窃取文件信息从攻击者的代码来看，该模块还包含从远程下载执行后续载荷的功能，不过下载回的载荷并没有使用该部分代码，攻击者先窃取主机桌面所有文件信息，再筛选目标下载后续远控功能模块。3

NOTICE”以及名为“password”的快捷方式文件，快捷方式则使用mshta.exe从C2地址webmail.mod.com.pk执行后续载荷。图

Rabisu组织的最新活动。该组织以伪造知名软件网站的方式，利用谷歌广告和鱼叉式网络钓鱼邮件进行推广，诱使用户下载并启动木马化的安装程序，最终用于部署名为RomCom的后门工具。Void

情报。攻击者可以通过该漏洞执行任意命令，导致系统被攻击与控制。经过分析与研判，该漏洞利用难度低，漏洞细节已公开，可以远程命令执行，建议尽快修复。02

S3存储桶访问方式Amazon作为全球最大的公有云厂商之一，其所提供的S3存储桶服务正在被许多租户所使用。S3存储桶的一种访问域名形式为https://.s3..amazonaws.com/,

漏洞概况

Tag：GoldenJackal，南亚，政府事件概述：近期，研究人员监测到了一系列针对中东和南亚政府的攻击活动，这些活动被追溯到GoldenJackal威胁组织。GoldenJackal

付费视频泄露”为主题的样本——将图片与木马程序打包，使用色情图片引诱用户运行伪装成视频文件的木马程序，从而窃取账号密码。经研判分析，这一攻击手法的要点如下：攻击者利用

前言为什么有了杀软还要EDR？顺丰安全用他们亲历的一次供应链投毒事件证明了EDR的价值：有攻击团伙在互联网上发布和宣传“免杀Gh0st远控工具”来吸引“免杀爱好者”，并在其中隐藏设置了一个CobaltStrike后门，让“免杀爱好者”们最终成为攻击团伙的“猎物”。尽管没有任何前置情报和知识库，但利用微步OneSEC中的行为检测和内存检测等技术，顺丰安全团队及时发现了未知威胁，并成功捕获了这一起由黑产团伙发起的供应链投毒攻击事件，这也是该团伙首次被发现和公开。在与顺丰的同事友好交流和联合分析后，根据该团伙“黑吃黑”的攻击特点，我们引用“螳螂捕蝉，黄雀在后”的典故，将之命名为“黄雀”。如何有效检测并响应供应链攻击等高级威胁？以本次顺丰安全捕获“黄雀”事件为例，足够好用的EDR，加上训练有素的安全运营团队，不仅能够及时发现威胁，还能在实战中帮助安全运营团队降低应对威胁的复杂度，简化处置流程。这篇原文转载自“顺丰安全应急响应中心”微信公众号。背景大家好，我是顺丰的安全研究员K，我每天的工作就是搞搞前沿攻方技术研究，内部赋能提升安全防御能力，应急重大安全事件。在这个美好的早晨，我像往常一样沐浴着温暖的阳光、啃着我美味的馒头、刷着GitHub机器人推送的日报。突然，一个可疑的项目立马吸引了我的注意——“重写免杀版Gh0st……”，好家伙，我倒要看看是什么免杀可绕完国内主流杀软！”手里的馒头瞬间不香了，我立马在公司的安全研究环境sflab里安装起了这个“强大”的免杀版Gh0st。哔——哔——哔——，一阵急促的告警声打破了这个清晨的平静，直觉告诉我有些不太对劲。“CobaltStrike远控”？得益于sflab完备的监测和狩猎能力，很快我搞清楚了这是真实的攻击行为，——我，被上线了！！我的内心开始变得紧张又愤怒。我敲，这是什么牛鬼蛇神，把

漏洞概况

针对中国的攻击活动攻击者利用“某学院关于11月22日起工作安排调整的通知”为话题，向目标用户“ggky@********.edu.cn”发送钓鱼邮件，并在钓鱼邮件中附带附件名为“未命名的附件

年开始活跃，持续针对南亚地区的巴基斯坦、斯里兰卡、马尔代夫和孟加拉等国的政府、军事、外交、情报、原子能和高校等行业和机构开展网络间谍活动的APT组织。该组织在攻击方法及资产上喜欢模仿印度组织

