TeamTNT是一个主要入侵在线容器并通过挖矿和DDoS进行牟利的攻击团伙。2021年年初，该团伙被发现入侵了某Kubernetes集群，通过结合脚本和现有工具，最终在容器内植入挖矿木马。针对Kubernetes集群的攻击事件及后续发生在集群内部的木马传播事件，以呈现网络黑产团伙针对在线集群的攻击方式。

绿盟最近发现一个利用SonicWall“Virtual Office” SSL VPN RCE进行传播的Mirai dark系列变种，该系列多以dark.[platform]命名恶意文件。该漏洞及其EXP于2021年1月24日被公开，影响2015年版本小于SMA8.0.0.4的设备。变种会清除临时目录、用户主目录、自启动任务以及定时任务；会从远程服务器拉取恶意负载，定时执行；清空目标主机所有的防火墙设置，并关闭22、23、80、443、8080、9000、8089、7070、8081、9090、161、5555、9600、21412端口。除此外，该样本还利用了Crestron AM-100 0day漏洞、CVE-2019-19356、CVE-2021-22991、CVE-2020-29557、CVE-2021-27561/27562等漏洞。

McAfee研究人员披露了一项针对电信公司的间谍活动，名为Diànxùn行动。袭击中使用的战术、技术和程序（TTP）与之前公开的黑客组织RedDelta和Mustang Panda的TTP相似。研究人员认为攻击针对电信行业的人，并已用于间谍目的，以访问敏感数据和监视与5G技术相关的公司。攻击方式为利用钓鱼网站将受害者被引诱到攻击控制的域，投递恶意软件，利用恶意软件进行探测和数据收集。其中一个钓鱼网站伪装成华为招聘页面。

腾讯威胁情报中心发现Sysrv-hello僵尸网络近期频繁更新。新变种在蠕虫传播模块新增集成了14种漏洞攻击方式。包括：Hadoop未授权漏洞利用、XXLjob未授权漏洞利用、Thinkphp命令执行漏洞、Supervisord命令执行漏洞（CVE-2017-11610）、Joomla反序列化漏洞（CVE-2015-8562）、Phpunit远程代码执行漏洞（CVE-2017-9841）、Apache Unomi远程代码执行漏洞(CVE-2020-13942)、SaltStack命令注入漏洞（CVE-2020-16846）、Mongo-express远程代码执行漏洞（CVE-2019-10758）、Drupal远程代码执行漏洞（CVE-2018-7600）、Jenkins远程命令执行漏洞（CVE-2018-1000861）、Jboss反序列化漏洞（CVE-2017-12149）、Confluence远程代码执行漏洞（CVE-2019-3396）、Laravel远程代码执行漏洞（CVE-2021-3129）。

近期，深信服发现到LemonDuck团伙挖矿活动再次进行了大版本的更新。其Linux挖矿模块引用了大量Outlaw僵尸网络的代码，同时新增使用WebLogic未授权命令执行漏洞（CVE-2020-14882/14883）攻击模块（从2020年12月份已更新）。成功利用WebLogic漏洞后，将针对Windows目标主机下载执行logic/logico.jsp，针对Linux目标主机下载执行core.png，从而实现横向传播。Windows版本还修改了Python打包程序20.dat中永恒之蓝漏洞利用的Payload，将之前的shellcode变为PE文件。Linux版本下载的后续负载文件dota3.tar.gz与Outlaw僵尸网络母体名称相同，内部文件大部分命名相同，且代码相似度也很高。

在调查TeamTNT的活动时，趋势科技的研究人员发现了一个二进制文件，其中包含一个硬编码的shell脚本，该脚本旨在窃取AWS凭据。以此为线索最终发现超过4000例感染实例，这些实例并非都运行在AWS服务器上，但其上部署的恶意软件旨在攻击AWS用户。与之前发现的TeamTNT攻击活动类似，攻击者利用配置错误（例如对外开放的Redis实例和泄露的安全凭据）和漏洞，以获得对系统的远程访问权限并部署下一阶段的攻击，例如安装加密货币矿工。落地后，脚本首先会检索AWS元数据服务相关凭据，无论搜索是否成功都会创建一个文件并上传到远程 Web 服务器，该服务器设置为接收被盗文件。除了存储被盗数据外，该服务器还充当了加密货币挖矿工具的存储库。

