2021年1月13日，中国国内发现许多用户感染名为incaseformat的蠕虫病毒。病毒运行后，会将自身复制到Windows目录下（tsay.exe），病毒文件图标伪装成文件夹样式，同时会修改注册表键值实现自启动。在主机重启后，病毒将开始遍历所有非系统分区目录并将其设置为隐藏，还会创建同名病毒文件。然后对非系统分区下的所有文件执行删除操作，并创建incaseformat.log的空文件。通过分析发现，incaseformat并非是一个新出现的病毒，其可能已经在用户电脑潜伏多年。此次统一爆发（2021年1月13日），是因为恶意代码中，触发病毒删除用户文件的时间变量值被错误赋值。此外，研究人员还发现，该病毒设置的删除用户文件的日期并不止一个，如果用户电脑还有残留的病毒，可能会面对再次被删除的危害。由于未发现病毒相关的网络传播特征，该病毒通过U盘等移动介质传播的可能性更大。中招用户可使用数据恢复工具尝试对被病毒删除的文件进行恢复。

奇安信威胁情报中心最近发现一款针对Android平台的新型恶意RAT，该RAT最早出现于2017年，被持续使用至今，目前共有3个版本，并且溯源发现，该RAT属于Molerats APT（被奇安信命名为“月光鼠”）组织特有的移动端武器，被研究人员命名为GazaHT家族。第二代攻击载荷伪装成谷歌应用商店和聊天相关应用，主要托管在钓鱼网站（ephoneservices.club）上进行投递。目前GazaHT已经迭代至第三代，最新第三代利用辅助功能对流行的社交应用进行信息窃取。可以获取通话记录，短信信息，照片，通讯录，地理位置信息，通话录音等。并且攻击者可以根据自身能力扩展更丰富的监控功能，且可以通过下发指令便捷的对受害用户手机进行远程操控。

奇安信于10月首次揭露了一个伪冒国内银行应用的的信息窃取木马新家族”BYL”。2020年12月12日，奇安信威胁情报中心移动安全团队发现到攻击者开始更换网络资产展开新一轮传播，通过数据监测发现到该木马家族短短四天（截至到2020年12月16日）国内影响量级已为千级。攻击团伙构造并传播钓鱼下载页面，诱使受害者下载并安装钓鱼木马。样本启动后会请求权限来访问并窃取手机通知消息。通过钓鱼页面窃取用户银行APP登陆凭证、姓名、身份证号、银行卡号、支付密码、验证码。随后通过HTTP请求将窃取的信息传送回攻击者的服务器中。