Webs的专家对发现的木马应用程序进行分析显示，它可能是网络犯罪分子三年多来一直使用的恶意工具，用于进行此类攻击并通过转售流量或套利获利。技术手法：该木马的主要功能是基于WordPress

漏洞概况

漏洞，是入侵目标最有效的方法之一。因此，在如今漏洞满天飞的攻防形势下，只有及时掌握最关键/活跃的漏洞情报信息，才能不陷于被动。最近流行的漏洞是什么？这些漏洞利用有什么特征？谁在用这些漏洞搞事情？这些漏洞的解决方案是什么？……

干扰。来源：https://www.cysecurity.news/2022/12/russian-cities-are-experiencing-gps.html流行威胁情报Glupteba

邀请你身边挖洞的师傅（须是之前未提交过漏洞的师傅）参与活动，让他在提交漏洞概要信息，填写“漏洞简述”项时，以“推荐人：{推荐人（你）的X情报社区昵称}”的形式留下你的信息，例如下图:2.

地址，果然还是有上当的，转了0.039BTC，差不多5000+RMB：这种的思路其实是构造发件人的header字段，相关实现的样例可参考下面的代码：swaks

server/client调试原理：使用delve远程调试sliver-go-v1.18.5源码。环境准备：ubuntu20.04，vscode，go1.18.5.linux-amd64,

专家的事件响应。最后，擦除器将破坏除“.exe”、“.dll”、“lnk”、“.sys”、“.msi”和它自己的“.CRY”之外的所有枚举文件，同时还会跳过系统、Windows

公开程度：PoC未公开利用条件：无权限要求交互要求：0-click漏洞危害：高危、命令执行影响范围：ThinkPHP开发框架命令执行漏洞03

大家好！这里是219攻防实验室！你一定没有听说过我们，因为我们刚成立不久。219攻防实验室专注于前沿攻防研究、武器平台化、红队评估、攻防演练，虽然我们是新实验室，但我们的成员有深入操作系统多年的老牌程序员、有专注攻防领域10余年的老手、亦有攻防演练中崭露头角的新锐，我们热爱技术热爱分享，就像我们的名字一样，219

解密"锁得快、偷得快"的LockBit勒索软件”。来源：https://mp.weixin.qq.com/s/z-kMsP_6HmDh_IQR5sZRWA高级威胁情报求职陷阱：Lazarus

1概述近日，微步情报局对10月份勒索态势监测发现，自从今年俄乌冲突以来，占据榜首的Conti勒索软件公开站队俄罗斯，引起了乌克兰成员的不满，导致Conti停止运营，而号称让“勒索软件再次伟大”的LockBit勒索软件地位已快速上升，顶替了Conti的榜首位置：10月份监测发现已知勒索活动252起，其中LockBit3.0勒索软件57起，占比

的漏洞使多款安卓设备受到影响勒索专题美国密歇根州两个县的公立学校遭受勒索软件攻击钓鱼专题攻击者使用网络钓鱼工具包针对北美消费者展开攻击金融威胁情报印度国家证券存管公司遭恶意软件入侵，部分设备已隔离

概述每逢世界杯期间，各类体育足球博彩网站、投注APP就开始活跃起来。近日，通过分析微步在线网络空间测绘系统的数据时我们关注到2022卡塔尔世界杯的体育竞技类赌球网站数量急剧上升。而根据相关研究显示，有79%的参与非法赌博的人士是通过赌博网站进行投注，随着推广建站技术的日益成熟，这些站点也更容易触达我们用户。针对这些站点微步在线的情报分析人员进行了深度分析和跟踪，其中就包括了：2022世界杯博彩的站点推广时间线、相关的主要推广平台、一些惯用的检测规避推广手法、博彩域名的来源以及微步在线-X情报社区如何进行跟踪和发现。利用空间测绘的指纹进行分析实时跟踪发现，目前各大赌博集团的世界杯赌博网站推广手法已转化为检测规则并在微步网络空间系统上上线并与微步在线产品OneDNS联动实现实时拦截世界杯相关非法赌博网站。

”联系起来。来源：https://securelist.com/dtrack-targeting-europe-latin-america/107798/漏洞情报Twitter

nativeImplementation(wrapped_foo)当解析失败，会从nativeImplementation中删除prefix前缀，继续进行解析：method(wrapped_foo)

Beacon，展开恶意攻击。来源：https://explore.group-ib.com/opera1er-eng/report-opera1er-eng政府威胁情报透明部落组织使用新的黑客工具和

