的威胁。（完整版报告请点击下方“阅读原文”查看）

工业和信息化部网络安全管理局在1月13日发布了一篇名为《关于防范钓鱼邮件攻击的网络安全风险提示》的告警文章，指出：“利用仿冒电子邮箱发起的钓鱼邮件攻击事件频发。攻击者伪装成家人朋友、工作同事、合作伙伴等，发送特定主题的电子邮件，降低用户防备心理，诱使用户点击邮件中的恶意链接或者恶意程序，可能导致计算机、手机等终端设备被窃取信息或远程控制。”看到这篇告警文章，笔者联想到前段时间

3：释放的PDF推广信息Powershell进程执行了指令后，先后打开诱饵PDF文件以及调用rundll32.exe以指定导出函数和命令行执行落地在%temp%目录下的DLL文件。图

SideCopy组织自2020年被披露以来长期处于活跃之中，并主要针对印度等南亚国家持续发动网络攻击。近期，360高级威胁研究院发现了该组织的最新攻击活动，通过对其分析发现本次攻击行动呈现出如下特点：1、反射加载的DLL会向服务器反馈程序的执行流程，即主要功能是否成功执行，若失败则反馈异常;2、恶意文件托管在谷歌云端硬盘，并且其下载链接通过谷歌邮箱传播，极具迷惑性;3、在实际行动中罕见的发现该组织使用了基于Golang语言的Windows平台木马Spark