2020年12月8日，美国著名网络安全公司FireEye发布通告称，其被国家级APT组织入侵，并窃取了其红队在进行渗透测试过程中使用的工具合集。并提到了该国家级APT组织主要目的是查看火眼的客户资料，同时有新闻报道称FBI将此事件交给对俄分析专家组。 被窃取的红队工具的范围从用于自动化侦察的简单脚本到类似于CobaltStrike和Metasploit等公开可用技术的整个框架。FireEye声称泄漏工具不包含0day漏洞利用工具，目前尚未看到任何攻击者泄露或使用这些被盗取的红队工具。但为了防止潜在攻击者利用被窃取的红队工具进行网络攻击，已针对Snort、Yara、ClamAV和OpenIOC等公开可用技术在GitHub上发布了300多种对策，根据这些策略可以检测到相关攻击工具的活动。公布的红队工具检测规则中分为60个大类，304个小类。从检测规则的名称上看，对应的红队工具除1个macOS系统后门工具和2个Linux木马外均应用于Windows系统。规则文件主要采用了Snort、Yara、ClamAV和OpenIOC四种开源安全检测框架规则编写，其中包括29个Snort规则文件、164个Yara规则文件、23个ClamAV规则文件、88个OpenIOC规则文件。 根据检测规则，红队工具简介如下： 1）ADPASSHUNT，在GPP、Autoruns以及AD对象中窃取AD凭据； 2）BEACON，对Cobalt Strike的定制化配置和扩展； 3）DUEDLLIGENCE，包含稳定的进程注入以及3种DLL加载方法的加载器； 4）PFG, PGF全称为PayloadGenerationFramework（payload生成框架），包含了一系列无文件执行方法以及利用正常程序侧加载DLL执行恶意代码的方法; 5）LNKSMASHER:链接钓鱼攻击生成框架; 6）MATRYOSHKA, 将PE文件转换为shellcode，用process hollowing的方法加载; 7）MEMCOMP, 使用内存中编译技术的加载器; 8）MOFCOMP, 从已知模板中创建的可疑WMI Managed Object Format (MOF)文件; 9）NOAMCI, 利用DInvoke进行Amsi Bypass; 10）PUPPYHOUND, 由开源的域内信息收集工具SharpHound3修改而来，名称与特征字符串改为PuppyHound; 11）PXELOOT: 帮助发现与利用Windows Deployment Services(WDS)中的配置错误; 12）REDFLARE, 未公开的支持Windows/Linux/Mac全平台的C2框架; 13）REDFLARE (Gorat), 使用golang开发的RedFlare受控端RAT; 14）SHARPUTILS, 辅助.NET武器化开发的第三方库; 15）RUBEUS, 基于.NET的操作Kerberos的工具集; 16）SAFETYKATZ, 基于.NET的Mimikatz修改版; 17）SHARPY, 基于.NET的加载器; 18）SHARPERSIST, 集成一系列方法的.NET持久化框架：注册 COM CLISID、热键持久化、服务失败滥用持久化、利用keepass和tortoisesvn等第三方程序; 19）SHARPIVOT, 集成一系列方法的.NET Pivot 框架：计划任务、WMI、RPC、谷歌更新服务劫持、潜在句柄污染（Possible Handler Poisoning）; 20）SHARPSCHTASK, 基于.NET的计划任务相关工具; 21）SHARPZEROLOGON, 基于.NET的ZEROLOGON漏洞(CVE-2020-1472)利用工具; 22）WILDCHILD: 基于.NET的HTA代码执行器生成工具（支持VBScript与JScript）；

近日，深信服安全团队发现采用了总统候选人近期相关热点新闻作为展示媒介的恶意文档，文档标题为“Here's what to expect from Biden on top nuclear weapons issues”，对受害用户的迷惑性更大。后续用户打开该恶意文档后，显示的是看似正常的相关新闻文章，实质当打开该文档后会通过office编辑器漏洞从黑客的服务端下载了恶意文件并隐蔽执行，最终恶意文件会在内存解密释放出Ave Maria远程木马，也被称为Warzone RAT，以收集受害用户敏感信息。发现本次活动可归因为长期针对南亚次大陆的攻击组织“魔罗桫”（国外安全厂商命名为Confucius）。该组织长期针对中国，巴基斯坦，尼泊尔等国和地区进行了长达数年的网络间谍攻击活动，主要针对领域为政府机构，军工企业，核能行业等。

360最近监测到蓝色魔眼（APT-C-41）组织在2020年1月首次针对中国进行了攻击活动，并捕获到了该组织最新V4版本的攻击组件。蓝色魔眼（APT-C-41），又被称为Promethium、StrongPity，最早攻击活动可追溯到2012年，主要针对意大利、土耳其、比利时、叙利亚、欧洲等地区和国家进行攻击活动。此次活动，攻击者利用了原版的Skype升级服务程序作为DLL恶意荷载的白利用加载程序，加载执行初始加载器Miniloader，Miniloader主要功能是通过解密注册表HKCU\Software\AppDataLow\Software\Skype数据，获得插件模块并加载功能插件Loader。插件Loader为EXE文件类型，是负责解密加载其他功能插件的核心组件，其通过递增插件序号，加载其他功能的插件执行。通信组件模块名为Comti.dll，主要负责命令控制和数据传输，利用Winnet API上传其他插件模块所产生的数据，如屏幕截图，键盘记录等信息，以及负责植入后续攻击组件。攻击者会使用后门版本号加C盘VolumeSerialNumber计算设备唯一标识符，用以标记中招机器。

