伏影实验室发现一起利用聊天工具传播恶意软件的攻击事件。在该次攻击事件中，攻击者利用Skype聊天工具进行恶意代码投递。 事件调查显示，攻击者伪装为财务主管，通过即时聊天工具Skype，向目标投递了名称为“七月份公司重要通知.xlxs.exe”的文件。攻击流程：第一阶段，恶意程序伪装成Excel文档，运行后，会从远程下载一个C#编写的攻击载荷；第二阶段，C#代码作为下载器，下载两个恶意文件：一个是正常签名的winrar程序，主要任务是解压load.rar文件；另一个为load.rar压缩包；第三阶段,C#代码执行特定名称的文件qqhxsj.exe，进行DLL-sideloading，并构造对应的qqhxsjBase.dll。qqhxsjBase.dll利用一系列API实现在内存中加载MainDll；第四阶段，MailDll其实是经过修改的gh0st RAT木马。

2020年8月，奇安信安全团队捕获到Android平台上一款新型的恶意RAT，基于该木马C2的特点将之命名为Tahorse。Tahorse RAT远控主体采用的是开源项目AhMyth-Android-RAT远控变种子包。该远控功能强大，可以获取通话记录、拍照、获取联系人、管理文件、获取定位信息、窃取并发送短信。攻击者可以根据自身能力扩展更丰富的监控功能，且可以在PC上便捷的对受害用户手机进行远程操控。值得注意的是，研究人员在分析过程中发现远控子包样本针对的是中国数款主流品牌国产手机，在后期甚至引入了开源项目AutoStarter进行了定制优化。经关联分析，此次攻击活动一共涉及Android平台攻击样本41个，Windows平台攻击样本9个， C2域名4个，研究人员据此将之归因于黑客组织Transparent Tribe。

腾讯安全检测到大量源自境外IP及部分国内IP针对国内云服务器租户的攻击。攻击者通过SSH(22端口)爆破登陆服务器，然后执行恶意命令，下载Muhstik僵尸网络木马，组建僵尸网络；控制失陷服务器，执行SSH横向移动，下载门罗币挖矿木马；接受远程指令，发起DDoS攻击。该活动目前已有上千台服务器沦陷受害。通过爆破攻击记录进行分析发现，攻击源IP来自美国、德国、俄罗斯、意大利等多个国家，其中美国较多。攻击者对单个主机进行爆破登陆次数平均为100次左右。爆破攻击时使用的部分账号名为：root、oracle、postgres、git、test。爆破登陆成功后利用wget命令下载shell脚本，然后下载的pty*文件属于Muhstik僵尸网络Muhstik组件。其会将自身拷贝到以下目录，并将其安装为crontab定时任务。

深信服最近监测到AgentTesla在海外的恶意活动。该恶意程序伪装成pdf文件，运行后经过多层解密最终从内存中加载窃密木马，然后盗取用户的系统信息/邮箱账号/浏览器密码/FTP账号等数据，发送到passjones@yandex.com邮箱。研究人员发现，该邮箱至少从5月初就开始接收窃密数据，并代理多个邮箱，其在全球范围内盗取了至少上百用户信息。每隔2小时的整点时间就会被来自意大利米兰的固定IP登录该邮箱获取盗取的数据。同时还发现很多来自不同的IP通过网页或客户端方式登录该邮箱。

近期深信服安全团队捕获到多个恶意样本，文档采用了Excel 4.0宏规避技术，分析后发现这是一起近期针对国内特定人群的攻击活动。攻击流程与黑产组织TA505相似，比如针对特定目标的钓鱼邮件，使用Excel 4.0宏技术、下发的投递程序携带有效的数字签名（数字签名冒用），最后执行远控木马控制受害者机器。本次攻击活动中投递的木马包括Warzone RAT与Remcos RAT，研究人员根据其中新版Warzone RAT远控提取的特殊字符串，将该组织命名为TURBO。

奇安信发现了一款新型安卓远控木马架构，该架构的木马主要出现在华语地区，在灰黑产圈子中被广泛贩卖使用，作者疑似具有中文背景。该APK样本经过作者自己的混淆器混淆并加壳，干扰研究人员分析，木马运行后会伪装成正常程序，与市面上的安卓远控不同，该远控在启动时并不会请求过多的权限，而且通过短信的形式下发远控指令，执行具体的功能时才会请求对应的权限，该类型的样本主要给下游供应"基础设施"。其主要功能为：上传文件到坚果云、测试用户是否在线、获取通信录、发送短信、修改云盘、上传地理位置、获取短信、修改云盘链接、删除文件、获取QQ目录下的文件、修改网址、添加联系人等。

