腾讯研究人员发现挖矿木马4SHMiner利用Apache Shiro反序列化漏洞CVE-2016-4437针对云服务器的攻击行动。4SHMiner挖矿团伙入侵成功后会执行命令下载4.sh，然后下载XMRig挖矿木马并通过Linux service、systemctl服务，系统配置文件$HOME/.profile，crontab定时任务进行持久化。通过其使用的门罗币钱包算力(约333KH/s)进行推算，4SHMiner团伙已控制约1.5万台服务器进行挖矿。

Morphisec Labs对FIN7供应链中的组件JSSLoader进行分析。该活动通过钓鱼邮件展开攻击，邮件主题涉及发票主题。单击发票链接将指向一个私有Sharepoint目录，该目录存储一个包含VBScript（后来更改为WSF-Windows脚本文件）的存档文件。VBScript下载并在内存中执行下一阶段的VBScript。第二阶段是最近开始的。内存脚本下载并在磁盘上编写一个.net模块（JSSLoader）。JSSLoader是一个RAT（远程访问木马），主要功能包括：反调试、数据渗漏、持久性维护、远程命令执行。在最近被截获的特定攻击链中，RAT通常会执行DiceLoader，其负责反射加载和执行一个Cobalt beacon。

研究人员发现新的恶意软件使用带有宏的Word文件从GitHub下载PowerShell脚本，此PowerShell脚本进一步从图像托管服务Imgur下载合法的图像文件，并通过解码图像内的像素值来计算下一阶段的有效负载Cobalt Strike脚本。多位研究人员将此恶意软件与MuddyWater（又名SeedWorm 和TEMP.Zagros）相关联。

腾讯最近检测到H2Miner挖矿木马使用XXL-JOB未授权命令执行漏洞对云主机发起攻击，攻击成功后执行恶意脚本进而植入门罗币挖矿后门模块进行挖矿操作，该挖矿木马运行时会删除其他竞争对手挖矿木马创建的文件和计划任务。xx.sh模块作为入侵后源头执行脚本，会进一步拉取3个模块，分别为系统预加载模块libsystem.so，后门功能模块kinsing，下载工具curl，同时清理其他挖矿模块计划任务，将自身加入计划任务实现持久化。libsystem.so模块将被写入系统预加载配置项，作为服务启动。攻击脚本同时会清理其他挖矿木马创建的计划任务。kinsing模块以服务启动，运行后会不断循环，拉取任务等待执行。根据命令解析执行不同功能，分析可知该模块具备扫描，更新，命令执行，下载执行，执行http请求，redis爆破等功能。

腾讯威胁情报中心检测到SystemdMiner、H2Miner两个挖矿团伙组合利用PostgreSQL的未授权访问漏洞和PostgreSQL提权代码执行漏洞（CVE-2019-9193）攻击云服务器。SystemdMiner、H2Miner均是目前流行的挖矿木马，擅长利用各类Web应用漏洞进行批量攻击传播。SystemdMiner入侵系统后会通过Socket5代理与C&C服务器通信，下载挖矿木马init.x86_64，安装定时任务进行持久化。H2Miner会执行脚本pg2.sh，安装定时任务下载pg.sh，并进一步下载木马kinsing进行挖矿进程维持，以及进行端口扫描和Redis爆破攻击。

近日，CitizenLab发布报告称，NSOGroup将苹果公司的iMessage软件0day漏洞，售卖给阿拉伯半岛的国家进行间谍活动。citizenlab指出，在2020年7月和2020年8月，有国家使用NSO Group的Pegasus间谍软件入侵了半岛电视台的36部属于记者，制片人，主持人和执行人员的iphone手机。该攻击被研究人员称为KISMET，利用了iOS漏洞利用链，涉及iMessage中的零点击漏洞，类似于只要给目标发送一条iMessage短信，目标即可中招手机被入侵。研究人员指出，涉及使用该漏洞利用链的国家或组织有4个，包括攻击者组织MONARCHY（沙特阿拉伯）和攻击组织SNEAKY KESTREL（阿联酋）。KISMET漏洞不适合iOS 14及更高版本（包括新的安全保护）使用。所有iOS设备所有者都应立即更新到最新版本的操作系统。

腾讯安全威胁情报中心发现“匿影”挖矿团伙的攻击活动升级，新增加密勒索组件CryptoJoker，该组织已从之前的挖矿计算转向勒索攻击非法牟利。匿影组织传播的勒索病毒组件在执行过程中采用无文件攻击技术，攻击过程中全程无样本文件落地，且在加密数据完成之后会清理定时任务，令事件溯源十分困难。“匿影”最新变种依然沿用NSA武器库中的永恒之蓝漏洞工具对目标发起攻击，攻陷目标后在失陷主机上启动X86/X64.dll的感染流程。首先检测该目标是否已经感染本组织的挖矿木马，如果已感染该团伙的挖矿木马，则不再继续感染勒索。初始有效载荷会释放勒索功能模块和横向移动模块。横向移动沿用永恒之蓝漏洞利用工具包。勒索模块样本使用文件嵌套的形式执行加密勒索与清理功能，全程文件不落地，文件加密沿用经典的AES+RSA模式，加密文件后缀为.devos。勒索信中给出了被攻陷主机个人ID，并自称为CryptoJoker，勒索金额额度为0.1BTC。

腾讯安全威胁情报中心检测到TeamTNT挖矿木马利用Docker Remote API未授权访问漏洞对云服务器进行攻击。TeamTNT挖矿木马入侵后会隐藏进程，并且通过安装定时任务持久化、通过SSH复用连接进行横向移动感染更多服务器。同时挖矿木马会占用大量CPU资源进行计算，可能导致业务系统崩溃。

腾讯安全威胁情报中心检测到Mirai僵尸网络利用Apache Hadoop Yarn资源管理系统REST API未授权访问漏洞入侵云主机，入侵传播的Mirai木马会通过C&C服务器下发命令进行DDoS攻击。攻击者通过扫描暴露在公网的的8088端口，发现了没有开启特定用户安全认证的集群，并通过YARN RESET API提交应用，提交任务的用户名为dr.who。任务启动时执行default_container_executor.sh。从而实现在服务器内下载执行Mirai僵尸网络木马Rooted.x86。Rooted.x86的主要功能是与C&C地址通信，接收远程命令对目标IP发起DDoS攻击。

ESET研究人员发现了一种模块化后门ModPipe，可让攻击者访问存储在运行ORACLE MICROS餐馆企业系列（RES）3700 POS的设备中的敏感信息，该管理软件套件被全球各地的大量酒吧，餐馆，酒店使用。ModPipe含有一个名为GetMicInfo的模块，其使用了一种算法，可以通过从Windows注册表值解密来收集数据库凭据，收集的凭据可以让攻击者访问数据库内容，包括各种定义和配置，状态表和关于POS交易的信息。ModPipe架构包括：初始dropper，包含下一阶段（持久加载程序）的32位和64位二进制文件，并将合适的版本安装到损坏的机器上；持久加载程序，解压并加载主模块；主模块，创建一个管道，用于与其他恶意模块通信，卸载/安装这些模块，并充当dispatcher，处理模块与攻击者的C&C服务器之间的通信；网络模块，用于与C&C通信的模块。