Microsoft威胁情报中心最近在针对SolarWinds供应链攻击的调查中发现三种新的恶意软件：GoldMax（被FireEye称为“SUNSHUTTLE”），GoldFinder和Sibot。这些恶意软件针对特定网络定制，最早可能在2020年6月便投入使用。在攻击者获得访问，进行横向移动后使用。GoldMax使用Go语言编写，充当C2后门，使用了多种技术来混淆和逃避检测，包括将加密的配置文件写入磁盘。使用唯一的基于环境变量和运行的网络信息的文件名和AES-256密码密钥，使用会话秘钥与C2进行通信，其C2通过伪随机生成的Cookie发送命令，硬编码Cookie是唯一的。Sibot目的为在受感染的计算上实现持久性，通过一个合法但受到感染的网站下载并执行有效负载。受感染网站包括医疗设备制造商和IT服务提供商，不同网站托管的有效载荷都不一样。GoldFinder是一个Go编写的工具，用作自定义HTTP跟踪器，其记录数据包到达硬编码的C2服务器的路由或跳数。

腾讯安全威胁情报中心检测到Sysrv-hello僵尸网络近期十分活跃，该僵尸网络具备木马、后门、蠕虫等多种恶意软件的综合攻击能力。最近发现该团伙再次升级，包括更新基础设施，新增端口反调试；新增Jupyter弱口令爆破、WordPress 弱口令爆破、Jenkins弱口令爆破、Redis未授权写入计划任务、Apache Solr命令执行漏洞攻击；入侵成功后拉取sysrv蠕虫扩散模块，每5分钟随机扫描探测新攻击目标；投递门罗币挖矿木马kthreaddi。

Gootkit银行木马家族大约已经存在5年，其功能以银行凭证盗窃为主，研究人员发现其将更新投入到改进交付方式上。分析人员将其分发机制命名为Gootloader。Gootloader使用恶意搜索引擎优化（SEO）技术来不动声色的将被黑网站置于Google搜索结果，分析人员估计黑客大约控制了400台被黑合法网站服务器。用户访问被黑网站后，将被引导下载.zip文档，其中包含带有.js扩展名的文件，脚本文件进行了模糊处理，并对下一阶段相关的字符串和数据blob进行了两层加密，该文件运行时调用wscript.exe。第二阶段有效负载内容被写入注册表并在系统重启后通过加载到内存运行。重启后将触发Powershell脚本运行并下载最终有效负载。除了REvil和Gootkit负载外，最近还发现使用Gootloader来交付Kronos木马和Cobalt Strike。

卡巴斯基发现在2020年中期，Lazarus组织使用ThreatNeedle集群对国防工业发起攻击，ThreatNeedle集群是Manuscrypt（又名NukeSped）的高级恶意软件集群。活动中使用鱼叉式网络钓鱼作为初始感染媒介。钓鱼邮件中包含恶意的Word文档或者带有指向远程服务器恶意链接。Microsoft Word文档中的宏包含在受感染的系统上下载并执行其他恶意软件的恶意代码。打开恶意文档并允许宏后，恶意软件（ThreatNeedle集群）将被释放并进入多阶段部署。ThreatNeedle后门具有以下功能：操作文件/目录、系统信息收集、控制后门进程、更新后门配置、进入睡眠或休眠模式、执行接收命令。除此外，还发现攻击者使用了名为Responder的凭据收集工具，并使用Windows命令横向移动。其克服了网络分段问题，通过破坏路由器虚拟机，从与互联网断开的完全隔离的网络分段中窃取数据。