奇安信最近捕获了多例Konni APT组织的攻击样本：包括韩国文字处理软件HWP类型的样本以及Office Word宏利用样本。此类样本采用热点新闻为诱饵，如核问题相关信息、COVID-19相关信息等，诱导受害者执行其恶意文档，并通过宏等手段释放执行恶意程序，控制受害者计算机，窃取敏感信息。宏利用样本主要以核问题、网络安全、朝韩关系、疫情等热点政治时事话题为诱饵。HWP类型恶意文档则多以个人信息，绩效总结等为诱饵。Konni近期对其木马字符串进行了加密处理，此次攻击活动的字符串加密算法也与之前的攻击活动中的相似，此次攻击活动中部分样本通信有稍许变化，使用HTTP通信替代了之前的FTP通信。

Dr.web最近揭露了针对哈萨克斯坦和吉尔吉斯斯坦国家机构的APT攻击活动，涉及的所有设备都运行Windows操作系统。攻击中使用的恶意软件分为两类：安装在网络中大多数计算机上的常见恶意软件和安装在攻击者特别感兴趣的服务器上的自定义恶意软件。攻击者使用名为PlugX和Whitebird的木马进行初始感染。PlugX的有效负载模块使攻击者可以远程控制受感染的计算机，并将其用于横向移动。Whitebird在64位操作系统上运行，并具有通用功能：支持与C＆C服务器以及文件管理器、代理的加密连接，并可以通过命令shell功能进行远程控制。然后，攻击者使用专门的恶意软件来执行任务，包括Misics、XPath、Mirage、Mikroceen、Logtu、CmdUdp。XPath是一种新发现的模块木马，每个模块对应于恶意软件操作的特定阶段，包括安装程序、驱动程序、中间模块、有效负载模块。其可以通过驱动程序安装或利用COM Hijacking启动有效负载。有效负载基于开源项目，可以在客户端模式和代理模式下运行，目的为获得对受感染计算机的未经授权的访问并窃取机密数据。

2020年5月左右，ThreatFabric分析师发现了一种新型的银行恶意软件，称为BlackRock。分析发现木马是基于Xerxes银行木马的变种。木马首次在设备上启动恶意软件时，将首先从应用程序中隐藏其图标，使其对用户不可见。然后要求受害者提供可访问性服务特权。最大的活动中冒充了虚假的Google更新。一旦用户授予了请求的"辅助功能"特权，BlackRock便会为其自身授予其他权限。其可以执行覆盖攻击，发送、垃圾邮件和窃取SMS消息，将受害者锁定在启动器活动(设备的主屏幕)中，窃取和隐藏通知，转移设备上防病毒软件的使用并充当键盘记录程序。并且滥用了Android work profiles 获取管理员权限。BlackRock目标列表中的337个独特应用程序中，有许多应用程序以前从未被观察到成为银行恶意软件的目标。这些新目标大多与金融机构无关，并且被覆盖以窃取信用卡详细信息，涉及社交，通信，生活方式和约会应用程序。

ESET研究人员最近发现一项新的活动，该活动使用恶意的Welcome Chat应用针对安卓用户，该活动与BadPatch恶意软件关联。Welcome Chat是一款功能强大的聊天应用程序，可提供承诺的功能以及隐藏的间谍功能。该间谍软件通过在专门网站进行宣传。用户下载应用后，由于未从Play商店下载应用，因此需要激活"允许从未知来源安装应用"设置。安装后，恶意应用程序将请求受害者允许权限，例如发送和查看SMS消息，访问文件，记录音频以及访问联系人和设备位置。为了能够与此应用程序的其他用户进行通信，该用户需要注册并创建一个个人帐户。收到这些许可后，程序会立即将有关设备的信息发送到其C2，并准备接收命令，其每五分钟与C2服务器联系一次。除了其核心间谍功能–监视其用户的聊天通信，还可以执行以下恶意操作：窃听发送和接收的SMS消息，通话记录历史记录，联系人列表，用户照片，已记录的电话，GPS设备的位置以及设备信息。该恶意软件使用了BadPatch活动相同的C&C服务器，BadPatch活动已被确认与Molerats威胁组织相关。因此研究人员判定本次新型安卓木马同样来自于Molerats。