经“X漏洞奖励计划”，微步获取到一个YApi高危漏洞信息，无需点击（0-click），无任何权限要求，即可利用。YApi在GitHub上获得超过25000颗星，包括阿里、腾讯、百度、美团等中国一大批互联网公司都在用，可谓影响广泛。目前微步TDP支持对该漏洞的检出。以下为微步情报局对该漏洞的评估结果：公开程度PoC未公开利用条件无权限要求交互要求0-click漏洞危害高危、权限绕过、命令执行影响版本≤1.10.2漏洞复现经微步情报局进行复现，YApi接口管理平台通过注入获取到用户token，结合自动化测试API接口写入待命命令，并利用沙箱逃逸触发命令执行。☞

1概述2022年3月，谷歌威胁分析团队追踪为Conti组织提供初始化访问的团伙时，发现了新的木马家族。该木马与C2服务器通信时会使用特殊代号“bumblebee”作为User-Agent字段，因此将其命名为Bumblebee(大黄蜂)。在同一时间段内，曾经非常活跃的开门器木马BazarLoader

称此次攻击并未影响生产，但无法估计其所有系统恢复正常运行需要的时间。目前，该公司仍在评估网络攻击的影响，并正在与当局密切合作以加快这一进程。尽管上述所有迹象都带有勒索软件攻击的典型迹象，但截至目前，

是一个强大的、商业级的、功能齐全的工具包，用于通用加密和安全通信。当应用程序验证不受信任的X.509证书（包括TLS证书）时,

拓线关联1.基于样本分析的研究结果和微步在线的大数据平台，拓线了部分存活的C2服务器，分析资产发现IP服务商和反查域名特点和APT32历史中所使用的几乎一致。如：域名注册服务商“Internet

CoinMiner。来源：https://thehackernews.com/2022/10/emotet-botnet-distributing-self.html高级威胁情报Domestic

加强外部威胁监控目前，钓鱼邮件的出现，源头在于内部邮箱信息在互联网泄露。因此，建议强化企业内部邮箱数据保护，缩小内部邮箱对外公开的范围，避免不必要的信息数据泄漏。3.

1概述伪猎者APT组织于2021年由国内安全厂商披露，据悉，其最早攻击时间可以追溯到2018年，历史攻击目标为包含中国在内的人力资源和贸易相关机构。近期微步情报局监控发现，该组织从2021年12月份至今依然活跃，在今年6月，该组织对韩国境内目标发起定向攻击活动。通过分析攻击事件，有如下发现：本批次攻击活动目标人员包括汉斯赛德尔基金会韩国代表Bernhard

使用自定义和开源工具以及内置操作系统工具在目标组织内提升权限、添加注册表项建立持久性、转储凭据并横向移动进行手动键盘攻击。常见的技术和工具：邮箱网络钓鱼攻击：MERCURY

服务器地址，常用高端口，而且当样本出现在公开平台（例如https://s.threatbook.cn/）之后，样本使用的

漏洞概况

1概述2021年11月，由欧洲刑警组织捣毁的Emotet僵尸网络卷土重来，以极快的速度恢复且初具规模，重新对外提供恶意软件分发服务。根据监测，近几个月来Emotet感染活动非常活跃，不断升级病毒组件，并针对日本地区进行了重点攻击，也由此波及了部分关联的中国企业。微步情报局对Emotet僵尸网络的背后团伙、攻击事件及手法、资产通信进行了深入的分析，目前主要的结论如下：团伙画像：Emotet僵尸网络主要通过伪装成收款单、节日祝福、新冠疫情通告等内容的钓鱼邮件进行传播。其攻击的地区遍布全球，对各种制造、互联网、金融等行业均有涉及，近期我们也观测到其针对国内政企单位的大范围攻击活动，值得警惕。技术特点：Emotet木马载荷使用WordPress失陷站存储，且木马回连的C2服务器同样为失陷站点，因此从网络资产维度难以追踪到攻击者的真实身份。对抗检测的技术较为成熟：样本层面加壳或使用混淆器混淆，且二进制文件通过随机字节改变哈希值，流量层面使用HTTPS协议加上自定义的加密信道进行通信。危害：受Emotet感染的机器会加入僵尸网络，定期接收任务执行，用于窃取本地账密，邮件和发送钓鱼邮件，代理和下载执行其他第三方银行木马、勒索软件等功能，造成企业敏感信息泄露，甚至造成内部范围传播并勒索，危害很大。微步情报局通过对该僵尸网络通信协议的详细分析并进一步依赖于自有的网络空间测绘系统对全网进行的分析，累计发现了上千台Emotet活跃的主控服务器，位于美国的最多，德国、法国次之。微步通过对相关样本、IP和域名的溯源分析，提取多条相关IOC，可用于威胁情报检测。微步云沙箱、互联网安全接入服务OneDNS等均已支持对团伙的检测。OneDNS可以实现自动拦截阻断，通过在DNS解析环节碰撞情报，在C2服务器反连时直接拦截恶意域名，避免真实的攻击危害发生，保护员工安全上网。2团伙分析2.1