360发现响尾蛇今年9月期间又重新出现活动迹象。相关攻击第一阶段的恶意荷载主要利用DotNetToJScript技术，以JavaScript恶意脚本为载体，在内存中执行.NET Assembly形式的恶意功能组件，以无文件攻击的方式躲避安全软件的查杀。第二阶段的后门程序会通过C&C下载各类攻击组件，其中核心的攻击动作是在失陷机器上利用WebSocket隧道建立反向的Socks5代理，操作各种后门和攻击组件进行渗透攻击。由于WebSocket隧道属于加密流量，部分流量安全设备很难识别异常情况。发现的三个不同功能的恶意组件，被命名为TunnelCore、FileRAT和ShellRAT。TunnelCore利用WebSocket隧道建立Socks5代理进行，为其他组件提供内网穿透通道。FileRat会建立本地HTTP服务器，监听本地12380端口，提供多种文件操作功能。ShellRat会建立本地TCP服务器，监听本地12323端口，提供远程Shell功能。

Lemon Duck挖矿活动最近十分活跃，思科Talos最近监测到其威胁在2020年8月底有所增加。感染以PowerShell加载脚本开始，该脚本从具有SMB，电子邮件或外部USB驱动器的其他受感染系统复制而来。攻击者还利用了多种漏洞利用方法，例如SMBGhost和Eternal Blue。僵尸网络具有通过主模块下载和驱动的可执行模块，该模块通过HTTP与命令和控制服务器进行通信。电子邮件传播模块使用与COVID-19相关的主题行和文本，并使用Outlook Automation将被感染的附件发送到受影响用户通讯簿中的每个联系人。

腾讯安全检测到Mykings挖矿僵尸网络变种木马的活动，更新后的Mykings会在被感染系统安装开源远程控制木马PcShare，对受害电脑进行远程控制：可进行操作文件、服务、注册表、进程、窗口等多种资源，并且可以下载和执行指定的程序。Mykings僵尸网络木马还会关闭Windows Defender、检测卸载常见杀毒软件；卸载竞品挖矿木马和旧版挖矿木马；下载"暗云"木马感染硬盘主引导记录(MBR)实现长期驻留；通过计划任务、添加启动项等实现开机自动运行等行为。根据门罗币钱包算力1000KH/s进行推测，Mykings僵尸网络目前已控制超过5万台电脑进行挖矿作业。

最近，Microsoft威胁情报中心观察到GADOLINIUM攻击者技术的演变，GADOLINIUM主要针对海上和卫生行业，最近扩展到了亚太地区以及高等教育和区域政府组织。攻击通过带有恶意附件的鱼叉式网络钓鱼电子邮件展开，使用云服务和开源代码工具来增强武器化能力，并试图保持对服务器的命令和控制权和混淆检测。2019年，GADOLINIUM将恶意Access数据库文件传递给目标，然后分发恶意Word文档，执行下载程序，加载有效负载。活动中使用多种方式作为命令与控制机制，如Outlook Tasks附件、Outlook联系人API、OneDrive API。LazyCat是GADOLINIUM使用的工具之一，包括特权升级和凭证转储功能。2020年，GADOLINIUM通过发送COVID-19主题的鱼叉式钓鱼邮件展开攻击，最终分发的负载是开源PowershellEmpire工具箱的修改版本，该修改工具包允许攻击者通过Microsoft Graph API调用将其他模块并无缝加载到受害计算机。除此外，GADOLINIUM活动通常在合法网站上安装Web Shell，以进行命令和控制或流量重定向。