Tag：P2PPhish，网络钓鱼事件概述：近日，微步情报局监测发现，有不法分子伪装为某部级机构，搭建钓鱼网站实施诈骗。由于该团伙主要通过模仿相关平台域名并以清退为由进行诈骗，因此将其命名为

1概述近日，微步情报局监测发现，有不法分子伪装为某部级机构，搭建钓鱼网站实施诈骗。由于该团伙主要通过模仿相关平台域名并以清退为由进行诈骗，因此将其命名为P2PPhish组织。微步在线情报局立即对其手法及特点展开分析，具体分析如下：该团伙至少于2021年开始通过发布虚假新闻进行引诱受害者点击钓鱼链接实施诈骗活动，主要通过在新闻社交等渠道发布虚假信息，引诱受害者访问其搭建的伪造钓鱼网站，以“官方回款”、“清退回款”等名义实施诈骗，并附加成功案例弹窗吸引受害者；该团伙选择的目标主要是目前市面上暴雷的P2P平台投资者，利用投资者迫切回款的心理进行定向诈骗，骗取个人隐私信息以及所谓的“债权转让金”进行获利;该团伙使用的域名资产大多以中文拼音和缩写命名，迷惑受害者，例如：“qingtui”、“huikuan”、“cbirc”等字符，且其具有较强的反侦察意识，相关域名、管理后台站点均隐藏信息，大量使用香港短租服务器，可以方便销毁清理痕迹；微步在线通过对相关样本、IP

等安全技术的资深专家组成，并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统，对微步在线每天新增的百万级样本文件、千万级

1前言攻防演练目前仍然如火如荼地进行中，钓鱼/社工攻击作为一种重要的攻击手法今年仍被大范围的使用。尤其是当防守方正面防线十分坚固的情况下，通过钓鱼/社工的方式进行边界突破往往成为首选，我们也已经观测到不少安全防护水平较高的行业和企业因此被攻击成功，而很多防守方正苦于缺少有效的检测和防护手段。微步云沙箱S作为国内最大的免费云沙箱之一，一直广受攻防演练双方的喜爱。自演练伊始，微步云沙箱S来自Web用户提交样本量增长近10倍有余。实际上，微步云沙箱S平台在帮助防守方有效识别攻击方攻击样本的同时，也收集到了很多新鲜的高价值攻击样本。为了能够帮助防守方进一步提升对于钓鱼/社工类攻击的认识和防守能力，微步情报局投入技术力量对近日提交到微步云沙箱S的部分恶意样本进行的专项分析和研究，并将相关结论归纳成为本报告，希望能够对大家有所助益。2钓鱼/社工趋势分析随着攻防演习的推进，微步云沙箱相较于平常，捕获了更多的恶意样本。值得注意的是，中文名称钓鱼样本的比例明显增加。综合微步云沙箱S自动分析的结果，发现这些中文钓鱼样本绝大多数都与攻防演习相关。以下是我们统计的通过微步云沙箱S

等安全技术的资深专家组成，并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统，对微步在线每天新增的百万级样本文件、千万级

和解压密码。Token：j0nS0QwY13AAAAAAAAAAARLL1pdHUHBWI2P6L3G7oPhP1G7sCYQAB5pqmiG9KuI7解压密码：U85EVBYUFKJ5ZQN图18

Struts2全版本ElasticSearch5.x，6.x，7.x，8.0.0beta1，8.0.0alpha1和8.0.0alpha2Logstash5.0.0至最新Apache

·点击下方名片，关注我们觉得内容不错，就点下“赞”和“在看”如果不想错过新的内容推送，可以设为星标哦